Ook Google en Apple willen dat jouw App GDPR compliant is!

Apple heeft onlangs bekend gemaakt dat vanaf 3 oktober 2018 iedereen die een nieuwe App wil lanceren of een bestaande App wil updaten, verplicht een privacy policy moet opnemen in zijn App, alsook in de metadata van de App Store. Apps die niet voldoen aan deze vereiste zullen vanaf dan geweerd worden uit de App Store.

Nieuwe App Store Review Guidelines

Wie dus een App wil lanceren of updaten zal vanaf 3 oktober een privacy policy moeten opstellen. Deze privacy policy zal moeten voldoen aan de nieuwe App store review guidelines. Deze guidelines lijken heel wat van hun mosterd gehaald te hebben bij de GDPR. Apple heeft echter de bepalingen geconcretiseerd voor mobiele applicaties en is soms strenger dan de GDPR.

Zo heeft Apple bijvoorbeeld concrete regels opgesteld voor gezondheidsapps. Ook heeft ze een aantal toepassingen waarvoor locatiegegevens gebruikt kunnen worden uitgesloten. In haar best practices geeft Apple mee hoe purpose strings gebruikt kunnen worden om gebruikers toestemming te laten geven voor het gebruiken van systeemtoepassingen zoals de camera of microfoon.

Google Play

Niet enkel Apple is bezig geweest met haar guidelines te updaten. Google verplicht het opnemen van een privacy policy al langer voor Apps die persoonsgegevens verzamelen. Is uw privacy policy niet in orde, dan zal Google uw App weren uit de Play store. Google vereist ook de naleving van de GDPR door ontwikkelaars die via hun Apps gegevens van personen in de EU verwerken.

GDPR Conform

Ontwikkelaars van Apps moeten naast het naleven van Googles en Apples guidelines vooral ook de GDPR naleven. Wie denkt dat het ergste dat kan gebeuren een exclusie van de Apple App store of Google Play store is, zal mogelijks voor een onaangename verrassing komen te staan.

In Frankrijk heeft de gegevensbeschermingsautoriteit (CNIL) recent nog maar bekend gemaakt dat ze twee ontwikkelaars van marketing-software development kits voor Apps in gebreke heeft gesteld voor het niet-naleven van de verplichtingen die voortvloeien uit de GDPR. Volgens de CNIL waren de gebruikers van de Apps noch op de hoogte dat in de gedownloade App een software development kit geïntegreerd was die hun gegevens verzamelde, noch waarvoor de gegevens zouden gebruikt worden. Er kon dan ook geen rechtmatige toestemming gegeven zijn voor het verwerken van de gegevens. De gebruikers waren daarnaast ook niet op de hoogte van de identiteit van de verwerkingsverantwoordelijke voor hun gegevens.

CONCLUSIE

Zorg voor een geüpdatet privacy policy die in overeenstemming is met de vereisten van de platform-providers en de GDPR. Maar zorg er ook voor dat de inhoud van deze policy is aangepast aan jouw realiteit. Geef informatie over de verwerking die jouw organisatie doet, al dan niet via haar website, bijvoorbeeld: direct marketing, klantenadministratie, leveranciersbeheer, …

Denk ten slotte ook aan de verdere compliance met GDPR waaronder:

  • Heb ik een verwerkingsgrond en pas ik die correct toe? (bv. toestemming, uitvoering overeenkomst, …);
  • Heb ik specifiek overeenkomsten met mijn onderaannemers die ten behoeve van mijn organisatie persoonsgegevens verwerken?
  • Beveilig ik de persoonsgegevens wel voldoende?

Projecten

Particulier – Recht om vergeten te worden in de media

Lees meer Arrow