De waarde van bedrijven als Google en Facebook, meer recent ook apps als Uber, Instagram of WhatsApp, is mede gebaseerd op de informatie en kennis over gebruik en gebruikers. Data, steeds ‘bigger’, vormen een businessmodel met persoonsgegevens als commercieel product.
Apps op telefoons en andere draadloze apparatuur hebben een groeiend aandeel, dankzij vaak onafgebroken gebruik en interactie van apps met het besturingssysteem van de telefoon. In principe hebben apps het potentieel om de wereld beter, veiliger, functioneler en productiever te maken maar feit is dat enorme hoeveelheden aan (soms zeer gevoelige) persoonlijke data – vaak zonder toestemming – worden verwerkt en verhandeld. Deze gegevensverwerking door apps kan van enorme invloed zijn op de persoonlijke levenssfeer als gevolg van profilering en sturing van gedrag. Mensen worden onbewust gestuurd en beperkt in keuzes ten behoeve van maximale winst.
Wederkerige overeenkomst
Consumenten ontberen besef van deze waarde en invloed. Ze accepteren doorgaans blindelings de privacyverklaring en gaan daarmee akkoord met eenzijdig financieel voordeel uit data voor bedrijven. Dat moet anders: personen moeten zelf over hun data beschikken en actie kunnen ondernemen wanneer er gebruik en/of misbruik van hun data wordt gemaakt.
Immers, momenteel voldoet toestemming met louter acceptatie van een privacyverklaring voor de installatie van een app volgens mij niet aan de fundamentele grondrechten en privacyrechtelijke waarborgen. Toestemming is helemaal niet vrijwillig, waardoor er geen sprake is van rechtmatige verwerking van data. Daarnaast zijn de specifieke doeleinden waarvoor de gegevens worden verwerkt veelal niet expliciet, rechtmatig en transparant voor de gebruiker. Met als gevolg dat aan de wettelijke vereisten opgenomen in de Algemene Verordening Gegevensbescherming of AVG (nu nog de Wbp) niet wordt voldaan.
Ik denk dat privacy afgedwongen moet worden met verbintenissenrecht, dus met het afsluiten van het contract. Om dit te bewerkstelligen dient een aantal aspecten te veranderen:
1. Het begrip privacy moet herwaardeerd worden met een verschuiving van bescherming naar zelfbeschikking;
2. De privacyverklaring moet als wederkerige overeenkomst gekwalificeerd worden: de gebruiker neemt de dienst af in ruil voor het mogen verwerken van persoonsgegevens (de verbintenis heeft een expliciet ruilkarakter, waardoor een privacyverklaring van een app geen eenzijdige, maar een wederkerige overeenkomst is);
3. De app-gebruiker geniet met zo’n contract de volledige bescherming op grond van het verbintenisrechtelijk regime van het Burgerlijk Wetboek;
4. De app-aanbieder dient aan alle informatieplichten te voldoen en er mag geen sprake zijn van onduidelijke, onredelijke of op andere gronden onwettige bepalingen opgenomen in de privacyovereenkomst;
5. Op de app-gebruiker rust de plicht om accurate gegevens te leveren, hetgeen bevorderend is voor maatschappelijke en economische belangen;
6. Wanneer de app-eigenaar of de app-gebruiker zich niet houdt aan de in de privacyverklaring overeengekomen afspraken, kan deze wegens contractschending ontbonden worden;
7. Daarnaast is de privacyovereenkomst vernietigbaar wanneer er niet op duidelijke, begrijpelijke en ondubbelzinnige wijze informatie is verstrekt en de op de ‘wil’ berustende verklaring ondeugdelijk is gevormd;
Beter en vooral helderder
Deze vorm van een privacyverklaring als contract (lees: privacyovereenkomst) zorgt voor controle bij de persoon van wie de gegevens afkomstig zijn, en dus voor de mogelijkheid van controle over diens privacy. Hierdoor ontstaat hopelijk meer bewustzijn bij de consument over de privacyrechtelijke gevolgen in verband met de te verwerken gegevens. Immers, de app-aanbieder moet altijd door middel van de privacyovereenkomst toestemming vragen aan de consument voordat de gegevens verwerkt mogen worden.
