Apps: techniek vs wetgeving, een dilemma
Redactioneel artikel ingezonden door Henk Bultena, DDMA.
Veel apps voldoen niet aan de privacy regels, aldus de Artikel-29 werkgroep. Maar kunnen zij überhaupt aan de wet voldoen als de dominante besturingssystemen Apple en Google hier geen mogelijkheid toe bieden? De sector ging via brancheorganisatie DDMA in gesprek met het College bescherming persoonsgegevens (CBP) en stelde een handleiding op.
Apps
“Het via GPS kenbaar maken aan vrienden waar je bent, vindt iedereen een belachelijk idee, wellicht alleen handig om toe te passen bij kleine kinderen”.
Dit gaven consumenten in 2009 aan in een onderzoek van het CBP en Regioplan . Tijden veranderen. Nu vinden veel consumenten het leuk om aan te geven waar ze zijn. Denk alleen al aan de app van Foursquare. Velen checken zich graag in bij een voetbalwedstrijd of het plaatselijk café. Bij het gebruik van GPS in een app zijn ontwikkelaars gebonden aan juridische regels, maar ook aan technische richtlijnen van besturingssystemen als Apple en Google. Hoe hier nu mee om te gaan?
Opinie Artikel 29-werkgroep
Het CBP heeft in maart 2013 een opinie van de Artikel-29 werkgroep gepubliceerd met betrekking tot apps en de verwerking van persoonsgegevens . Hierin wordt uitgelegd hoe privacyschending voorkomen kan worden. Belangrijk is dat een gebruiker duidelijk en begrijpelijk wordt geïnformeerd over, wanneer zijn persoonlijke gegevens gebruikt worden door de app (denk aan GPS, contactenlijsten, maar ook nummers als IMEI of een MAC-adres). Daarna dient er toestemming gevraagd te worden ingevolge artikel 11.7a Telecommunicatiewet (in de volksmond de cookiewet genoemd, maar de regels gelden ook voor apps). Dit moet gebeuren voordat de app informatie van het apparaat haalt of daar op plaatst. Van de verdere verwerking van persoonsgegevens door een app moet je de consument daarnaast ook op de hoogte stellen. Dit vloeit voort uit de informatieplicht van de privacywetgeving.
Techniek vs wetgeving
Hoe kan er nu geïnformeerd en toestemming gevraagd worden in lijn met de zienswijze van de Artikel-29 werkgroep? Dit is nog niet zo gemakkelijk. Apps worden aangeboden via bijvoorbeeld de App-/Play Store. Deze besturingssystemen werken met richtlijnen waaraan app ontwikkelaars zich moeten houden. Informeren gaat met Google Play met een zin als: de app heeft toegang nodig tot uw locatie. Maar in dit geval is nog niet precies duidelijk waarom de app toegang moet hebben tot de locatie. Dit kan bijvoorbeeld zijn voor het laten zien van een interactieve looproute in een app. Het is in ieder geval nu niet duidelijk geïnformeerd. Dit is dan ook niet in lijn met wat de Artikel-29 werkgroep stelt.
Mogelijke oplossing
Het CBP heeft in correspondentie met DDMA aangegeven dat de app ontwikkelaar in zijn interface zelf zal moeten voorzien in specifieke informatie over welke gegevens door hem voor welk doel worden verwerkt. Een mogelijke oplossing hiervoor is te informeren in een aparte schermmelding in de app zelf, voordat er informatie van het apparaat gehaald of geplaatst wordt. Daarna zou er op toestemming geklikt kunnen worden. App ontwikkelaars moeten een dergelijke schermmelding inbouwen in de app, wat lastig is door de richtlijnen van de dominante besturingssystemen. Deze systemen bieden geen opties om conform de Artikel 29-werkgroep te informeren en toestemming te vragen, dus moet de app ontwikkelaar zelf aan de slag. Daarnaast wordt de gebruiksvriendelijkheid er door een extra ‘pop-up’ niet beter op. Een eenvoudiger oplossing is uitgebreid te informeren in de App-/Play store zelf. Hierdoor is geen extra ‘pop-up’ melding nodig. Nadat in de App-/Play store geïnformeerd is, kan er toestemming worden gevraagd. Op dit moment is dit door de technische richtlijnen van Apple en Google echter nog niet mogelijk. De toekomst zal uitwijzen welke kant op te gaan. Tot die tijd is het informeren/toestemming vragen in de app zelf de enige oplossing.
Zie voor de handleiding: https://ddma.nl/juridisch-loket/dossiers/mobile/