-

Apps en privacyregels: hoe zit dat?

De laatste tijd is er veel te doen om apps en privacy. Zo werd Blink Uitgevers onlangs nog op de vingers getikt door het College Bescherming Persoonsgegevens (CBP) in verband met de kinderapp ‘Okki Gekke-bekken-club’. De app verwerkte persoonsgegevens van kinderen in strijd met de regels van de Wet bescherming persoonsgegevens. Er wordt volop geëxperimenteerd met de ontwikkeling en economische toepassing van apps. Het juiste moment om de privacyregels rond apps eens kort te belichten.   

Naar verluidt worden er per dag wereldwijd 1600 nieuwe apps aangeboden en downloadt de gemiddelde gebruiker van een smartphone minstens 37 apps. Door de producent of beheerder van die apps kunnen gemakkelijk grote hoeveelheden gegevens worden verzameld en aan verdere verwerking worden onderworpen. Op die wijze kunnen opbrengsten worden gegenereerd op manieren die voor de eindgebruiker onbekend en ongewenst zijn.

Veel van die gegevens zijn ook persoonsgegevens die onder de geldende privacyregels vallen. Zo zijn bijvoorbeeld locatievoorzieningen (Google Maps) al persoonsgegevens. App ontwikkelaars en beheerders die zich niet bewust zijn van de vereisten voor gegevensbescherming kunnen daarmee aanzienlijke risico’s creëren voor gebruikers en zichzelf. De privacy toezichthouder kan namelijk nu al een hoge boete per individuele overtreding opleggen. Om ook de wereldwijd opererende grote jongens als Facebook en Google aan te kunnen pakken, bestaan er daarnaast inmiddels plannen om de boete te koppelen aan de wereldwijde jaaromzet van een onderneming.

Onduidelijkheid

De kwestie van Blink is een van de voorbeelden waaruit blijkt producenten van apps zich de impact en reikwijdte van de geldende privacyregels nog onvoldoende realiseren. Er is nog vaak sprake van slechte beveiligingsmaatregelen, onevenredige gegevensverzameling en een onduidelijk doel voor verwerking daarvan. Het orgaan waarin alle nationale privacy toezichthouders zich hebben verenigd, de Artikel 29 Werkgroep, heeft enige tijd geleden een opinie over privacy en apps gepubliceerd. Deze opinie had mede tot doel een toelichting op het wettelijke kader te geven.

Privacyregels onder een vergrootglas

Het wettelijke kader met betrekking tot gegevensverwerking bij de ontwikkeling, distributie en het gebruik van apps wordt gevormd door de huidige privacyrichtlijn en de Wet bescherming persoonsgegevens (Wbp). De Europese regels zijn van toepassing op iedere app bestemd voor gebruikers in de EU, ongeacht de locatie van de app-ontwikkelaar. Om een eenduidige toepassing van de regels te garanderen heeft de Europese Commissie in januari 2012 een nieuw Europees privacy raamwerk voorgesteld.

Het zal naar verwachting echter nog wel even duren voordat deze nieuwe privacyverordening daadwerkelijk van kracht wordt, omdat er over de tekst nog flink gevochten wordt. Met inmiddels duizenden amendementen is dit concept de meest heftig belobbyde Europese regelgeving aller tijden, zo blijkt mede uit deze verbijsterende must-see documentaire.

De nieuwe regels bevinden zich op dit moment bij de Europese Raad waar de onderhandelingen voorlopig nog voortduren. Het is afwachten wat de uiteindelijke regels zullen inhouden. Tot die tijd dienen app ontwikkelaars en –beheerders in ieder geval rekening te houden met de huidige regelgeving waarvan hieronder enkele aandachtspunten worden weergegeven.

Verwerkingsgrondslag en specifieke toestemming

Bij het installeren van een app wordt er informatie op het apparaat geplaatst en wordt door de producent veelal toegang verkregen tot gegevens van de gebruiker, zoals video’s, foto’s en contacten. Om toegang te krijgen tot deze gegevens en ze te verwerken moet er sprake zijn van een bepaalde wettelijke grondslag. In de Wbp worden zes mogelijke grondslagen genoemd:

  1. er is ondubbelzinnige toestemming verleend
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst (aankoop en gebruik van de app)
  3. ter bescherming van vitale belangen van de gebruiker
  4. de naleving van een wettelijke verplichting
  5. de uitvoering van een taak van algemeen belang of
  6. in het kader van de uitoefening van openbaar gezag (5 en 6 zullen veelal alleen spelen voor de overheid).

Producenten en/of beheerders van apps zullen verkregen persoonsgegevens veelal verwerken op basis van vooraf gegeven toestemming van de gebruiker. Deze toestemming moet worden verleend voordat de app informatie van het apparaat haalt of daarop plaatst, dus voordat deze geactiveerd wordt. Het enkel verkrijgen van toestemming is echter niet genoeg: de gebruiker moet daarnaast vooraf op een duidelijke wijze worden geïnformeerd over hetgeen waarvoor hij toestemming verleent en waarvoor de gegevens gebruikt zullen worden. Dit wordt meestal gedaan in een zogenaamde privacy policy.

De gebruiker moet ook vrij zijn om de verwerking van gegevens door de app te accepteren of te weigeren. Daarnaast moet aan de gebruiker de mogelijkheid worden geboden de installatie (tijdelijk) te stoppen. Het enkel bieden van de optie ‘ik ga akkoord’ om de installatie te voltooien volstaat dus niet. De toestemming moet specifiek verband houden met het verwerken van bepaalde data of items of een bepaalde categorie van gegevensverwerking.

Per soort gegeven moet er dus om toestemming worden gevraagd. Het enkel klikken op een ‘install’-button kan niet als een geldige toestemming worden beschouwd omdat deze niet specifiek genoeg is. Bovendien moet gebruikers de mogelijkheid worden geboden om deze toestemming in een later stadium op een eenvoudige wijze alsnog in te trekken, de app te de-installeren en de verzamelde gegevens te verwijderen.

Tenslotte dient rekening te worden gehouden met de standaardinstellingen van besturingssystemen (zoals iOS en Android). Deze moeten zodanig worden ingesteld dat ‘tracking’ op voorhand wordt vermeden. Deze vorm van verwerking is immers ook onderworpen aan een voorafgaande specifieke toestemming. Deze verplichting mag niet omzeild worden zoals nu vaak het geval is door alleen te verwijzen naar zogenoemde ‘Do Not Track’ mechanismen die in browsers kunnen worden geïnstalleerd.

Toestemming geen vrijbrief

Zelfs wanneer de gebruiker heeft ingestemd, voldoet de app niet automatisch aan de privacyregels. Wanneer sprake is van een buitensporige of onevenredige gegevensverwerking, is er geen sprake van een geldige verwerkingsgrond en is de app in strijd met de privacyregels. Alleen gegevens die noodzakelijk zijn voor de functionaliteit van de app mogen worden verwerkt.

Last but not least nog een open deur: de verwerkte gegevens moeten uiteraard vertrouwelijk worden behandeld en veilig worden verwerkt. Neem een voorbeeld aan de Blink kwestie en verzend persoonsgegevens nooit onversleuteld! Mocht u voornemens zijn een app te lanceren waarbij persoonsgegevens een rol spelen, zorg dan dat u voldoet aan bovenstaande en zorg dat u beschikt over een goede privacy policy.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond