Kleine lettertjes: de kunst van een goede privacyverklaring

Kunst en recht worden niet vaak aan elkaar verbonden. Een jurist met beroepsdeformatie kan weliswaar kunst zien in een schitterend, complex stuk wetgeving of een onvoorstelbaar creatieve overeenkomst.  Het feit dat veel grote kunstenaars, zoals Matisse, Tsjaikovski en Kafka, ook juridisch geschoold waren is bovendien kennis die bij een pubquiz goed van pas kan komen. Maar kunst is meestal (gelukkig) niet juridisch ingestoken en de wereld van het recht is vaak weinig artistiek. Des te opvallender was het vorige week dat de Volkskrant berichtte over een kunstwerk, bestaande uit 835 sets privacyvoorwaarden.

Kunstenares Julia Jansen bezocht de website van The Daily Mail, waardoor via cookies haar surfgegevens bij al die 835 bedrijven belandden. Zij verzamelde alle privacy-voorwaarden die daardoor op haar van toepassing waren en liet deze achter elkaar voorlezen. Kunst met een duistere ondertoon dus. Al die kleine lettertjes, die we zelden lezen maar die wel juridische gevolgen hebben, dat is welhaast om moedeloos van te worden. Hoe zijn we in deze werkelijkheid beland, waar de eerdergenoemde Kafka een puntje aan had kunnen zuigen? En hoe maken we leesbare privacyverklaringen waar je niet tureluurs van wordt?

Real-time bidding

Het proces van real-time bidding, ook wel programmatic advertising genoemd, zorgt er allereerst voor dat surfgegevens soms naar honderden partijen worden gestuurd. De NOS bracht onlangs mooi in beeld hoe het er achter de schermen aan toegaat, wanneer tracking cookies worden geplaatst om advertenties te tonen. De websitebezoeker, die zelf alleen een banner of pop-up als eindresultaat te zien krijgt, wordt in een fractie van een seconde ‘verkocht’ op een enorme virtuele marktplaats. Het opgebouwde profiel van de bezoeker bepaalt voor welke adverteerder hij of zij het meeste waard is. De hoogste bieder wint en betaalt de website-eigenaar – via allerlei tussenpersonen – om aan de bezoeker zijn reclame te tonen. Alle deelnemers binnen die marktplaats verwerken zijn of haar persoonsgegevens.

Hou het beknopt, transparant, begrijpelijk, gemakkelijk, duidelijk en eenvoudig

De AVG verplicht dat je uitlegt wat je doet met persoonsgegevens. Ook als dat heel ingewikkeld is om uit te leggen. Hier staat een overzicht van wat er allemaal in de privacyverklaring thuishoort. Hoewel deze verklaring volgens de wet in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ moet worden aangeboden, valt dat in de praktijk nog vaak tegen. Airbnb wint de prijs van langste en meest onbegrijpelijke privacyverklaring; die tekst is even moeilijk te lezen als Kritiek van de Zuivere Rede van Immanuel Kant.

De kleine lettertjes zijn de consument al lange tijd een doorn in het oog. Hoe moet het dan wel, een beknopte en duidelijke privacyverklaring? Allereerst: ken je publiek. Aangezien de meeste bedrijven zich niet uitsluitend richten op juristen is het raadzaam om de privacyverklaring ook niet als een juridisch stuk in te steken. Als typisch voorbeeld, wie gelooft nou de belofte van deze openingszin: “Wij respecteren de privacy van onze klanten en bezoekers” als de lezer even later de volgende tussenkop moet ontcijferen: “Doorgifte aan dienstverleners die als verwerkingsverantwoordelijke jouw gegevens verwerken bij de uitvoering van je bestelling bij de betaling van goederen aan de bij de bestelling opgegeven aanbieder van betaaldiensten of een financierende bank”?

Wilt u de korte of de lange versie?

Naast de toon is ook de lengte van de verklaring een factor om rekening mee te houden. Een gelaagde structuur kan daarbij een nuttig middel zijn om elke lezer effectief van informatie te voorzien. Op de eerste laag geef je algemene informatie over de omgang met persoonsgegevens en een samenvatting van elk specifiek onderwerp in de verdiepende laag. Voor de meeste lezers is dit misschien al voldoende informatie. Via uitklapvelden of kruisverwijzingen is de verdiepende laag toegankelijk. Daar leg je, bijvoorbeeld, in detail uit wat er gebeurt bij elke afzonderlijke verwerking van persoonsgegevens, hoe men zijn of haar rechten kan uitoefenen en welke technische beveiligingsmaatregelen er zijn. Zo worden de meer kritische of technisch geïnteresseerde lezers voorzien van het volledige verhaal.

Creativiteit mag, maar duidelijkheid moet

Voor de meeste organisaties zal de meest standaard vorm van de privacyverklaring – een stuk tekst wat te bereiken is via een link onderaan de website – prima voldoen. Sommige partijen laten meer creativiteit los op de informatieplicht (en hebben nog een marketingpotje over). EasyJet biedt bijvoorbeeld via een video op YouTube op toegankelijke wijze informatie over privacy.

Proactief nieuwe manieren bedenken om privacy bij je gebruikers of klanten onder de aandacht te brengen, dat is alleen maar positief. Vergeet daarbij niet om eerst de basis op orde te brengen: beschrijf in begrijpelijke taal wat je met persoonsgegevens doet en behandel daarbij in ieder geval de eisen van de AVG.

Opleiding allround privacy jurist business professional

Terug naar overzicht