AVG, hoe gaan wij hier als app ontwikkelaar mee om?

Op 25 mei is het een jaar geleden dat de ‘Algemene Verordening Gegevensbescherming’ (AVG) van kracht is. In het Engels heet de AVG ‘General Data Protection Regulation’, afgekort: ‘GDPR’. Alle data die tot de app gebruiker zijn te herleiden en over de app gebruiker gaan, zijn ‘persoonsgegevens’. De AVG omvat veel verplichtingen rond het gebruik van persoonsgegevens. Welke regels zijn wij het afgelopen jaar als app ontwikkelaar tegengekomen en hoe gaan wij hiermee om? Onderstaand enkele voorbeelden uit de praktijk en bestaande klant cases.

Toestemming vragen

In het besturingssysteem zit een locatiebepaling die je aan en uit kunt zetten. Staat deze aan, dan is het mogelijk om middels de app de huidige locatie van de gebruiker op te vragen. Wanneer de locatiegegevens niet echt nodig zijn voor een goede werking van de app, dan moet de locatiebepaling standaard op ‘uit’ staan. Aan de Strijp-S app , hebben wij locatiebepaling toegevoegd voor de audioroute om het juiste audio fragment bij de locatie af te kunnen spelen. In deze situatie is het toegestaan om locatiebepaling “aan” te zetten, omdat de app de informatie nodig heeft om de juiste audio af te kunnen spelen.

Gaat het om ‘bijzondere persoonsgegevens’?

Als het gaat om gebruik van bijzondere persoonsgegevens, zoals bijvoorbeeld medische gegevens, geloof, politieke voorkeuren, etc. dan is het verplicht om vooraf toestemming te vragen aan de gebruiker om deze gegevens te mogen opslaan en de mogelijkheid te bieden dat de toestemming kan worden ingetrokken door de gebruiker. Wij adviseren onze klanten om niet meer gegevens op te vragen dan daadwerkelijk nodig is. Hoe minder gegevens je hebt, des te kleiner het risico op datalekken en des te lager de kosten voor opslag en beveiliging.

Kinderen die de app gebruiken

Bij de ontwikkeling van een app voor kinderen, heb je te maken met kind gegevens en hierbij gelden weer andere regels. De ouders/voogd zijn verplicht om toestemming te geven voor het gebruik van de app door het kind. Bij de app van De Club van Sinterklaas, hebben wij een extra vraag over de leeftijd van de gebruiker toegevoegd om na te kunnen gaan of het om een kind gaat of de ouder. Is de persoon onder de 16 jaar? Dan wordt de ouder om toestemming gevraagd.

Verwerkersovereenkomst

In de verwerkersovereenkomst staan afspraken en richtlijnen over de verwerking van persoonsgegevens. Wij als ontwikkelaar (in de rol als verwerker) maken afspraken hierover met onze klanten (in de rol als verwerkingsverantwoordelijke) en andersom maken onze klanten afspraken met ons als verwerker. Wij leveren onze klanten standaard een verwerkersovereenkomst en hebben ook met onze leveranciers die onze persoonsgegevens verwerken, een verwerkersovereenkomst getekend.

Registratieplicht

Om de naleving van de AVG aan te kunnen tonen zijn de verwerkingsverantwoordelijke of de verwerker verplicht een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk. Er is wel een uitzondering: bedrijven en organisaties die minder dan 250 medewerkers in dienst hebben zijn uitgezonderd van de registerplicht, tenzij de verwerking risicovol is, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens betreft.

Dit betekent dat ook organisaties met minder dan 250 medewerkers die enkele niet-incidentele verwerkingen doen, al onder de registerplicht vallen. En dit is bij de meeste organisaties, net zoals Oddessey Solutions wel het geval. Een niet-incidentele verwerking van persoonsgegevens is namelijk elke verwerking met enig structureel of voortdurend karakter. Het gaat dan om verwerkingen die nagenoeg elke organisatie doet, zoals het bijhouden van een salarisadministratie, een klantenbestand en zelfs het gebruik van e-mail. Het komt er dus op neer dat de uitzondering zoveel haken en ogen heeft dat vrijwel iedereen verplicht is te houden aan de registratieplicht. In samenwerking met onze jurist hebben wij het verwerkingsregister opgesteld, die wij nu zelf bijhouden.

Heb jij na het lezen van dit artikel behoefte aan meer informatie of heb jij hulp nodig bij het doorvoeren van AVG-maatregelen in jouw app? Neem dan contact met ons op! Ons team van professionele ontwikkelaars helpt je graag verder.