Gisteren publiceerde het College bescherming persoonsgegevens (CBP) een rapport waarin de hardloopapp van Nike (Nike + Running App) wordt getoetst aan de Nederlandse en Europese privacy-wetgeving. In de media leek het alsof het rapport zich specifiek richt op de app van Nike en de privacy-schendingen die daarbij werden geconstateerd. Maar met het bijna honderd pagina’s dikke rapport – het eerste van het CBP over gezondheidsapps – heeft de privacy-waakhond duidelijk een voorbeeld willen stellen aan de hand van één populaire app. Wat betekent dat voor de letterlijk duizenden vergelijkbare apps die het CBP niet onderzocht?
Met de Nike app kun je – net als met vergelijkbare fitness- en gezondheidsapps – bijhouden hoe vaak en hoe ver je hebt hardgelopen of getraind. Die gegevens worden door Nike opgeslagen, en aan de hand daarvan krijgt de gebruiker individuele adviezen en vergelijkingen met andere sporters. Daar is op zich niets mis mee, zegt het CBP. Maar je moet de gebruiker van zo’n app dan wel op een ondubbelzinnige manier om toestemming daarvoor vragen. Daarbij hoort een juiste informatievoorziening, bijvoorbeeld door een privacy-reglement dat precies uitlegt wat er allemaal met je gegevens gebeurt. Hier ging Nike volgens het CBP de fout in met een onvolledige informatievoorziening. Inmiddels heeft het bedrijf verbeteringen toegezegd.
CBP: sportgegevens zijn ook gezondheidsdata
Het interessant om te zien dat het CBP tot de conclusie komt dat het bijhouden van hardloopgegevens gezien kan worden als het verwerken van gezondheidsgegevens. Dat is in de privacywetgeving een bijzondere categorie, samen met bijvoorbeeld gegevens over je seksuele leven, godsdienst of een eventueel verblijf in de gevangenis. Nike bestreed deze zienswijze, maar het CBP stelt op basis van wetenschappelijke verwijzingen dat er een directe relatie bestaat tussen sporten en levensverwachting. Nike heeft dus inzicht in je gezondheid, aldus het CBP.
Het college leunt daarbij een recente zienswijze van de gezamenlijke Europese privacywaakhonden eerder dit jaar. Aan de verwerking van gezondheidsgegevens worden nog strengere regels gesteld dan aan andere privacygevoelige data. In principe is die verwerking verboden. Wanneer een gebruiker instemt met de verwerking kan er sprake zijn van een uitzondering op die regel. Het CBP geeft in zijn rapport echter aan dat Nike de gebruiker onvoldoende informeert over de aard van de gegevens, de manier waarop ze worden verzameld en wat Nike er precies mee doet. Daardoor kan Nike zich volgens het rapport niet beroepen op de vrijwillige medewerking van de gebruiker.
Wat betekent dit praktisch voor andere appmakers?
Het CBP heeft heel specifiek de app, de aanmeldprocedures en het privacy-reglement van Nike tegen het licht gehouden. Nike heeft zich (ongetwijfeld met behulp van gespecialiseerde advocaten) verweerd, en is tot de conclusie gekomen dat in een aantal gevallen verbeteringen nodig waren. Er zijn echter ontelbare fitness-, voedsel en gezondheidsapps die dezelfde fouten maken als Nike, en in veel gevallen een in de ogen van het CBP totaal onvoldoende privacy-reglement hebben.
Een regel als “wij zullen uw gezondheidsgegevens niet voor marketingdoeleinden gebruiken” volstaat bij lange na niet wanneer je een gebruiker wilt informeren over wat je als appmaker met die gezondheidsgegevens doet. Je moet uitspellen welke data je verzamelt, en hoe je ze gebruikt. Dat geldt waarschijnlijk nog in veel grotere mate voor apps die daarnaast ook ‘echte’ medische gegevens bijhouden. Apple en Fitbit zijn slechts twee voorbeelden van makers van apps die – in combinatie met wearables – ook 24 uur per dag je hartslag registreren.
Vrijwillig gebruik is geen vrijbrief voor dataverzameling
Het CBP heeft niet naar andere apps gekeken. Het rapport noemt zelfs expliciet de gezondheidsapps van Apple en Google die niet zijn meegenomen. Volgens de redenering van het CBP zouden echter ook apps waarmee je bijhoudt wat je eet (zeg elke dag vier frikandellen speciaal) feitelijk gezondheidsgegevens verwerken. Er is immers een casus te maken waarbij er een verband wordt gelegd tussen voedsel, gezondheid en levensverwachting. Gebruikers van gezondheidsapps zullen zich er doorgaans van bewust zijn dat gegevens over sport, voeding en lichamelijke metingen gedurende langere tijd worden opgeslagen. Sterker nog: daarom gebruiken ze juist zo’n app. Daarmee kun je verbanden ontdekken en eventueel tips voor een gezondere levensstijl krijgen. Maar dat is volgens het CBP geen vrijbrief om de gebruiker niet goed te informeren voordat je diens toestemming vraagt, ook al gebruikt men die app vrijwillig.
CBP wil met Nike voorbeeld stellen
Woordvoerster Inger Sanders van het CBP meldt desgevraagd dat het college met de populaire Nike app een voorbeeld wil stellen. “Het gebruik van dit soort apps neemt een grote vlucht, en dat is op zich een goede ontwikkeling. Maar je moet je wel afvragen waarom Nike bepaalde gegevens centraal wil opslaan. Daarover moet de gebruiker goed geïnformeerd worden.” Het CBP zal op op korte termijn waarschijnlijk geen nieuw onderzoek naar een andere gezondheids- of fitnessapp starten. Maar consumenten die zich afvragen of hun gegevens in een specifieke app goed beschermd worden - bijvoorbeeld omdat een privacyreglement onduidelijk is - kunnen dat melden bij het CBP. Mede op basis van dit soort meldingen stelt het college zijn prioriteiten bij. Vanaf 1 januari krijgt het college overigens een veel ruimere bevoegdheid om boetes uit te delen aan organisaties die zich niet houden aan de privacy-wetgeving. De boetes kunnen niet alleen worden opgelegd bij datalekken, maar ook aan makers van apps die de consument onvoldoende informeren. Makers van gezondheidsapps die actief zijn op de Nederlandse markt doen er dus goed aan om het rapport over de Nike-app goed door te nemen.
Het is wel opmerkelijk dat het CBP met een grote boog om Google en Apple is heengelopen, dat is blijkbaar bewust gedaan. Die doen niets anders dan continue alle data opslaan en (her)gebruiken. Dat is primair het business model. Bij Nike is het een bijproduct.