De inhoud, leesbaarheid en begrijpelijkheid van de privacyverklaring

In het kader van transparantie lijkt standaardisatie van de inhoud van privacyverklaringen (met andere woorden welke informatie wordt verstrekt aan de betrokkenen) ook een relevante factor te kunnen zijn. In het empirisch onderzoek is een diversiteit aan

onderwerpen die in privacyverklaringen worden geadresseerd waargenomen. Er is in het voorgaande reeds enkele malen gerefereerd aan tabel 2.5 waarin de elementen zijn benoemd die volgens de Groep Gegevensbescherming Artikel 29 minimaal in een

privacyverklaring moeten worden opgenomen. De vraag is echter of dit ook de onderwerpen zijn waar de betrokkene kennis van wil nemen. Onderzoek onder consumenten wijst immers uit dat privacyverklaringen niet die informatie verstrekken die zij graag zouden willen ontvangen.⁴⁶⁹ De voornaamste reden voor de betrokkene om een privacyverklaring te lezen, lijkt – zo wijst onderzoek uit - te zijn gelegen in de wens te weten op welke wijze zijn

persoonsgegevens worden gebruikt en beschermd. “The majority of those who participated in the study agreed that the need to know how their data would be used and protected is a primary motivation for reading an online privacy statement”.⁴⁷⁰ De drijfveer voor het lezen van een privacyverklaring is bezorgdheid over de wijze waarop persoonsgegevens worden verwerkt.⁴⁷¹ “Consumers are becoming increasingly concerned about how this information is being used, and frustrated over their lack of control. In attempt to reassure them, most large organisations now post online privacy policies spelling out what kinds of data they collect, what they do with it and how they protect it. The problem is that their efforts to be upfront about how they handle customer data can have the opposite effect. Customers are often bamboozled by long, complex notices packed with legal jargon and technical terms”.⁴⁷²

De realiteit is echter dat privacyverklaringen veelal niet door betrokkenen worden gelezen. “The findings indicate that while respondents were generally aware of privacy policy statements, most do not take the time to read them”.⁴⁷³ “Desgevraagd antwoordden de

467

McDonald et al., hoofdstuk 6.

468

McDonald, p. 46.

469

Earp et al., p. 233. In het kader van het EU researchproject ENDORSE onderzoekt Van der Hof van welke informatie de betrokkene wil kennisnemen in een privacyverklaring. Prof. mr. S. van der Hof is werkzaam aan de afdeling eLaw@Leiden van de Universiteit Leiden.

470 Beldad, p. 154.

471

Vergelijk Milne & Culnan, p. 24.

472

Pedersen, p. 31.

473

161

meeste deelnemers dat ze (bijna) nooit privacyverklaringen lezen (n=15)”.⁴⁷⁴ Dit beeld komt ook naar voren in onderzoek onder consumenten binnen de Europese Unie. “As a general rule, one third of EU consumers did not read any of the privacy notices on the websites they visited in the last 12 months, while another 15% said that they did this ‘rarely’”. Fewer than 3 in 10 EU consumers said that they ‘often’ or ‘sometimes’ read the privacy notices on websites”.⁴⁷⁵

De redenen waarom betrokkenen de privacyverklaring niet lezen zijn divers. “Some shoppers do not want to sacrifice convenience to read a lengthy document, which often is filled with legal jargon. Some perceive that privacy disclosures, as a routine practice, are more or less the same. Still others believe that, by posting a privacy statement, organizations seek to escape liability or limit responsibility”⁴⁷⁶ Een andere reden voor het niet lezen van privacyverklaringen heeft te maken met de factor tijd en de daarmee gerelateerde kosten. “Privacy policies should help reduce information asymmetries because companies share information with their customers. However, researchers also note that if the cost for reading privacy policies is too high, people are unlikely to read policies”.⁴⁷⁷ “One in five EU consumers who have not read privacy notices (33% of consumers – and 41% of those who did not indicate not using the internet – claimed not to have done so) invoked a lack of time as the main reason for not doing so, and for another 6% the main reason was that they thought the notices would have been too long”.⁴⁷⁸ Ook de reputatie of uitstraling van een bedrijf of website kan een reden zijn waarom een privacyverklaring niet wordt gelezen. In een onderzoek van TNO/IViR valt hierover te lezen: “In de discussie geven veel van de deelnemers die (bijna) nooit privacy policies lezen aan dat ze afgaan op de reputatie van een bedrijf, of een bedrijf betrouwbaar overkomt op basis van eigen ervaringen of die van bekenden, het uiterlijk van de website en de afkomst van de website”.⁴⁷⁹ “A further 7% declared that they trusted the provider and so did not need to read the privacy notices. Finally, 6% stated that they thought they were protected anyway by consumer laws. It should also be noted that half of those who did not read privacy notices invoked other

