39 :: Accept or Decline: Het eindrapport

39 :: Accept or Decline: Het eindrapport

22-04-2011 09:34 Laatste update: 29-04-2018 00:23

Arnoud Groot

19 bedrijven, 24 diensten, 70 documenten, 136 vrijwilligers, 5 experts, het resultaat van zes weken onderzoek.

NB: Lees het complete verslag met enkele uitgelichte diensten en een FAQ in deze pdf.

De eerste Web 2.0-conferentie werd in 2004 georganiseerd in San Francisco. Opeens was user generated content het nieuwe toverwoord. Inhoud door de consument, voor de consument. De slimme internetondernemer hoefde de sterk toenemende behoefte om online te delen alleen nog maar te faciliteren. Wat een prachtige propositie, juichten de organisatoren van de conferentie: 'The customers are building your business for you!' Om de kassa voluit te laten rinkelen moest de nieuwe virtuele geldmachine echter nog wel even juridisch worden dichtgetimmerd.

We weten inmiddels allemaal hoe dat werkt: wil je net lekker je tanden zetten in een nieuw online speeltje, duikt er zo'n vervelend pop-up schermpje op met een flinke lap juridisch gebrabbel. Gaat u akkoord? Maar weinigen nemen de moeite er doorheen te ploegen voor ze doorklikken. Zo'n vijftien procent van alle gebruikers, blijkt uit onderzoek door TRUSTe, een online privacybureau uit San Francisco. Dat lijkt ons nog veel. Het nieuwe speeltje lonkt immers, en wat kan het doorklikken van zo'n stukje tekst nou voor kwaad?

Heel veel, blijkt uit onderzoek van zo'n tachtig kritische lezers en vijf messcherpe juristen. Gebruikersvoorwaarden blijken er toch vooral te zijn om de gebruikers zo kort mogelijk te houden. Rechten die in de 'echte wereld' vanzelfsprekend zijn, worden in cyberspace opeens op schokkende wijze herschreven in het nadeel van de consument. Helaas valt dat doorgaans niet gemakkelijk op te maken uit de lange stukken wollige juristenpraat. Vaak kunnen deze teksten echter verrassend eenvoudig worden samengevat: door ondertekening doe je afstand van vrijwel al je rechten. Daar krijg je een heleboel verplichtingen voor terug. Je kunt daar niet tegen protesteren, en als er iets fout gaat, zijn alle gevolgen altijd voor jouw rekening. Ook al ligt de schuld aantoonbaar bij de desbetreffende dienst.

En o ja: door deze voorwaarden te ondertekenen ga je ook vast akkoord met alle toekomstige veranderingen van deze voorwaarden. Ook al zijn die waarschijnlijk nog nadeliger voor je dan de vorige. Uiteraard begrijpt jouw 'dienstverlener' dat dit niet gebruikelijk is in het Nederlands recht. Als je naar de Nederlandse rechter stapt, zou je dus wel eens in het gelijk gesteld kunnen worden. Begrijp dan wel dat met zo'n vonnis waarschijnlijk lachend de openhaard wordt aangemaakt. Veel van de doorgelichte diensten zitten immers in Amerika, waar heel andere regels van kracht zijn. Natuurlijk kun je ook naar de Amerikaanse rechter stappen. De kans is echter groot dat die zegt: 'Meneer, u heeft deze overeenkomst toch zelf gelezen en ondertekend? Dus wat zeurt u nu eigenlijk?' En wie ben jij dan om te zeggen dat hij ongelijk heeft.

Sommige voorwaarden doen we absoluut geweld aan met voorgaande samenvatting. Voor sommige anderen is hij tamelijk gechargeerd. Voor een flink deel van de doorgelichte voorwaarden is onze ingekorte versie echter right on the money. Voor alle voorwaarden geldt dat het op zijn minst buitengewoon nuttig is als je weet waar je nu eigenlijk precies allemaal je (elektronische) handtekening onder zet. Om je daarbij te helpen volgen hieronder de belangrijkste bevindingen van Brights Accept or Decline crowdonderzoek.

