Miljoentje hier, miljoentje daar... de boetes die worden gegeven voor AVG overtredingen zijn niet mals! Dat wil je natuurlijk voorkomen, dus om meer te weten over waar je aan moet voldoen volgens de AVG, sprak ik in een podcast interview met Bieneke Braat (rechts). Bieneke is advocate bij Bitlegal. Met haar nam ik de podcast op waarin je veel juridische tips en trucs voor je app krijgt en vind je op Spotify, Apple Podcast en YouTube. Lees de aanpak voor het voldoen aan de AVG in het onderstaande blog:
Voor de goede orde: AVG staat voor Algemene Verordening Gegevensbescherming en de GDPR betekent General Data Protection Regulation. Dezelfde wet maar met een andere internationale naam. Deze privacywet geldt voor heel de Europese Unie.
Wat zijn de belangrijkste punten uit de Europese privacy wet AVG / GDPR?
Je wil natuurlijk wel weten wat wel en niet mag volgens de AVG / GDPR. Zodat je niet het risico loopt op deze immense boetes. Voor apps is één van de belangrijkste punten van de AVG dat er in de wetgeving specifieke eisen worden gesteld aan het vragen van toestemming.
Eén van de onwaarheden over de privacywet die rondgaan, is dat je altijd overal toestemming voor moet vragen. Dat is (dus) niet waar! Toestemming is één van de 6 ‘rechtsgronden’ voor het kunnen verwerken van persoonsgegevens via een app. Zo’n rechtsgrond heb je nodig voor iedere soort handeling die je met de gegevens verricht: het verzamelen, het intern gebruiken, analyseren, doorsturen aan andere externe partijen etc.
Je hebt een rechtsgrond nodig om gegevens te kunnen verwerken. Er bestaan 6 grondslagen. Namelijk:
- toestemming van de appgebruiker;
- de gegevens zijn nodig voor het uitvoeren van een overeenkomst met de appgebruiker;
- de gegevens zijn nodig voor een op de app eigenaar rustende wettelijke verplichting;
- het ‘vitaal belang’ van de appgebruiker (deze grond kan niet worden gebruikt bij gewone apps);
- de gegevens zijn nodig voor een algemeen belang of het uitvoeren van een publiekrechtelijke taak (dit kan worden gebruikt door publieke organisaties);
- het ‘gerechtvaardigd belang’ van de organisatie of een andere persoon of partij, waarbij het (privacy)belang van de persoon niet vóór mag gaan.
Lees in het grijze blokje hieronder wanneer je wel toestemming moet vragen:
Moet je toestemming vragen voor het gebruik van de gegevens? Kom erachter in 3 stappen:
In de praktijk komt het er vaak op neer dat je jezelf deze vragen stelt:
1) Welke gegevens heb je echt nodig voor het normale gebruik van je app?
Voor een gaming app zie je vaak dat gebruikers een gebruikersnaam uitkiezen zodat zij spelletjes kunnen spelen met andere gebruikers. Of bij een app die bedoeld is om te laten zien waar andere app gebruikers (vrienden bijvoorbeeld) zich bevinden, dan vereist dit hun locatiegegevens. Om in een messenger app berichten te sturen naar andere mensen die de app ook hebben, zijn gegevens uit het telefoonboek nodig.
2) Ben je wettelijk verplicht om bepaalde gegevens te verzamelen?
Denk bijvoorbeeld aan transactiegegevens die je moet bewaren voor de belastingdienst. Dan mag je dat doen. Voor gegevens die je niet echt nodig hebt voor de app of voor een wettelijke plicht, kijk of daarvoor een ‘gerechtvaardigd belang’ is. Kort gezegd moet je dan kijken naar wat de app gebruiker mag verwachten en hoe ‘persoonlijk’ de gegevens zijn.
3) Heb je gerechtvaardigd belang?
Locatiegegevens zijn bijvoorbeeld heel persoonlijk omdat de app gebruiker overal kan worden gevolgd. Dan heb je geen gerechtvaardigd belang als het niet echt nodig is voor de app. Dat geldt ook voor andere manieren van gebruik van de gegevens: ga je vergaande analyses doen om een profiel op te bouwen van de persoon zodat je deze gegevens weer kunt doorverkopen, dan ga je verder dan wat de app gebruiker mag verwachten en heb je geen gerechtvaardigd belang.
