6 privacy-beginselen waar je rekening mee moet houden
De AVG bevat een aantal (6 om precies te zien) beginselen die moeten worden nageleefd tijdens het verwerken van persoonsgegevens. Als app-provider is het dan ook belangrijk om van deze beginselen kennis te nemen en ze mee te nemen in de ontwikkeling van je app.
#1 Rechtmatigheid, behoorlijkheid en transparantie
Wees transparant naar de gebruiker toe over wie jij bent en wat, hoe en waarom je persoonsgegevens verwerkt. Denk daarbij o.a. aan het opnemen van een privacyverklaring in jouw app. Zorg ervoor dat de privacyverklaring makkelijk te vinden is en goed leesbaar is.
Wees je ervan bewust dat de gebruiker van jouw app diverse privacy-rechten heeft. De app moet dus zo worden ontworpen dat de gebruiker ook daadwerkelijk in staat is om zijn rechten uit te oefenen.
Transparantie betekent ook dat je niet in het geheim updates doorvoert die effect kunnen hebben op de privacy van de gebruiker. Indien een update de privacy van de gebruiker kan beïnvloeden, moet je de gebruiker de gelegenheid geven om hiermee akkoord te gaan.
#2 Doelbinding
Je mag alleen gegevens verwerken voor een vooraf gespecificeerd specifiek doel en je mag deze gegevens in beginsel niet voor een ander doel (her)gebruiken. Hoewel het aanlokkelijk kan zijn om een heel algemeen doel te formuleren, zoals “om onze dienstverlening te kunnen aanbieden”, is dit onder de AVG niet toegestaan. Tegelijkertijd wil je jezelf ook niet in de vingers snijden door te specifiek te zijn.
Goed, je mag de verzamelde persoonsgegevens dus niet zomaar verder verwerken zonder de gebruiker hiervan op de hoogte te stellen en zijn toestemming te hebben verkregen.
Wil je niet (weer) om toestemming vragen maar de ontvangen data toch voor een ander doel gebruiken? Dan kan het wellicht interessant zijn om eens na te gaan of de persoonsgegevens te anonimiseren zijn.
#3 Minimale gegevensverwerking
Het beginsel van de ‘minimale gegevensverwerking’ is eigenlijk heel recht-toe-recht-aan: verzamel geen persoonsgegevens die je niet nodig hebt. Oftewel, ga eens na welke persoonsgegevens je nou echt nodig hebt (en welke niet). Als het voor jouw app voldoende is om het land van de gebruiker te weten, dan is het niet de bedoeling dat je om de exacte locatie van de gebruiker vraagt. Verzamelen om het verzamelen, is dus niet de bedoeling.
#4 Juistheid
Als je met jouw app persoonsgegevens mag verwerken, moet je er nog wel even voor zorgen dat de gegevens die je verwerkt correct (en actueel) zijn. Gegevens die niet (langer) juist zijn, moeten kunnen worden gewist of gecorrigeerd. Het is dus belangrijk dat je de gebruiker van jouw app in staat stelt zijn gegevens up-to-daten, dan wel te corrigeren (bijvoorbeeld in zijn eigen account).
#5 Opslagbeperking
Als uitgangspunt geldt dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel van de verwerking. Je moet data dus vernietigen of wissen (anonimiseren valt hier ook onder) indien deze niet langer noodzakelijk zijn. Het is bijvoorbeeld niet privacy-okay om verwijderde accounts slechts te behandelen als ‘inactieve gebruikers’. Data van inactieve gebruikers zal - na een zekere periode - echt ook daadwerkelijk moeten worden verwijderd.
Trouwens, je dient je er überhaupt bewust van te zijn dat de gebruikers van jouw app ook een zogeheten ‘recht om te vergeten’ hebben. In andere woorden: je moet in staat zijn data te verwijderen, wanneer hierom wordt verzocht.
#6 Integriteit en vertrouwelijkheid
Als app-provider heb je een zekere verantwoordelijkheid tegenover jouw gebruikers. Zo dien je ervoor te zorgen dat alle persoonsgegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking. Je moet hiervoor dus bepaalde organisatorische en technische maatregelen nemen. Denk bijvoorbeeld aan het implementeren van een controlemechanisme in jouw app, waarmee ongeoorloofde toegang tot een gebruikersaccount kan worden opgespoord. Maar ook het encrypten of pseudonimiseren van data valt hieronder.