Geautomatiseerde scan wijst op tekortkomingen in privacybeleid 14 techbedrijven

Het BEUC, een Europese koepelorganisatie van consumentengroepen, heeft geautomatiseerd onderzoek laten doen naar het privacybeleid van veertien techbedrijven, waaronder Google, Apple en Facebook. De conclusie is dat deze tekortschieten in het licht van privacywet AVG.

Volgens BEUC, dat het onderzoek uitvoerde in samenwerking met het European University Institute, werd er gekeken naar het privacybeleid van Google, Facebook, Amazon, Apple, Microsoft, WhatsApp, Twitter, Uber, Airbnb, Booking.com, Skyscanner, Netflix, Steam en Fortnite-maker Epic Games. De bedrijven zijn geselecteerd op basis van de populariteit van hun diensten. Het onderzoek vond plaats in juni met een 'ai-bot' genaamd Claudette, die aan de hand van machine learning het privacybeleid van de bedrijven langs de meetlat van een 'gouden standaard' legt en problematische passages identificeert. BEUC komt tot de conclusie dat elf procent van alle zinnen in de teksten onduidelijke taal bevatten en dat ongeveer een derde onvoldoende informatie biedt of anderszins 'mogelijk problematisch' is.

De organisatie schrijft dat de algemene verordening gegevensbescherming, die sinds eind mei van kracht is, eist dat privacybeleid alle nodige informatie omvat en in begrijpelijke taal is geschreven. Bovendien moet de verwerking van persoonsgegevens die in het beleid wordt genoemd, ook daadwerkelijk rechtmatig zijn. BEUC-voorzitter Monique Goyens zegt daarover: "Iets meer dan een maand nadat de AVG van toepassing is geworden, voldoet het privacybeleid van veel bedrijven mogelijk niet aan de norm van de wet. Dit is zeer zorgwekkend. Het is van cruciaal belang dat de handhavingsautoriteiten deze kwestie nader bestuderen."

Het privacybeleid van Amazon zou bijvoorbeeld veel informatie missen. Bij Google is dat ook het geval; daar wijst de analyse bovendien op 'problematische verwerking' van persoonsgegevens. Amazon reageert tegenover The Guardian op de bevindingen en stelt dat het beschermen van de privacy van gebruikers 'altijd de hoogste prioriteit heeft' en dat het bedrijf onlangs een nieuwe privacypagina in het leven heeft geroepen waar alle instellingen terug te vinden zijn. Google stelt in zijn reactie dat het zijn privacybeleid heeft aangepast aan de eisen van de AVG en dat het gebruikmaakt van heldere taal. Daarnaast zou het uitleg bieden in illustraties en video's en zou het gebruikers controle geven over hun instellingen.

BEUC wil het European Data Protection Board over de bevindingen informeren. Onlangs publiceerde een Noorse consumentenorganisatie een kritisch rapport over de privacymenu's van Google, Facebook en Microsoft, waarin het stelde dat de bedrijven gebruikmaken van 'dark patterns' om personen te verleiden tot minder privacyvriendelijke instellingen.

claudette

Door Sander van Voorst

Nieuwsredacteur

Feedback • 05-07-2018 10:22 44

05-07-2018 • 10:22

44

Lees meer

Skyscanner stopt doorsluizen data naar Facebook via sdk-implementatie
Skyscanner stopt doorsluizen data naar Facebook via sdk-implementatie Nieuws van 2 januari 2019
Amazon stuurt Duitser na AVG-verzoek stemcommando's van andere gebruiker
Amazon stuurt Duitser na AVG-verzoek stemcommando's van andere gebruiker Nieuws van 20 december 2018
Google wijzigt Europese privacyvoorwaarden om te voldoen aan privacywet
Google wijzigt Europese privacyvoorwaarden om te voldoen aan privacywet Nieuws van 13 december 2018
EU geeft Airbnb tot eind augustus om 'oneerlijk beleid' aan te passen
EU geeft Airbnb tot eind augustus om 'oneerlijk beleid' aan te passen Nieuws van 16 juli 2018
WhatsApp stuurt advocaat af op apps die chatnotificaties gebruiken in eigen apps
WhatsApp stuurt advocaat af op apps die chatnotificaties gebruiken in eigen apps Nieuws van 5 juli 2018
'Facebook heeft informatie aan gebruikers over gegevensverwerking uitgebreid'
'Facebook heeft informatie aan gebruikers over gegevensverwerking uitgebreid' Nieuws van 3 juli 2018
'Privacykeuzeschermen grote techbedrijven zetten gebruikers aan tot datadelen'
'Privacykeuzeschermen grote techbedrijven zetten gebruikers aan tot datadelen' Nieuws van 27 juni 2018
'Meerderheid van 150 in Nederland populaire sites houdt zich niet aan AVG'
'Meerderheid van 150 in Nederland populaire sites houdt zich niet aan AVG' Nieuws van 7 juni 2018
EU-Hof: beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking
EU-Hof: beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking Nieuws van 5 juni 2018
Privacy-organisatie Schrems beschuldigt Google en Facebook van overtreden AVG
Privacy-organisatie Schrems beschuldigt Google en Facebook van overtreden AVG Nieuws van 25 mei 2018
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming

