Public Spaces Digitale Spoelkeuken
Op 3 augustus 2021 ging Petities.nl door de 'digitale spoelkeuken' van Public Spaces. Aangezien we al sinds 2005 bewust bezig zijn met de aangekaarte afwegingen scoren we de volledige 100%. Het auteursrecht op de vragenlijst ligt bij Public Space, maar het onderstaande is ook een bewerking ervan. Vergelijk het origineel en de bewerking door in de geschiedenis van deze pagina de eerste met de laatste versie te bekijken.
Inhoud
Open
- Is de broncode van de software beschikbaar zonder extra kosten?
- Kan de broncode worden hergebruikt in andere nieuwe software?
- Opereert het software-ecosysteem onafhankelijk van enige overheid, commerciële of bepaalde politieke invloed?
Transparant
- Kan de gebruiker zien welke gegevens er worden opgeslagen?
- De gebruiker kan zijn eigen opgeslagen gegevens inzien via een interface?
- Wordt er gecommuniceerd waar de opgeslagen gegevens voor gebruikt worden?
- Is het beleid van het software-ecosysteem volledig te controleren?
- Zijn de voorwaarden en procedures in begrijpelijke taal opgesteld?
- Is er een organisatie ingericht die gebruikers invloed laat hebben op (koers van) de software?
Aansprakelijk
- Zijn gebruikers op authenticiteit gecontroleerd?
- De bron van content kan worden achterhaald?
- Distributieketen en bewerkingen op de content worden bijgehouden en kunnen worden achterhaald?
- De gebruikte software beschermt de content van gebruikers zo goed mogelijk?
- De gebruikte software beschermt de gebruikersgegevens van gebruikers zo goed mogelijk?
- De gebruikte software claimt geen eigenaarschap over de persoonlijke data van de gebruiker?
Autonoom
- Er is geen advertentiemodel dat gebruik maakt van trackers die bezoekers volgen?
- Gebruikersdata wordt alleen gebruikt binnen de eigen site?
- Kan een gebruiker er voor kiezen welke data gedeeld wordt zonder belangrijke functionaliteit te missen?
- Kan gepubliceerde content en/of gebruikersdata worden geëxporteerd?
- Kan gepubliceerde content en gebruikersdata worden verwijderd?
Gebruikersgericht
- Faciliteert de tool het om zonder persoonsgegevens te werken als dat mogelijk is?
- Is er sprake van data-minimalisatie?
- Zijn bewaartermijn en het faciliteren van de rechten van de betrokkenen proportioneel?
- Is de software ingericht volgens privacy by default?
- Er wordt geen gebruik gemaakt van dark patterns?
Toelichting op de antwoorden over Petities.nl
Onderstaande tekstjes nog aan elkaar herschrijven.
Open
De code is zowel door iedereen te bekijken en is goed herleidbaar. Iedereen kan zonder problemen in de broncode werken en zijn eigen programma ervan distribueren. Komen overheidsbeleid, winstoogmerk of andere zaken voor de gebruiker? Op de 'about-pagina'! Beetje onduidelijke vraag overigens, maar als het gaat om het 'verdienmodel' van Petities.nl dan is er een gemengd model van inkomsten. Donaties van gebruikers (tientjes), petitieloketten voor overheden (enkele duizenden), subsidie van het ministerie (voor nieuwe code), subsidie van het vfonds (voor een halve fte) en dienstverlening zoals mailings voor gemeenten die burgers werven voor participatie (paar honderd € per keer).
Transparant
Doordat dit expliciet vermeld wordt of de gebruiker deze zelf invoert. Het blijft zichtbaar op je 'persoonlijke pagina' wat je doet. We krijgen vaak wel vragen over het registreren van het IP-adres, dat laten we zien. Zaken als algemene voorwaarden, privacystatement, klachtenprocedure, huisregels, statuten, jaarrekeningen zijn beschikbaar? We zijn tegen voorwaarden en privacystatements! Dat moet allemaal goed geregeld zijn in de wet. Dat is de plek, niet in een 'geprivatiseerde' omgeving zoals een aparte verklaring. Daarom hebben wij niets, uit keuze. Wel hebben we een pagina over hoe we privacy beschermen. Dat doen we al goed voordat het in de wet kwam. Ofwel direct door de community ofwel indirect via een orgaan die de gebruiker vertegenwoordigd. Ja, er is een clubje developers betrokken en we hebben een paar keer een verbetering van onze website kado gekregen die we in dank in productie hebben genomen. Maar 'organisatie' is een groot woord. Het ontwikkelen van elke nieuwe versie baseren we voornamelijk op alle e-mail die we in de helpdesk op webmaster@petities.nl (adres staat steevast onderaan elke pagina) binnen krijgen. We doen niet aan analytics, we wissen de logfiles doodleuk na een paar maanden. Het kost alleen maar tijd om ernaar te kijken, doen we hoogst zelden om een foutmelding te achterhalen (daar zijn logfiles voor). Dus bij ons zijn gebruikers geen labrats waarvan het gedrag wordt bekeken en gevolgd, maar een groot gebruikerspanel dat wensen en klachten formuleert.
