Nieuwe app wetten: voorkom hoge boetes!| kennisbank

Op 25 mei 2018 gaan de app wetten veranderen op het gebied van privacy. Voorkom de hoge boetes die uitgedeeld gaan worden! We laten je zien hoe je met de nieuwe app wetten GDPR / AVG omgaat.

app wettenEen tijd terug kreeg ik te horen dat de boetes voor het overtreden van deze regels wel in de miljoenen euro's konden oplopen. Om precies te weten wat deze verandering inhoudt en hoe het écht met de boetes zit, spreek ik met Bieneke Braat. Bieneke is advocate bij Legal Tree. Zij heeft mij uitgelegd hoe de app wetten precies invloed gaan hebben op het maken van apps.

Lees het artikel of bekijk de samenvatting in de video:

app wettenWat zijn de huidige app wetten m.b.t. privacy in apps?

Momenteel geldt voor apps de 'Wet bescherming persoonsgegevens’. Deze wet wordt vervangen door de Europese Privacy Wet, vanaf 25 mei 2018. Deze Europese privacywet heet de ‘Algemene Verordening Gegevensbescherming’ (AVG) of in het Engels General Data Protection Regulation (GDPR). De (oude) Wet bescherming persoonsgegevens is gebaseerd op een Europese richtlijn, alleen mocht daar per land zelf invulling aan worden gegeven worden. Máár nu is er dus voor gekozen om die invulling direct vast te leggen voor de hele Europese Unie.

Bij apps heb je ook te maken met de Telecommunicatiewet, maar daarin is op dit moment nog geen verandering. Daar ligt al wel een nieuwe richtlijn voor klaar. Als die ingevoerd wordt, dan krijg je daar als app eigenaar wel mee te maken. Het gaat dan voornamelijk over het vragen van toepassing voor het plaatsen van cookies en voor het installeren van de app op het apparaat.

De Wet bescherming persoonsgegevens wet en de Telecommunicatiewet zijn dus de app wetten waar je tot nu toe mee te maken krijgt, op het gebied van privacy.

app wettenWat zijn de belangrijkste punten uit de nieuwe Europese privacy wet AVG / GDPR?

Voor apps is één van de belangrijkste veranderingen dat er in de nieuwe wetgeving specifieke eisen worden gesteld aan het vragen van toestemming.

Eén van de onwaarheden over de nieuwe privacywet is dat je altijd overal toestemming voor moet vragen. Dat is (dus) niet waar. Toestemming is één van de 6 ‘grondslagen’ voor het kunnen verwerken van persoonsgegevens via een app. Zo’n grondslag heb je nodig voor iedere soort handeling die je met de gegevens verricht: het verzamelen, het intern gebruiken, analyseren, doorsturen aan andere externe partijen etc.  

Je hebt een grondslag nodig om gegevens te kunnen verwerken. Er zijn 6 grondslagen. Dat zijn:

  1. toestemming van de persoon;
  2. de gegevens zijn nodig voor het uitvoeren van een overeenkomst met de persoon;
  3. de gegevens zijn nodig voor een op de app eigenaar rustende wettelijke verplichting;
  4. het ‘vitaal belang’ van de persoon (deze grond kan niet worden gebruikt bij gewone apps);
  5. de gegevens zijn nodig voor een algemeen belang of het uitvoeren van een publiekrechtelijke taak;
  6. het ‘gerechtvaardigd belang’ van de organisatie of een andere persoon of partij, waarbij het (privacy)belang van de persoon niet vóór mag gaan.

 

Moet je toestemming vragen voor het gebruik van data? Kom erachter in 3 stappen:

In de praktijk komt het er vaak op neer dat je jezelf deze vragen stelt:

1) Welke gegevens heb je echt nodig voor het normale gebruik van je app?
Voor een gaming app zal de gebruiker bijvoorbeeld een gebruikersnaam moeten geven om spelletjes te kunnen spelen met andere gebruikers. Of als het een app is die bedoeld is om te laten zien waar andere app gebruikers (vrienden bijvoorbeeld) zich bevinden, dan heb je daarvoor de locatiegegevens nodig. Om in een messenger app berichten te sturen naar andere mensen die de app ook hebben zijn die gegevens uit het telefoonboek nodig.

