Column


IT-jurist Peter van Schelven over...

Wijziging van privacystatement: toelaatbaar?

“Dit privacystatement kan door ons zonder voorafgaande kennisgeving worden gewijzigd. Wijzigingen treden in werking vanaf het moment dat ze op de website gepubliceerd zijn. Het is daarom raadzaam om regelmatig dit privacystatement te raadplegen.” Veel websites hebben een privacystatement waarin door middel van een dergelijke wijzigingsbepaling het recht wordt voorbehouden om de inhoud van het statement eenzijdig aan te passen.

Het is tamelijk makkelijk om op de sites van talloze private als publieke organisaties eenzijdige wijzigingsrechten van deze strekking te vinden. Uit een fraai promotieonderzoek aan de Tilburgse universiteit uit 2012 naar het gebruik van privacystatements bij online winkels bleek al dat 48 procent van de onderzochte webshops uitdrukkelijk zo’n wijzigingsrecht hebben opgenomen in de tekst van hun statement.

In het segment van de verzekeringen was dat zelfs 78 procent. En kijk ik bijvoorbeeld naar de site van de gemeente Oudewater waar ik woon, dan tref ik zoiets ook aan. Het voorbehoud tot eenzijdige aanpassing van een privacystatement is al met al een wijdverbreid verschijnsel.

Bal bij de burger
Door wijziging van de inhoud van een privacystatement kunnen de privacyspelregels die een organisatie zichzelf oplegt, worden aangepast aan bijvoorbeeld een andere bedrijfsvoering of aan nieuwe activiteiten. Maar met een eenzijdige wijziging kan ook de positie van personen van wie persoonsgegevens worden verwerkt aanzienlijk worden uitgehold. Zo kunnen de doeleinden waarvoor persoonsgegevens worden gebruikt eenzijdig worden verruimd of de kring van partijen aan wie de persoonsgegevens zullen worden verstrekt eenzijdig worden verbreed. Als, zoals in bovenstaand voorbeeld, het privacystatement de bal bij de betrokken persoon legt om te bewaken of en welke wijzigingen er stilzwijgend zijn doorgevoerd, wentelt de desbetreffende organisatie in wezen de last van het goed geïnformeerd zijn op hem of haar af. Is dat juridisch juist?

Interactieve televisie?
Het ligt voor de hand dat dergelijke eenzijdige wijzigingsbevoegdheden in privacystatements niet zonder meer op de sympathie van de privacytoezichthouder, de Autoriteit Persoonsgegevens, kunnen rekenen. Dat blijkt ook wel uit de conclusies die de Autoriteit Persoonsgegevens eerder dit jaar verbond aan een door haar uitgevoerd privacyonderzoek naar de verwerking van persoonsgegevens via interactieve televisie van KPN en XS4ALL.

Het uitgebreide en lezenswaardige onderzoeksrapport van 20 juni van de toezichthouder geeft aan dat deze bedrijven verplicht zijn hun klanten van wie persoonsgegevens omtrent televisiegebruik verwerkt worden op eigen initiatief op de hoogte te stellen van inhoudelijke wijzigingen in gegevensverwerkingen. Dat vloeit voort uit het aan het privacyrecht ten grondslag liggende transparantiebeginsel.

De Autoriteit Persoonsgegevens neemt aan dat wijzigingen in de gegevensverwerking rondom interactieve televisie een grote impact op de persoonlijke levenssfeer kunnen hebben. Als het privacystatement van deze bedrijven geen waarborgen bevat ten aanzien van het informeren van klanten over wijzigingen in de doeleinden van de gegevensverwerking, dan kunnen, aldus de toezichthouder, de klanten van KPN en XS44ALL zelf niet toetsen of zij wel of niet langer klant willen blijven. Het privacystatement werd om die reden in strijd met de Wet bescherming persoonsgegevens beoordeeld.

Actieve informatieplicht
Het standpunt van de Autoriteit Persoonsgegevens in de kwestie met KPN en XS4ALL leert ons dat eenzijdige wijzigingen van privacystatements zeker niet ontoelaatbaar zijn, zolang de betrokken klanten en burgers maar actief over de wijzigingen geïnformeerd worden.

In het voorbeeld hierboven komt echter de zin voor: “Het is daarom raadzaam om regelmatig dit privacystatement te raadplegen.” Met het rapport van de toezichthouder in de hand moet geconcludeerd worden dat zoiets de toets der kritiek niet langer kan doorstaan. U doet er daarom verstandig aan ook uw eigen privacystatement nog eens tegen het daglicht te houden.


Lees meer over