AVG, nieuwe app wetten: voorkom hoge boetes!

Is jouw app al privacy bestendig? Ruim twee jaar geleden trad de AVG in werking en dat betekende veranderingen op het gebied van privacy. Door deze wetgeving moeten app eigenaars zich houden aan de privacy regels, ofwel de app wetten. Hou je je niet aan deze Europese wetten. Dan volgt er flinke boete. Voorkom de hoge boetes door je aan de AVG te houden. We laten je in dit artikel zien hoe je met de app wetten GDPR / AVG omgaat.

Voor de goede orde: AVG staat voor Algemene verordening gegevensbescherming en de GDPR betekent General Data Protection Regulation. Dezelfde wet maar met een andere internationale naam. Deze privacywet geldt voor heel de Europese unie.

Ik weet nog dat ik voor de intrede van de AVG hoorde over de boetes voor het overtreden van de privacyregels. Deze boetes waren niet bepaald mals: het kon wel oplopen in de miljoenen euro’s! Omdat ik natuurlijk niet de wet wilde overtreden en precies wilde weten er ging veranderen, sprak ik met Bieneke Braat (rechts). Bieneke is advocate bij Legal Tree. Zij legde mij toen precies uit hoe de app invloed zouden hebben op het maken van apps.

Lees het artikel of bekijk de samenvatting in de video:

Welke wetten golden voor de AVG? 

Voor de AVG / GDPR gold voor apps de 'Wet bescherming persoonsgegevens’. De Wet bescherming persoonsgegevens is gebaseerd op een Europese richtlijn, alleen mocht elk land hieraan zijn eigen invulling geven. Máár in 2018 koos de Europese unie er dus voor die invulling direct vast te leggen voor de hele Europese Unie. De EU vond het tijd om mee te gaan met de digitale tijd en met een duidelijke wet te komen die voor iedereen binnen de EU geldt.  

Bij apps heb je daarnaast ook te maken met de Telecommunicatiewet, deze bestaat al sinds 1998 en staat nog steeds overeind. Al bestaan hiervoor plannen voor een nieuwe richtlijn. Als die ingevoerd wordt, dan krijg je daar als app eigenaar wel mee te maken. Het gaat dan voornamelijk over het vragen van toepassing voor het plaatsen van cookies en voor het installeren van de app op het apparaat. Mocht de nieuwe richtlijnen gelden, dan laat ik je het natuurlijk weten!

De AVG en de Telecommunicatiewet zijn dus de app wetten waar je mee te maken hebt, op het gebied van privacy.

Wat zijn de belangrijkste punten uit de nieuwe Europese privacy wet AVG / GDPR?

Je wil natuurlijk wel weten wat wel en niet mag volgens de AVG / GDPR. Zodat je niet het risico loopt op deze immense boetes. Voor apps is één van de belangrijkste veranderingen van de AVG dat er in de wetgeving specifieke eisen worden gesteld aan het vragen van toestemming.

Eén van de onwaarheden over de privacywet die rondgaan, is dat je altijd overal toestemming voor moet vragen. Dat is (dus) niet waar!! Toestemming is één van de 6 ‘grondslagen’ voor het kunnen verwerken van persoonsgegevens via een app. Zo’n grondslag heb je nodig voor iedere soort handeling die je met de gegevens verricht: het verzamelen, het intern gebruiken, analyseren, doorsturen aan andere externe partijen etc.  

Je hebt een grondslag nodig om gegevens te kunnen verwerken. Er bestaan 6 grondslagen. Namelijk:

1. toestemming van de persoon;
2. de gegevens zijn nodig voor het uitvoeren van een overeenkomst met de persoon;
3. de gegevens zijn nodig voor een op de app eigenaar rustende wettelijke verplichting;
4. het ‘vitaal belang’ van de persoon (deze grond kan niet worden gebruikt bij gewone apps);
5. de gegevens zijn nodig voor een algemeen belang of het uitvoeren van een publiekrechtelijke taak;
6. het ‘gerechtvaardigd belang’ van de organisatie of een andere persoon of partij, waarbij het (privacy)belang van de persoon niet vóór mag gaan.