Paragraaf 1: AANPASSINGEN
Hoewel dat in het Nederlands recht echt niet door de beugel kan, passen veel van de doorgelichte diensten (met name met een Amerikaans hoofdkantoor) hun gebruiks- en privacyvoorwaarden aan zonder de gebruiker daarvan op de hoogte te stellen. Je moet zelf maar bijhouden of er iets is veranderd. Zoals Foursquare ergens achterin zijn voorwaarden vermeldt:

'It is your responsibility to check these Terms of Use periodically for changes. Your continued use of the Service following the posting of any changes to these Terms of Use constitutes acceptance of those changes.'

Sommige nemen zich voor de gebruiker wel op de hoogte te stellen, maar brengen een onduidelijk voorbehoud aan. Zo verplichten Microsoft en Twitter zich bijvoorbeeld bij 'belangrijke' dan wel 'materiële' wijzigingen van de voorwaarden een bericht sturen naar de gebruiker. Uiteraard dient zich dan echter direct de vraag aan: wie bepaalt hier wat belangrijk is?

Paragraaf 2: AANSPRAKELIJKHEID
Als je auto gas geeft terwijl je remt, ben jij mogelijk niet de enige die schade oploopt. In de 'echte wereld' verhaal je alle ontstane schade van een falend product uiteraard op de leverancier. In cyberspace is dat echter een heel ander verhaal. Veel van de onderzochte diensten beperken hun aansprakelijkheid zo veel mogelijk, namelijk letterlijk 'voor zover dat mogelijk is onder de lokale wetgeving.' Zeer klantonvriendelijk, en bovendien moet je dus zelf maar in de wetboeken duiken om te zien of je wel of niet verhaal kunt halen.

De juristen van Google zogen daar nog een extra puntje aan. De zeer beperkte aansprakelijkheid die Google accepteert is van toepassing 'of Google nu wel of niet is gewaarschuwd voor, of op de hoogte had moeten zijn van, het feit dat er schade kon ontstaan.' In de woorden van een van onze testlezers: 'Een "Get Out Of Jail Free Card".

Paragraaf 3: EIGENDOM
Als je bij Android, Apple, Facebook of Foursquare een app downloadt, ga je er wellicht vanuit dat die van jou is. Think again. Hoewel we op de sites de BUY / KOOP-knop kunnen aanklikken lezen we in de KOOP-voorwaarden dat we slechts een licentie voor gebruik krijgen, die zo weer ingetrokken kan worden en ook niet aan andere mensen kan worden overgedragen. Mocht je bijvoorbeeld op het idee komen je iPhone door te verkopen, dan ben je verplicht de apps eerst van het toestel te verwijderen. Je mag je apps zelfs niet uitlenen van Apple.

Google dicht zichzelf bovendien de vrijheid toe 'applicaties op afstand van uw Apparaat verwijderen indien de applicatie mogelijk ernstige schade kan toebrengen.' Google somt een reeks aan redenen op waarom ze daartoe zou overgaan, maar zowel onze testlezers als de beoordelend juristen zijn niet te vermurwen. 'Die hardware is van mij, en Google moet daar gewoon met zijn vingers vanaf blijven', vatten beoordelend juristen Veerle van Druenen en Arnoud Engelfriet de overheersende opvatting samen. 'Laat ze me maar een mailtje sturen.'

Paragraaf 4: GARANTIE
Waar wordt gewerkt, worden fouten gemaakt. Als je laptop na een week vastloopt, kun je verhaal halen bij de leverancier. Digitale producten zijn echter principieel anders van aard dan (tastbare) laptops, zeker daar waar het clouddiensten en 'software as a service' betreft. In dit grijze gebied komt 'de klant' er doorgaans bekaaid vanaf. Verschillende aanbieders, waaronder Google, claimen bovendien dat hun product gratis is, en dat de consument dus niet moet zeuren als zij opeens al hun foto's kwijt zijn of niet meer bij hun mail kunnen. Dat zij hun geld verdienen dankzij de door gebruikers geüploade informatie lijkt niet van belang.

