Analyse privacyvoorwaarden Apps in opdracht van de Consumentenbond

Transcriptie

1 Analyse privacyvoorwaarden Apps in opdracht van de Consumentenbond 25 juli 2014 Considerati mr. dr. Bart W. Schermer mr. Nathalie Falot 1

2 Inhoudsopgave 1 INLEIDING ACHTERGROND METHODOLOGIE UITGANGSPUNTEN BEOORDELING APPS EN PRIVACY INSTALLATIE VAN APPS GEBRUIK VAN APPS Het aanspreken van OS functies (permissions) Verwerking van persoonsgegevens DOELSTELLINGEN PRIVACYVOORWAARDEN BIJ APPS INFORMEREN VAN DE CONSUMENT (INFORMATIEPLICHT) BASIS VOOR TOESTEMMING Toestemming op grond van de Wet bescherming persoonsgegevens Toestemming op grond van de Telecommunicatiewet (cookiewetgeving) EISEN PRIVACYVOORWAARDEN VORM VAN DE PRIVACYVOORWAARDEN Vindbaarheid Toegankelijkheid Leesbaarheid en begrijpelijkheid INHOUD PRIVACYVOORWAARDEN Identificatie* Specificatie gebruikte gegevens en doeleinden* Delen van gegevens met derden* Noodzakelijkheid verstrekken gegevens* Rechten van de consument* Bewaartermijnen Veiligheidsmaatregelen Uitleg afwegingen voor het gebruik van persoonsgegevens Uitleg permissies in relatie tot verwerking (persoons)gegevens TOESTEMMING* BEOORDELING PRIVACYVOORWAARDEN NU.NL Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming* DE TELEGRAAF Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming AD.NL MOBILE APP Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming NOS APP RTL NIEUWS MOBILE Vorm van de privacyvoorwaarden

3 5.5.2 Inhoud privacyvoorwaarden Toestemming BIJENKORF Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming APPIE Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming HEMA Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming SCOUPY Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming RECLAMEFOLDER.NL APP SPOTTA Vorm van de privacyvoorwaarden Inhoud privacyvoorwaarden Toestemming OVERZICHT ANALYSE EN CONCLUSIES ANALYSE Vorm Inhoud toestemming CONCLUSIE LITERATUURLIJST BIJLAGEN PRIVACYVOORWAARDEN Nu.nl App RTL NIEUWS (MIJN RTL NIEUWS) De Telegraaf App Algemeen Dagblad Mobile App Appie Hema App Scoupy App Reclamefolder.nl App Spotta App

4 1 Inleiding Consumenten maken op grote schaal gebruik van apps op hun telefoons, tablets en andere smart devices. De apps die geïnstalleerd worden op deze apparaten verwerken in veel gevallen persoonsgegevens of zijn anderszins privacygevoelig. Wanneer privacygevoelige informatie via apps wordt verwerkt, dan moet de consument hierover geïnformeerd worden. Consumenten worden over het algemeen geïnformeerd via de privacyvoorwaarden van de app (ook wel privacy policy, privacy statement of privacybeleid genoemd). Considerati heeft de privacyvoorwaarden van 11 populaire apps geanalyseerd en gekeken of zij aan alle eisen voldoen die een consument aan de voorwaarden mag stellen. Deze rapportage bevat de uitkomsten van die analyse. 1.1 Achtergrond Het is wettelijk verplicht om de consumenten te informeren over het feit dat hun persoonsgegevens worden verwerkt. Door privacyvoorwaarden op te nemen kunnen organisaties aan deze verplichting voldoen. Een groot probleem van privacyvoorwaarden is echter dat zij vaak veel te lang zijn en door het juridisch taalgebruik moeilijk leesbaar. Daarom lezen veel consumenten de privacyvoorwaarden niet. 1 Het is daarom van belang om heldere en toegankelijke privacyvoorwaarden aan consumenten aan te bieden. Zonder duidelijke privacyvoorwaarden heeft een consument geen zicht op wat er met zijn of haar gegevens gebeurt en kan geen goede afweging gemaakt worden over het al dan niet gebruiken van een product of dienst. Ook voor bedrijven is het van belang om heldere privacyvoorwaarden te bieden, niet alleen omdat dit een wettelijke plicht is, maar ook omdat deze het vertrouwen van consumenten in hun digitale dienstverlening vergroot. 1.2 Methodologie De Consumentenbond heeft 11 apps geselecteerd voor de analyse. De privacyvoorwaarden van deze apps zijn door Considerati (juridisch) beoordeeld. De geselecteerde apps zijn hiertoe geïnstalleerd op twee apparaten (een telefoon en een tablet). 2 De privacyvoorwaarden zijn (waar beschikbaar) benaderd via het normale gebruik van de app. 3 Daar waar er geen privacyvoorwaarden vindbaar of benaderbaar waren, is gekeken of de ios versie van de app wel privacyvoorwaarden had. Considerati heeft de privacyvoorwaarden primair getoetst aan de hand van de inhoudelijke eisen van artikel 33 van de Wet bescherming persoonsgegevens (de informatieplicht). Er is (nog) geen wettelijke standaard voor de vorm waarin privacyvoorwaarden moeten worden aangeboden. Wel zijn er een aantal criteria geformuleerd door de Europese 1 Zie ondere andere Custers et al Het gaat om een Samsung Galaxy Note telefoon met Android versie 4.4 (KitKat) en een Wacom Cintiq Hybrid tablet met Android versie (Jelly Bean). 3 De privacyvoorwaarden zijn waar mogelijk gekopieerd (zie bijlage 1). 4

