De privacytoezichthouder het College bescherming persoonsgegevens (CBP), heeft met 28 andere privacytoezichthouders deelgenomen aan een internationale scan georganiseerd door het Global Privacy Enforcement Network (GPEN). Bij deze scan hebben de toezichthouders diverse apps en websites die zicht richten op kinderen, onder de loep genomen.
Uit deze scan is gebleken dat de meerderheid van de apps en websites die zich op kinderen richt persoonsgegevens verzamelt (een welgetelde 67 procent). Het is echter vaak niet duidelijk wat een app of website nou eigenlijk precies verzamelt, wat ze met deze gegevens doen, en hoe de gebruiker hier invloed op kan hebben.
Op de informatieplicht wordt dus flink tekort geschoten. Slechts 31 procent van de websites en apps wisten de gebruikers (en in het bijzonder de ouders) voldoende over de gegevensverwerking te informeren. Dit is erg laag, al helemaal gezien de helft van de apps/websites de gegevens van hun gebruikers deelt met derden voor bijvoorbeeld advertentiedoeleinden. Vaak wordt het argument aangevoerd dat het in bijvoorbeeld een app nou eenmaal niet zo eenvoudig is gebruikers te informeren, er is toch helemaal geen ruimte in een app voor een privacyverklaring?!
Dit excuus houdt nu eigenlijk al geen stand met onze huidige Wet bescherming persoonsgegevens. Echter met de komst van de Europese privacyverordening zal er toch echt beter geïnformeerd moeten worden. De verordening stelt namelijk dat bij het gebruik van persoonsgegevens van kinderen (in het bijzonder wanneer dit gebruik op toestemming gebaseerd is) de partij die deze gegevens verzamelt éxtra zijn best moet doen begrijpelijke informatie te verstrekken aan kinderen op een eenvoudige, en vooral leesbare wijze. Argumenten als ‘er is geen ruimte’, ‘niemand anders doet het’ of ‘we geven toch geen namen door?’, zullen het dus niet meer gaan redden (voor zover dat nu wel het geval was).
Uit de scan blijkt dat de apps/websites die wél een privacyverklaring hanteren, vaak een verklaring hanteren die zo algemeen is dat het alsnog niet mogelijk is te oordelen wat er precies verzameld wordt en waarvoor. De informatieplicht is, zoals hierboven aangegeven, iets waar de verordening op hamert. Beter nog, er zijn zelfs specifieke punten die in een privacyverklaring opgenomen moeten worden. Je kunt dus niet één algemene verklaring voor ál je diensten gebruiken, zonder nou eigenlijk te vertellen wat je doet. Bedrijven hebben vaak het idee dat ze veel niet mogen met gegevens en hierdoor laten ze kansen liggen. Dit is zonde, want door je gebruikers goed (en op een juiste wijze) te informeren, kun je heel veel met persoonsgegevens. Het is echter wel de bedoeling dat je transparant over de gegevensverwerking bent. Ben je transparant dan kun je heel veel, en vooral ook rechtmatig, met gegevens.
Een ander punt waar veel apps/websites tekortschieten is de mogelijkheid gegevens te verwijderen. Zo biedt 71 procent (!!!) van de apps/websites géén mogelijkheid gegevens te verwijderen. Dit is wederom op basis van onze huidige wet niet toegestaan, maar met de nieuwe verordening zal het verwijderen van gegevens toch echt mogelijk moeten zijn. Zo verplichten principes als privacy by design en by default, ontwikkelaars om continu over privacy na te denken bij de ontwikkeling van nieuwe applicaties. Dit houdt in dat er bij de ontwikkeling van applicaties rekening gehouden moet worden met de rechten van betrokkenen. De betrokkenen moeten hun rechten kunnen uitoefenen, en het recht om gegevens te verwijderen is er daar één van.
Uit de scan blijkt dat heel wat apps/websites nog flink wat moeten veranderen om aan de privacywet te voldoen. Vooral apps/websites die gegevens van kinderen verzamelen dienen extra alert te zijn, aangezien het voor kinderen niet eenvoudig is om te oordelen of het ‘gevaarlijk’ is specifieke gegevens te delen. Het is belangrijk dat wanneer je je op deze doelgroep richt, hier extra aandacht aan te schenken en de toezicht van ouders te promoten. Het is voor apps/websites verre van eenvoudig om na te gaan of ouders ook echt ‘meekijken’, maar door het nemen van extra maatregelen is het wel mogelijk dit aan te moedigen.
Denk bijvoorbeeld aan het toevoegen van een extra checkbox bij het aanmaken van een account met een tekst als: ‘ Ja, mijn ouders hebben mij toestemming gegeven om een account aan te maken’ tot het verplichten om een e-mailadres van een ouder in te vullen om hem of haar vervolgens een ‘toestemmingslink’ toe te sturen.
Hoor jij bij die 69 procent die haar gebruikers onvoldoende informeert, of bij de 71 procent die het niet mogelijk maakt gegevens te verwijderen? Ga dan snel aan de slag, want voor je het weet is het 1 januari 2016, of is de Europese privacyverordening gearriveerd en kan het CBP flink gaan handhaven (denk aan boetes van EUR 810.000,- … au!).
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.