Bovendien ontstaat er meer transparantie bij de gegevensverwerking door de app-aanbieder. Op deze manier is er een sterkere bodem inzake consumentenbescherming, ontstaat er meer rechtszekerheid voor alle partijen, meer mogelijkheden voor maatschappelijke en economische innovatie en zullen de privacyrechtelijke waarborgen opgenomen in de Algemene Verordening Gegevensbescherming (AVG) worden nageleefd.
App-gebruikers kunnen nu wel een bewuste keuze maken, welke tevens berust op een geïnformeerde en gebruiksvriendelijke keuze. Zodoende wordt het probleem van het ontbreken van controle, bewustzijn en vertrouwen bij de app-gebruiker mogelijk verholpen. De extra beschermingsmogelijkheden op grond van het verbintenisrechtelijk regime van het Burgerlijk Wetboek zijn een aangename toevoeging op de bepalingen uit de AVG.
Naar een economisch privacymodel
Het grootste probleem bij het aanvaarden van een (niet onderhandelbare) privacyverklaring in een app is momenteel dat personen niet weten of zij een transactie aangaan. De huidige methode ontbeert een duidelijk inzicht in de overeenkomst. Er is doorgaans geen sprake van een uitdrukkelijke, vrije toestemming.
De in de AVG opgenomen beginselen voor de rechtmatigheid van de verwerking van persoonsgegevens – toestemming, doelbinding en transparantie – zullen door de privacyovereenkomst als contract versterkt worden. Om dit in de praktijk te realiseren moet er dus op een duidelijke en transparante manier worden weergegeven voor welke gegevensverwerking app-gebruikers toestemming geven. Mijns inziens kan dit op een smartphone door middel van privacyenhancing technologies – in de vorm van een privacyovereenkomst – bewerkstelligd worden.
Dat moet in een technisch systeem en een economisch model voor de verhandeling van persoonsgegevens. Een markt voor persoonsgegevens brengt controle bij het individu. Wanneer op grond van de privacyovereenkomst een model wordt geïmplementeerd waarbij de app-gebruiker kan kiezen welke specifieke gegevens de aanbieder wel en niet gebruikt (koopt!), krijgt de app-gebruiker controle over de prijs van deze gegevens.
De prijs van profilering zal op deze manier transparant worden. Die kan stijgen en dalen omdat marktwerking (vraag en aanbod) uiteindelijk de prijs zal bepalen. Mijns inziens moeten app-gebruikers zoveel mogelijk zelf kunnen beslissen of zij toestemming geven voor het verwerken van persoonsgegevens.
Het is interessant om na te denken over een verplicht geïmplementeerde digitale kluis op elke smartphone. Alle te verwerken gegevens worden via deze kluis naar de app-eigenaar verstuurd. Op deze manier kan de gebruiker van een app nauwkeurig zien met welke gegevens hij betaalt. Hij neemt dan een gecalculeerd risico met het verlenen van een gebruiksrecht op de gegevens, gedekt door de privacyovereenkomst en vormgegeven in een technisch systeem op de smartphone.
In dit model is toestemming niet meer grond voor eeuwige, ongebreidelde verwerking van persoonsgegevens, maar dient er altijd en steeds weer toestemming gegeven te worden. Door een dergelijk technisch geïmplementeerd systeem komt de controle weer bij de consument te liggen. Dit moet samengaan met toename van bewustzijn en transparantie bij de gebruikers, anders heeft het nog weinig zin.
*) Uit Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT, 17 juni 2015, Faculteit der Rechtsgeleerdheid, Vrije Universiteit te Amsterdam. R.J. Kreuger – Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app