5 privacytoezichthouders (verenigd in de Artikel 29 Werkgroep) die relevant zijn. Het gaat hierbij om zaken als leesbaarheid, vindbaarheid en toegankelijkheid. Deze criteria zijn ook meegenomen in de toetsing. Om te beoordelen of de privacyvoorwaarden daadwerkelijk representatief zijn voor hetgeen in de apps gebeurt, is ook gekeken naar het netwerkverkeer dat de apps genereren. Deze netwerkanalyse is uitgevoerd door de Consumentenbond. 1.3 Uitgangspunten Considerati hanteert bij de beoordeling van de privacyvoorwaarden de volgende uitgangspunten: 1) Uit het installeren van een app via de Play Store door de consument kan niet de (ondubbelzinnige) toestemming voor de verwerking van persoonsgegevens worden afgeleid. Indien bij de beschrijving duidelijk is aangegeven dat het installeren van de app betekent dat de consument zijn ondubbelzinnige toestemming geeft voor specifiek omschreven verwerkingsdoelen, dan wordt aangenomen dat er wel sprake is van ondubbelzinnige toestemming. 4 2) Gegevens die de randapparatuur van de gebruiker identificeren zoals IP- adres, MAC- adres, IMEI- nummer, IMSI- nummer en Android ID worden als persoonsgegevens beschouwd. 5 3) Het plaatsen van informatie op, of het uitlezen van informatie van de randapparatuur door de app wordt gezien als een handeling in de zin van artikel 11.7a Telecommunicatiewet (de cookiewet). In die gevallen waar het uitlezen van gegevens niet strikt noodzakelijk is voor de technische werking van de app wordt er van uitgegaan dat er een informatieplicht bestaat op grond van artikel 11.7a Telecommunicatiewet. 4) In die gevallen waar gegevens worden doorgestuurd naar advertentienetwerken of andere derde partijen wordt er conform artikel 11.7a Telecommunicatiewet vermoed dat het om een verwerking van persoonsgegevens gaat. Op grond van recente uitspraken van het Cbp en de Memorie van Toelichting bij het consultatievoorstel voor de wijziging van artikel 11.7a Telecommunicatiewet gaan wij er vanuit dat deze handelingen ondubbelzinnige toestemming in de zin van 8a Wbp behoeven Beoordeling De privacyvoorwaarden zijn getoetst op de aspecten zoals beschreven in hoofdstuk 4. Het betreft hier het subjectieve (juridische) oordeel van de onderzoekers van Considerati. Per app is in hoofdstuk 5 aangegeven wat de bevindingen zijn per aspect. Voor elk aspect is een score op een schaal van ++ naar - - gegeven. 4 Zie onder andere de Article 29 Working Party Opinion 15/2011 on the definition of consent. 5 Zie Article 29 Working Party Opinion 4/2007 on the concept of personal data en Cbp (2007), Richtsnoeren persoonsgegevens op internet. 6 Zie definitief rapport van bevindingen Cbp in de zaken TPvision (zaaknummer: z ), YD BV (zaaknummer: Z ) en NPO (zaaknummer: Z ). 5

6 ++ Het betreffende onderdeel van de privacyvoorwaarden voldoet goed tot zeer goed aan de eisen. + Het betreffende onderdeel van de privacyvoorwaarden voldoet aan de eisen, maar verbetering is mogelijk. +/- Het betreffende onderdeel van de privacyvoorwaarden voldoet aan de minimumstandaarden, of op kleine punten niet, maar er is veel verbetering mogelijk. - Het betreffende onderdeel van de privacyvoorwaarden onderdeel voldoet niet aan de eisen. - - Het betreffende onderdeel van de privacyvoorwaarden voldoet volledig niet aan de eisen en/of er is sprake van non- compliance. 6

7 2 Apps en privacy Apps zijn programma s die geïnstalleerd worden door de consument op hun telefoon, tablet of ander smart device. Apps hebben tal van functionaliteiten. Hieronder zijn de belangrijkste aspecten vanuit privacyperspectief weergegeven. 2.1 Installatie van apps Apps worden primair via de officiële applicatiewinkels van de aanbieders van het besturingssysteem aangeboden. De twee grootste aanbieders zijn Google (Android) en Apple (ios). Google heeft de Play Store en Apple de App Store. Via deze applicatiewinkels zoekt de gebruiker naar apps en deze worden vervolgens geïnstalleerd op het apparaat. In deze rapportage focussen wij ons op de Play Store van Android. De bevindingen zullen echter op hoofdlijnen van overeenkomstige toepassing zijn op het ios platform. In de Play Store wordt bij elke applicatie een overzicht van de app getoond. Dit overzicht bevat de naam van de aanbieder en/of ontwikkelaar van de app, een contactadres, eventueel een link naar de privacyvoorwaarden en een beschrijving van de app (met tekst en screenshots). Omdat zowel de App Store als de Play Store beperkte mogelijkheden hebben voor wat betreft het opnemen van aanvullende informatie, wordt bij de algemene beschrijving van de apps soms ook aanvullende informatie gegeven die vanuit privacyoptiek relevant is (zoals bijvoorbeeld het gebruik van permissies). 2.2 Gebruik van apps Het aanspreken van OS functies (permissions) In de ios en Android besturingssystemen zijn de apps die geïnstalleerd worden uit stabiliteits- en veiligheidsoverwegingen onder gebracht in een sandbox. Dit betekent dat de apps niet direct toegang hebben tot alle functies van het besturingssysteem, maar dat zij elk in een afgesloten omgeving draaien. Wil een app bepaalde functionaliteiten van het OS en het apparaat gebruiken (bijvoorbeeld het contactenboek, de camera, het netwerk of de GPS), dan moet de app hier toestemming voor vragen (permission) aan de gebruiker. Google en Apple hanteren een verschillende benadering voor wat betreft het vragen van deze permissies. Een Android applicatie vraagt vóór de installatie om alle benodigde permissies. Dit is een take- it- or- leave- it scenario: als de gebruiker één of meerdere van de permissies niet wil geven, dan kan de app niet geïnstalleerd worden. 7 Bij ios krijgen alle applicaties die geïnstalleerd worden standaard diverse basis- permissies. Voor meer specifieke functies (die over het algemeen privacygevoeliger zijn) wordt toestemming gevraagd op het moment dat de applicatie de betreffende functie voor het 7 Er is geen mogelijkheid om in Android permissies in te trekken nadat de app is geïnstalleerd. In Android versie 4.3 is weliswaar een permission manager geïntroduceerd, maar deze is er in versie 4.4 weer uitgehaald door Google. 7