474 TNO/IViR, p. 54.

475

Flash Eurobarometer, p. 36.

476

Pan & Zinkhan, p. 337. Vergelijk Vu, Garcia, Nelson et al., p. 801. “Several users indicated indicated that they do not read the privacy policies because they either (a) trust well-known companies, (b) find the policies to be too long and confusing, or (c) do not care about who gets access to their information because it is not something they could control anyway”; Evenzo Jensen & Potts 2003, p. 6. “…the top two reasons given for not reviewing them are that they are too time-consuming and too hard to read.”

477

McDonald & Cranor, p. 5 e.v. Zij komen voorts tot conclusie dat in de Verenigde Staten de kosten voor het lezen van privacyverklaringen kunnen worden begroot op $781 billion dollar per jaar, zie p. 2.

478

Flash Eurobarometer, p. 40.

479 TNO/IViR, p. 54. Het onderzoek is uitgevoerd door focusgroepen met een representatieve groep van 26 eindgebruikers in een testlab bij TNO te Delft (p. 48).

162

reasons than those provided in the pre-defined list of answers (such as ‘no interest’, ‘do not care’, ‘did not provide any personal information’ and ‘was not prompted’)”.⁴⁸⁰

Redenerend vanuit het belang van transparantie over de gegevensverwerking is het belangrijk dat de betrokkene de privacyverklaring ook daadwerkelijk leest. Evenzo is het belangrijk dat de inhoud van de privacyverklaring leesbaar is.⁴⁸¹ “Making policies readable is of crucial importance, because difficult language, long and confusing policies all serve to trick and confuse the user”⁴⁸², en “It will therefore be continually important to ensure that policies are clear and readable”.⁴⁸³ Sommige verantwoordelijken maken gebruik van technieken om de leesbaarheid van de privacyverklaring te verbeteren. “The majority of companies do appear to use some other strategies to assist readability, such as numbered or bulleted lists, numerous headings to guide readers, conversational tone using ‘we’ and ‘you’, and hyperlinks of topics to allow effective use of ‘white space’ on the screen”.⁴⁸⁴

Naast leesbaarheid, dient de privacyverklaring begrijpelijk te zijn. “For a Web site’s privacy policy to be of value to users, the host organization must ensure that the information desired by the users is provided in a form that they will be able to comprehend easily”.⁴⁸⁵ Onderzoek onder EU-consumenten toont aan dat de begrijpelijkheid van privacyverklaringen voor verbetering vatbaar is. “Only 7% of those who read privacy notices found them ‘very clear’, while the largest proportion (45%) found them ‘quite clear’”. For about one third of those who read privacy notices in the last year, the content was judged ‘quite unclear’, with 11% of them finding it ‘very unclear’”.⁴⁸⁶

De inhoud van de privacyverklaring zal moeilijk te begrijpen zijn indien er gebruik wordt gemaakt van gecompliceerde zinnen en te veel moeilijke en ongebruikelijke woorden. “Patients will have a hard time understanding the notices because the writing styles use too many words per sentence, too many complicated sentences and too many complicated and uncommon words”.⁴⁸⁷ De betrokkene zal de inhoud van de privacyverklaring minder snel

480

Flash Eurobarometer, p. 40.