Bedenk ook dat je eerder een gerechtvaardigd belang hebt, als je de app gebruiker duidelijk de mogelijkheid hebt gegeven om GEEN gegevens te delen. Als hij er voor kiest om dat dan toch te doen, mag je er eerder van uitgaan dat het belang van de app gebruiker niet vóór jouw belang gaat.
Kom je niet door de ‘test’ van het gerechtvaardigd belang heen? Dan moet je toestemming vragen voor die gegevens. Let wel op dat er bijzondere regels kunnen gelden, zoals bij gegevens van kinderen, bijzondere persoonsgegevens en profiling. Die bespreken we hieronder:
Uitzondering 1: kinderen
De AVG is strenger als het gegevens van kinderen betreft. Het gaat dan om kinderen onder de 16 jaar. De wet vindt dat het belang van het kind eerder vóór het belang van de organisatie of de derde gaat. Dit betekent in feite dat als je de gegevens niet écht nodig hebt voor het normale gebruik van de app, je niet snel het gerechtvaardigd belang kunt gebruiken en je toestemming moet vragen.
Als je weet dat kinderen je app gebruiken en uit de ‘rechtsgronden test’ blijkt dat je toestemming moet vragen, dan moet je nagaan of de ouders of voogden van het kind toestemming geven.
Om na te gaan of het om een kind gaat, kan je in de app vragen hoe oud de gebruiker is. Is de persoon onder de 16 jaar? Dan moet je nagaan of de ouders of voogden toestemming geven voor het gebruik van de gegevens. In de privacywet staat niet precies hoe ver je daarbij moet gaan maar hoe ‘persoonlijker’ de gegevens, hoe verder je moet gaan. Gaat het bijvoorbeeld om een huiswerk app, waarbij je gedetailleerd kunt zien hoe het kind presteert, dan moet je verder gaan dan als het om een gewone gaming app gaat waar niet veel gegevens uit worden gehaald.
Als je toestemming moet vragen, kan je bijvoorbeeld het e-mailadres van de ouders opvragen en dan via dat e-mailadres de ouders vragen akkoord te geven. Anders zou je het kind kunnen vragen of zijn ouders of voogden toestemming geven voor het delen van de gegevens. Dit moet van geval tot geval worden bekeken.
Verder stelt de AVG als eis dat de privacyverklaring eenvoudig te begrijpen moet zijn voor kinderen. Je zou bijvoorbeeld best met plaatjes of een infographic kunnen werken. Ook moet je gegevens van kinderen eerder verwijderen wanneer ze daar om vragen dan wanneer het gaat om gegevens van een volwassene. Dat gaat zelfs zo ver, dat als iemand volwassen is maar als kind gegevens heeft gegeven, hij kan eisen dat je de gegevens verwijdert.
Uitzondering 2: bijzondere persoonsgegevens
Als je app gebruikt maakt van ‘bijzondere persoonsgegevens’, moet je daar extra aandacht aan besteden. Daarvoor geldt namelijk als uitgangspunt dat het verboden is om die te gebruiken. Alleen als er in de wet een specifieke uitzondering staat, of je geldige toestemming vraagt, mag je die gebruiken.
Dit is een aparte categorie gegevens. Het gaat daarbij om: gegevens over gezondheid, geloof, ras of etnische afkomst, politieke voorkeuren, seksuele gerichtheid of geaardheid, lidmaatschap van een vakbond, strafrechtelijke gegevens, biometrische gegevens om de persoon mee te identificeren en genetische gegevens.
Als je bijvoorbeeld gebruik maakt van gegevens van de app gebruiker uit een fitness app, van een vingerafdrukscan, of gezichtsherkenning dan moet je nagaan of je die gegevens wel mag gebruiken, of toestemming vragen van de app gebruiker.
"Met profiling zouden mensen uit bepaalde postcodes bijvoorbeeld sommige vacatures niet te zien krijgen."
