Privacybeleid Trello onder de loep: Welke data wordt gedeeld?

Met Trello kun je een virtueel bord inrichten waarop je diverse kaarten of taken zet. Het wordt op de werkvloer gebruikt om projecten op een effectieve wijze uit te voeren. Ook in de privésfeer wint de tool aan populariteit voor het plannen en bijhouden van lijstjes. In dit artikel gaan we na hoe Trello omgaat met de persoonsgegevens die het verzamelt.

De verwerkingsverantwoordelijke, in dit geval Trello, is verplicht om de gebruikers (de betrokkenen) te informeren over de verwerking van hun persoonsgegevens. Deze informatie kan worden vastgelegd in een privacystatement. Op basis van de privacywet (Algemene verordening gegevensbescherming, AVG) moet de informatie in het privacystatement begrijpelijk zijn en duidelijke en eenvoudige taal bevatten. Dit betekent dat de informatie begrepen moet kunnen worden door de doelgroep: de beoogde gebruikers van Trello. 

De tekst moet niet te juridisch, technisch of specialistisch zijn. Het privacystatement moet ook in de taal opgesteld zijn die de doelgroep beheerst. Welke taal dat is, ligt aan het land en de doelgroep waarop de verwerkingsverantwoordelijke zich richt.

Trello communiceert op zijn website in het Nederlands en biedt bezoekers de mogelijkheid om het originele Engelse privacystatement te vertalen via Google Translate. Trello dient er bij het verzorgen van een vertaling wel voor te zorgen dat de woordkeuze en zinsbouw correct zijn, zodat de vertaalde tekst goed is te volgen en te begrijpen. Dat vormt wat ons betreft nog wel een verbeterpunt: wij komen in het standaard vertaalde document ongebruikelijke woorden en specialistische termen tegen.

Relevante commerciële e-mails

Trello informeert verder in het privacystatement dat het persoonsgegevens gebruikt om de ervaring van gebruikers te personaliseren. Trello analyseert de activiteiten van de gebruiker en het eventueel daaraan gekoppelde team om relevante zoekresultaten te kunnen tonen en om gepersonaliseerde meldingen en aanbevelingen te kunnen doen. Behalve de activiteiten wordt ook informatie over bijvoorbeeld de branche en functie van de gebruiker onderzocht. 

Deze informatie leidt Trello af uit het domein van het opgegeven e-mailadres en de ingevoerde functietitel. Wanneer er nog andere software wordt afgenomen van Atlassian (waar Trello onderdeel van is), wordt de informatie over het gebruik van beide programma’s gecombineerd. Op basis daarvan kan de website worden gepersonaliseerd en kan Trello relevantere commerciële e-mails versturen.

Wanneer er door middel van een geautomatiseerde verwerking van persoonsgegevens persoonlijke aspecten van personen worden geëvalueerd om op basis van die evaluaties voorspellingen over die personen te kunnen doen, is er volgens de AVG sprake van profilering. Trello voorspelt bijvoorbeeld persoonlijke voorkeuren en iemands zakelijke situatie. Bij profilering dient aan strenge regels te worden voldaan. Als er op basis van de genoemde geautomatiseerde verwerking besluiten worden genomen die betrokkenen in ‘aanmerkelijke mate’ treffen, is sprake van ‘geautomatiseerde besluitvorming’. 

Wij begrijpen dat er alleen directmarketing-mails worden verstuurd. Er zal dan geen sprake zijn van een geautomatiseerd besluit dat de gebruiker in aanmerkelijke mate treft. Het besluit behelst alleen of iemand wel of niet een aanbieding krijgt. Dit wordt anders wanneer Trello nog een stap verdergaat in het personaliseren en het aanpassen van tariefstructuren. In dat geval kan er sprake zijn van geautomatiseerde besluitvorming en gelden er strengere eisen.

