Privacy policy: just do it! Nike past app conform Wbp aan
Door middel van een running app kunnen hardlopers onder andere afstand, tijd en tempo van een hardloopsessie bijhouden. Nike creëerde hier de Nike+ Running app (tegenwoordig Nike+ Running Club) voor. Deze app is wereldwijd tussen de 10 en 50 miljoen keer gedownload.[1] Vorig jaar november presenteerde het toenmalige College bescherming persoonsgegevens (nu: Autoriteit Persoonsgegevens) de resultaten van hun onderzoek naar de verwerking van persoonsgegevens in het kader van de Nike+ Running app. Uit dit onderzoek bleek dat Nike de gebruikers van de Nike+ Running app onvoldoende over de verwerking van hun gegevens informeert.[2] Gisteren werd bekend dat Nike door nieuwe aanpassingen niet langer de Wet bescherming persoonsgegevens overtreedt.
Persoonsgegevens
Om de app zo secuur mogelijk te laten werken, verzamelt Nike onder meer gegevens betreffende de lichaamslengte, gewicht en de intensiteit van een hardloopsessie. Deze persoonsgegevens kunnen veel vertellen over de lichamelijke gesteldheid van de gebruiker. Deze gevoelige persoonsgegevens worden beschermd door de Wet bescherming persoonsgegevens (Wbp). In artikel 1 sub a van de Wbp wordt een persoonsgegeven omschreven als “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.” Het persoonsgegeven ziet niet enkel op informatie over een persoon in geschreven tekst, ook informatie uit beeld en geluid kunnen hieronder vallen.[3] Een aantal gegevens die Nike verwerkt zoals: lengte, gewicht en hartslag kunnen worden aangemerkt als bijzondere persoonsgegevens nu ze betrekking hebben op de gezondheid van een gebruiker.[4] Gegevens betreffende iemands gezondheid moet ruim worden opgevat.[5] In beginsel is het verwerken van bijzondere persoonsgegevens verboden, artikel 16 Wbp. In artikel 23 lid 1 sub a Wbp kan een ontheffing op dit verbod worden verkregen door uitdrukkelijke toestemming van de betrokkene. Er is sprake van een uitdrukkelijke toestemming wanneer de gebruiker geïnformeerd is en vrij een keuze heeft kunnen maken, daarnaast moet toestemming voor een specifieke gegevensverwerking of een beperkte categorie van gegevensverwerkingen worden gegeven. Een algemene machtiging volstaat niet.[6]
Privacy beleid
Na het downloaden van de Nike+ Running app zal een gebruiker van de app met een Android toestel een Nike+ account moeten aanmaken. Het account vraagt om gegevens als naam, geslacht, geboortedatum, postcode, land en emailadres op te geven. Door het aanmaken van het account worden de gegevens die in de app op de telefoon zijn verzameld, ook doorgegeven naar de servers van Nike.
Naast het doorgeven van gegevens is het voor het gebruik van de app ook vereist dat de gebruiker de privacy policy accepteert. De Nike+ Running app hanteerde sinds maart 2015 een keuzemenu voor de toepasselijke privacy policy. De gebruiker diende zelf de juiste regio en policy te kiezen. Een automatische doorleiding naar de Nederlandse gebruikersvoorwaarden ontbrak. Inden de gebruiker de juiste policy wist te kiezen ontbrak vervolgens de verantwoording voor de verwerking van de persoonsgegevens, zoals welke gegevens worden verwerkt en met welk doel. De Autoriteit Persoonsgegevens concludeerde naar aanleiding hiervan dat het daardoor niet de uitdrukkelijke toestemming van de app-gebruikers verkrijgt die wel noodzakelijk is voor de verwerking van hun gegevens. Dit was volgens de Autoriteit Persoonsgegevens voldoende om een schending van de Wet bescherming persoonsgegevens te constateren.
Bewaartermijn aangepast
De nieuwe versie van de Nike+ Running app (tegenwoordig Nike+ Running Club) is behalve een naamverandering ook onderworpen aan nieuwe gebruiksvoorwaarden. In het Nederlands wordt direct duidelijk welke gegevens Nike wil verwerken en waarvoor. Daarnaast heeft het een bewaartermijn van 13 maanden geïmplementeerd. Na verloop van 13 maanden zullen de gegevens van inactieve gebruikers worden versleuteld, deze zullen maximaal 4 jaar worden opgeslagen. Nike behoudt wel het recht de gegevens langer dan 13 maanden te bewaren voor het inzien van de gegevens door de gebruikers zelf. Met deze veranderingen is Autoriteit Persoonsgegevens tot de conclusie gekomen dat de Wet bescherming persoonsgegevens niet langer wordt overtreden.
Mr. N. Wiersma
[1] https://play.google.com/store/apps/details?id=com.nike.plusgps
[2] College bescherming persoonsgegevens, Onderzoek naar de verwerking van persoonsgegevens in het kader van de Nike+ Running app door Nike Inc.
[3] Memorie van Toelichting, II, nr. 3, blz. 50 (https://zoek.officielebekendmakingen.nl/kst-25892-3.html).
[4] CBP 1 april 03, z2003-00206.
[5] Kamerstukken II 1997/98, 25 892, nr. 3, p. 109.
[6] Kamerstukken II 1997/98, 25 892, nr. 3, p. 65. “Een algemene toestemming zonder dat precies is aangegeven wat het doel is van de verwerking waarmee de betrokkene instemt, voldoet niet aan dit vereiste. Dat betekent dat de informatie over het doel van de verwerking niet in de algemene voorwaarden moet worden opgenomen, maar in een aparte toestemmingsclausule.”