8 eerst aanspreekt. Bijvoorbeeld: wanneer een applicatie gebruikt maakt van geo- locatie dan wordt gevraagd of het apparaat de GPS- functie mag aanspreken. Het vragen van permissies staat overigens niet gelijk aan het verwerken van persoonsgegevens. In veel gevallen hebben de gevraagde permissies niets te maken met het verwerken van persoonsgegevens. Wel is het vragen van permissies in bepaalde gevallen een noodzakelijke voorwaarde voor een app om persoonsgegevens te kunnen verwerken, omdat zonder de permissie geen toegang kan worden verkregen tot de voorzieningen die nodig zijn om persoonsgegevens te verwerken Verwerking van persoonsgegevens Apps verwerken persoonsgegevens op verschillende manieren en voor uiteenlopende doelen. Hoe apps persoonsgegevens verwerken is afhankelijk van de applicatie en de daarvoor gebruikte permissies. Apps kunnen allereerst persoonsgegevens verwerken doordat zij identificerende gegevens verwerken bij het gebruik van de app zelf. Bijvoorbeeld: Om een locatiegebaseerde dienst aan te bieden stuurt de app het Android ID- nummer en locatiedata door aan de aanbieder van de app. Apps kunnen ook gegevens verwerken die door de gebruiker zelf zijn ingevoerd. Wanneer bijvoorbeeld een app de functionaliteit biedt om een gebruikersaccount aan te maken, dan kunnen hierbij ook aanvullende persoonsgegevens worden verwerkt. De verwerking van persoonsgegevens kan noodzakelijk zijn om de app te laten werken of de dienst te kunnen leveren. In het eerste voorbeeld is het bijvoorbeeld niet mogelijk om een locatiegebaseerde dienst te richten op een gebruiker zonder diens locatie te weten. Ook bij het bestellen van een product via een app moeten in veel gevallen persoonsgegevens worden verwerkt (bijvoorbeeld NAW- gegevens). Er zijn ook verwerkingen van persoonsgegevens die niet strikt noodzakelijk zijn voor de werking van de app of de levering van de gevraagde dienst. Denk hierbij bijvoorbeeld aan gegevens die door de aanbieder worden verzameld ten behoeven van analyse- of marketingdoeleinden. Voor dergelijke verwerkingen heeft de aanbieder van de app in beginsel toestemming nodig (8a Wbp), tenzij hij kan aantonen dat er een gerechtvaardigd belang aan de verwerking ten grondslag ligt en de privacyinbreuk voor de betrokkene beperkt blijft (8f Wbp). 8

9 3 Doelstellingen privacyvoorwaarden bij apps Privacyvoorwaarden dienen (juridisch gezien) een tweeledig doel. Allereerst dienen zij om de consument te informeren over het verwerken van privacygevoelige informatie (persoonsgegevens). Wil een organisatie (de verantwoordelijke ) persoonsgegevens verwerken, dan moet deze daarover de consument (de betrokkene ) informeren. Daarnaast vormen privacyvoorwaarden de basis voor toestemming van de consument voor de verwerking van deze gegevens daar waar dit nodig is. 3.1 Informeren van de consument (informatieplicht) Wanneer een verantwoordelijke persoonsgegevens van een consument wil verwerken, dan is deze verplicht de betrokkene daarover te informeren (artikel 33 Wbp). De meest gangbare methode in de digitale wereld om consumenten te informeren is het aanbieden van privacyvoorwaarden, bijvoorbeeld via de website of in een app. 3.2 Basis voor toestemming Wil een organisatie met behulp van een app (persoons)gegevens verwerken, dan is hier in bepaalde gevallen toestemming voor nodig. De privacyvoorwaarden spelen hierbij een belangrijke rol. Er zijn voor apps twee specifieke soorten toestemming die relevant zijn: 1) de toestemming op grond van de Wet bescherming persoonsgegevens en 2) de toestemming op grond van artikel 11.7a van de Telecommunicatiewet (de cookiewet ) Toestemming op grond van de Wet bescherming persoonsgegevens Organisaties (verantwoordelijken) mogen alleen persoonsgegevens verwerken voor uitdrukkelijk omschreven en gerechtvaardigde doelen. Een verwerkingsdoel is gerechtvaardigd op het moment dat daar een legitieme grondslag voor is. Deze grondslagen zijn limitatief opgesomd in artikel 8 Wbp. Een van de grondslagen (8a Wbp) is de ondubbelzinnige toestemming van de betrokkene (de consument). Wil de toestemming voor het verwerken van persoonsgegevens geldig zijn, dan moet deze vrij, specifiek en geïnformeerd zijn. Een consument kan alleen een geïnformeerde beslissing nemen als deze op de hoogte is van de consequenties van de toestemming. Met andere woorden, de consument moet voldoende specifiek geïnformeerd zijn over de verwerking van persoonsgegevens om zelf een weloverwogen beslissing te kunnen nemen. De privacyvoorwaarden hebben tot doel deze informatie te verstrekken Toestemming op grond van de Telecommunicatiewet (cookiewetgeving) Op grond van artikel 11.7a Telecommunicatiewet is toestemming nodig van de gebruiker (de consument) wanneer met behulp van een app: 1) gegevens op de randapparatuur van de gebruiker worden geplaatst en/of 2) gegevens uit de randapparatuur van de gebruiker worden uitgelezen. Wanneer een app cookies plaatst op het apparaat, of anderszins persoonsgegevens uitleest, dan is op grond van de cookiewet voorafgaande toestemming nodig. 9