De garantie wordt veelal beperkt tot zover 'de lokale wetgeving dat toelaat'. De gebruikers moeten meestal zelf maar uitzoeken hoe dat zit. In de volgens beoordelend juriste Anna Faber extreem klantonvriendelijke woorden van MSN Messenger en Hotmail-aanbieder Microsoft: 'We kunnen niet garanderen dat de service zonder onderbrekingen, op tijd, veilig en foutloos wordt uitgevoerd of dat gegevens niet verloren zullen gaan. Er worden geen beloften gedaan wat betreft de service. Mogelijk heeft u bepaalde rechten voortvloeiende uit lokale wetgeving. Bepalingen in deze overeenkomst zijn niet bedoeld om die rechten te beperken, indien van toepassing.'

Paragraaf 5: LEESBAARHEID & LEGALESE
Gewonemensentaal is over het algemeen de beste keuze als je iets uit wilt leggen. Veel van de doorgelichte diensten waren echter duidelijk niet van plan daar gebruik van te maken. Wij konden daar twee redenen voor bedenken: a) een ernstig gebrek aan klantvriendelijkheid of b) een bewuste keuze om onwelgevallige details in wollig juristenjargon (In de Engelse taal: legalese) te verhullen. Veilingsite eBay en dochters PayPal en Marktplaats zijn daar meesters in. Er is bij eBay weliswaar een samenvatting, maar die wordt direct in de eerste alinea 'niet bindend' verklaard. Tja. De daadwerkelijke voorwaarden zijn zo lang en ondoorgrondelijk dat geen van onze testlezers de eindstreep haalde. 'Absurd lang', oordeelt ook Arnoud Engelfriet. We begrijpen dat een financiële dienstverlener voorzichtig moet zijn, maar dit gaat ons echt te ver: als de samenvatting al ondoorgrondelijk is, dan doe je iets goed fout.

De voorwaarden van Spotify zijn duidelijk door een advocaat opgesteld. Wellicht is het in juristenland bon ton om een uitleg tjokvol definities te proppen, maar je gebruikers maak je niet blij met constructies als 'the Mobile Client as defined in Section 5 below (the "Spotify Software Application") and online streaming Spotify Service (as defined below), both available at the Spotify Websites (as defined in the Spotify Privacy Policy).' Bent u er nog?

Vimeo's voorwaarden lijken een stap in de goede richting: elke alinea met juridisch bindende tekst wordt voorzien van een aanvulling in gewonemensentaal. Probleem is alleen dat de gewonemensenvoorwaarden regelmatig iets anders zeggen dan de juristentekst. Zo wordt bij het aanmaken van het account eerst gezegd 'Be truthful, use your real name' om vervolgens in de juridische versie opeens te vermelden 'you should not choose a user name that personally identifies you'.

Paragraaf 6.1: PRIVACY
Zoals te verwachten een van de heetste hangijzers in ons onderzoek. In 2007 zei Google-kopstuk Eric Schmidt nog tegen de Financial Times: 'There is a line with users you do not want to cross.' Schmidt sprak over de mogelijkheid voor de zoekreus om de gebruikersgegevens van al haar diensten te koppelen en te dataminen. Zo wordt onder meer 'behavorial targeting' mogelijk, het richten van advertenties door verdiepte kennis van het (het online gedrag van) de beoogde consument. Vanwege de forse privacyimplicaties zijn Schmidt, en met name founder Sergey Brin, dan nog mordicus tegen. Getuige de door onze testlezers doorgeploegde doorgelichte privacyvoorwaarden is het koppelen, dataminen en op andere wijze bewerken van persoonlijke gegevens inmiddels echter gemeengoed geworden.

In de privacyvoorwaarden van Twitter lezen we bijvoorbeeld:

'Bij het gebruik van onze Diensten stemt u in met het verzamelen, overbrengen, bewerken, opslaan, ontsluiten en ander gebruik van uw gegevens.'