481

In deze paragraaf wordt een onderscheid gemaakt tussen leesbaarheid en begrijpelijkheid. Met leesbaarheid wordt bedoeld dat er geen moeilijke en lange zinnen worden gebruikt, en sprake is van een goede tekstuele structuur. Indien de inhoud van de privacyverklaring leesbaar is, wil dit niet zeggen dat deze als zodanig begrijpelijk is. De ‘onwetende’ betrokkene zal immers niet begrijpen wat wordt bedoeld met bijvoorbeeld ‘Wbp, Cbp, meldplicht, cookies en inzage- en correctierecht’.

482

Jensen & Potts 2003, p. 5.

483

Jensen & Potts 2003, p. 8.

484

Kleen & Heinrichs, p. 352.

485 Vu, Chambers, Garcia et al., p. 811.

486

Flash Eurobarometer, p. 37.

487

Hochhauser, p. 1. Hochhauser onderzocht meer dan 30 privacyverklaringen die onder meer door zorgverzekeraars worden gebruikt op grond van de Privacy Rule. Deze Privacy Rule is

uitgevaardigd door de U.S. Department of Health and Human Services ter implementatie van de vereisten zoals vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA) of 1996.

163

lezen indien hij vermoedt of merkt dat de inhoud moeilijk te begrijpen is. “If the notice is not perceived as comprehensible, then it will be less likely to be read”.⁴⁸⁸ De begrijpelijkheid van een privacyverklaring zal in het geding komen indien de privacyverklaring alleen wordt gebruikt om te voldoen aan de wettelijke verplichtingen. “First, like product labels and warnings, online privacy may be used for compliances purposes. As a result, organizations write privacy notices to be exhaustive and not necessarily to be accessible to consumers and informative”.⁴⁸⁹ De begrijpelijkheid van een privacyverklaring is mede afhankelijk van de wijze waarop de inhoud van de privacyverklaring wordt weergeven. “The fact that comprehension scores were still low when participants were able to search for the information in the policy suggests that important information in privacy policies is not stated in a way that can be easily understood by users”.⁴⁹⁰ De inhoud van een privacyverklaring dient derhalve specifiek te worden weergegeven. “The study results are indicative of the need to not simply state how personally identifiable and non identifiable information will be used but to do so with specificity and clarity”.⁴⁹¹ Daarbij blijkt dat betrokkenen zich met name richten op de eerste zinnen van de privacyverklaring en op de eerste woorden van elke paragraaf uit de privacyverklaring. “The aggregate gaze data showed that, when reading privacy policies, participants paid particular attention to the first few sentences in the policy, the first few words of each paragraph in the policy and information in bold or underlined”.⁴⁹² Vail et al. benadrukken dat er een verschil is tussen de perceptie (User Perception) van de betrokkene ten aanzien van de inhoud van de privacyverklaring en de begrijpelijkheid (User Comprehension) van de privacyverklaring. In hun onderzoek concluderen zij dat perceptie en begrijpelijkheid niet samenvallen en daarmee niet altijd wat betreft de beoordeling dezelfde kwalificatie opleveren. Vail et al. vinden dit verontrustend daar de betrokkene klaarblijkelijk geneigd is om een bedrijf te vertrouwen terwijl de privacyverklaring van het bedrijf gebreken vertoont wat betreft leesbaarheid.⁴⁹³

Een relevante factor bij transparantie lijkt verder de specifieke doelgroep van de website. “Generally, men were more likely than women to read privacy notices on websites”.⁴⁹⁴ Jeugdigen begrijpen of interpreteren de inhoud van een privacyverklaring mogelijk anders dan volwassenen. Dit is waarschijnlijk de reden waarom de Europese Commissie stelt dat de inhoud van het privacybeleid, en daarmee de inhoud van de privacyverklaring, qua bewoording dient te zijn afgestemt op de relevante doelgroep.⁴⁹⁵

488 Milne & Culnan, p. 24.

489

Milne & Culnan, p. 24.

490

Vu, Chambers, Garcia et al., p. 811.

491

Papacharissi & Fernback, p. 278.