10 4 Eisen privacyvoorwaarden Wettelijk gezien worden diverse eisen aan de inhoud van privacyvoorwaarden gesteld, deze worden meegenomen in onze analyse. De wettelijke eisen die aan privacyvoorwaarden worden gesteld zijn in dit hoofdstuk met een asterisk aangegeven. De informatieplicht van artikel 33 Wbp stelt geen concrete eisen aan de vorm van de privacyvoorwaarden. De privacytoezichthouders (verenigd in de Artikel 29 Werkgroep) hebben echter wel diverse aanvullende eisen geformuleerd voor wat betreft de vorm van de privacyvoorwaarden. Het gaat dan bijvoorbeeld om zaken als toegankelijkheid en leesbaarheid. 8 Wij nemen deze eisen ook mee in onze analyse, maar wij behandelen dit niet als wettelijke vereisten. Momenteel wordt in de Europese Unie gewerkt aan een nieuwe Privacy Verordening die de huidige privacywetgeving vervangt. 9 Deze Verordening stelt nieuwe en zeer concrete eisen aan de vorm en de inhoud van privacyvoorwaarden (zie de artikelen 11, 12, 13 en 14 van de Verordening). Zo moeten de privacyvoorwaarden goed leesbaar, toegankelijk en begrijpelijk zijn, moeten de privacyvoorwaarden de gebruikers wijzen op hun rechten op grond van de Verordening (zoals het recht om vergeten te worden en het recht op data portabiliteit) en moeten de gehanteerde bewaartermijnen en veiligheidsmaatregelen worden gespecificeerd. Wij nemen deze criteria waar relevant ook mee in onze analyse, maar wij behandelen dit niet als wettelijke vereisten. 4.1 Vorm van de privacyvoorwaarden Vindbaarheid De privacyvoorwaarden moeten goed vindbaar zijn voor consumenten. Privacyvoorwaarden moeten daarom op een zichtbare en voor de consument logische plaats staan. Het eerste moment waarop de privacyvoorwaarden aangeboden (kunnen) worden is vóór de installatie van de app. In Play Store kan relevante privacy informatie op twee verschillende manieren worden getoond: 1) Via een speciale link privacybeleid bij de algemene informatie over de ontwikkelaar van de app, en 2) via de algemene beschrijving van de app. Het tweede moment dat de privacyvoorwaarden kunnen worden aangeboden is in de app zelf. Meestal staan de privacyvoorwaarden onder de algemene informatie of de instellingen van de app. 8 Zie oa. Opinion 10/2004 on More Harmonised Information Provisions en Opinion on Smart Devices. Zie ook: International Conference of Data Protection and Privacy Commissioners, International Standards on the Protection of Personal Data and Privacy, the Madrid Resolution, 5 November Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) COM/2012/011 final /0011 (COD) 10

11 De toezichthouders stellen dat de privacyvoorwaarden zowel vóór de installatie in de applicatiewinkel beschikbaar moeten zijn, als na de installatie (in de app zelf) Toegankelijkheid De privacyvoorwaarden moeten eenvoudig toegankelijk zijn voor consumenten. De privacyvoorwaarden moeten daarom overzichtelijk vormgegeven zijn en liefst kort en bondig. 11 Waar mogelijk moet gewerkt worden met duidelijke kopjes, paragrafen en bullet points. Gelaagde privacyverklaringen zijn een goed voorbeeld voor wat betreft toegankelijkheid. In dergelijke voorwaarden worden de hoofdlijnen van het privacybeleid kort uitgelegd, zodat de consument direct een compleet overzicht heeft van de belangrijkste punten. 12 Om meer details te krijgen kan een consument vervolgens doorklikken naar de volledige voorwaarden met alle details Leesbaarheid en begrijpelijkheid Privacyvoorwaarden moet leesbaar en begrijpelijk zijn voor de consument. Ingewikkeld juridisch taalgebruik en moeilijke zinsconstructies moeten daarom worden vermeden. De privacyvoorwaarden moeten qua taalgebruik zijn toegesneden op de doelgroep. Speciale aandacht is nodig daar waar de verwerking van persoonsgegevens betrekking heeft op kinderen. Momenteel worden geen specifieke wettelijke eisen gesteld aan de leesbaarheid van de privacyvoorwaarden. Met de nieuwe Privacy Verordening gaat dit veranderen. De informatie in de privacyvoorwaarden moet begrijpelijk zijn voor de gemiddelde consument (zie artikel 11 Verordening). Dit impliceert dat de teksten in privacyvoorwaarden veelal gericht moeten zijn op iemand met een B1 leesniveau. 13 De toezichthouders hebben in twee opinies nadrukkelijk aangegeven dat leesbaarheid en begrijpelijkheid van privacyvoorwaarden noodzakelijk zijn. 14 Een objectieve beoordeling of een tekst leesbaar is, is ingewikkeld. In de taalwetenschappen bestaat nog steeds veel discussie over de houdbaarheid van bijvoorbeeld de Flesch- Kincaid test en de Flesch- Douma test (voor Nederlands) waarmee een tekst gescored wordt op leesbaarheid. De beoordeling van de leesbaarheid van de privacyvoorwaarden is daarom bovenal een subjectieve beoordeling van de onderzoekers. Wel zijn er een aantal duidelijk aanknopingspunten om te beoordelen of een tekst leesbaar is. Denk hierbij onder andere aan korte zinnen, actief taalgebruik, het vermijden van juridisch en technisch jargon, persoonlijk aanspreken van de consument en het gebruik van als- dan constructies Interessant genoeg is de WP29 van mening dat de aanbieder van de app store hiervoor mede- verantwoordelijk is: As a joint controller with the app developers with regard to information, app stores must ensure that every app provides the essential information on personal data processing. They should check the hyperlinks to included pages with privacy information and remove apps with broken links or otherwise inaccessible information about the data processing. 11 Article 29 Working Party Opinion 10/2004 on More Harmonised Information Provisions, p Article 29 Working Party Opinion 10/2004 on More Harmonised Information Provisions 13 Raad van Europa, Common European Framework for Languages: Learning, Teaching and Assessment. Zie ook: OCW (2009), Referentie kader taal en rekenen 14 Article 29 Working Party Opinion Opinion 10/2004 on More Harmonised Information Provisions, Article 29 Working Party Opinion on smart devices p Zie ook: Kinsella Media Language primer for privacy policies 11

