Heeft AVG de consument écht meer controle opgeleverd?

In de GDPR, de Europese privacywetgeving, wordt de noodzaak benadrukt om consumenten meer controle te geven over hun persoonlijke data. Dat is niet vreemd, aangezien de ontwikkeling van digitale technologieën ertoe heeft geleid dat consumenten steeds minder controle hebben over hun data. Maar in hoeverre heeft de GDPR écht geleid tot consumer empowerment?

Dit artikel van Iris van Ooijen, universitair docent Communicatiewetenschappen bij Universiteit Twente, verscheen eerder op SWOCC.nl.

Met een collega reflecteerde ik in Journal of Consumer Policy (2019) op de vraag of de GDPR (in Nederland beter bekend als AVG) consumenten écht meer controle heeft opgeleverd. We analyseerden specifieke ‘privacy-dreigingen’ binnen drie fasen van dataverzameling en verwerking, en hoe de GDPR deze dreigingen probeert op te lossen.

1. Informatievoorzieningsfase

In de eerste fase is het beschikken over informatie wat tot meer controle leidt bij consumenten. Hieraan werd voorheen gehoor gegeven door het plaatsen van extensieve privacy-policy’s op websites en apps. We weten echter dat individuen niet in staat zijn deze grote hoeveelheden informatie te verwerken – zeker niet in hedendaagse (digitale) omgevingen met een hoge informatiedichtheid. Verder blijkt dat deze informatie te complex is – meer dan de helft van alle privacy policies blijkt niet begrijpelijk voor mensen met een gemiddeld onderwijsniveau. De GDPR verplicht organisaties om de consument specifieker te informeren over waarvoor de data wordt gebruikt en met welke partijen deze data wordt gedeeld (het transparantie principe). Ook moet de consument worden ingelicht over geautomatiseerde beslissingen (zoals profiling, waarbij een gebruiker wordt ingedeeld in een bepaalde categorie op basis van zijn/haar eigenschappen, op basis waarvan vervolgens een specifieke dienst wordt aangeboden).

Leidt dit tot meer controle?

In de informatievoorzieningsfase worden geautomatiseerde beslissingen beter zichtbaar voor consumenten. De GDPR stelt echter geen harde criteria over hoe concreet de uitleg moet zijn, waardoor deze uitleg vaak vrij abstract is, en daardoor lastiger te begrijpen is. Een gerelateerd probleem is dat deze algemene uitleg altijd plaatsvindt vóór de dataverzameling en de daaraan gerelateerde beslissingen, in plaats van er na. Wanneer een LinkedIn recruiter bijvoorbeeld besluit om iemand niet uit te nodigen voor een sollicitatie op basis van haar dataprofiel, zal zij achteraf nooit geïnformeerd worden dat dit een resultaat was van haar beslissing om data over haarzelf te delen met LinkedIn.

2. Toestemmingsfase

Door middel van interface design kunnen consumenten worden genudged in privacy-gerelateerde beslissingen. Denk hierbij aan standaardinstellingen die niet privacy invasief zijn, zoals opt-out keuzemenu’s op websites waarbij de consument zonder actie te ondernemen standaard toestemt met dataverzameling en verwerking. Dit soort interface-factoren brengt de consument in een kwetsbare positie, omdat (relatief) veel cognitieve inspanning moet worden gewijd aan het maken van een bewuste keuze. Daarnaast kunnen specifieke cues een valse perceptie van controle scheppen. Wanneer consumenten bijvoorbeeld zien dat een website een privacy-policy bevat, vertrouwen zij deze website meer en staan zij meer data af, zelfs als ze niet weten wat er in de privacy-policy staat. Deze voorbeelden tonen dan ook aan dat privacy-percepties zeer makkelijk te manipuleren zijn.

“Privacy-percepties zijn makkelijk te manipuleren”

Binnen de GDPR zijn de regels ten aanzien van het verkrijgen van toestemming aangescherpt. Zo moet de consument een bevestigende respons geven (bijvoorbeeld actief een vinkje aankruisen) om akkoord te gaan met datacollectie. Er wordt toegelicht dat het niet noemen van keuzeopties of het tonen van vooraf aangekruiste keuzeopties om data af te staan niet zou mogen worden beschouwd als “toestemming”. Ook wordt het meer algemene “privacy-by-default” principe beschreven: privacy wordt standaard gewaarborgd, en een gebruiker moet expliciete toestemming geven tot het verzamelen van data. Dit betekent bijvoorbeeld dat het Facebook-profiel nooit publiek mag zijn tenzij de gebruiker zelf de instellingen verandert.