Reacties (44)

-Moderatie-faq
44
44
20
4
0
17
Wijzig sortering
Anonymoussaurus 5 juli 2018 10:36
Daarover gesproken: dit zijn nog wel leuke tools om bij de hand te hebben en hebben best veel te maken met dit artikel. Pribot zijn AI geanalyseerde privacyverklaringen. Polisis is een AI-chatbot waarmee je kan 'chatten' over privacyverklaringen. TOSDR is een site met privacyverklaringen die samengevat zijn.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 00:05]

Verwijderd 5 juli 2018 11:45
Wat ik mij afvraag: aan welk loket kan je "GDPR violations" gaan melden ?? :?
geert_s @Verwijderd5 juli 2018 12:38
Bij de Autoriteit Persoonsgegevens kun je een klacht indienen over misbruik van jouw gegevens, of een algemene tip indienen.
Auredium 5 juli 2018 11:40
GDPR is een papieren tijger. Het is slechts een kwestie van tijd voordat duidelijk is dat GDPR niet echt kan worden geforceerd. Ik voorzie dat veel van de rechtszaken die worden opgestart geen echte resultaten zullen boeken. Controleerbaarheid erg lastig zal zijn en verwijdering van persoonsgegevens op verzoek alsnog niet altijd wordt gedaan of via een backdoor in de regelgeving alsnog niet doet leiden tot echte verwijdering van de gegevens.
Je weet gewoon dat ergens in een bananen republiek een databedrijf contracten heeft met de grote bedrijven van de wereld om een 'back-up' van klantgegevens bij te houden. Houden de grote bedrijven zich netjes aan de GDPR en het bedrijf in de bananenrepubliek zal wss niet wakker liggen van die gekke Europese wetgeving.
MSalters @Auredium5 juli 2018 13:31
Heb je de GDPR wel eens gelezen? Ik heb 'm al een paar maanden openstaan in een tab.

Jouw idee dat een groot bedrijf klantengegevens kan doorsluizen en desondanks zich "netjes" aan de GDPR kan houden is direct in strijd met heel hoofdstuk 4 van de GDPR, en zo'n beetje de helft van hoofdstuk 3. Dat is feitelijk de kern van de GDPR!
Auredium @MSalters5 juli 2018 13:42
Het probleem daarmee is dat grote bedrijven A ) voor in werking treden van de GDPR wss al dit hebben gedaan wat betekend dat je oude gegevens sowieso niet gewist zijn zelfs als je nu verzoekt dat ze wissen. B ) Er altijd loopholes in dit soort wetgevingen zijn.

Ik kan je nu al garanderen dat de GDPR wetgeving binnen vijf jaar toch niet zo heel erg sluitend blijkt te zijn als wat veel privacy bewuste mensen hopen of vanuit gaan. Sterker nog; zelfs als je de GDPR uit je hoofd kent kan ik je garanderen dat de feitelijke interpretatie en naleving ervan uiteindelijk niet zo in de praktijk is als op papier. Niet alleen dat, maar uiteindelijk zal de politiek en wetgeving daar ook geen problemen mee hebben dat het in de praktijk niet zo wordt nageleefd als het op papier staat (en wetgeving eerder wordt aangepast aan de praktijk dan de praktijk wordt gedwongen die wet na te leven)

Kan ik hiervoor bewijs aanleveren? Nee, maar het trackrecord van wetgevingen die strikt iets verbieden is niet heel erg geweldig. Mensen vinden manieren om rondom wetten heen te komen zonder ze te breken, dat gaat met GDPR ook gebeuren, als het dat al niet is. Vergeet niet, bedrijven hadden niet alleen twee jaar om GDPR compliant te zijn; ze hadden ook twee jaar om uit te zoeken hoe rondom GDPR te werken en toch gegevens van gebruikers te behouden.

[Reactie gewijzigd door Auredium op 23 juli 2024 00:05]

MSalters @Auredium6 juli 2018 15:04
Tja, handhaving is altijd een probleem, daar is weinig discussie over mogelijk.

