Vergroot contrast

Europese privacytoezichthouders publiceren opinie over mobiele apps

​De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep, adresseren vandaag in hun gezamenlijke opinie de grootste privacyrisico's van mobiele apps. In de opinie worden de concrete verplichtingen op grond van Europese privacywetgeving voor app-ontwikkelaars en alle andere betrokken partijen bij de ontwikkeling en distributie van apps uitgewerkt. Andere partijen zijn onder meer app stores, advertentiebedrijven en fabrikanten van besturingssystemen. In de opinie wordt speciale aandacht gegeven aan apps gericht op kinderen.

Gemiddeld 37 apps

Een smartphone-gebruiker heeft gemiddeld zo'n 37 apps gedownload. Apps kunnen enorme hoeveelheden persoonsgegevens van die gebruiker verwerken, onder meer door toegang tot het fotoalbum of het gebruik van locatiegegevens. “Dit gebeurt nu vaak zonder dat gebruikers hierover goed zijn geïnformeerd en zonder dat zij hiervoor vrijelijk toestemming hebben kunnen geven. Dat is in strijd met Europese privacywetgeving”, aldus de voorzitter van de Artikel 29-werkgroep Jacob Kohnstamm.

Privacyrisico's apps

​Smartphones en tablets bevatten veel intieme gegevens van en over hun gebruikers, zoals  contacten, locatie-informatie, creditcardgegevens en foto's en video's. App-ontwikkelaars kunnen door het verwerken van deze gegevens nieuwe en innovatieve diensten bieden. Maar als de ontwikkelaars de privacywetgeving niet naleven, leidt dit tot grote risico's voor de persoonlijke levenssfeer van de app-gebruikers.

Het is van belang dat mensen zelf zeggenschap over hun persoonsgegevens hebben. Bij veel apps worden mensen onvoldoende geïnformeerd over de persoonsgegevens die de apps verwerken. Bovendien is er geen sprake van rechtsgeldige toestemming door gebruikers een lange lijst algemene voorwaarden te laten accepteren.

Daarbij komt nog het privacyrisico dat sommige apps veel meer gegevens gebruiken dan noodzakelijk voor de werking van de app en rekbare doeleinden formuleren voor de gegevensverwerking zoals 'marktonderzoek'.

Onvoldoende beveiligingsmaatregelen in de app vormen ook een risico. Slechte beveiliging van de app kan ertoe leiden dat (gevoelige) persoonsgegevens in handen van anderen komen, bijvoorbeeld door een datalek.

App-ontwikkelaars

Er zijn veel partijen betrokken bij de ontwikkeling, distributie en uiteindelijke werking van een app. Het is van belang dat alle betrokken partijen hun eigen verantwoordelijkheid nemen om een veilige en beschermde omgeving te creëren die voldoet aan de wet. Om de hoogste standaard voor de bescherming van persoonsgegevens te bereiken, is het bovendien belangrijk dat de verschillende partijen in het app-ecosysteem met elkaar samen werken. 
 
App-ontwikkelaars hebben de grootste controle over de manier waarop de verwerking van de gegevens plaatsvindt en hoe de informatie in de app wordt gepresenteerd. De opinie geeft voor hen onder meer de volgende verplichtingen en aanbevelingen.

Verplichtingen apps

App-ontwikkelaars moeten:

  • toestemming vragen voor de verwerking van persoonsgegevens vóórdat de app informatie van het apparaat haalt of daar informatie op plaatst;
  • apart toestemming vragen voor de verschillende soorten persoonsgegevens die de app verwerkt;
  • duidelijke en begrijpelijke doelen aangeven waarvoor de gegevens worden gebruikt en deze doelen niet tussentijds wijzigen zonder toestemming;
  • gebruikers de gelegenheid geven hun toestemming in te trekken, de app te de-installeren en de al verzamelde persoonsgegevens te verwijderen;
  • alleen gegevens verzamelen die echt nodig zijn voor de gewenste functionaliteit;
  • de benodigde technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen;
  • zorgen voor leesbare, begrijpelijke en goed toegankelijke privacyvoorwaarden.

Aanbevelingen apps

Aanbevelingen voor app-ontwikkelaars:

  • informeer gebruikers actief als er een datalek heeft plaatsgevonden;
  • ontwikkel tools om gebruikers in de gelegenheid te stellen zelf te bepalen hoe lang hun persoonsgegevens bewaard blijven;
  • neem in de privacyvoorwaarden informatie op speciaal voor Europese gebruikers;
  • zet creatief talent om samen met de fabrikanten van het besturingssysteem en de apparaten, en de app-stores om innovatieve oplossingen te bedenken om gebruikers van mobiele apparaten adequaat te informeren, bijvoorbeeld via een systeem van gelaagde informatie gecombineerd met icoontjes.

Apps voor kinderen

Waar het gaat om apps voor kinderen, schrijft de opinie voor dat app-ontwikkelaars onder meer:

  • rekening moeten houden met de definitie van kinderen of minderjarigen in nationale wetgeving, om te bepalen wanneer toestemming van de ouder nodig is;
  • bewust moeten zijn van het beperkte begrip van kinderen voor de verwerking van persoonsgegevens;
  • nog stringenter moeten omgaan met de principes van dataminimalisatie en doelbinding;
  • persoonsgegevens van kinderen niet mogen gebruiken voor behavioural advertising doeleinden;
  • via kinderen geen persoonsgegevens mogen verzamelen van familie of vrienden;
  • informatie op een simpele manier moeten aanbieden, in een taal die past bij de leeftijd.

CBP

Het College bescherming persoonsgegevens (CBP) heeft de verwerking van persoonsgegevens via mobiele apps hoog op de agenda staan. Eerder dit jaar presenteerde het CBP samen met de Canadese privacytoezichthouder al de bevindingen in het onderzoek naar de mobiele app WhatsApp.

Gerelateerd nieuws