12 4.2 Inhoud privacyvoorwaarden De wetgeving stelt een aantal minimumeisen aan de informatie die bij elke verwerking van persoonsgegevens moet worden aangeboden (zie artikel 33 lid Wbp). Het gaat hierbij om de identiteit van de verantwoordelijke, de gegevens die verwerkt worden en de doelen waarvoor deze verwerkt worden. De consument moet daarnaast ook nadere informatie krijgen die noodzakelijk is om een behoorlijke en zorgvuldige verwerking te waarborgen (zie artikel 33 lid 3 Wbp). In lijn met Richtlijn 95/46/EG wordt hier in ieder geval onder begrepen: de derden of categorieën van derden waarmee de gegevens worden gedeeld en de rechten van de consument. De Europese toezichthouders hebben verder aangegeven dat het zeer wenselijk is om ook de volgende informatie op te nemen: 1) de gehanteerde bewaartermijnen, 2) de genomen veiligheidsmaatregelen en 3) een uitleg van de afwegingen waarom gegevens moeten worden verwerkt Identificatie* De verantwoordelijke moet duidelijk zijn identiteit kenbaar maken aan de consument (artikel 33 lid 2 Wbp). Dit betekent dat duidelijk is welke organisatie verantwoordelijk is voor de gegevensverwerking, wat de belangrijkste contactgegevens zijn van deze organisatie en waar de consument terecht kan met vragen of opmerkingen Specificatie gebruikte gegevens en doeleinden* De privacyvoorwaarden moeten de gebruikte persoonsgegevens en de doelen voor de verwerking van deze persoonsgegevens specificeren (artikel 33 lid 2 Wbp). Bij het formuleren van de doeleinden voor de verwerking is het van belang dat deze doelen niet te vaag en/of te ruim omschreven zijn Delen van gegevens met derden* De consument moet worden geïnformeerd over de (categorieën) derden die de gegevens ontvangen. Indien gegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte zonder een passend beschermingsniveau, dan moet dit ook worden vermeld (artikel 33 lid 4 Wbp) Noodzakelijkheid verstrekken gegevens* Bij de verplichting tot nadere verstrekking van informatie uit artikel 33 lid 4 Wbp behoort ook de verplichting om duidelijk te maken aan de consument welke gegevens wel verplicht zijn om te verstrekken (bijvoorbeeld in een webformulier) en welke niet verplicht zijn. In de praktijk wordt dit meestal aangegeven met een sterretje voor de verplichte velden. Het moet voor de consument helder zijn waarom deze gegevens gevraagd worden voor de betreffende doelen. Wij zullen dit criterium alleen toetsen voor die apps waar een account aangemaakt kan of moet worden en de consument dus zelf gegevens moet invullen Rechten van de consument* De consument heeft recht op inzage, wijziging, verwijdering van de op hem betrekking hebbende persoonsgegevens. Daarnaast is er een absoluut recht op verzet tegen het gebruik 16 Article 29 Working Party Opinion 02/2013 on apps on smart devices, p Omdat veel apps en de bijbehorende dienstverlening gekwalificeerd kunnen worden als diensten van de informatiemaatschappij moet naast eisen van artikel 33 Wbp ook voldaan worden aan de informatieverplichting ex. artikel 3:15d BW. 12

