In veel apps zit code voor monitoring en analyse zonder melding in de privacyverklaring. Hoe zit dat?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: In diverse apps die ik gebruik, zie ik dat er code voor monitoring en analyse is ingevoegd. Diensten als DuckDuckGo App Tracking Protection noemen dit een verborgen tracker, en melden dat er meer dan 30 privacy items doorgegeven worden. Ik lees hier niets over in de privacyverklaring. Hoe zit dat juridisch?
Antwoord: Er zijn inderdaad heel veel frameworks voor applicatieontwerp die voor het gemak (van de developer) alvast maar wat monitoring/profiling/analyse tools toevoegen. De bedoeling daarvan klinkt onschuldig: op een gestandaardiseerde manier app-gebruik vastleggen zodat de ontwikkelaar problemen kan oplossen, inzicht in onvoorzien gebruik krijgt enzovoorts.
De bedoeling is dat die informatie anoniem is. Maar let op: die term moet je lezen in de Amerikaanse context van "personally identifiable information" (PII), een veel beperkter begrip van informatie over mensen dan ons begrip "persoonsgegeven". Iets is PII als het, in AVG termen, direct herleidbaar is. Indirect herleidbare informatie is géén PII maar nog steeds wel een persoonsgegeven.
Gegevens zoals van naam en emailadres ontdane gebruikslogs zijn dus geen PII en mogen in de VS dus worden gebruikt zoals je goeddunkt. Dat dit in Europa anders werkt, maakt deze (Amerikaanse) aanbieders niet zo veel uit. De Europese klant hoort alleen dat het in lijn is met heersende privacywetgeving en denkt AVG-proof te zijn.
Uiteraard hangt het af van wat de app precies doet en naar wie de gegevens gaan, en dat kan ik zo algemeen in een blog niet bespreken. Maar dit is wel iets waar de aanbieder van de app (dus de bank, verzekeraar of andere partij wiens merk erop staat) uitsluitsel over moet geven. Dit zou je in eerste instantie in de privacyverklaring moeten kunnen nalezen. Als dat te weinig informatie geeft (en die kans is groot), dan is de volgende stap om de privacy officer te benaderen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Hier is een onwerkbare tegenspraak ontstaan vanuit eenzelfde wet. Deze dichotomie zal niet houdbaar zijn.
En dat zie je bij veel website terug het verdienmodel is groter dan de boete die men krijg van AP. Deze word bewust onderbezet gehouden.
Hier is een onwerkbare tegenspraak ontstaan vanuit eenzelfde wet. Deze dichotomie zal niet houdbaar zijn.
Probeer het nog eens ;-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.