Op basis van het privacystatement van Trello kan niet worden beoordeeld of de profilering AVG-proof is ingericht. Trello voldoet wel aan een aantal verplichtingen. Gebruikers hebben bijvoorbeeld het recht om bezwaar te maken tegen profilering en dienen over de profilering te worden geïnformeerd. Trello informeert in het privacystatement inderdaad over het hoe en waarom van de profilering (personalisatie) en geeft aan dat gebruikers kunnen mailen om zich af te melden voor de profilering.

Toestemming voor nieuwsbrieven

Trello stuurt zowel commerciële e-mails als noodzakelijke serviceberichten over bijvoorbeeld een aankoop die is gedaan. In Nederland gelden voor het versturen van e-mails niet alleen de regels uit de AVG, maar ook de bepalingen uit de Telecommunicatiewet. Deze wet zal op termijn worden vervangen door de Europese e-Privacyverordening. Op basis van de Telecommunicatiewet mogen gebruikers zonder voorafgaande opt-in-toestemming in principe niet met marketingberichten worden benaderd.

Opt-in houdt in dat de gebruiker actief moet aangeven dat hij of zij een commerciële e-mail wenst te ontvangen. Als uitzondering op deze regel mag Trello de gebruikers zonder dat zij opt-in-toestemming hebben gegeven commerciële e-mails sturen als: de gebruiker betaald heeft voor een product of dienst, de e-mail over gelijksoortige producten of diensten gaat en de communicatie wordt verstuurd vanuit dezelfde juridische entiteit – en niet vanuit bijvoorbeeld een dochteronderneming. 

Ook is het verplicht om op het moment van het verzamelen van contactgegevens de gebruiker te informeren dat er commerciële e-mails worden verstuurd en hem de mogelijkheid te geven om zich af te melden (opt-out). Bovendien moet de ontvanger in iedere e-mail de mogelijkheid worden geboden om zich eenvoudig af te melden, bijvoorbeeld via een afmeldlink.

Bij het aanmaken van een gratis account vraagt Trello om opt-in-toestemming: de potentiële gebruiker moet actief een hokje aanvinken. De gebruiker weet echter niet van welke entiteit uit de groep van Trello (Atlassian) de berichten afkomstig zijn. Wel informeert Trello in het privacystatement dat er in elke e-mail een afmeldlink is opgenomen voor de e-mails. Ook biedt Trello de mogelijkheid om een e-mail te sturen om het ontvangen van de berichten te stoppen en kunnen de voorkeuren in de accountomgeving worden aangepast.

Conclusie

Opgesomd:

+/- Trello geeft gebruikers de mogelijkheid om een Nederlandse versie van het privacystatement te lezen, maar de vertaling bevat hier en daar geen duidelijke en eenvoudige taal.

+ Trello informeert de gebruikers over de profilering en geeft gebruikers de mogelijkheid om zich hiertegen te verzetten door een e-mail te sturen aan een daarvoor bedoeld e-mailadres.

+/- Trello vraagt opt-in-toestemming voor het versturen van commerciële e-mailberichten en lijkt ontvangers voldoende mogelijkheden te bieden om zich hiervoor af te melden. Wel mag de gegeven informatie bij de opt-in-toestemming worden verduidelijkt.

Trello heeft een uitgebreid privacystatement op de website staan en besteedt zichtbaar aandacht aan de verplichtingen onder de AVG en de Telecommunicatiewet. Wel verdient het aanbeveling om de begeleidende tekst bij het geven van toestemming voor commerciële e-mails en de vertaling van het Engelse document nogmaals na te lopen. Het is voor de gebruiker niet duidelijk welke entiteit commerciële e-mails zal versturen. 

Ook bevat de vertaling van het privacystatement een aantal woorden en zinnen die voor de gemiddelde gebruiker niet gemakkelijk leesbaar zijn. Het gevaar bestaat dat het nu voor gebruikers nog steeds niet helemaal helder is hoe er met hun gegevens wordt omgegaan. En laat dat nu juist de bedoeling zijn van deze verplichtingen.

Tekst: Jacintha van Dorp (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: Privacy, trello, privacymeetlat