De noodzaak om consumenten meer controle over persoonlijke data te geven wordt in de GDPR, de Europese privacywetgeving, meer benadrukt. Dat is niet vreemd, aangezien de ontwikkeling van digitale technologieën ertoe geleid heeft dat consumenten steeds minder controle hebben over hun data. Maar in hoeverre heeft de GDPR écht geleid tot consumer empowerment?
Met een collega reflecteerde ik in Journal of Consumer Policy (2019) op deze vraag. We analyseerden specifieke ‘privacy dreigingen’ binnen drie fasen van dataverzameling en verwerking, en hoe de GDPR deze dreigingen probeert op te lossen.
De Informatievoorzieningsfase
In de eerste fase is het beschikken over informatie wat tot meer controle leidt bij consumenten. Hieraan werd voorheen gehoor gegeven door het plaatsen van extensieve privacy policies op websites en apps. We weten echter dat individuen niet in staat zijn deze grote hoeveelheden informatie te verwerken – zeker niet in hedendaagse (digitale) omgevingen met een hoge informatiedichtheid. Verder blijkt dat deze informatie te complex is – meer dan de helft van alle privacy policies blijkt niet begrijpelijk voor mensen met een gemiddeld onderwijsniveau. De GDPR verplicht organisaties om de consument specifieker te informeren over waarvoor de data wordt gebruikt en met welke partijen deze data wordt gedeeld (het transparantie principe). Ook moet de consument worden ingelicht over geautomatiseerde beslissingen (zoals profiling, waarbij een gebruiker wordt ingedeeld in een bepaalde categorie op basis van zijn/haar eigenschappen, op basis waarvan vervolgens een specifieke dienst wordt aangeboden).
Leidt dit tot meer controle?
In de informatievoorzieningsfase worden geautomatiseerde beslissingen beter zichtbaar voor consumenten. De GDPR stelt echter geen harde criteria over hoe concreet de uitleg moet zijn, waardoor deze uitleg vaak vrij abstract is, en daardoor lastiger te begrijpen is. Een gerelateerd probleem is dat deze algemene uitleg altijd plaatsvindt vóór de dataverzameling en de daaraan gerelateerde beslissingen, in plaats van er na. Wanneer een LinkedIn recruiter bijvoorbeeld besluit om iemand niet uit te nodigen voor een sollicitatie op basis van haar dataprofiel, zal zij achteraf nooit geïnformeerd worden dat dit een resultaat was van haar beslissing om data over haarzelf te delen met LinkedIn.
De Toestemmingsfase
Door middel van interface design kunnen consumenten worden genudged in privacy-gerelateerde beslissingen. Denk hierbij aan standaardinstellingen die niet privacy invasief zijn, zoals opt-out keuzemenu’s op websites waarbij de consument zonder actie te ondernemen standaard toestemt met dataverzameling en verwerking. Dit soort interface-factoren brengt de consument in een kwetsbare positie, omdat (relatief) veel cognitieve inspanning moet worden gewijd aan het maken van een bewuste keuze. Daarnaast kunnen specifieke cues een valse perceptie van controle scheppen. Wanneer consumenten bijvoorbeeld zien dat een website een privacy policy bevat, vertrouwen zij deze website meer en staan zij meer data af, zelfs als ze niet weten wat er in de privacy policy staat. Deze voorbeelden tonen dan ook aan dat privacy percepties zeer makkelijk te manipuleren zijn.
Binnen de GDPR zijn de regels ten aanzien van het verkrijgen van toestemming aangescherpt. Zo moet de consument een bevestigende respons geven (bijvoorbeeld actief een vinkje aankruisen) om akkoord te gaan met datacollectie. Er wordt toegelicht dat het niet noemen van keuzeopties of het tonen van vooraf aangekruiste keuzeopties om data af te staan niet zou mogen worden beschouwd als “toestemming”. Ook wordt het meer algemene “privacy-by-default” principe beschreven: privacy wordt standaard gewaarborgd, en een gebruiker moet expliciete toestemming geven tot het verzamelen van data. Dit betekent bijvoorbeeld dat het Facebook profiel nooit publiek mag zijn tenzij de gebruiker zelf de instellingen verandert.