2) Ben je wettelijk verplicht om bepaalde gegevens te verzamelen?
Denk bijvoorbeeld aan transactiegegevens die je moet bewaren voor de belastingdienst. Dan mag je dat doen. Voor gegevens die je niet echt nodig hebt voor de app of voor een wettelijke plicht, kijk of daarvoor een ‘gerechtvaardigd belang’ is. Kort gezegd moet je dan kijken naar wat de app gebruiker mag verwachten en hoe ‘persoonlijk’ de gegevens zijn.

3) Heb je gerechtvaardigd belang? 
Locatiegegevens zijn bijvoorbeeld heel persoonlijk omdat de app gebruiker overal kan worden gevolgd. Dan heb je geen gerechtvaardigd belang als het niet echt nodig is voor de app. Dat geldt ook voor andere manieren van gebruik van de gegevens: ga je vergaande analyses doen om een profiel op te bouwen van de persoon zodat je deze gegevens weer kunt doorverkopen, dan ga je verder dan wat de app gebruiker mag verwachten.

Bedenk ook dat je eerder een gerechtvaardigd belang hebt, als je de app gebruiker duidelijk de mogelijkheid hebt gegeven om GEEN gegevens te delen. Als hij er voor kiest om dat dan toch te doen, mag je er eerder van uitgaan dat het belang van de app gebruiker niet vóór jouw belang gaat.

Kom je niet door de ‘test’ van het gerechtvaardigd belang heen? Dan moet je toestemming vragen voor die gegevens. Daar zijn uitzonderingen op, zoals bij gegevens van kinderen, bijzondere persoonsgegevens en profiling. Die bespreken we hieronder:

Uitzondering 1: kinderen

De nieuwe app wetten zijn een stuk strenger als het gegevens van kinderen betreft. Het gaat dan om kinderen onder de 16 jaar. Er wordt in de nieuwe wet ervan uit gegaan dat het belang van het kind eerder vóór het belang van de organisatie of de derde gaat. Dit betekent in feite dat als je de gegevens niet écht nodig hebt voor het normale gebruik van de app, je niet snel het gerechtvaardigd belang kunt gebruiken en je toestemming moet vragen.  

Als je weet dat je app wordt gebruikt door kinderen, en uit de ‘grondslagen test’ blijkt dat je toestemming moet vragen, dan moet je nagaan of de ouders of voogden van het kind toestemming geven.

Om na te gaan of het om een kind gaat kan je in de app vragen hoe oud de gebruiker is. Is de persoon onder de 16 jaar? Dan moet je nagaan of de ouders of voogden toestemming geven voor het gebruik van de gegevens. In de nieuwe privacywet staat niet precies hoe ver je daarbij moet gaan maar hoe ‘persoonlijker’ de gegevens, hoe verder je moet gaan. Gaat het bijvoorbeeld om een huiswerk app, waarbij je gedetailleerd kunt zien hoe het kind presteert, dan moet je verder gaan dan als het om een gewone gaming app gaat waar niet veel gegevens uit worden gehaald.

Als je wel verder moet gaan kan je bijvoorbeeld het e-mailadres van de ouders opvragen en dan via dat e-mailadres de ouder vragen akkoord te geven. Anders zou je het kind kunnen vragen of zijn ouders of voogden toestemming geven voor het delen van de gegevens. Dit moet van geval tot geval worden bekeken.

Verder stelt de nieuwe wet als eis dat de privacyverklaring eenvoudig te begrijpen moet zijn voor kinderen. Je zou bijvoorbeeld best met plaatjes of een infographic kunnen werken. Ook moet je gegevens van kinderen eerder verwijderen wanneer ze daar om vragen dan wanneer het gaat om gegevens van een volwassene. Dat gaat zelfs zo ver, dat als iemand volwassen is maar als kind gegevens heeft gegeven, hij kan eisen dat gegevens verwijderd worden.

app wettenUitzondering 2: bijzondere persoonsgegevens

Als je app gebruikt maakt van ‘bijzondere persoonsgegevens’, moet je daar extra aandacht aan besteden. Daarvoor geldt namelijk als uitgangspunt dat het verboden is om die te gebruiken. Alleen als er in de wet een specifieke uitzondering staat, of je geldige toestemming vraagt, mag je die gebruiken.

Dit is een aparte categorie gegevens. Het gaat daarbij om: gegevens over gezondheid, geloof, ras of etnische afkomst, politieke voorkeuren, seksuele gerichtheid of geaardheid, lidmaatschap van een vakbond, strafrechtelijke gegevens en onder de nieuwe wet komen daar bij: biometrische gegevens om de persoon mee te identificeren en genetische gegevens.

Als je bijvoorbeeld gebruik maakt van een vingerafdrukscan, of gezichtsherkenning dan moet je nagaan of je die gegevens wel mag gebruiken.

"Met profiling zouden mensen uit bepaalde postcodes bijvoorbeeld sommige vacatures niet te zien krijgen."

Uitzondering 3: profiling

Een ander onderdeel dat is opgenomen in de nieuwe wet, is profiling. Profiling is het automatisch opbouwen van profielen van mensen. En daarbij het automatisch nemen van beslissingen over mensen. In principe is profiling toegestaan, mits gebruikers er niet door worden getroffen of juridische gevolgen heeft.

Hoe kan profiling dan een probleem vormen? Stel, je hebt een sollicitatiegesprek bij een bedrijf. Door profiling zou je dan bij voorbaat automatisch afgewezen kunnen worden aan de hand van je postcode. Het zou zelfs kunnen dat mensen uit bepaalde postcode gebieden sommige vacatures niet te zien krijgen.

Wanneer profiling met (juridische) gevolgen dan wel mag? Als het nodig is om na te gaan of je een overeenkomst met de persoon aan wilt gaan, als de persoon toestemming geeft of als het in een specifieke wet wordt toegestaan. Dat moet natuurlijk per situatie worden bekeken. Maar als het om bijzondere persoonsgegevens gaat, mag het alléén met toestemming van de persoon. En ook als het mag, moet je maatregelen nemen om te zorgen dat de persoon niet wordt gediscrimineerd, dat er geen fouten worden gemaakt bij de beslissing en dat de persoon bezwaar kan maken tegen de beslissing.

Als je aan dit soort profiling doet, moet je daar ook uitleg over geven in je privacyverklaring. Dat document is verplicht om de gebruiker te informeren over wat je met zijn gegevens doet. Er zijn ook een hoop andere zaken die je voortaan in je privacyverklaring moeten zetten.

app wetten

app wettenWat is het risico als je je niet houdt aan deze wetgeving?

Het risico is dat je ENORME boetes moet betalen. Er zijn verschillende categorieën waar dan naar wordt gekeken, om de hoogte van de boete te bepalen. Zo moet je bij gebruik van ‘bijzonder persoonsgegevens’ een boete van maximaal €20 miljoen of 4% van je wereldwijde omzet betalen. Een voorbeeld van bijzondere persoonsgegevens zijn medische gegevens of andere gegevens over de gezondheid. Voor andere categorieën kan dat €10 miljoen of 2% van je omzet zijn.

