On a positive note: privacy kan ook een kans opleveren voor jou als app-provider. Met een privacyvriendelijke app kan jij je onderscheiden van jouw concurrenten en laat je tegelijkertijd zien aan jouw gebruikers dat je hun privacy serieus neemt.
Goed, de hamvraag blijft natuurlijk hoe je nou eigenlijk een app lanceert die privacy-okay is. In deze blog leg ik jou uit waar je zoal rekening mee dient te houden.
Waarom is de AVG relevant voor app-providers?
Mobiele applicaties kunnen gigantisch veel persoonsgegevens (weet je niet wat persoonsgegevens zijn? Klik dan hier) verwerken. Zo kan een app bijvoorbeeld:
- De exacte locatie van een gebruiker bepalen;
- Toegang krijgen tot foto’s die zijn opgeslagen op de mobiel van gebruiker;
- De login gegevens verzamelen van social media kanalen.
De kans dat je geen persoonsgegevens verwerkt met jouw app (en de AVG dus niet van toepassing is), is echt bijzonder klein. Ik denk dan bijvoorbeeld aan een app die alle data heeft geanonimiseerd. Vooralsnog geldt als uitgangspunt dat je als app-provider rekening dient te houden met de AVG en ook daadwerkelijk verantwoordelijk bent voor de naleving van de privacywetgeving.
Maar hoe doe je dat dan, rekening houden met de AVG?
Privacy vraagt om maatwerk
Ik ben bang dat ik met een enigszins teleurstellende boodschap moet beginnen: een one size fits all scenario is helaas uitgesloten: privacy vraagt om maatwerk. Als je bijvoorbeeld een health app ontwikkelt, verwerk je zogeheten bijzondere persoonsgegevens (gegevens die naar hun aard gevoelig zijn en daarom extra bescherming krijgen in de wet). Om bijzondere persoonsgegevens te mogen verwerken (zoals gegevens over iemands gezondheid) moet je om expliciete toestemming vragen. Expliciet betekent o.a. dat je niet wegkomt met reeds aangevinkte vakjes of impliciete toestemming (“als je verder scrollt, gaan we ervan uit dat je instemt met het verwerken van jouw gegevens”). De gebruiker van de app moet dus actief zijn toestemming geven.
Richt jouw app zich ook op kinderen? Wees je er dan van bewust dat de AVG strikte(re) waarborgen bevat voor de verwerking van gegevens van kinderen.
Ondanks dat het ontwikkelen van een privacyvriendelijke app dus om maatwerk vraagt, zijn er 3 vragen te onderscheiden waar elke app-provider mee dient te beginnen:
- Wat voor type data verzamel en gebruik ik?
- Waarom verwerk ik persoonsgegevens?
- Met wie worden persoonsgegevens gedeeld en voor welke doeleinden?
Het beantwoorden van deze 3 vragen heeft vaak heel wat voeten in de aarde. Een tip: schets het! Door de datastromen te tekenen, wordt het geheel een stuk overzichtelijker.
Je hebt een wettelijke grondslag nodig
Om als app-provider persoonsgegevens te mogen verwerken, heb je een geldige wettelijke grondslag nodig. Beginnen met het verzamelen van data zonder wettelijke grondslag is dus echt niet de bedoeling. In de AVG staan 6 grondslagen:
- Toestemming
- Noodzakelijk voor de uitvoering van de overeenkomst
- Nakomen van een wettelijke verplichting
- Gerechtvaardigd belang
- Publieke taak
- Bescherming vitaal belang
Nadat je in kaart hebt gebracht welke data-stromen er precies zijn, zal je dus moeten nagaan op welke grondslag(en) je jouw verwerking(en) kan baseren. Het is aan te raden om bij dit proces een privacy-jurist te betrekken, aangezien je wilt voorkomen dat een verkeerd gekozen grondslag als een “zwaard van Damocles” boven al je verwerkingen hangt. Zo is het bijvoorbeeld een misverstand dat je altijd om toestemming moet vragen (grondslag 1) voor de verwerking van persoonsgegevens. Alhoewel de grondslag “toestemming” zeker een veelvoorkomende is, hoeft deze niet altijd te worden gebruikt. Het vragen om toestemming, wanneer dit niet nodig is, kan zelfs onverstandig zijn. Immers, aan het vragen van toestemming onder de AVG worden best zware eisen gesteld. Bovendien moet je er rekening mee houden dat de gebruiker zijn gegeven toestemming op elk moment weer kan intrekken. Het standaard hanteren van toestemming als grondslag, is dus niet echt handig (en dat is een understatement).
6 privacy-beginselen waar je rekening mee moet houden
De AVG bevat een aantal (6 om precies te zien) beginselen die moeten worden nageleefd tijdens het verwerken van persoonsgegevens. Als app-provider is het dan ook belangrijk om van deze beginselen kennis te nemen en ze mee te nemen in de ontwikkeling van je app.
#1 Rechtmatigheid, behoorlijkheid en transparantie
Wees transparant naar de gebruiker toe over wie jij bent en wat, hoe en waarom je persoonsgegevens verwerkt. Denk daarbij o.a. aan het opnemen van een privacyverklaring in jouw app. Zorg ervoor dat de privacyverklaring makkelijk te vinden is en goed leesbaar is.