Leidt dit tot meer controle?
In de toestemmingsfase zorgen de aangescherpte regels met betrekking tot toestemming en het principe van “privacy by default” wel degelijk tot meer controle. Echter, de opmerking dat het vooraf aanvinken van de keuzeoptie om data af te staan niet geldt als ‘toestemming’ staat slechts beschreven in een toelichting van het wetsartikel. Dat maakt het een niet bindende afspraak – het is daarom onduidelijk in hoeverre dit principe consequent wordt doorgevoerd.
De data-(her)gebruik fase
In de data-economie wordt data niet slechts eenmaal gebruikt, maar wijdverbreid gedeeld en hergebruikt. Hoewel de redenen voor datacollectie soms duidelijk lijken, tast men vaak in het duister over het secundaire gebruik van data door derde partijen waaraan data wordt doorverkocht. Wat bij consumenten de controle over persoonlijke data per definitie bemoeilijkt is het feit dat data ongrijpbaar en onzichtbaar zijn, en daarnaast gedupliceerd kunnen worden tot in het oneindige – het is immers moeilijk om controle te hebben over iets wat je niet kunt zien en wat niet tastbaar is.
Binnen de GDPR stelt het recht op overdraagbaarheid dat consumenten ten eerste het recht hebben op een kopie van hun data en ten tweede het recht hebben om deze data van de ene naar de andere beheerder te mogen verplaatsen. Wil een consument bijvoorbeeld haar data van Facebook naar Google+ verplaatsen, dan zou dit volgens deze wetgeving mogelijk moeten zijn. Op deze manier zouden consumenten controle hebben over wie beschikking heeft over de data. Volgens het recht op vergetelheid hebben consumenten nu het recht om hun data te laten wissen, bijvoorbeeld wanneer het beheren van data niet langer nodig is voor het doel waar het in eerste instantie voor werd verzameld, of wanneer het individu simpelweg de toestemming intrekt. Hierbij moet de partij die de data verzamelt eventuele derde partijen waaraan de data is doorverkocht hiervan op de hoogte stellen, met het doel deze data ook te wissen.
Leidt dit tot meer controle?
Met name het recht op overdraagbaarheid verbetert voor consumenten de zichtbaarheid van data en vergroot daarom de controle. Echter, observatiedata zoals locatiedata vallen buiten deze wet, wat de bescherming van de wet significant beperkt. Het recht op overdraagbaarheid zou ook een uitkomst zijn wanneer elektronische “data-management” platforms op grote schaal kunnen worden benut waar consumenten in staat zijn om hun eigen data te managen. Het is echter afwachten of zulke platforms in de toekomst op grotere schaal gebruikt zullen gaan worden. Het recht op vergetelheid is een mooie stap die consumenten in staat stelt hun data te laten wissen. Echter in praktijk blijkt dat het vaak lastig is te achterhalen welke (derde) partijen beschikking hebben over de data wanneer deze eenmaal zijn doorverkocht, en zal het nog problematischer zijn om deze partijen de data te laten wissen.
Concluderend zet de GDPR een goede eerste stap in het beschermen van online privacy, maar houdt zij onvoldoende rekening met het feit dat de mens slecht is in het maken van rationele beslissingen, in het bijzonder in online omgevingen. Deze ‘bounded rationality’ zorgt binnen online omgevingen voor een afbreuk van autonomie. De vraag in hoeverre hier rekening mee moet en kan worden gehouden is een belangrijke discussie die waarschijnlijk nog lange tijd gevoerd zal worden.
Meer weten? Dit artikel is gebaseerd op onderstaande publicatie:
Van Ooijen, I., & Vrabec, H. U. (2019). Does the GDPR enhance consumers’ control over personal data? An analysis from a behavioural perspective. Journal of Consumer Policy, 42(1), 91-107. Je vindt het artikel hier (gratis).