Uitzondering 3: profiling
Een ander onderdeel dat in de AVG staat, is profiling. Profiling houdt het automatisch opbouwen van profielen van mensen in. En daarbij het automatisch nemen van beslissingen over die mensen. In principe mag profiling, als de appgebruikers er niet door worden getroffen of het niet juridische gevolgen heeft.
Hoe kan profiling dan een probleem vormen? Stel, je hebt een sollicitatiegesprek bij een bedrijf. Door profiling zou je dan bij voorbaat automatisch afgewezen kunnen worden aan de hand van je postcode. Het zou zelfs kunnen dat mensen uit bepaalde postcode gebieden sommige vacatures niet te zien krijgen.
Wanneer profiling met (juridische) gevolgen dan wel mag? Als het nodig is om na te gaan of je een overeenkomst met de persoon aan wilt gaan, als de persoon toestemming geeft of als het in een specifieke wet wordt toegestaan. Dat moet natuurlijk per situatie worden bekeken. Maar als het om bijzondere persoonsgegevens gaat, mag het alléén met toestemming van de persoon. En ook als het mag, moet je maatregelen nemen om te zorgen dat de persoon niet wordt gediscrimineerd, dat er geen fouten worden gemaakt bij de beslissing en dat de persoon bezwaar kan maken tegen de beslissing.
Als je aan dit soort profiling doet, moet je daar ook uitleg over geven in je privacyverklaring. Dat document is verplicht om de gebruiker te informeren over wat je met zijn gegevens doet. Er zijn ook een hoop andere zaken die je in je privacyverklaring moeten zetten, kijk daarvoor hieronder in dit blog.
Hoe moet je toestemming vragen?
Als je toestemming vraagt moet je zorgen dat dat conform de AVG gaat. Zo mag je de appgebruiker niet onder druk zetten om toestemming te geven. Je mag geen vooraangevinkte vinkjes of op ‘aan’ gezette schuifjes gebruiken, de appgebruiker moet dus zelf actie nemen. Het moet voor de appgebruiker duidelijk zijn waarvoor deze precies toestemming geeft (voor welke doeleinden) en de appgebruiker moet daarover zijn geïnformeerd. Je moet de appgebruiker ook laten weten dat de toestemming weer kan worden ingetrokken. Verder moet je kunnen aantonen dat de appgebruiker toestemming heeft gegeven, door dit bijvoorbeeld te loggen. Vergeet ook niet de toestemming van de ouders als de appgebruiker een kind is.
Wat is het risico als je je niet houdt aan de AVG?
Houd je je niet aan de weg? Het risico dat je dan loopt is het betalen van GIGANTISCHE boetes. Er bestaan verschillende categorieën waar dan naar wordt gekeken, om de hoogte van de boete te bepalen. Zo kan je bij gebruik van ‘bijzonder persoonsgegevens’ terwijl dat niet mag, een boete van maximaal €20 miljoen of 4% van je wereldwijde omzet betalen. Een voorbeeld van bijzondere persoonsgegevens zijn medische gegevens of andere gegevens over de gezondheid. Voor andere categorieën kan dat € 10 miljoen of 2% van je omzet zijn.
Wellicht klinken die percentages laag, maar dat is afhankelijk van je positie. Voor kleinere bedrijven zal het eerder om vaste bedragen gaan en niet een percentage van de omzet. Om de hoogte van de boete vast te stellen wordt er o.a. gekeken naar hoe het bedrijf heeft meegewerkt, of dit de eerste keer is of dat er vaker gegevens zijn misbruikt. Juist bij grote bedrijven als Google wordt er een percentage gerekend, dan doet 4% van de omzet méér pijn dan € 20 miljoen. Zo heeft Facebook al meerdere boetes opgelegd gekregen van meer dan 1 miljard!