De iTunes Store van Apple vat het als volgt samen:

'Apple en haar gelieerde ondernemingen kunnen deze persoonlijke gegevens met elkaar delen en conform dit privacybeleid gebruiken. Zij kunnen deze persoonlijke gegevens ook met andere informatie combineren om onze producten, diensten, content en advertenties te kunnen leveren en verbeteren.'

Volgens Apple verzamelt ze met cookies en 'andere technologieën' onder meer 'niet-persoonlijke gegevens' als 'beroep, postcode, netnummer, uniek toestelnummer en locatie'. Wat voor andere technologieën, en weet Apple dan niet dat dit soort gegevens in Nederland als persoonlijk worden beschouwd? Het bedrijf neemt niet de moeite onze kritische vragen te beantwoorden.

Veel betrokken bedrijven gebruiken vage constructies en schijnbare ontkenningen om het verzamelen van privé-gegevens te verhullen. Zo meldt World of Warcraft-uitbater Activision Blizzard voorin de privacyvoorwaarden nog dat er om specifieke toestemming zal worden gevraagd voor het doorgeven van privacygevoelige gegevens. Elders in de voorwaarden noemt het bedrijf echter allerhande uiterst vage voorwaarden waaronder persoonlijke informatie van gebruikers alsnog zonder verdere omhaal aan niet nader geduide 'derde partijen' kan worden overgedragen.

Ook veilingsite Marktplaats beweert in eerste instantie keihard dat er 'zonder toestemming (van de gebruiker, AG) geen persoonlijke gegevens worden verkocht of verhuurd.' Wie de moeite neemt om even verder te lezen, leert echter dat doorgifte wel geschiedt wanneer dit noodzakelijk is 'voor het beleid of bescherming van rechten van derden.' Wat Marktplaats hier onder verstaat blijft geheel onduidelijk, en dat is natuurlijk ook precies de bedoeling.

Chathotel annex massive multiplayer online chatting community Habbo Hotel geeft ook toe dat ze een flinke hoeveelheid informatie verzamelt, maar stelt dat dit nodig is voor 'het uitvoeren van onderzoek (i.e. wetenschappelijk, sociaal, economisch en marktinformatie).'

Beoordelend juristen Arnold Roosendaal en Simone Fennell halen de wenkbrauwen op over de wijze waarop Facebook het webgedrag van zijn leden over de gehele breedte van internet volgt. Via de Like-button en andere social plug-ins volgt Facebook zélfs de online activiteiten van niet-leden als een adelaar. Om haar diensten zoveel mogelijk te kunnen personaliseren, claimt Facebook, dat verder belooft de aldus verkregen gegevens binnen 180 dagen te 'anonimiseren'. Let op, de aanhalingstekens zijn van Facebook zelf! Wat betekent anonimiseren in dit geval dan nog? Facebook weigerde helaas op onze kritische vragen in te gaan.

Neerlands eigen social network Hyves verzamelt 'ook automatisch gegenereerde informatie over je surfgedrag tijdens jouw gebruik van Hyves. Deze informatie bestaat onder meer uit je IP-adres (nummer van je computer dat het mogelijk maakt jouw computer te herkennen), het type browser (computerprogramma om internetpagina's mee te kunnen bekijken) dat je gebruikt, de pagina's die je bezoekt en cookies.' In tegenstelling tot Facebook legt Hyves zichzelf echter wel strenge voorwaarden op waaronder deze gegevens commercieel kunnen worden uitgebuit. Een van de redenen waarom Facebook een 3, en Hyves een 7 kreeg van ons juristenpanel

Microsoft zegt dat ze een deel van de (zeer uitvoerige) informatie verzamelen zonder dat een persoon te identificeren is via deze informatie. Tegelijk wordt elders duidelijk dat alle gegevens worden gekoppeld aan een niet nader gespecificeerd 'identificatienummer'. Facebook doet in feite hetzelfde. Dat vinden testlezers en juristen nogal dubbel. Bovendien rijst direct de vraag wat de exacte aard en functie van dit id-nummer is. Dat klemt des te meer omdat Microsoft verderop ook nog meldt: 'Daarnaast kunnen we de informatie die we verzamelen, aanvullen met informatie die we van andere bedrijven hebben verkregen.' Hoe koop je immers informatie van anonieme personen? Zowel Microsoft als Facebook wilden niet reageren.