Leidt dit tot meer controle?

In de toestemmingsfase zorgen de aangescherpte regels met betrekking tot toestemming en het principe van “privacy by default” wel degelijk tot meer controle. Echter, de opmerking dat het vooraf aanvinken van de keuzeoptie om data af te staan niet geldt als ‘toestemming’ staat slechts beschreven in een toelichting van het wetsartikel. Dat maakt het een niet bindende afspraak – het is daarom onduidelijk in hoeverre dit principe consequent wordt doorgevoerd.

3. Fase van data(her)gebruik

In de data-economie wordt data niet slechts eenmaal gebruikt, maar wijdverbreid gedeeld en hergebruikt. Hoewel de redenen voor datacollectie soms duidelijk lijken, tast men vaak in het duister over het secundaire gebruik van data door derde partijen waaraan data wordt doorverkocht. Wat bij consumenten de controle over persoonlijke data per definitie bemoeilijkt is het feit dat data ongrijpbaar en onzichtbaar zijn, en daarnaast gedupliceerd kunnen worden tot in het oneindige – het is immers moeilijk om controle te hebben over iets wat je niet kunt zien en wat niet tastbaar is.

“Wil een consument zijn data van Facebook naar LinkedIn verplaatsen, dan zou dit volgens de wetgeving mogelijk moeten zijn”

Binnen de GDPR stelt het recht op overdraagbaarheid dat consumenten ten eerste het recht hebben op een kopie van hun data en ten tweede het recht hebben om deze data van de ene naar de andere beheerder te mogen verplaatsen. Wil een consument bijvoorbeeld haar data van Facebook naar LinkedIn verplaatsen, dan zou dit volgens deze wetgeving mogelijk moeten zijn. Op deze manier zouden consumenten controle hebben over wie beschikking heeft over de data. Volgens het recht op vergetelheid hebben consumenten nu het recht om hun data te laten wissen, bijvoorbeeld wanneer het beheren van data niet langer nodig is voor het doel waar het in eerste instantie voor werd verzameld, of wanneer het individu simpelweg de toestemming intrekt. Hierbij moet de partij die de data verzamelt eventuele derde partijen waaraan de data is doorverkocht hiervan op de hoogte stellen, met het doel deze data ook te wissen.

Leidt dit tot meer controle?

Met name het recht op overdraagbaarheid verbetert voor consumenten de zichtbaarheid van data en vergroot daarom de controle. Echter, observatiedata zoals locatiedata vallen buiten deze wet, wat de bescherming van de wet significant beperkt. Het recht op overdraagbaarheid zou ook een uitkomst zijn wanneer elektronische “data-management” platforms op grote schaal kunnen worden benut waar consumenten in staat zijn om hun eigen data te managen. Het is echter afwachten of zulke platforms in de toekomst op grotere schaal gebruikt zullen gaan worden. Het recht op vergetelheid is een mooie stap die consumenten in staat stelt hun data te laten wissen. Echter in praktijk blijkt dat het vaak lastig is te achterhalen welke (derde) partijen beschikking hebben over de data wanneer deze eenmaal zijn doorverkocht, en zal het nog problematischer zijn om deze partijen de data te laten wissen.

Concluderend zet de GDPR een goede eerste stap in het beschermen van online privacy, maar houdt zij onvoldoende rekening met het feit dat de mens slecht is in het maken van rationele beslissingen, in het bijzonder in online omgevingen. Deze ‘bounded rationality’ zorgt binnen online omgevingen voor een afbreuk van autonomie. De vraag in hoeverre hier rekening mee moet en kan worden gehouden is een belangrijke discussie die waarschijnlijk nog lange tijd gevoerd zal worden.

Meer weten over dit onderzoek?

Dit artikel is gebaseerd op deze publicatie: Van Ooijen, I., & Vrabec, H. U. (2019). “Does the GDPR enhance consumers’ control over personal data? An analysis from a behavioural perspective.” Journal of Consumer Policy, 42(1), 91-107. Je vindt het artikel hier (gratis).