Privacy by Design/Default en de “Veelbezochte Plaatsen” van Apple

De nieuwe Privacy Verordening die in 2018 in werking treedt, introduceert een aantal nieuwe begrippen. Eén daarvan is het concept “data protection by design” als tegenhanger van het concept “data protection  by default”. Eenieder die apps, websites, toestellen en toepassingen ontwikkelt gebaseerd op het verwerken van persoonsgegevens of deze gegevens verwerkt bij de uitvoering van zijn/haar opdracht, zal bij de ontwikkeling zelf rekening moeten houden met de bescherming van de persoonsgegevens van de toekomstige gebruiker, dit is data protection by design.

Welke maatregelen kunnen software developers nemen om privacy by design te implementeren?

De Verordening bepaalt dat dergelijke maatregelen onder meer kunnen bestaan uit het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking,…

De “Veelbezochte Plaatsen” van Apple

Een voorbeeld van hoe het niet moet, althans vanaf de inwerkingtreding van de Verordening, is bijvoorbeeld de “Veelbezochte Plaatsen” functie die standaard op elke IPhone is geïnstalleerd.

Net zoals elke smartphone voorziet IPhone in de mogelijkheid om via je telefoon aan geolocalisatie te doen en deze aldus te gebruiken als GPS. Daarnaast wordt via deze functie en zelf zonder dat je “Locatievoorzieningen” werden “aan” gezet, een lijst bijgehouden van “Veelbezochte Plaatsen”. Dit zijn plaatsen waar je recent bent geweest en deze functie bevat ook informatie over wanneer je op een bepaalde locatie was, hoe lang en hoe vaak. Bij aankoop van een IPhone staat deze functie automatisch op actief. Dit is nu exact wat de nieuwe Verordening tracht tegen te gaan door introductie van het begrip “Privacy by Design”. In de toekomst zal Apple dus bij de ontwikkeling van nieuwe producten hiermee rekening dienen te houden en vertrekken van het uitgangspunt van bescherming van de privacy van de gebruiker. In het geval van de “Veelbezochte Plaatsen” impliceert dit dus minstens dat deze Veelbezochte Plaatsen” niet worden bijgehouden, tenzij de klant hier zelf voor kiest en deze functie aanvinkt (hetgeen deze functie uiteraard totaal oninteressant maakt voor commerciële bedrijven zoals Apple).

Reden/legitieme doel van de verwerking

Bovendien kunnen we ons afvragen of het verwerken van data over waar je bent geweest, wanneer en hoe lang, wel noodzakelijk is en proportioneel is ten aanzien van het doel nl. het gebruik van een smartphone. Zeker gelet op het feit dat deze gegevens mogelijks als gevoelige gegevens kunnen worden beschouwd aangezien deze interessante info bevatten over waar je werkt, waar je woont en wanneer je gewoonlijk (niet) thuis bent.

Het is in elk geval bijzonder onduidelijk wat er met deze gegevens gebeurt, wat de reden is voor de verwerking van deze persoonsgegevens of het (legitieme) doel van deze verwerking.

Boetes

Niettegenstaande het feit dat Apple is gevestigd buiten de Europese Unie, is de Privacy Verordening ook op Apple van toepassing voor wat betreft de verwerking van gegevens van personen in de EU.

Bij niet-naleving van de bepalingen van de nieuwe Privacy- Verordening zullen boetes kunnen opgelegd worden tot 4% van de wereldwijze omzet van het bedrijf in kwestie.

Vragen over de nieuwe Verordening of over privacy in het algemeen?

Contacteer Sirius Legal via info@siriuslegal.be of 02/ 721 13 00.