Een klant vroeg mij: “Onze applicatie maakt gebruik van P3P Privacy Policy en we willen een algemene policy van P3P hanteren. Zijn er nog risico’s of andere aandachtspunten verbonden aan het gebruik van P3P Privacy Policies in Nederland?”
P3P Privacy Policies zijn ontwikkeld door World Wide Web Consortium (W3C) en worden al ruimere tijd door deze community aanbevolen. De afnemers van producten en diensten via het internet worden door middel van een P3P Privacy Policy voorgelicht over het gebruik van de gegevens die zij (onbedoeld) achterlaten bij het bezoek aan een website. Het gaat hier om een scala aan informatie, van informatie die bijvoorbeeld in een cookie is opgeslagen tot aan informatie die gebruikers zelf invullen voor het registreren bij aankoop van een product of dienst. Het verzamelen van deze (tot aan persoon herleidbare) informatie is in Europa aan regels gebonden.
Hiermee dient dus terughoudend mee te worden omgesprongen. Van belang hierbij is dat de P3P privacy policies meer aansluiten bij het Amerikaanse concept dat gegevensverwerkingen legitiem zijn, mits de betrokkene hier maar over geïnformeerd is. De VS maakt daarnaast gebruik van een sectorale benadering die steunt op een combinatie van wetgeving, regulering en zelfregulering. Dit staat haaks op onze, op Europese regelgeving gebaseerde, Wet bescherming persoonsgegevens (WBP) waarbij niet iedere gegevensverwerking toegestaan is en die van gevoelige gegevens (zoals naw-gegevens) zelfs in beginsel onrechtmatig is tenzij aan bijzondere voorwaarden is voldaan.
In privacy policies die op websites in Nederland gebruikt worden dient in ieder geval een garantie te worden afgegeven dat de verzamelde (privacy-gevoelige) gegevens niet gebruikt zullen worden buiten de in de WBP vastgelegde regels. In de P3P Privacy Policies wordt hier niets over gerept. Het is dan ook zeer de vraag of een investering in een P3P Privacy Policy zinvol is zolang er dus nog steeds losse privacyverklaringen voor de overige gebruikers beschikbaar moeten zijn.