13 van persoonsgegevens voor direct marketing doeleinden. De privacyvoorwaarden moet duidelijk aangeven dat de consument dit recht heeft en waar de consument met dergelijke verzoeken terecht kan Bewaartermijnen De consument moet weten hoe lang zijn of haar gegevens worden bewaard door de verantwoordelijke. Om die reden is het wenselijk dat de verantwoordelijke dit aangeeft. Deze inhoudelijke eis wordt met de nieuwe Verordening verplicht Veiligheidsmaatregelen De consument moet zelf een risicoafweging kunnen maken met betrekking tot de vraag of hij of zij het niveau van beveiliging van een verantwoordelijke voldoende vindt. Om die reden is het wenselijk dat de verantwoordelijke de genomen veiligheidsmaatregelen beschrijft. Deze inhoudelijke eis wordt met de nieuwe Verordening verplicht Uitleg afwegingen voor het gebruik van persoonsgegevens De Artikel 29 Werkgroep is ook van mening dat een verantwoordelijke aan de consumenten duidelijk moeten maken waarom de verwerking van de gegevens in zijn ogen proportioneel is. 18 Het duidelijk en expliciet maken van de eigen afwegingen om persoonsgegevens te verwerken kan het vertrouwen van de consument in de verantwoordelijke versterken, omdat het voor de consument helder is waarom de gegevens worden verwerkt Uitleg permissies in relatie tot verwerking (persoons)gegevens In het verlengde van het vorige criterium ligt het informeren van de consument over de gehanteerde permissies. Android en ios apps opereren in een sandbox en mogen slechts na goedkeuring van de gebruiker onderdelen van het OS en functionaliteiten van het apparaat aanspreken. Voor consumenten moet het in zijn algemeen helder zijn waarom deze permissies worden gevraagd, omdat in veel gevallen persoonsgegevens (kunnen) worden verwerkt via deze permissies. Hoewel strikt genomen uitleg over gebruikte permissies niet verplicht is op grond van artikel 33 Wbp (via de gevraagde permissies worden immers niet noodzakelijkerwijs persoonsgegevens verwerkt), is het wel wenselijk dat voor de consument helder is waarom de permissies worden gevraagd. De reden hiervoor is dat de Play Store slechts op hoofdlijnen informatie geeft over de betekenis van permissies en de rol van een gevraagde permissie in het kader van de concrete app niet nader wordt gespecificeerd. Hierdoor is het voor consumenten veelal totaal onduidelijk waarom zij een bepaalde permissie moeten verlenen. Wanneer met behulp van de permissies persoonsgegevens worden verwerkt dan is het van belang om naast de manier waarop persoonsgegevens worden verwerkt ook aan te geven welke rol de betreffende permissies daarbij spelen. Dit kan worden afgeleid uit artikel 33 lid 4 Wbp. 4.3 Toestemming* Privacyvoorwaarden zijn primair bedoeld om de consument van informatie over de verwerking te voorzien. In veel gevallen volstaat het enkel verstrekken van informatie, maar 18 Zie: Article 29 Working Party Opinion 02/2013 on apps on smart devices, p

14 in een aantal gevallen is (ondubbelzinnige) toestemming nodig voor het verwerken van persoonsgegevens. Zo zal op grond van artikel 11.7a Telecommunicatiewet en in voorkomende gevallen artikel 7 jo. artikel 8a Wbp voor het plaatsen van informatie op en het uitlezen van informatie van het apparaat door de app toestemming moeten worden gevraagd. Omdat toestemming zo nauw verbonden is met de privacyvoorwaarden hebben wij dit als apart toetsingscriterium opgevoerd. Toestemming moet voorafgaand aan het plaatsen/uitlezen worden verkregen en indien er sprake is van de verwerking van persoonsgegevens, dan moet de toestemming ondubbelzinnig zijn. Dit betekent dat er geen twijfel mag bestaan over het feit dat de consument zijn toestemming heeft gegeven. Voor deze rapportage gaan wij er vanuit dat het installeren van een app zonder dat daarbij de privacyvoorwaarden beschikbaar zijn niét als ondubbelzinnige toestemming voor de verwerking van persoonsgegevens via de app mag worden gezien. Voor alle apps die wél voorafgaand privacyvoorwaarden aanbieden moet worden beoordeeld of de privacyvoorwaarden voldoende duidelijk de verwerkingen van persoonsgegevens door de app beschrijven én het aan consumenten duidelijk wordt gemaakt dat de installatiehandeling gezien wordt als het geven van toestemming. Slechts als aan deze beide criteria is voldaan mag worden uitgegaan van de ondubbelzinnige toestemming voor het verwerken van persoonsgegevens. De beste oplossing is overigens om geen persoonsgegevens te verwerken totdat de consument hier in de app expliciet toestemming voor heeft gegeven. Een goed voorbeeld van een app die netjes en heel duidelijk na installatie vooraf toestemming vraagt is de nieuwe TomTom App: In haar opinie over smart devices heeft de Artikel 29 Werkgroep gesteld dat granulaire toestemming moet worden gevraagd voor het gebruik van: locatie, contacten, Unique Device Identifier, identiteit van de consument, identiteit van het apparaat, credit card en 14

15 andere betalingsgegevens, telefonie en SMS, surfgeschiedenis, , sociale netwerk inloggegevens en biometrische gegevens. 19 Toestemming kan op het niveau van de applicatie worden gevraagd, of op het niveau van de gebruikte permissies. Dit laatste is echter wel afhankelijk van het gebruikte OS. Android en de Google Play Store bieden geen mogelijkheden voor deze granulaire toestemming op basis van permissies, maar bieden slechts een take it or leave it scenario. Na de installatie van de app kunnen de gebruikers ook niet meer selectief de permissies uitzetten (opt- out). ios biedt hiervoor iets meer mogelijkheden. Het ios geeft een melding op het moment dat van de permissie gebruik wordt gemaakt en de consument heeft dan de mogelijkheid om de permissie te weigeren (bijvoorbeeld bij het laden van de kaart wordt de gebruiker gevraagd of zijn locatie mag worden gebruikt). Deze vorm van permissie vragen is in die zin beter dat het voor de consument veel helderder is wat er gebeurt (omdat het toestemmingsmoment direct gekoppeld is aan de verwerking). Vanuit het perspectief van dataminimalisatie is het zinvol om permissies te beperken. Ook bieden permissies tot op zekere hoogte de mogelijkheid om privacyvoorkeuren te managen (bijvoorbeeld het intrekken van een toestemming voor het gebruik van bepaalde data). Hierbij moet wel worden aangetekend dat permissies niet noodzakelijkerwijs het meest geëigende middel zijn om de privacyvoorkeuren van gebruikers te managen. Omdat de permissies niet primair het verwerken van persoonsgegevens tot doel hebben, maar veeleer de werking van de app, kan het (in runtime) uitschakelen van permissies onverwachte en ongewenste consequenties hebben voor de werking en stabiliteit van de app. Het is daarom beter als appontwikkelaars de consument op het niveau van de verwerkingen binnen de app zelf de mogelijkheid geven om hun toestemming te beheren (bijvoorbeeld door het versturen van gegevens aan derden te deactiveren), in plaats van hiervoor permissies te gebruiken. Met andere woorden: de permissies worden dan niet gebruikt om privacyvoorkeuren te managen, maar specifiek daarvoor in de app ingebouwde functionaliteit. Uiteraard moeten permissies die niet noodzakelijk zijn voor de werking van de app en wel een privacyrisico met zich mee kunnen brengen niet gevraagd worden. 19 Zie: Article 29 Working Party Opinion 02/2013 on apps on smart devices, p