Wees je ervan bewust dat de gebruiker van jouw app diverse privacy-rechten heeft. De app moet dus zo worden ontworpen dat de gebruiker ook daadwerkelijk in staat is om zijn rechten uit te oefenen.
Transparantie betekent ook dat je niet in het geheim updates doorvoert die effect kunnen hebben op de privacy van de gebruiker. Indien een update de privacy van de gebruiker kan beïnvloeden, moet je de gebruiker de gelegenheid geven om hiermee akkoord te gaan.
#2 Doelbinding
Je mag alleen gegevens verwerken voor een vooraf gespecificeerd specifiek doel en je mag deze gegevens in beginsel niet voor een ander doel (her)gebruiken. Hoewel het aanlokkelijk kan zijn om een heel algemeen doel te formuleren, zoals “om onze dienstverlening te kunnen aanbieden”, is dit onder de AVG niet toegestaan. Tegelijkertijd wil je jezelf ook niet in de vingers snijden door te specifiek te zijn.
Goed, je mag de verzamelde persoonsgegevens dus niet zomaar verder verwerken zonder de gebruiker hiervan op de hoogte te stellen en zijn toestemming te hebben verkregen.
Wil je niet (weer) om toestemming vragen maar de ontvangen data toch voor een ander doel gebruiken? Dan kan het wellicht interessant zijn om eens na te gaan of de persoonsgegevens te anonimiseren zijn.
#3 Minimale gegevensverwerking
Het beginsel van de ‘minimale gegevensverwerking’ is eigenlijk heel recht-toe-recht-aan: verzamel geen persoonsgegevens die je niet nodig hebt. Oftewel, ga eens na welke persoonsgegevens je nou echt nodig hebt (en welke niet). Als het voor jouw app voldoende is om het land van de gebruiker te weten, dan is het niet de bedoeling dat je om de exacte locatie van de gebruiker vraagt. Verzamelen om het verzamelen, is dus niet de bedoeling.
#4 Juistheid
Als je met jouw app persoonsgegevens mag verwerken, moet je er nog wel even voor zorgen dat de gegevens die je verwerkt correct (en actueel) zijn. Gegevens die niet (langer) juist zijn, moeten kunnen worden gewist of gecorrigeerd. Het is dus belangrijk dat je de gebruiker van jouw app in staat stelt zijn gegevens up-to-daten, dan wel te corrigeren (bijvoorbeeld in zijn eigen account).
#5 Opslagbeperking
Als uitgangspunt geldt dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel van de verwerking. Je moet data dus vernietigen of wissen (anonimiseren valt hier ook onder) indien deze niet langer noodzakelijk zijn. Het is bijvoorbeeld niet privacy-okay om verwijderde accounts slechts te behandelen als ‘inactieve gebruikers’. Data van inactieve gebruikers zal - na een zekere periode - echt ook daadwerkelijk moeten worden verwijderd.
Trouwens, je dient je er überhaupt bewust van te zijn dat de gebruikers van jouw app ook een zogeheten ‘recht om te vergeten’ hebben. In andere woorden: je moet in staat zijn data te verwijderen, wanneer hierom wordt verzocht.
#6 Integriteit en vertrouwelijkheid
Als app-provider heb je een zekere verantwoordelijkheid tegenover jouw gebruikers. Zo dien je ervoor te zorgen dat alle persoonsgegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking. Je moet hiervoor dus bepaalde organisatorische en technische maatregelen nemen. Denk bijvoorbeeld aan het implementeren van een controlemechanisme in jouw app, waarmee ongeoorloofde toegang tot een gebruikersaccount kan worden opgespoord. Maar ook het encrypten of pseudonimiseren van data valt hieronder.
Ben je in staat om op een privacy verzoek te reageren?
De gebruiker van jouw app heeft volgens de AVG bepaalde privacy-rechten, zoals het recht op inzage, het recht op dataportabiliteit, etc. Voor een overzicht van alle privacyrechten, klik hier. Als app-provider moet je natuurlijk in staat zijn om op dergelijke verzoeken te reageren. Wacht nou niet tot het moment dat het eerste verzoek binnenkomt en je in een vlaag van paniek moet gaan googelen op “privacyrechten”, maar maak voordat de app gelanceerd wordt al een plan van aanpak. Misschien is het bijvoorbeeld wel interessant voor jullie om een privacy-officer in te schakelen die dergelijke verzoeken op zich gaat nemen.
Privacy is nooit klaar
Privacy is niet iets wat je kan afronden en vergeten. Om privacy-okay te blijven, zal je jouw app regelmatig moeten evalueren. Dat privacy nooit ‘klaar’ is, blijkt bijvoorbeeld ook uit artikel 32 AVG waarin staat dat organisaties ‘passende technische en organisatorische maatregelen’ moeten treffen ter bescherming van de persoonsgegevens. Wat ‘passend’ is, hangt o.a. af van the state of the art. Plan dus eens in de zoveel tijd een moment in om de privacy van jouw app goed onder de loep te nemen en blijf op de hoogte van relevante technologische ontwikkelingen.