Ook Google is inmiddels om. In de algemene gebruiksvoorwaarden staat inmiddels de op eerste gezicht nog tamelijk onschuldig klinkende zin: 'Advertisements may be targeted to the content of information stored on the Services, queries, made through the Services or other information.' In feite staat daar dus dat Google elke byte aan informatie die de gebruiker uploadt, downloadt of opslaat bij al zijn diensten volledig kan koppelen, dataminen of op welke andere manier dan ook aanwenden voor commercieel gewin. Dat klopt toch, Google? Hoewel de zoekreus enkele A4'tjes aan repliek produceerde, kwam er geen direct antwoord. Waarmee de vraag wat ons betreft ook was beantwoord.

Geen van alle onderzochte diensten ziet overigens volledig af van het financieel benutten van privé-informatie zonder expliciete toestemming van de gebruiker.

Paragraaf 6.2: 'PARTNERS' & co
In aansluiting op de voorgaande Privacy-paragraaf besteden we een aparte subparagraaf aan de opmerkelijke rol van 'commerciële partners', 'dienstverleners', 'derde partijen', 'business partners' en andere vaag gedefinieerde partijen die om de meest uiteenlopende redenen privé-gegevens van gebruikers toegespeeld krijgen. Zoals bij online muziekdienst Spotify, dat 'advertising and other information' doorspeelt aan niet nader genoemde 'business partners'. Vanaf dat moment vallen uw privé-gegevens veelal onder de privacystatement van deze partner, die op geen enkele wijze meer gecontroleerd wordt.

Marktplaats werkt naar eigen zeggen met niet nader gespecificeerde 'service providers' die cookies plaatsen voor personalisering van advertenties. Hoewel deze volgens Marktplaats 'geen persoonsgegevens mogen verzamelen' blijft natuurlijk de grote vraag wie deze serviceproviders überhaupt zijn, en wie de gebruiker moet aanspreken als deze partijen toch persoonsgegevens verzamelen. Hoe kom je daar überhaupt achter als niemand daar op controleert?

Veel andere bedrijven, waaronder Google, LinkedIn, Activision Blizzard, Skype en Dropbox, doen exact hetzelfde: 'Information collected by the third-party application provider is governed by their privacy policies', aldus de voorwaarden van Google. Je bent dan dus feitelijk alle controle kwijt, en in feite is het ook niet meer duidelijk hoe je kunt achterhalen dat er illegale dingen worden gedaan of waar je eventueel nog verhaal kunt halen.

Bedrijven als Facebook en Foursquare maken het helemaal bont: wanneer mensen in je netwerk bepaalde apps downloaden, kunnen deze meteen ook jouw informatie ontvangen. Zoals verwoord door Foursquare: 'Use of third party apps developed using our API are subject to the terms of use and privacy policies of such third party developers. Certain Personal Information may be made available to third party developers if you or your "friends" use these third party apps'. 'Waaaat?', vraagt een van onze testlezers zich verbijsterd af. 'Dus wanneer mensen in je vriendenlijst een app instaleren, kan deze app ook bij jouw info? Terwijl je zelf niet weet wat die andere partijen voor gebruiksvoorwaarden hebben?' Inderdaad Maria, wij konden ook onze ogen niet geloven.

Paragraaf 7: RECHTEN
Je staat er wellicht niet bij stil als je je foto's, video's of andere content uploadt, maar met die simpele handeling geef je de desbetreffende dienst vaak carte blanche jouw persoonlijk bezit naar goeddunken te gebruiken. Zoals vrijwel identiek verwoord door onder meer Flickr en YouTube: 'U verstrekt YouTube een wereldwijde, niet-exclusieve, royaltyvrije, overdraagbare licentie (met het recht tot sublicentie) voor het gebruik, de verveelvoudiging, de verspreiding, het maken van afgeleide werken, het tonen en uitvoeren van die Content.'

