Lifestyle- en gezondheidsapps op de korrel bij privacytoezichthouders

Aanbieders van gezondheidsgerelateerde apps moeten in 2015 rekening houden met bijzondere belangstelling van de privacytoezichthouders. Daarbij is het belangrijk te weten dat ook gegevens die geen directe link lijken te hebben met gezondheid, zoals informatie over lifestyle en/of sport, tóch vaak als gezondheidsgegevens worden gezien. Om dit soort persoonsgegevens te mogen verwerken, heeft de aanbieder expliciete toestemming nodig van de gebruiker.

Nog meer dan bij andere apps is transparantie over doeleinden en te verzamelen gegevens essentieel. Rechtsgeldige toestemming is overigens niet eens mogelijk zonder goede informatie aan de gebruiker. Ook moeten app-aanbieders zorgdragen voor een goede beveiliging van de gegevens die zij verzamelen en moeten zij de gegevens waar mogelijk pseudonimiseren of anonimiseren.

De voorspelling dat toezichthouders zich zullen richten op dit soort apps is gebaseerd op twee feiten:

In de toezichtsagenda 2015 heeft het College bescherming persoonsgegevens (CBP) vijf thema’s aangekondigd waarop het zich in 2015 richt: profiling, bijzondere persoonsgegevens, persoonsgegevens bij lokale overheden, persoonsgegevens in de arbeidsrelatie en beveiliging van persoonsgegevens. Bijzondere persoonsgegevens zijn gevoelige, extra beschermde gegevens over onder meer gezondheid. Voor dit soort gegevens gelden strengere regels. Het CBP schrijft dat het dit jaar onderzoek gaat doen naar de verwerking van medische gegevens door zorgaanbieders, gemeenten en technologiebedrijven. Het CBP merkt daarbij op dat deze bedrijven apparatuur produceren waarmee mensen zelf hun gezondheid en levensstijl kunnen monitoren. Het ligt voor de hand dat het CBP bijvoorbeeld ook wearables op het oog heeft, zoals een sporthorloge dat hardloopprestaties meet en opslaat.

Daarnaast hebben de Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, recentelijk een advies over gezondheidsgegevens in apps en devices uitgebracht aan de Europese Commissie. Dit advies rekt het begrip ‘medische gegevens’ aanzienlijk op. Als persoonsgegevens, al is het meer indirect, iets kunnen zeggen over iemands gezondheid of over gezondheidsrisico’s, dan moeten ze als gezondheidsgegevens worden behandeld en gelden strenge vereisten. Dan is bijvoorbeeld expliciete toestemming nodig om ze te mogen verwerken. Soms is het wel duidelijk dat er sprake is van gezondheidsgegevens, bijvoorbeeld als iemand lenzen draagt of rookt. Er bestaat echter ook een grijs gebied, waarin het vaak gaat om gegevens die op zichzelf neutraal lijken, maar in combinatie met andere informatie wel degelijk iets kunnen zeggen over de gezondheid van betrokkene. De werkgroep noemt bijvoorbeeld uitingen van neerslachtigheid op sociale media. Die kunnen worden gebruikt om depressiviteit van de plaatser in te schatten en gelden dus als gezondheidsgegeven.

Lees de brief en het advies van de Artikel 29-werkgroep voor meer voorbeelden en toelichting.