492 Vu, Chambers, Garcia et al., p. 806.

493 Vail et al., p. 451. 494 Flash Eurobarometer, p. 36. 495 COM (2012) 11 final.

164

Article 11 Transparent information and communication

2. The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child.

Bovendien blijkt dat privacyverklaringen meer door ouderen dan door jongeren worden gelezen. “Older respondents are more likely to read online privacy statements compared to younger respondents”.⁴⁹⁶ Tevens wijst onderzoek uit dat er een negatieve relatie bestaat tussen de opleiding van de respondenten enerzijds en hun intentie om online privacyverklaringen te lezen anderzijds: “...respondents with lower levels of education are more likely to read online privacy statements than those with higher levels of education…”.⁴⁹⁷ Echter, onderzoek onder EU-consumenten wijst uit dat jongeren vaker privacyverklaringen lezen in vergelijking met andere sociaal-demografische groepen. “Equally, Young consumers, those who are self employed or employees, and those who have stayed longer in full time education (or are still studying) tended to read these privacy notices more often than other sociodemographic groups”.⁴⁹⁸

Transparantie ten aanzien van de privacyverklaring betekent tevens dat de betrokkene kennis kan nemen van eventuele latere aanpassingen in de inhoud van een privacyverklaring. Veelal wordt een privacyverklaring afgesloten met de mededeling dat “het aanbeveling verdient om de privacyverklaring geregeld te raadplegen, zodat u van wijzigingen op de hoogte bent”.⁴⁹⁹ Het is niet onwaarschijnlijk dat de betrokkene in de praktijk dit ‘regelmatig raadplegen’ nalaat. Anderzijds zijn er situaties bekend waarbij de verantwoordelijke op een actieve wijze de betrokkene informeert. Een illustratie van een situatie waarin de verantwoordelijke op enig moment de wijze van verwerken aanpaste zonder de betrokkenen hierover te informeren, betreft de sociale netwerksite Facebook. In december 2009 gaf Facebook de betrokkene de mogelijkheid om nauwkeuriger te kunnen bepalen wie welke gegevens op zijn profiel mocht bekijken. Ook kon de betrokkene standaardinstellingen makkelijker aanpassen. In werkelijkheid werden de instellingen automatisch omgezet waardoor profielinformatie, foto’s en vriendenlijsten standaard zichtbaar werden, en liet Facebook het na om de betrokkene hierover te informeren.⁵⁰⁰ Voor het bevorderen van transparantie lijkt het in ieder geval gewenst dat er meer eenduidigheid

496

Beldad, p. 156.

497

Beldad, p. 156. Milne & Culnan komen tot eenzelfde conclusie, Milne & Culnan, p. 21.

498

Flash Eurobarometer, p. 36.

499

Of woorden van gelijke strekking. Zie bijvoorbeeld www.abnamro.nl, www.centraalbeheer.nl, www.vliegtickets.nl, www.vliegwinkel.nl en www.babysbest.nl.

500 De Groep Gegevensbescherming Artikel 29 heeft Facebook laten weten dat het fundamenteel gewijzigd hebben van de standaard instellingen onacceptabel is. Groep Gegevensbescherming Artikel 29, Persbericht, 12 mei 2010, Brussel.

165

bestaat in de wijze waarop de betrokkene wordt geïnformeerd in geval van een latere wijziging van de inhoud van de privacyverklaring.⁵⁰¹

Niet zelden komt het voor dat informatie aangaande de verwerking van persoonsgegevens op een website ‘her en der’ verspreid is. Zo kan het voorkomen dat zowel een privacyverklaring op de website is geplaatst, als elektronische algemene voorwaarden waarin bepalingen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen. Daarbij is het niet ondenkbaar dat in dat geval de bepalingen uit de privacyverklaring enerzijds en de algemene voorwaarden anderzijds met elkaar conflicteren of ‘dubbelop’ zijn.⁵⁰² Vanuit het oogpunt van transparantie is een dergelijke situatie niet wenselijk.

Tenslotte laat onderzoek zien dat transparantie valt te bevorderen door consumenten en andere betrokkenen voor te lichten over de wijze waarop zij privacyverklaringen moeten begrijpen. “Consumer education enhances transparency by helping individuals better understand privacy notices, when choice may be an option, and when access may be available to them”.⁵⁰³

In document Recht doen aan privacyverklaringen: Een juridische analyse van privacyverklaringen op internet (pagina 175-180)