16 5 Beoordeling privacyvoorwaarden 5.1 Nu.nl App Versie 5.3.2, beschikbaar sinds 7 juli Privacyvoorwaaarden laatst geraadpleegd op 16 juli Laatste wijziging van de privacyvoorwaarden op 16 april Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken Vorm van de privacyvoorwaarden Vindbaarheid De privacyvoorwaarden van de Nu.nl app zijn voorafgaand aan de installatie in te zien via de link in de Play Store. De privacyvoorwaarden zijn ook in te vinden bij de informatie over de ontwikkelaar, waarin een hyperlink staat naar de privacyvoorwaarden van Nu.nl. Na installatie zijn de privacyvoorwaarden van de Nu.nl app in te zien via de instellingen van de app. De privacyvoorwaarden van de Nu.nl app zijn dus goed vindbaar Toegankelijkheid De privacyvoorwaarden van de Nu.nl app zijn relatief overzichtelijk vormgegeven. Er is gebruik gemaakt van kopjes, waarmee navigatie voor de consument wordt vergemakkelijkt. Wel zijn de privacyvoorwaarden erg lang (2661 woorden), is er geen sprake van een gelaagde structuur en zijn de paragrafen erg lang. Hierdoor is het moeilijk voor consumenten om snel een beeld te krijgen van de privacyvoorwaarden van de app. Door beperkt gebruik van opsommingstekens zijn de privacyvoorwaarden op punten onoverzichtelijk. Voor het specificeren van de doeleinden is wel een opsommingslijst gebruikt. De privacyvoorwaarden zijn uit te printen. +/ Leesbaarheid en begrijpelijkheid Hoewel de privacyvoorwaarden over het algemeen in begrijpelijke en duidelijke taal zijn gesteld, waarbij de toon is aangepast aan de gebruiker, zijn er een aantal onduidelijke passages met lange zinnen of moeilijke zinsconstructies. Dit doet af aan de leesbaarheid en begrijpelijkheid van de privacyvoorwaarden. Bijvoorbeeld: Zoals reeds eerder vermeld kunnen wij persoonsgegevens die door ons worden verwerkt, uitwisselen met groepsmaatschappijen en je persoonsgegevens combineren met gegevens die zijn verzameld in het kader van de aankoop of gebruik van onze producten of diensten (of producten of diensten van onze groepsmaatschappijen). In plaats van: We mogen jouw gegevens doorsturen naar onze groepsmaatschappijen. We mogen jouw gegevens ook combineren met gegevens die wij of onze groepsmaatschappijen al van jou hebben. Bijvoorbeeld omdat je één van onze producten of diensten hebt gebruikt. 16

17 Inhoud privacyvoorwaarden Identificatie* De verantwoordelijken worden in de privacyvoorwaarden genoemd. De privacyvoorwaarden van Nu.nl stellen het volgende met betrekking tot verantwoordelijkheid voor de verwerking van persoonsgegevens: De verantwoordelijken voor de verwerking van de persoonsgegevens zijn Sanoma Media Netherlands B.V., Capellalaan 65, 2132 JL Hoofddorp en (voor wat betreft de verwerking van gegevens binnen SBS en haar dochtervennootschappen) SBS Broadcasting B.V., Rietlandpark 333, 1019 DW Amsterdam. Eerder in de privacyvoorwaarden is gespecificeerd dat Nu.nl deel uitmaakt van Sanoma Digital The Netherlands B.V.: NU.nl is een website van Sanoma Digital The Netherlands B.V, onderdeel van de Sanoma Media Netherlands groep. Sanoma Digital The Netherlands B.V. is dus de verantwoordelijke is voor de verwerking van persoonsgegevens door de Nu.nl app. Omdat de privacyvoorwaarden niet zijn toegespitst op de app is dit echter niet in één oogopslag duidelijk voor de consument Specificatie gebruikte gegevens en doeleinden* Hoewel in de privacyvoorwaarden is gespecificeerd welke gegevens door Sanoma Media Netherlands B.V. en SBS Broadcasting B.V. in zijn algemeenheid kunnen worden verzameld, is niet gespecificeerd welke persoonsgegevens specifiek door de Nu.nl app kunnen worden verzameld. Hetzelfde geldt voor de doelen. Er zijn 10 doelen gespecificeerd, maar het is niet duidelijk welke gegevens uit de app worden gebruikt voor de betreffende doelen. +/ Delen van gegevens met derden* Volgens de privacyvoorwaarden kunnen gegevens worden gedeeld met groepsmaatschappijen van Sanoma Media Netherlands B.V. en SBS Broadcasting B.V. De dochtermaatschappijen worden genoemd in de privacyvoorwaarden. Daarnaast kunnen gegevens worden verhuurd (listbroking) aan zorgvuldig geselecteerde derden. Wie deze zorgvuldig geselecteerde derden zijn is niet gespecificeerd. Tenslotte wordt via de app contact gemaakt met advertentienetwerken van derden. Hierover wordt weliswaar melding gemaakt onder het kopje cookies, maar niet onder het kopje derden. - 17