Aansprakelijk
Weten we zeker wie de gebruiker is? Alleen relevant wanneer de gebruiker zelf content levert. Ja, op basis van de bevestiging van een link in een e-mail. Dat werkt nog steeds verbazend goed. Domweg omdat het niet uit kan om ermee te frauderen. Je kan er de petitie die je steunt mee in gevaar brengen. Het vandaliseren van een petitie levert juist weer extra ondertekeningen op (en kost moeite). Een enkeling doet het maar die worden gemeld en gewist. Faciliteert de tool het om op de juiste manier aan bronvermelding te doen? Bij elke petitie staan er standaard velden om 3 hyperlinks toe te voegen. Elke ondertekenaar kan toelichting over zichzelf geven. Is er sprake van versiebeheer? Ja, elke petitie die aangemaakt wordt gaat ook in een kopie naar de petitionaris. Die kan zo vergelijken hoe die tekst door de moderator aangepast wordt. Aanpassingen kunnen ook door de moderator terug gezet worden dankzij versiebeheer. Wordt er gebruik gemaakt van pseudonimiseren, encryptie en access control? Men kan zelf de zichtbaarheid van een ondertekening instellen. Daarnaast worden de zichtbare ondertekeningen ook op een pagina gezet waar de spiders van zoekmachines niet komen Blijft data van de eigen organisatie? De persoonlijke gegevens met e-mailadressen wel, maar de ondertekenaarslijst is toegankelijk voor de petitionaris om te overhandigen aan een overheid. Die kan daar verder weinig mee omdat die gegevens zijn door de AVG. Steeds vaker vervangen we die ondertekenaarslijst door een 'proces-verbaal' met een samenvatting van de ondertekenaarslijst.
Autonoom
Wordt er gebruik gemaakt van tracking pixels of andere vormen van tracking technologie? Helemaal niks. Dus niet met andere partijen gedeeld. Dat zeker niet. Het logo van petities.nl in mailings hebben we wel eens gevolgd in de logfiles, om te zien of men de e-mail ook las. Ja, dat doet men tegenwoordig in de uren na de mailing massaal (smartphone). Nou, dat is fijn om te weten; e-mail werkt nog. Klaar. Wordt de gebruiker verplicht om alles in te vullen? Heeft de gebruiker invloed op welke persoonlijke data, content of interacties worden opgeslagen indien van toepassing. Zonder e-mailadres en naam wordt je ondertekening niet geaccepteerd Direct of indirect via de beheerder. De inhoud van een persoonlijke pagina kan worden geëxporteerd ('bewaar pagina' vanuit de browser, maar staat ook nog eens in de afsluitende e-mail als een petitie wordt gesloten en de gegevens worden gewist. De ondertekenaars 'krijgt ze dan terug.' Direct of indirect via de beheerder. Dat is wel een verbeterpuntje. Nu stuur je een e-mail naar webmaster@petities.nl en dan krijg je alles terug wat dan is gewist. In de nieuwe versie moet dat met een knop geautomatiseerd kunnen. Maar aangezien de site zichzelf opschoont is het ook niet zo hard nodig.
Gebruikersgericht
Er is er nagedacht of het voor het product of dienst écht nodig is om persoonsgegevens te verwerken. (Of had er gewerkt kunnen worden met volledig geanonimiseerde gegevens?) Wordt alleen data opgeslagen die echt nodig is? Het doel bepaalt de opslagperiode van de gebruikersgegevens. Is standaard ingesteld dat zo min mogelijk mensen bij data mogen/het bewaartermijn zo kort mogelijk is/zo min mogelijk data wordt opgeslagen? Geen van de patterns op https://www.darkpatterns.org/types-of-dark-pattern wordt ingezet.