Dat betekent onder meer dat jouw foto's en video's zonder verdere toestemming gebruikt mogen worden voor reclames of andere commerciële doeleinden. Facebook presteert het zelfs om het 'eeuwige eigendom' van je content te claimen, net als Yahoo: 'Your Contributions automatically become the property of Yahoo! without any obligation of Yahoo! to you; and you are not entitled to any compensation or reimbursement of any kind from Yahoo! under any circumstances.'

Paragraaf 8: SPELREGELS
Ook online diensten hebben spel- of huisregels nodig, anders wordt het een puinhoop. In deze regels permitteren veel van de onderzochte diensten zichzelf echter opmerkelijke vrijheden. Zo verbiedt Spotify zijn gebruikers het kopiëren, opnemen of rippen van de streams. Daarmee gaat het echter voorbij aan de Nederlandse Auteurswet, die het downloaden en kopiëren voor eigen gebruik gewoon toestaat.

Marktplaats en eBay mogen van zichzelf op grond van 'beleid' advertenties afkeuren. Het 'beleid' wordt eerst niet nader uitgewerkt, maar elders in voorwaarden volgen verwijzingen naar onder meer het 'Beleid omtrent verboden en verdachte objecten en objecten die inbreuk maken op rechten', 'Prikbordenbeleid', 'Aanbiedingsbeleid' , 'Beleid voor gebruikerservaringen', 'Feedbackbeleid en Identiteitsbeleid'. Nota bene: Het betreft hier een kleine selectie van alle beleidsvormen van eBay.

Het kan ook heel anders: Habbo is in zijn voorwaarden bijvoorbeeld zo bezig met privacyzaken dat het helemaal vergeet andere belangrijke zaken te regelen. Denk aan de credits, eigendom van informatie, aansprakelijkheid bij fouten of storingen, en wat te doen als de dienst wordt aangepast of gestopt? Als het al ergens stond, konden wij het in elk geval niet vinden.

NB: Vrijwel alle diensten behouden zichzelf het recht voor om je zonder opgaaf van redenen of zelfs maar een bericht alle toegang te ontzeggen. Zoals verwoord door Yahoo: 'You agree that Yahoo! may, without prior notice, immediately terminate, limit your access to or suspend your Yahoo! account, any associated email address, and access to the Yahoo! Services.'

Paragraaf 9: VERBINDEND VERKLARENIn de meeste gevallen dien je de voorwaarden met een klik te onderschrijven. Dat is echter lang niet altijd het geval. Bij Tumblr stem je bijvoorbeeld al in door simpelweg de site te gebruiken: 'By using or accessing the Services, you agree to become bound by all the terms and conditions of this Agreement. If you do not agree to all the terms and conditions of this Agreement, do not use the Services.'

Dochters en partners van Ebay kunnen eigen voorwaarden voeren en daar stemt u op voorhand alvast mee in. En Apple dwingt je akkoord te gaan met voorwaarden die pas ná de koop van je apparaat bekend zijn, ontdekte beoordelend jurist Paul Pols. 'Hoogst merkwaardig allemaal', concludeerde Pols. Maar wij kijken inmiddels nergens meer van op.

Naschrift
Veel van de doorgelichte diensten weigerden in te gaan op onze kritische vragen. Uit de reacties van verschillende diensten die dat wel deden, konden wij regelmatig opmaken dat bepaalde informatie wel degelijk ergens op de site te vinden was, wij blijkbaar de verkeerde conclusies hadden getrokken, of dat het toch echt anders in elkaar zat dan in de eigen voorwaarden was vermeld. Daarop volgde vaak een uitgebreide tekst met uitleg over hoe het allemaal wél in elkaar zit. Helaas is zo'n mailtje natuurlijk niet rechtsgeldig. Bij deze willen we de heren juristen van deze diensten dan ook uitdagen: kopieer de desbetreffende alinea's uit uw antwoorden, en plak ze direct in uw gebruiksvoorwaarden. Wij zijn benieuwd!

NB: Lees het complete verslag met enkele uitgelichte diensten en een FAQ in deze pdf.