Deze bekende Nederlandse bedrijven kregen al AVG boetes:
- Uber - € 600.000 - Datalek
- Hagaziekenhuis - € 350.000 - Slechte beveiliging
- Tennisbond KNLTB - € 525.000 - Verkopen persoonsgegevens
- BKR - € 830.000 - Tegenwerking inzage persoonsgegevens
- OLVG Ziekenhuis - € 440.000 - Slechte beveiliging
- Booking.com - € 475.000 - Laat melden van Datalek
- Gemeente Enschede - € 600.000 - Wifi-tracking
- PVV Overijssel €7.500 - Groeps e-mail met ieders mailadres zichtbaar
Wat moet ik opnemen in de privacy verklaring?
Door de privacywet word je aan het werk gezet om je privacyverklaring te laten kloppen en de appgebruikers duidelijke informatie te geven over wat je met hun gegevens doet. Zo worden ondernemers bewust gemaakt van hun verantwoordelijkheid.
Om kort op te sommen wat in de privacy verklaring moet staan:
- Standaard moeten de identiteit en contactgegevens van jou als eigenaar of organisatie achter de app, erin staan. Wie ben je en voor welke doeleinden gebruik je de gegevens?
- Welke rechtsgronden je hebt. Verzamel je de gegevens op basis van de overeenkomst (om de app aan te kunnen bieden), toestemming of je gerechtvaardigd belangen? En wat zijn je gerechtvaardigde belangen?
- Is de gebruiker verplicht gegevens af te geven om de app goed te kunnen gebruiken? Is dat een contractuele of wettelijke verplichting?
- Geef je gegevens door aan andere partijen? Dan moet je aangeven welke partijen dat zijn. Als het niet goed mogelijk is om ze bij naam te noemen kun je ook aangeven wat voor soort partijen dat zijn. Denk hierbij aan je hosting provider en andere IT-dienstverleners, maar ook aan advertentiepartners met wie je de gegevens deelt.
- Het doorgeven van gegevens naar buiten Europa (bijvoorbeeld opslag in Amerika). Er moeten maatregelen worden genomen om dat te mogen doen. Welke maatregelen heb je daarvoor getroffen?
- Een FG (Functionaris Gegevensbescherming) is noodzakelijk bij het grootschalig verwerken van risicovolle persoonsgegevens (dat is meestal niet het geval voor startups). Benoem de contactgegevens van de FG.
- Hoe lang de gegevens bewaard worden. Bijvoorbeeld: Gegevens worden 2 jaar na deïnstallatie van de app verwijderd.
- Welke rechten hebben de appgebruikers? Zoals het rechts dat gebruikers hebben om bezwaar te maken tegen verwerking van hun gegevens, om hun toestemming weer in te trekken, om hun gegevens te verwijderen, het recht op data portabiliteit.
- Dat gebruikers een klacht kunnen indienen bij Autoriteit Persoonsgegevens.
- Maakt je app gebruik van automatische profiling? Informatie over de gegevens, de logica erachter, het belang en de gevolgen voor de betrokken personen.
- Ontvang je gegevens van derden? Van welke bron is dat afkomstig en wat ontvang je precies?
"Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een PIA uit te voeren."
Zijn er nog andere belangrijke dingen om aan te denken?
Ik wil graag met je 3 belangrijke regels bespreken: 1) het recht op ‘dataportabiliteit’, 2) het moeten uitvoeren van ‘Privacy Impact Assessment’ en 3) het toepassen van ‘privacy by design’ en ‘privacy by default’.
1) Wat is het recht op dataportabiliteit? Makkelijk gezegd, dat houdt het recht van gebruikers om hun eigen gegevens mee te krijgen in. Dat moet je dan in een toegankelijk format leveren, zoals een Excel, CSV of Word bestand. Dit moet gemakkelijk te downloaden zijn voor gebruikers. En als de gebruiker dat vraagt, moet je de gegevens overdragen naar een andere (app) provider. Dit recht geldt alleen voor de gegevens die app gebruikers zelf hebben aangeleverd of via de app hebben gegenereerd én als dat gebeurt op grond van toestemming of het uitvoeren van de overeenkomst. Het is dus belangrijk om (technisch) te zorgen dat de app gebruiker dit recht kan uitoefenen. Ook is het goed om te weten wat je moet doen als de gebruiker andere vragen over zijn gegevens heeft.
2) Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is standaard bij een app met bijzondere persoonsgegevens of grootschalige profiling. In een DPIA staan de risico’s, gevolgen en oplossingen van het uitwisselen van deze gegevens beschreven en bekeken wordt hoe die risico’s kunnen worden geadresseerd.
3) ‘Privacy by design en by default’ is een verzamelbegrip voor het toepassen van maatregelen om de gegevens te beschermen en om te zorgen dat ze niet worden gebruikt voor verkeerde doeleinden. In de AVG staat dat dit ‘waar mogelijk’ moet worden toegepast.
Verder noem ik nog kort een paar andere verplichtingen:
- Je moet een overzicht maken van alle soorten persoonsgegevens die je verzamelt, bijvoorbeeld in een Excel bestand. Daar moet dan bijvoorbeeld ook instaan wat de doeleinden zijn en de bewaartermijnen.
- Verder moet je kijken of de afspraken die je hebt gemaakt met IT-partijen die de app hosten, of andere externe partijen die iets met de gegevens doen voor jou, voldoende zijn.
- Zijn er meerdere partijen die verantwoordelijk zijn voor dezelfde app? Dan moet je met die partij(en) contractuele afspraken maken.
- Blijf denken aan beveiliging en datalekken: gegevens behoren goed beveiligd te zijn en treden er bepaalde datalekken op? Dan luidt het uitgangspunt dat een datalek binnen 72 uur wordt gemeld.
Voor een uitgebreider overzicht van de AVG-verplichtingen kun je de handig PDF AVG Checklist downloaden, onderaan deze pagina.
Kortom: waar het in de nieuwe privacywet vooral om gaat is dat je kunt laten zien dat je ‘grip’ hebt op de gegevens en op de privacyregels.
Kan je meer verdienen aan gegevens van mensen?
Je moet als app eigenaar oppassen dat je mensen niet stimuleert om data af te geven, met bijvoorbeeld cadeaus of tegoed. Je moet ze juist controle geven over hun data, daardoor worden de gegevens meer waard. Advertenties behalen hun doel eerder met waardevolle gegevens omdat ze beter op de gebruiker aansluiten. Dus informeer je gebruiker over hun privacy en geef ze controle, om zo meer aan advertenties en de data uit je app te verdienen.
Heb je een tip voor het gebruiken van gegevens in een app?
Eigenlijk moet je je afvragen of je over de grens van privacy heen gaat. In hoeverre kan jij je app niet goed aanbieden, zonder die gegevens? Je mag als app eigenaar zeker kijken naar wat je zelf nodig hebt om de app draaiende te houden en winst te maken. Daarbij moet je zorgen voor een gebruiksvriendelijke app. Als je daarvoor bepaalde gegevens nodig hebt, dan kleur je binnen de lijntjes. Als je om gegevens gaat vragen die niet noodzakelijk zijn, dan ga je over de grens heen. Zo kan het zijn dat iemand die een Messenger app gebruikt, een foto naar een ander wilt sturen. Dat is natuurlijk prima, maar dan is het niet de bedoeling dat je toegang krijgt tot al de foto’s van die persoon!
Gebruik maken van juridische mogelijkheden om je app-idee te beschermen?
Wil je meer weten over jouw app idee juridisch beschermen?
Dat kan met het ‘Drieluik van app-bescherming’. In deze PDF vind je welke opties je hebt met de hoogte van kosten en mate van bescherming erbij aangegeven.
Download de PDF ‘Drieluik van app-bescherming’ door hieronder je emailadres in te vullen.
Met de AVG Checklist krijg je:
✔️ Inzicht een handige checklist
✔️ Snel en eenvoudig voldoen aan de AVG en GDPR
✔️ Veilig gebruik van je gegevens, het checken van de kosten van je app is geheel vrijblijvend. Je gegevens worden niet gedeeld met derden en alle ingevulde gegevens behandelen we uiterst vertrouwelijk.
Toegang tot de AVG Checklist kost normaal €7, nu onbeperkt toegang voor €0:
-David van AppSpecialisten
Reacties: Wat vind jij van dit artikel?