Uitzondering 1: kinderen

De nieuwe app wetten zijn een stuk strenger als het gegevens van kinderen betreft. Het gaat dan om kinderen onder de 16 jaar. De wet vindt dat het belang van het kind eerder vóór het belang van de organisatie of de derde gaat. Dit betekent in feite dat als je de gegevens niet écht nodig hebt voor het normale gebruik van de app, je niet snel het gerechtvaardigd belang kunt gebruiken en je toestemming moet vragen.  

Als je weet dat kinderen je app gebruiken en uit de ‘grondslagen test’ blijkt dat je toestemming moet vragen, dan moet je nagaan of de ouders of voogden van het kind toestemming geven.

Om na te gaan of het om een kind gaat, kan je in de app vragen hoe oud de gebruiker is. Is de persoon onder de 16 jaar? Dan moet je nagaan of de ouders of voogden toestemming geven voor het gebruik van de gegevens. In de nieuwe privacywet staat niet precies hoe ver je daarbij moet gaan maar hoe ‘persoonlijker’ de gegevens, hoe verder je moet gaan. Gaat het bijvoorbeeld om een huiswerk app, waarbij je gedetailleerd kunt zien hoe het kind presteert, dan moet je verder gaan dan als het om een gewone gaming app gaat waar niet veel gegevens uit worden gehaald.

Als je wel verder moet gaan, kan je bijvoorbeeld het e-mailadres van de ouders opvragen en dan via dat e-mailadres de ouders vragen akkoord te geven. Anders zou je het kind kunnen vragen of zijn ouders of voogden toestemming geven voor het delen van de gegevens. Dit moet van geval tot geval worden bekeken.

Verder stelt de nieuwe wet als eis dat de privacyverklaring eenvoudig te begrijpen moet zijn voor kinderen. Je zou bijvoorbeeld best met plaatjes of een infographic kunnen werken. Ook moet je gegevens van kinderen eerder verwijderen wanneer ze daar om vragen dan wanneer het gaat om gegevens van een volwassene. Dat gaat zelfs zo ver, dat als iemand volwassen is maar als kind gegevens heeft gegeven, hij kan eisen dat je de gegevens verwijdert.

Uitzondering 2: bijzondere persoonsgegevens

Als je app gebruikt maakt van ‘bijzondere persoonsgegevens’, moet je daar extra aandacht aan besteden. Daarvoor geldt namelijk als uitgangspunt dat het verboden is om die te gebruiken. Alleen als er in de wet een specifieke uitzondering staat, of je geldige toestemming vraagt, mag je die gebruiken.

Dit is een aparte categorie gegevens. Het gaat daarbij om: gegevens over gezondheid, geloof, ras of etnische afkomst, politieke voorkeuren, seksuele gerichtheid of geaardheid, lidmaatschap van een vakbond, strafrechtelijke gegevens en onder de nieuwe wet komen daar bij: biometrische gegevens om de persoon mee te identificeren en genetische gegevens.

Als je bijvoorbeeld gebruik maakt van een vingerafdrukscan, of gezichtsherkenning dan moet je nagaan of je die gegevens wel mag gebruiken.

"Met profiling zouden mensen uit bepaalde postcodes bijvoorbeeld sommige vacatures niet te zien krijgen."

Uitzondering 3: profiling

Een ander onderdeel dat in de AVG staat, is profiling. Profiling houdt het automatisch opbouwen van profielen van mensen in. En daarbij het automatisch nemen van beslissingen over mensen. In principe mag profiling, mits gebruikers er niet door worden getroffen of juridische gevolgen heeft.

Hoe kan profiling dan een probleem vormen? Stel, je hebt een sollicitatiegesprek bij een bedrijf. Door profiling zou je dan bij voorbaat automatisch afgewezen kunnen worden aan de hand van je postcode. Het zou zelfs kunnen dat mensen uit bepaalde postcode gebieden sommige vacatures niet te zien krijgen.

Wanneer profiling met (juridische) gevolgen dan wel mag? Als het nodig is om na te gaan of je een overeenkomst met de persoon aan wilt gaan, als de persoon toestemming geeft of als het in een specifieke wet wordt toegestaan. Dat moet natuurlijk per situatie worden bekeken. Maar als het om bijzondere persoonsgegevens gaat, mag het alléén met toestemming van de persoon. En ook als het mag, moet je maatregelen nemen om te zorgen dat de persoon niet wordt gediscrimineerd, dat er geen fouten worden gemaakt bij de beslissing en dat de persoon bezwaar kan maken tegen de beslissing.