Wat betreft je idee over "meer dan 2 jaar terug"; dat maakt niet uit. AVG eist dat je toestemming hebt van de eigenaar van die persoonsgegevens. Het maakt niet uit of je die toestemming dit jaar, in 2017 of in 1997 hebt gekregen.

Wat betreft "wetgeving die iets verbiedt". De AVG is wetgeving die bepaalt hoe je wél persoonsgegevens mag verwerken. Als je om de AVG-regels heenwerkt, heb je dus geen toestemming. Het is een vorm van whitelisting, niet blacklisting, en we weten dat whitelisting robuuster is.
Th0rsten 5 juli 2018 10:31
Denk zomaar dat het nog wel even zal duren voordat alle bedrijven daadwerkelijk alles op orden hebben.
Vooral bij dit soort grote bedrijven.
KoenHalfwerk @Th0rsten5 juli 2018 10:35
ze hadden 2 jaar, het wordt nu pas enforced
pepsiblik @KoenHalfwerk5 juli 2018 10:38
De Nederlandse overheid zelf, de maker van de wet, is nog niet eens klaar.
MSalters @pepsiblik5 juli 2018 11:21
Het is geen nationale wet. De AVG of GDPR is een Europese regel, met directe doorwerking in het nationaal recht.

Natuurlijk moeten alle nationale overheden zelf ook aan de AVG voldoen en dus de bestaande nationale wetten aanpassen om dat mogelijk te maken.
Verwijderd @MSalters5 juli 2018 14:26
Natuurlijk moeten alle nationale overheden zelf ook aan de AVG voldoen en dus de bestaande nationale wetten aanpassen om dat mogelijk te maken.
Maar dat neemt niet weg dat niettemin iedereen al moet voldoen aan de AVG. Niet voor niets wordt Tu Quoque als een drogreden beschreven.

Maar zelfs het feitenlijke Tu Quoque gaat hier niet eens op:

Een overheid is gesplitst in drie machten. De uitvoerende, de wetgevende en de rechterlijke macht. Één of meer van die drie machten is niet in orde met de AVG. Dat neemt niet weg dat de rechterlijke macht wel in orde is met recht te spreken over de AVG.

Dus zelfs al is de uitvoerende macht niet in orde, dan nog verandert dat helemaal niets aan de rechtsgeldigheid voor zowel de overheid zelf als maar ook de onderdanen.

M.a.w. stel dat de uitvoerende macht (politie) ten onrechte moorden pleegt, dan nog verandert dat niets aan de rechtsgeldigheid van het verdikt moord wanneer jij als onderdaan ook aan het moorden slaat.

Dan ben je gewoon alletwee schuldig.

Dat kan. Prima zelfs. Beiden in fout. En die Tu quoque drogreden gaat gewoon de prullenmand in.
Verwijderd @MSalters6 juli 2018 03:11
Foutje, laat maar.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:05]

Zoop @pepsiblik5 juli 2018 10:42
Of in staat te zijn om het fatsoenlijk te handhaven, dus voorlopig zullen bedrijven er ook nog mee wegkomen ook.
Leuk dit soort berichten, maar het zegt vrij weinig totdat die bedrijven ook echt aangepakt worden.
stijn014 @pepsiblik5 juli 2018 10:42
Hebben jullie al een wet? Wij in België nog niet.
pepsiblik @stijn0145 juli 2018 10:48
Dat denk jij, maar dat klopt niet. In Belgie heet het equivalent van de GDPR de Algemene Verordening Gegevensbescherming.

https://www.belgium.be/nl...cherming_persoonsgegevens


Er zijn overigens nog wel EU lidstaten die de deadline van de EU gemist hebben en nog geen wetgeving hebben. Voor die mensen geldt dat ze aan de ene kant geen nationale bescherming genieten maar wel kunnen terugvallen op hun EU rechten, Erg verwarrend.
stijn014 @pepsiblik5 juli 2018 11:36
Dat is GDPR zellf. Er moet echter ook een kaderwet komen die de Europese wetgeving in de Belgische wetgeving verankert. Natuurlijk blijft GDPR gelden (Het is een verordening en geen richtlijn dus ze heeft een dwingend karakter). De kaderwet zou bijvoorbeeld verder kunnen gaan dan GDPR,
Onze privacycommissie is biijvoorbeeld omgevormd naar de gegevensbeschermingsauthoriteit. Meer dan een naamswijzigiing is er nog niet gebeurd. De leden van deze authoriteit moeten door de overheid benoemd worden, maar ja het zijn verkiezingen in oktober en volgend jaar nog eens.
JAVE @KoenHalfwerk5 juli 2018 10:41
Nu wordt er dus ook pas gekeken of het beleid van de bedrijven goed is volgens de GDPR.
Eerder waren er vast delen die 'waarschijnlijk goed genoeg' werden gevonden.
Iblies @KoenHalfwerk5 juli 2018 11:13
Het geld sowieso voor Nederland al veel langer dan 2 jaar.

