De Europese privacytoezichthouders, verzameld in Artikel 29-werkgroep, hebben in een opinie de verplichtingen die op grond van privacywetgeving voor app-ontwikkelaars en de betrokken partijen gelden bij de ontwikkeling en distributie van apps, nader geconcretiseerd. In dit bericht meer over de achtergronden en de gevolgen hiervan.
Op smartphones en tablets worden doorgaans veel persoonsgegevens opgeslagen. App-ontwikkelaars kunnen door het verwerken van deze gegevens nieuwe en innovatieve diensten bieden. Hierin schuilen echter grote risico’s als de ontwikkelaars de privacywetgeving niet naleven. Deze risico’s zijn niet te overzien aangezien de persoonsgegevens binnen de apps vaak ook voor andere doeleinden worden verwerkt dan waarvoor de toestemming (al dan niet vrijelijk) door de gebruiker wordt verleend bij de installatie daarvan, of simpelweg doordat onvoldoende beveiligingsmaatregelen zijn getroffen waardoor die gegevens onbedoeld in handen van derden kunnen komen.
CBP heeft op basis van de voornoemde opinie een persbericht opgesteld waarin app-ontwikkelaars worden gewezen op deze risico’s. Hierin worden tevens enkele aanbevelingen uit de opinie aangegeven waarmee apps veiliger kunnen worden en aan de wettelijke regels kunnen voldoen. Hoofdstuk 4 van de opinie behandelt de conclusies en de aanbevelingen waarvan ik slechts enkele bijzondere verplichtingen van dwingende aard in dit bericht wil uitlichten:
Verplichtingen (van dwingende aard) voor de app-ontwikkelaars:
- Toestemming vragen voor de verwerking van persoonsgegevens vóór(!) de installatie van de app en voor elke data type waar de app toegang tot zal hebben, en in het bijzonder voor de volgende: locatiedata, contacten, UDI (Unique Device Identifier), credit card en bankrekeningnummer, gesprek en sms –data, browser geschiedenis, e-mail, biometrische gegevens en de (login) gegevens opgeslagen voor/door het gebruik van sociale netwerken;
- Gebruikers in staat stellen om de verleende toestemming voor het gebruik van data, in te kunnen trekken en de verzamelde gegevens te kunnen verwijderen;
- Het principe van noodzakelijke verwerking naleven en alleen die data verzamelen die strikt noodzakelijk is voor de beoogde functionaliteit;
- Doelen van de noodzakelijk verwerking niet tussentijds wijzigen zonder daarover de gebruiker te informeren;
- Alle benodigde en mogelijke technische en organisatorische maatregelen treffen om de gegevens te beveiligen;
- Zorgen voor volledige, leesbare, begrijpelijke en goed ontsloten voorwaarden.
Wilt u meer lezen over deze plichten en voorwaarden voor het opnemen van persoonsgegevens in apps, raadpleeg dan de opinie van Artikel-29 werkgroep op de website van CBP. Heeft u na het lezen van deze informatie nog steeds vragen over het verwerken van persoonsgegevens in apps, neem dan contact met ons op, (mede)schrijver van het artikel “Risico’s mobiele applicaties”.