18 Noodzakelijk te verstrekken gegevens* De privacyvoorwaarden stellen dat het verstrekken van persoonsgegevens niet verplicht is, maar om gebruik te maken van bepaalde diensten is invoer van persoonsgegevens wel noodzakelijk. Bij het aanmaken van een NuJIJ account wordt duidelijk de reden aangegeven waarom het adres gevraagd wordt Rechten van de consument* De privacyvoorwaarden van de Nu.nl App informeren de consument duidelijk over diens recht op inzage, correctie, verwijdering en verzet. De privacyvoorwaarden stellen dat: Als je wilt weten welke persoonsgegevens van jou zijn vastgelegd, als je gegevens wilt wijzigen of wilt laten wissen conform de daarvoor geldende regelgeving, kun je een sturen aan of een brief gericht tot Sanoma Media Netherlands B.V., ter attentie van Klantenservice Privacy, Capellalaan 65, 2132 JL Hoofddorp, onder vermelding van 'inzage/wijzigen/wissen persoonsgegevens'. Ook kan je doorgeven dat je niet langer prijs stelt op het verstrekken van jouw persoonsgegevens aan groepsmaatschappijen of aan derden, het combineren van je persoonsgegevens tot een profiel, of het gebruik van jouw gegevens voor het doen van gerichte aanbiedingen of op het per e- mail of post ontvangen van informatie en aanbiedingen. Daarnaast wordt gespecificeerd aan welke vereisten een dergelijk verzoek moet voldoen, teneinde het verzoek op de juiste manier te kunnen behandelen. Verder wordt de consument gewezen op het feit dat bij een aantal websites de mogelijkheid wordt geboden een deel van de verwerkte persoonsgegevens zelf in te zien, wijzigen of verwijderen. Of dit ook bij de Nu.nl App mogelijk is, is niet in de privacyvoorwaarden gespecificeerd Bewaartermijnen Met betrekking tot bewaartermijnen stellen de privacyvoorwaarden dat persoonsgegevens in beginsel alleen bewaard worden zolang als dat nodig is voor bovengenoemde doeleinden, of om te voldoen aan wettelijke (bewaar) verplichtingen. +/ Veiligheidsmaatregelen Bij de websites, producten en diensten van Sanoma Digital Netherlands B.V. wordt te allen tijde een beveiligingsniveau bij de verwerking van persoonsgegevens [gehandhaafd] dat gezien de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen. Wat dit precies inhoudt is verder niet gespecificeerd. +/- 18

19 Uitleg afwegingen voor het gebruik van persoonsgegevens Hoewel de doelen voor de verwerking in de privacyvoorwaarden worden uiteengezet, wordt hierin niet de afweging meegegeven die ten grondslag ligt aan het gebruik van (juist deze) persoonsgegevens Uitleg gevraagde permissies In de beschrijving van de app wordt duidelijk uitgelegd welke permissies worden gebruikt en waarom de app deze nodig heeft Toestemming* De toestemming voldoet niet aan de eisen die de Wbp en/of de Telecommunicatiewet stellen, omdat bij de installatie niet duidelijk genoeg is aangegeven dat het installeren van de app toestemming impliceert voor het plaatsen en uitlezen van gegevens die vermoed worden persoonsgegevens te zijn via de randapparatuur van de gebruiker. Na installatie wordt zonder verdere toestemmingsvraag contact gemaakt met advertentienetwerken en worden diverse tracking cookies gedropt

20 5.2 De Telegraaf Versie 2.8, beschikbaar sinds 10 juli Privacyvoorwaarden geraadpleegd op 16 juli Laatste wijziging privacyvoorwaarden 12 juni Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken. Dit is gekoppeld aan een proefabonnement. Bij het aanmaken van deze account moet men akkoord gaan met de privacyvoorwaarden Vorm van de privacyvoorwaarden Vindbaarheid Voorafgaand aan de installatie is het niet mogelijk de privacyvoorwaarden van De Telegraaf App in te zien. Wanneer de app is geïnstalleerd wordt de gebruiker via het onderdeel informatie doorgelinkt naar de privacy verklaring van de Telegraaf Media Group N.V. (TMG) Toegankelijkheid De privacyvoorwaarden zijn in duidelijke onderdelen verdeeld, met kopjes die navigatie vergemakkelijken. Ook worden de doeleinden van de verwerking overzichtelijk gepresenteerd doordat er gebruik wordt gemaakt van een opsomming door middel van bullets. Ook zijn de privacyvoorwaarden niet te lang (1063 woorden) Leesbaarheid en begrijpelijkheid De privacyvoorwaarden van TMG zijn gericht aan de consument en in zijn algemeenheid duidelijk. Wanneer gebruik wordt gemaakt van terminologie wordt dit aan de hand van voorbeelden toegelicht:...partijen, die door TMG worden ingeschakeld bij de uitvoering van haar dienstverlening (bijvoorbeeld de leverancier van een door u besteld product) Wel is er sprake van veel passief taalgebruik en worden veel opties open gelaten ( kan worden verwerkt, het is mogelijk dat ). Hierdoor is het voor een consument niet duidelijk wat er nu daadwerkelijk gebeurt binnen de app. Ook zijn een aantal zinnen nodeloos ingewikkeld. Bijvoorbeeld: Uw persoonsgegevens kunnen voor de voornoemde doeleinden worden uitgewisseld met of ter beschikking worden gesteld aan alle onderdelen van TMG. In plaats van: Alle onderdelen van TMG mogen u gegevens ook gebruiken voor deze doelen 20