Je hebt het bovenstaande artikel snel doorgelezen. De kopjes en iconen waren daarvoor handig. Maar misschien heb je iets gemist dat er niet in stond. Of misschien heeft dit artikel je juist geholpen. Laat een reactie achter en laat weten wat je van het artikel vindt!
Klik en laat een reactie achter
Weer een zeer nuttig artikel, harstikke bedankt!
Hier gaan we zeker wat mee doen.
Groetjes,
Florian CEO/Founder DAVINCI-APP B.V.
Hoi Florian,
Leuk om te horen dat je wat aan het artikel hebt.
Succes met de DAVINCI app!
Groeten,
David
Dank je David,
we gaan hier serieus naar kijken en waar nodig aanpassingen doorvoeren!
Hé Jack!
Mooi dat je er iets aan hebt.
Tip nog voor jou: als je wil dat gebruikers grip hebben op hun gegevens die je van hun hebt opgeslagen, dan kun je een privacy dashboard creëeren: een pagina in de app waar gebruikers kunnen zien welke gegevens je van hun hebt, kunnen downloaden en met schuifjes aangeven welke type data je van hun mag bewaren.
Succes!
David
Dank je David! Heel goed om te weten! Ik ga er mee aan de slag.
Groetjes Sandra
Top Sandra!
Ik kan me voorstellen dat je je afvraag waar je een privacy statement moet plaatsen. De makkelijkste methode is om apps die je al op je telefoon hebt te openen, en te kijken hoe zij het doen. Download eventueel ook wat nieuwe apps, en zie hoe zij het doen: veel privacy statements worden getoond bij het eerste keer gebruik van de app. Weeg dan af wat er bij jou past. Wil je het tot in de puntjes geregeld hebben? Bespreek het dan met een jurist.
Groetjes,
David
Nuttig artikel ! Hebben jullie hier ook een Engelse versie van?
Groet, Yvonne
Hoi Yvonne,
Nee helaas is dit artikel alleen in het Nederlands op dit moment.
Misschien kan ik met je meedenken naar een oplossing. Waarvoor zou je een Engelse versie nodig hebben?
-David
Interessant artikel David, bedankt!
Net als met de cookiewet verwacht ik dat het geen extreme vaart zal lopen met apps. Veel sites vragen je (gelukkig) niet om het accepteren van die K*cookies.
Veel privacy wordt door de smartphone al afgevangen, zoals bijv. toestemming geven voor het delen van je locatie.
Wat is jouw advies voor een motivatie app als het Push Platform? (gebruikers moeten bij aanmaken account en indien opnieuw inloggen met Facebook of Google ook de voorwaarden al bevestigen waarin e.e.a. afgevangen is)
Keep up the great work David!
Groet, Giel
Hoi Giel,
Ik antwoord hieronder als leek op juridisch vlak en laat ik liever Bieneke haar expertise gelden, want zij is de juridisch expert.
Kort gezegd loop je altijd een risico op een boete, ook als kleine partij. Als je meer naar detail gaat kijken is het de vraag hoe groot de impact is van een privacy inbreuk bij een app met, laten we zeggen, minder dan 1000 gebruikers. (Daarbij ga ik ervan uit dat het niet een app is met kritische persoonsgegevens zoals medische gegevens of voor kinderen). Een rechter zal niet snel goedkeuren dat er grote boetes worden opgelegd aan apps waarvan de privacy schending reatief een geringe groep mensen raakt.
Maar boetes zijn denk ik niet je grootste probleem. Wat wél echt een probleem is, is dat als je als app negatief te boek staat als privacy-schender, dat impact kan hebben voor je reputatie in de markt en mogelijk zelfs voor je plek in de appstore. Google en Apple zijn bijvoorbeeld eerder gesommeerd om gok-apps die niet voldeden aan de wet in Nederland te verwijderen uit hun appstores. Daarvoor hoef je dus geen grote inbreuk of veel gebruikers voor te hebben. Het overtreden van de wet is voldoende om uit de appstore uitgegooid te worden. En dat het niet netjes is naar klanten als je slecht omgaat met hun privacy-gevoelige gegevens.
Ik hoop dat dit antwoord je helpt :)
Groeten,
-David