Als je aan dit soort profiling doet, moet je daar ook uitleg over geven in je privacyverklaring. Dat document is verplicht om de gebruiker te informeren over wat je met zijn gegevens doet. Er zijn ook een hoop andere zaken die je voortaan in je privacyverklaring moeten zetten.

Wat is het risico als je je niet houdt aan de AVG?

Houd je je niet aan de weg? Het risico dat je dan loopt is het betalen van GIGANTISCHE boetes. Er bestaan verschillende categorieën waar dan naar wordt gekeken, om de hoogte van de boete te bepalen. Zo moet je bij gebruik van ‘bijzonder persoonsgegevens’ een boete van maximaal €20 miljoen of 4% van je wereldwijde omzet betalen. Een voorbeeld van bijzondere persoonsgegevens zijn medische gegevens of andere gegevens over de gezondheid. Voor andere categorieën kan dat €10 miljoen of 2% van je omzet zijn.

Wellicht klinken die percentages laag, maar dat is afhankelijk van je positie. Voor kleinere bedrijven zal het eerder om vaste bedragen gaan, dus de miljoenen. Om de hoogte van de boete vast te stellen wordt er o.a. gekeken naar hoe het bedrijf heeft meegewerkt, of dit de eerste keer is of dat er vaker gegevens zijn misbruikt. Juist bij grote bedrijven als Google wordt er een percentage gerekend, dan doet 4% van de omzet méér pijn dan €20 miljoen.

Wat moet ik veranderen aan de privacy verklaring?

Over het algemeen moet je privacy verklaring een stuk uitgebreider worden. Door de nieuwe wetgeving word je aan het werk gezet om je privacy verklaring te laten kloppen. Zo worden ondernemers bewust gemaakt van hun verantwoordelijkheid.

Om kort op te sommen wat in de privacy verklaring moet staan:

• Standaard moet de identiteit van jou als eigenaar of organisatie achter de app, erin staan. Wie ben je en voor welke doelen gebruik je de gegevens?
• Welke grondslagen je hebt. Heb je op basis van overeenkomst of toestemming gerechtvaardigd belang?
• Is de gebruiker verplicht gegevens af te geven om de app goed te laten werken? Waarom dan en voldoet dat aan de wetgeving?
• Geef je gegevens door aan andere partijen? Dan moet je aangeven welke partijen dat zijn. Het gaat dan vooral om wat voor soort partij dat is, niet zozeer de naam. Als je samenwerkt met advertentie partijen moet er ook bij staan waar de gegevens opgeslagen worden.
• Het doorgeven van gegevens buiten Europa. Er moeten maatregelen genomen, om dat te mogen doen. Welke maatregelen heb je daarvoor getroffen?
• Een FG (Functionaris Gegevensbescherming) is noodzakelijk bij het grootschalig verwerken van persoonsgegevens (dat is meestal niet het geval voor startups). Benoem de contactgegevens van de FG.
• Hoe lang gegevens bewaard worden. Bijvoorbeeld: Gegevens worden 2 jaar na deïnstallatie van de app verwijderd.
• Welke rechten hebben de gebruikers en de betrokken personen?
• Het recht dat de gebruikers hebben tegen verwerking van hun gegevens.
• Dat gebruikers een klacht kunnen indienen bij Autoriteit Persoonsgegevens.
• Maakt je app gebruik van automatische profiling? Informatie over de gegevens, de logica erachter, het belang en de gevolgen voor de betrokken personen.
• Ontvang je gegevens van derden? Van welke bron is dat afkomstig en wat ontvang je precies?

"Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een PIA uit te voeren."

Zijn er nog andere belangrijke app wetten waar je je mee bezig moet houden?

Ik wil graag met je 3 belangrijke regels bespreken: 1) het recht op ‘dataportabiliteit’, 2) het moeten uitvoeren van ‘Privacy Impact Assessment’ en 3) het toepassen van ‘privacy by design’ en ‘privacy by default’.

1) Wat is het recht op dataportabiliteit? Makkelijk gezegd, dat houdt het recht van gebruikers om hun eigen gegevens mee te krijgen in. Dat moet je dan in een toegankelijk format leveren, zoals een Excel, CSV of Word bestand. Dit moet gemakkelijk te downloaden zijn voor gebruikers. En als de gebruiker dat vraagt, moet je de gegevens overdragen naar een andere (app) provider. Dit recht geldt alleen voor de gegevens die app gebruikers zelf hebben aangeleverd of via de app hebben gegenereerd én als dat gebeurt op grond van toestemming of het uitvoeren van de overeenkomst. Het is dus belangrijk om (technisch) te zorgen dat de app gebruiker dit recht kan uitoefenen. Ook is het goed om te weten wat je moet doen als de gebruiker andere vragen over zijn gegevens geeft.

2) . Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een Privacy Impact Assessment (PIA) uit te voeren. Dat is standaard bij een app met bijzonder persoonsgegevens of  grootschalige profiling. In een PIA staan de risico’s, gevolgen en oplossingen van het uitwisselen van deze gegevens beschreven en bekeken hoe die risico’s kunnen worden geadresseerd.

3) ‘Privacy by design en by default’ is een verzamelbegrip voor het toepassen van maatregelen om de gegevens te beschermen en om te zorgen dat ze niet worden gebruikt voor verkeerde doeleinden. In de nieuwe privacywet staat dat dit ‘waar mogelijk’ moet worden toegepast.

Verder noem ik nog kort een paar andere verplichtingen:

1. Je moet een overzicht maken van alle soorten persoonsgegevens die je verzamelt, bijvoorbeeld in een Excel bestand. Daar moet dan bijvoorbeeld ook instaan wat de doeleinden zijn en de bewaartermijnen.
2. Verder moet je kijken of de afspraken die je hebt gemaakt met IT-partijen die de app hosten, of andere externe partijen die iets met de gegevens doen voor jou, voldoende zijn. Die afspraken moeten namelijk een stuk uitgebreider worden.
3. Zijn er meerdere partijen die verantwoordelijk zijn voor dezelfde app? Dan moet je met die partij(en) contractuele afspraken maken.
4. Blijf denken aan beveiliging en datalekken: gegevens behoren goed beveiligd te zijn en treden er bepaalde datalekken op? Dan luidt het uitgangspunt dat een datalek binnen 72 uur wordt gemeld.

Kortom: waar het in de nieuwe privacywet vooral om gaat is dat je kunt laten zien dat je ‘grip’ hebt op de gegevens en op de privacyregels.

Kan je meer verdienen aan gegevens van mensen?

Je moet als app eigenaar oppassen dat je mensen niet stimuleert om data af te geven, met bijvoorbeeld cadeaus of tegoed. Je moet ze juist controle geven over hun data, daardoor worden de gegevens meer waard. Advertenties behalen hun doel eerder met waardevolle gegevens omdat ze beter op de gebruiker aansluiten. Dus informeer je gebruiker over hun privacy en geef ze controle, om zo meer aan advertenties en de data uit je app te verdienen.

Heb je een tip voor het gebruiken van gegevens in een app?

Eigenlijk moet je je afvragen of je over de grens van privacy heen gaat. In hoeverre kan jij je app niet goed aanbieden, zonder die gegevens? Je mag als app eigenaar zeker kijken naar wat je zelf nodig hebt om de app draaiende te houden en winst te maken. Daarbij moet je zorgen voor een gebruiksvriendelijke app. Als je daarvoor bepaalde gegevens nodig hebt, dan kleur je binnen de lijntjes. Als je om gegevens gaat vragen die niet noodzakelijk zijn, dan ga je over de grens heen. Zo kan het zijn dat iemand die een Messenger app gebruikt, een foto naar een ander wilt sturen. Dat is natuurlijk prima, maar dan is het niet de bedoeling dat je toegang krijgt tot al de foto’s van die persoon!

Gebruik maken van juridische mogelijkheden om je app-idee te beschermen?

Wil je meer weten over jouw app idee juridisch beschermen?

Dat kan met het ‘Drieluik van app-bescherming’. In deze PDF vind je welke opties je hebt met de hoogte van kosten en mate van bescherming erbij aangegeven.

Download de PDF ‘Drieluik van app-bescherming’ door hieronder je emailadres in te vullen.