Om het coronavirus aan te pakken, gaat vicepremier De Jonge apps inzetten die informatie geven over coronabesmettingen. De apps verzamelen en delen gegevens over de gezondheid i.c.m. de locatie. Waar moeten deze apps aan voldoen als we kijken naar de privacyrichtlijnen?
Vanuit diverse richtingen wordt hard gewerkt aan de ontwikkeling van dergelijke apps. Zowel in Nederland als in de rest van de EU zijn al meerdere zogenaamde corona-apps in gebruik. De maatschappelijke belangen die hiermee gepaard gaan, zijn groot. De overheid dient enerzijds het algemene belang op het gebied van volksgezondheid te behartigen. Anderzijds de commerciële belangen van bedrijven die de apps ontwikkelen. Bij de ontwikkeling van apps verdient de bescherming en het veilig uitwisselen van de data bijzondere aandacht.
Ontwikkel je een app? Dan het essentieel om te bepalen of de AVG van toepassing is op de gegevens die worden verwerkt. Dit is het geval wanneer persoonsgegevens worden verwerkt. Bij de verwerking van deze gegevens gelden beginselen waarover verantwoording moet worden afgelegd. Houd bij de ontwikkeling van een app daarom rekening met het volgende.
Is er een wettelijke basis waarop de gegevens worden verwerkt en is dit duidelijk gecommuniceerd richting de gebruikers om wiens gegevens het gaat?
Is er een duidelijk doeleinde voor het verwerken van de gegevens en worden de gegevens enkel voor dit doeleinde gebruikt? De gegevens mogen namelijk niet voor een ander doeleinde worden gebruikt.
Is er beoordeeld welke persoonsgegevens voor de verwerking echt nodig zijn? Enkel de gegevens die noodzakelijk zijn voor het vooraf bepaalde doeleinde, mogen worden verwerkt.
Zijn er waarborgen om de juistheid van de gegevens te bewaken? Zijn bijvoorbeeld maatregelen getroffen om onjuiste persoonsgegevens te wissen of te rectificeren?
Hoe wordt ervoor gezorgd dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel?
Welke maatregelen zijn genomen om de beveiliging van de gegevens te waarborgen? En zijn de maatregelen toereikend voor het soort gegevens die worden verwerkt?
Kortom, het is vereist om bij de ontwikkeling van nieuwe apps zo vroeg mogelijk aandacht te besteden aan de wijze van bescherming van persoonsgegevens (Privacy by Design).
Uit de AVG volgt dat er een antwoord dient te worden gegeven op de voorgaande vragen. Wanneer een app niet voldoet aan de maatstaven van de AVG, kan dit leiden tot reputatieschade en het verlies van (het vertrouwen van) klanten. In het ergste geval kan het ook leiden tot financiële sancties van de Autoriteit Persoonsgegevens of andere toezichthouders. Het is dus van groot belang om bij het ontwerpen en ontwikkelen van apps rekening te houden met privacy. Achteraf hoeven dan ook geen kostbare wijzigingen meer plaats te vinden.
De interim privacy en security counsels van DPA Professionals bieden je gespecialiseerde ondersteuning bij vraagstukken omtrent Privacy by Design en informatiebeveiliging. Denk hierbij aan het implementeren van een solide Privacy by Design framework.