Wat nu wel is gebeurd is dat er een nieuwe wet is gekomen naar aanleiding van een Europese richtlijn en dat veel makkelijk (cq samen met andere Europese landen) op te leggen is.

Een mooi punt;
eist dat privacybeleid alle nodige informatie omvat en in begrijpelijke taal is geschreven.
We kennen dat eigenlijk al in Nederland,
de meeste voorwaarden worden simpelweg niet gelezen, algemeen bekend feit,
daarom is het mogelijk om bepaalde delen eventueel vernietigen als er sprake is van
onredelijk bezwarende voorwaarden
.


Moment dat je de voorwaarden van Google/Facebook/Etc bij de rechter op tafel gaat leggen,
dan acht ik het niet onmogelijk dat hij daar een streep doorheen gaat zetten,
het is een “gratis” dienst, en dat er iets tegenover staat, dat is wel te begrijpen,
maar zij zijn allang doorgeslagen.


De grote vraag blijft wel of en hoe snel actie wordt ondernomen.
YangWenli @Th0rsten5 juli 2018 11:11
Wetgeving komt nooit uit de lucht vallen. Ja ze doen natuurlijk heel verongelijkt maar dit zat er al heel lang aan te komen. GDPR tast het verdienmodel aan dus zal Google en Facebook werkelijk àlles uit de kast halen om de boel te traineren. Dit is een existentiële bedreiging. Kan ze geen ongelijk geven.
mcDavid 5 juli 2018 10:27
Huh, Facebook is toch een mediabedrijf in plaats van een techbedrijf?
Hephaestos @mcDavid5 juli 2018 10:30
Dat hangt af van de aanklacht voor welke ze op die specifieke dag in de rechtbank staan :+
loekf2 @mcDavid5 juli 2018 10:58
Nee, Facebook is een veredeld advertentiebedrijf. Business model is ads tonen. De diensten zijn een middel.
w00t00w @loekf25 juli 2018 17:08
Precies: Facebook is niets meer dan een slim verpakte front-end om mensen zelf in staat te stellen al hun persoonlijke informatie en data rechtstreeks naar de 'business end' van Facebook te uploaden.
uiltje @loekf25 juli 2018 22:14
Nah, ze verkopen de informatie ook rechtstreeks :)
Frogmen 5 juli 2018 10:34
Is dit vooruitgang dat een computer het privacy statement van bedrijven gaat beoordelen. Gaat dit niet tot gevolg krijgen dat iedereen het zelfde semi duidelijke statement gaat gebruiken en wat vervolgens niemand meer leest.
Volgens mij was dat nou juist net niet de bedoeling van deze hele wet en regelgeving.
DataGhost @Frogmen5 juli 2018 10:39
Dat zou juist extra makkelijk zijn, 1 statement wat duidelijk is en wettelijk in orde is. Eenmalig lezen en voor elke website is duidelijk hoe en wat. Dat is zelfs een vooruitgang tov 0 keer lezen.
Frogmen @DataGhost5 juli 2018 10:54
Dan heb je het waarschijnlijk echt nog helemaal niet begrepen. Het gaat erom dat je eerlijk bent over wat je doet en waarom. Je mag alles vragen en met iedereen delen als je hier maar duidelijk in bent en toestemming vraagt. Aan de andere kant mag ook verwacht worden dat de gebruiker ook eerlijk is. Ben benieuwd wat de toekomst brengt met Whatsapp en het gebruik ervan door jongeren onder de 16 en nog erger het half verplichte gebruik ervan door organisaties als scholen en clubs.
F_J_K Forummoderator 5 juli 2018 10:56
ik geloof meteen dat Facebook etc zich niet volledig aan de AVG houden. En ook wel dat BEUC zelf dat wel zoveel mogelijk probeert te doen.