Wellicht klinken die percentages laag, maar dat is afhankelijk van je positie. Voor kleinere bedrijven zal het eerder om vaste bedragen gaan, dus de miljoenen. Om de hoogte van de boete vast te stellen wordt er o.a. gekeken naar hoe het bedrijf heeft meegewerkt, of dit de eerste keer is of dat er vaker gegevens zijn misbruikt. Juist bij grote bedrijven als Google wordt er een percentage gerekend, dan doet 4% van de omzet méér pijn dan €20 miljoen.

app wettenWat moet er dan veranderd worden aan de privacy verklaring?

Over het algemeen moet je privacy verklaring een stuk uitgebreider worden. Door de nieuwe wetgeving word je aan het werk gezet om je privacy verklaring te laten kloppen. Zo worden ondernemers bewust gemaakt van hun verantwoordelijkheid.

Om kort op te sommen wat in de privacy verklaring moet staan:

  • Standaard moet de identiteit van jou als eigenaar of organisatie achter de app, erin staan. Wie ben je en voor welke doelen gebruik je de gegevens?
  • Welke grondslagen je hebt. Heb je op basis van overeenkomst of toestemming gerechtvaardigd belang?
  • Is de gebruiker verplicht gegevens af te geven om de app goed te laten werken? Waarom dan en voldoet dat aan de wetgeving?
  • Geef je gegevens door aan andere partijen? Dan moet je aangeven welke partijen dat zijn. Het gaat dan vooral om wat voor soort partij dat is, niet zozeer de naam. Als je samenwerkt met advertentie partijen moet er ook bij staan waar de gegevens opgeslagen worden.
  • Het doorgeven van gegevens buiten Europa. Er moeten maatregelen genomen, om dat te mogen doen. Welke maatregelen heb je daarvoor getroffen?
  • Een FG (Functionaris Gegevensbescherming) is noodzakelijk bij het grootschalig verwerken van persoonsgegevens (dat is meestal niet het geval voor startups). Benoem de contactgegevens van de FG.
  • Hoe lang gegevens bewaard worden. Bijvoorbeeld: Gegevens worden 2 jaar na deïnstallatie van de app verwijderd.
  • Welke rechten hebben de gebruikers en de betrokken personen?
  • Het recht dat de gebruikers hebben tegen verwerking van hun gegevens.
  • Dat gebruikers een klacht kunnen indienen bij Autoriteit Persoonsgegevens.
  • Maakt je app gebruik van automatische profiling? Informatie over de gegevens, de logica erachter, het belang en de gevolgen voor de betrokken personen.
  • Ontvang je gegevens van derden? Van welke bron is dat afkomstig en wat ontvang je precies?

 

 

"Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een PIA uit te voeren."

 

app wettenZijn er nog andere belangrijke app wetten waar een app ondernemer zich mee bezig moet houden?

Er zijn 3 belangrijke veranderingen die ik graag bespreek: 1) het recht op ‘dataportabiliteit’, 2) het moeten uitvoeren van ‘Privacy Impact Assessment’ en 3) het toepassen van ‘privacy by design’ en ‘privacy by default’.

1) Wat is het recht op dataportabiliteit? Makkelijk gezegd, dat is het recht van gebruikers om hun eigen gegevens mee te krijgen. Dat moet dan in een toegankelijk format worden geleverd, een Excel, CSV of Word bestand. Dit moet gemakkelijk te downloaden zijn voor gebruikers. En als de gebruiker dat vraagt, moet je de gegevens overdragen naar een andere (app) provider. Dit recht geldt alleen voor de gegevens die app gebruikers zelf hebben aangeleverd of via de app hebben gegenereerd én als dat gebeurt op grond van toestemming of het uitvoeren van de overeenkomst. Het is dus belangrijk om (technisch) te zorgen dat de app gebruiker dit recht kan uitoefenen. Ook is het goed om te weten wat je moet doen als de gebruiker andere vragen over zijn gegevens geeft.

2) . Als je werkt met een app waar een groot risico verwacht wordt, ben je verplicht om een Privacy Impact Assessment (PIA) uit te voeren. Dat is standaard bij een app met bijzonder persoonsgegevens of  grootschalige profiling. In een PIA worden de risico’s, gevolgen en oplossingen van het uitwisselen van deze gegevens beschreven en bekeken hoe die risico’s kunnen worden geadresseerd.

3) ‘Privacy by design en by default’ is een verzamelbegrip voor het toepassen van maatregelen om de gegevens te beschermen en om te zorgen dat ze niet worden gebruikt voor verkeerde doeleinden. In de nieuwe privacywet staat dat dit ‘waar mogelijk’ moet worden toegepast.

Verder noem ik nog kort een paar andere verplichtingen:

  1. Je moet een overzicht maken van alle soorten persoonsgegevens die je verzamelt, bijvoorbeeld in een Excel bestand. Daar moet dan bijvoorbeeld ook instaan wat de doeleinden zijn en de bewaartermijnen.
  2. Verder moet je kijken of de afspraken die je hebt gemaakt met IT-partijen die de app hosten, of andere externe partijen die iets met de gegevens doen voor jou, voldoende zijn. Die afspraken moeten namelijk een stuk uitgebreider worden.
  3. Zijn er meerdere partijen die verantwoordelijk zijn voor dezelfde app? Dan moet je met die partij(en) contractuele afspraken maken.
  4. Blijf denken aan beveiliging en datalekken: op basis van de Wet bescherming persoonsgegevens moeten gegevens ook al goed worden beveiligd (dat verandert niet) en moeten bepaalde datalekken worden gemeld aan de toezichthouder, dat geldt ook onder de nieuwe privacywet. Als uitgangspunt moeten datalekken binnen 72 uur worden gemeld.

Kortom: waar het in de nieuwe privacywet vooral om gaat is dat je kunt laten zien dat je ‘grip’ hebt op de gegevens en op de privacyregels.

app wettenKan je meer verdienen aan gegevens van mensen?

Je moet als app eigenaar oppassen dat je mensen niet stimuleert om data af te geven, met bijvoorbeeld cadeaus of tegoed. Je moet ze juist controle geven over hun data, daardoor worden de gegevens meer waard. Advertenties behalen hun doel eerder met waardevolle gegevens omdat ze beter op de gebruiker aansluiten. Dus informeer je gebruiker over hun privacy en geef ze controle, om zo meer aan advertenties en de data uit je app te verdienen.

app wettenHeb je een tip voor het gebruiken van gegevens in een app?

Eigenlijk moet je je afvragen of je over de grens van privacy heen gaat. In hoeverre kan jij je app niet goed aanbieden, zonder die gegevens? Je mag als app eigenaar zeker kijken naar wat je zelf nodig hebt om de app draaiende te houden en winst te maken. Daarbij moet je zorgen voor een gebruiksvriendelijke app. Als je daarvoor bepaalde gegevens nodig hebt, dan kleur je binnen de lijntjes. Als je om gegevens gaat vragen die niet noodzakelijk zijn, dan ga je over de grens heen. Zo kan het zijn dat iemand die een Messenger app gebruikt, een foto naar een ander wilt sturen. Dat is natuurlijk prima, maar dan is het niet de bedoeling dat je toegang krijgt tot al de foto’s van die persoon!

app-idee vastleggenGebruik maken van juridische mogelijkheden om je app-idee te beschermen?

Wil je meer weten over jouw app idee juridisch beschermen?

Dat kan met het ‘Drieluik van app-bescherming’. In deze PDF vind je welke opties je hebt met de hoogte van kosten en mate van bescherming erbij aangegeven.

Download de PDF ‘Drieluik van app-bescherming’ door hieronder je emailadres in te vullen.

app-idee vastleggen

Ik geloof dat als je waarde creëert, je app succesvol wordt. Daarom stuur ik alleen waardevolle e-mails. Hoe? Dat lees je in de  Privacy Statement

 

- David & Katja

markten

Reacties

Weer een zeer nuttig artikel, harstikke bedankt!

Hier gaan we zeker wat mee doen.

 

Groetjes,

Florian CEO/Founder    DAVINCI-APP B.V.

Hoi Florian,

Leuk om te horen dat je wat aan het artikel hebt.

Succes met de DAVINCI app!

Groeten,

David

Dank je David,

we gaan hier serieus naar kijken en waar nodig aanpassingen doorvoeren!

Hé Jack!

Mooi dat je er iets aan hebt.

Tip nog voor jou: als je wil dat gebruikers grip hebben op hun gegevens die je van hun hebt opgeslagen, dan kun je een privacy dashboard creëeren: een pagina in de app waar gebruikers kunnen zien welke gegevens je van hun hebt, kunnen downloaden en met schuifjes aangeven welke type data je van hun mag bewaren.

Succes!

David

Dank je David! Heel goed om te weten! Ik ga er mee aan de slag. 

Groetjes Sandra

Top Sandra!

Ik kan me voorstellen dat je je afvraag waar je een privacy statement moet plaatsen. De makkelijkste methode is om apps die je al op je telefoon hebt te openen, en te kijken hoe zij het doen. Download eventueel ook wat nieuwe apps, en zie hoe zij het doen: veel privacy statements worden getoond bij het eerste keer gebruik van de app. Weeg dan af wat er bij jou past. Wil je het tot in de puntjes geregeld hebben? Bespreek het dan met een jurist.

Groetjes,

David

Nuttig artikel ! Hebben jullie hier ook een Engelse versie van?

Groet, Yvonne

Hoi Yvonne,

Nee helaas is dit artikel alleen in het Nederlands op dit moment.

Misschien kan ik met je meedenken naar een oplossing. Waarvoor zou je een Engelse versie nodig hebben? 

-David

Interessant artikel David, bedankt!

Net als met de cookiewet verwacht ik dat het geen extreme vaart zal lopen met apps. Veel sites vragen je (gelukkig) niet om het accepteren van die K*cookies.

Veel privacy wordt door de smartphone al afgevangen, zoals bijv. toestemming geven voor het delen van je locatie.

Wat is jouw advies voor een motivatie app als het Push Platform? (gebruikers moeten bij aanmaken account en indien opnieuw inloggen met Facebook of Google ook de voorwaarden al bevestigen waarin e.e.a. afgevangen is)

Keep up the great work David!

Groet, Giel

Hoi Giel,

Ik antwoord hieronder als leek op juridisch vlak en laat ik liever Bieneke haar expertise gelden, want zij is de juridisch expert. 

Kort gezegd loop je altijd een risico op een boete, ook als kleine partij. Als je meer naar detail gaat kijken is het de vraag hoe groot de impact is van een privacy inbreuk bij een app met, laten we zeggen, minder dan 1000 gebruikers. (Daarbij ga ik ervan uit dat het niet een app is met kritische persoonsgegevens zoals medische gegevens of voor kinderen). Een rechter zal niet snel goedkeuren dat er grote boetes worden opgelegd aan apps waarvan de privacy schending reatief een geringe groep mensen raakt.

Maar boetes zijn denk ik niet je grootste probleem. Wat wél echt een probleem is, is dat als je als app negatief te boek staat als privacy-schender, dat impact kan hebben voor je reputatie in de markt en mogelijk zelfs voor je plek in de appstore. Google en Apple zijn bijvoorbeeld eerder gesommeerd om gok-apps die niet voldeden aan de wet in Nederland te verwijderen uit hun appstores. Daarvoor hoef je dus geen grote inbreuk of veel gebruikers voor te hebben. Het overtreden van de wet is voldoende om uit de appstore uitgegooid te worden. En dat het niet netjes is naar klanten als je slecht omgaat met hun privacy-gevoelige gegevens.

Ik hoop dat dit antwoord je helpt :)

Groeten,

-David

Plaats mijn reactie