Het willen vergelijken van sportieve prestaties zit in de aard van de mens. Dat gebeurt al sinds het begin der tijden, maar door de komst van speciale apps, zoals de populaire Nike+ Running App, is het helemaal kinderlijk eenvoudig geworden. Je telefoon houdt de afgelegde afstand bij en de snelheid waarmee je je verplaatst. Maar dit is nog niet alles: wanneer je daarnaast zelf je geslacht, lichaamslengte en gewicht invoert, krijg je zelfs te zien hoeveel calorieën je verbruikt hebt en wat je paslengte is.
Nuttig en vermakelijk voor zowel de professionele sporter als andere hardloopfanaten, dat zal niemand ontkennen. Maar hoeveel gebruikers staan er eigenlijk bij stil hoe gevoelig de informatie is die ze aan Nike doorgeven? Het College bescherming persoonsgegevens (CBP) tikte het bedrijf onlangs op de vingers naar aanleiding van de app, maar waarom eigenlijk?
Hoe vaak en hoe intensief je sport, zegt iets over je (vermoedelijke) gezondheid, net als de verhouding tussen je lichaamslengte en gewicht. Gezondheidsgegevens (een begrip dat meer omvat dan alleen medische gegevens) zijn gevoelige gegevens. Denk bijvoorbeeld maar aan de situatie dat een zorgverzekeraar deze onder ogen zou krijgen en op basis daarvan iemand een aanvullende zorgverzekering zou weigeren. De Wet bescherming persoonsgegevens (Wbp) stelt dan ook strenge eisen aan de verwerking van gezondheidsgegevens. De Nike-hardloopapp voldeed niet aan deze eisen. Aan gebruikers werd niet voldoende duidelijk gemaakt dat de gegevens voor onbepaalde tijd bewaard werden; dat gebruikers ingedeeld werden in segmenten (naar geslacht, leeftijd, ervaring en niveau) om gemiddelde prestaties van groepen mensen te berekenen; en dat Nike de gegevens gebruikte voor eigen onderzoek en analyse. Door deze tekortschietende informatieverstrekking konden gebruikers niet vooraf hun uitdrukkelijke, geïnformeerde toestemming geven voor de gegevensverwerking.
Naar aanleiding van het onderzoek door het CPB (zie het CPB-rapport), heeft Nike een aantal maatregelen genomen om de privacy van hardlopers beter te waarborgen, en maatregelen aangekondigd om de resterende overtredingen te beëindigen. Nike zal zonder uitdrukkelijke toestemming geen cookies meer plaatsen. Het opgeven van je lengte en gewicht wordt ook in de webomgeving van het Nike+ account optioneel; gebruikers zullen hierover per e-mail worden geïnformeerd en er zal uitdrukkelijk om toestemming worden gevraagd. Er zal één privacybeleid komen, met uitvoeriger informatie over de soorten gegevens en doeleinden van de verwerking. Nike zal ook transparanter zijn over de opslag van informatie op servers in de VS (hetgeen door een recente uitspraak van het Hof van de Justitie van de EU overigens weer een nieuw juridisch vraagstuk oplevert).
Bij het verwerken van gevoelige persoonsgegevens, zoals gezondheidsgegevens, dient dus extra voorzichtigheid te worden betracht. Loopt uw bedrijf hierbij in de pas met de wet?
Deze blog is geschreven door Fay Kartner (stagiair).
Of u als developer apps in opdracht van een ander bouwt, zelf apps aanbiedt in de Android Play Store of Apple App Store, of doorverkoopt aan anderen, met onze generatoren op JuriDox maakt u de juiste documenten om dit goed te regelen. Op documenten binnen de App-developersbundel, krijgt u 20% korting.
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.