Maar: dit onderzoek via een bot lijkt me weinig zinvol. Als ik zie hoe hoog ze de lat leggen, zijn er amper tot geen bedrijven die wel voldoen: ook de BEUC zelf niet. Zo geven ze in hun eigen policy bijv. ook zelf geen uitputtende opsomming van alle gegevens die ze van je verwerken, zeggen niet welke gegevens ze aan Google geven (alleen 'unfortunately have no control over the data that Google might collect'), melden ueberhaupt niet dat ze gegevens laten verwerken door hun hostingpartij(en), etc. Terwijl die zaken voorbeelden zijn in het rapport van hoe het niet moet.
Verwijderd @F_J_K6 juli 2018 04:13
Als ik zie hoe hoog ze de lat leggen, zijn er amper tot geen bedrijven die wel voldoen: ook de BEUC zelf niet. Zo geven ze in hun eigen policy bijv. ook zelf geen uitputtende opsomming van alle gegevens die ze van je verwerken, zeggen niet welke gegevens ze aan Google geven (alleen 'unfortunately have no control over the data that Google might collect'), melden ueberhaupt niet dat ze gegevens laten verwerken door hun hostingpartij(en), etc. Terwijl die zaken voorbeelden zijn in het rapport van hoe het niet moet.
Dit zoort zaken maakt voor mij de noodzaak van goede controle eens temeer duidelijk. Het feit dat ze de lat hoog leggen is wat mij betreft ook juist goed. Ik heb nog niet de hele wettekst doorgelezen maar ik ben een groot voorstander van dat het verplicht word gesteld dat in een EULA een volledige lijst van alle gegevens word weergegeven die een bedrijf wil verzamelen en dat ze duidelijk moeten aangeven met wie en voor welk doel elk van die gegevens gedeeld gaat worden. Dat zal een gigantisch schok effect geven op de gebruikers waardoor er hopelijk eindelijk eens een echte privacy bewustwording ontstaat.
rijnsoft 5 juli 2018 11:12
Ik hecht niet veel waarde aan een analyse van teksten door een AI. Het lijkt erop dat het BEUC te lui is om de teksten zelf te lezen, terwijl wij dat, als gewone gebruikers, toch wel zouden moeten doen. Waar wijst dit op? Volgens mij dat dit soort privacy teksten weinig nut hebben. Waar het om gaat is wat de bedrijven daadwerkelijk doen.
dakka 5 juli 2018 10:34
draai het voor de grap eens over alle websites, durf te wedden dat nog geen 10% er schoon doorheen komt
MSalters @dakka5 juli 2018 11:23
Er zijn een heleboel websites die aan de AVG voldoen, simpelweg omdat ze geen persoonsgegevens verzamelen. Dan hoef je ook niets te documenteren.
Th0rsten @MSalters5 juli 2018 11:57
Elke website verzamelt persoonsgegevens volgens mij, dat begint al met je IP.
p0linskie @Th0rsten5 juli 2018 12:48
Tussen actief verzamelen en het mogelijk terug kunnen vinden in de logging zit imho een behoorlijk verschil.
MSalters @Th0rsten5 juli 2018 13:26
Waarom zou een website die IP's verzamelen? Het directe gebruik van een IP voor het beoogde doel, zonder opslag of verwerking ervan, is geen AVG activiteit. Het is net zoiets als TPG die de adresgegevens op brieven "verwerkt" bij de bezorging van die brief..
Th0rsten @MSalters5 juli 2018 14:30
Ok, dat wist ik niet.

Zover ik weet zijn er veel site's zoals wordpress (Somige site beweren 25% van alle website op internet)die dat soort statistieken opslaan in combinatie met geo-locatie ect.

En dan alle plugin's die gebruikt worden, die geven vaak ook info door aan derden zonder dat de website eigenaren daarvan op de hoogte zijn.

Vandaar mijn conclusie beetje vergezocht maar bedankt voor je verbetering :)
Verwijderd @Th0rsten16 juli 2018 13:25
Het is prima om dat soort gegevens te verzamelen, bijv. voor website optimalisatie. je koppelt het aan Google Analytics en je ziet bijv. of de teksten 'goed' zijn, hoelang gebruikers op welke pagina zitten etc. Zolang je het maar vast legt dat je dit doe voor een bepaald doel is het volgende de AVG voldoende. Daarnaast moet je de gebruikers wel informeren dat dit gebeurt bijv. middels een pagina of pop-up. tenzij je cookies gaat gebruiken om nog meer data op te vragen dan moet je dat aangeven voor dat zij de pagina lezen en als het niet geaccepteerd wordt mag je ook die data niet tracken. (dit is in de praktijk niet zo makkelijk tho').

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:05]

Boost9898 5 juli 2018 10:36
Nou zeg, dat zijn niet de minste bedrijven. Misschien komen zij er daarom makkelijk(er) mee weg.
Rik. @Boost98985 juli 2018 13:04
Ook zij zullen als ze er na een tijd nog steeds niet aan voldoen een boete krijgen verwacht ik.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq