De app stores van Apple en Google zijn vaak niet transparant voor consumenten, dat zeggen consumentenbeschermingsautoriteiten van 26 landen wereldwijd in een collectieve verklaring, die door de Noorse consumentenoverheid online werd geplaatst (hoewel gedeeltelijk onleesbaar gemaakt om redenen van confidentialiteit). Ze roepen Apple en Google op hun app store aan te passen zodat consumenten beter geïnformeerd worden over het gebruik van persoonsgegevens van de consument bij het downloaden en gebruiken van apps.
GDPR en databescherming
Binnen de EU, uitgebreid met Noorwegen, Andorra en Ijsland geldt sinds mei 2018 de GDPR. Ook andere landen hebben de voorbije 24 maanden nieuwe wetgeving aangenomen die sterk gelijkt op de Europese Algemene Verordening Gegevensbescherming (AVG of, zoals meer gangbaar onder de Engelse afkorting, GDPR). Consumenten hebben op basis van die uitgebreide gegevensbeschermingswetgeving het recht te weten wat bedrijven achter een app die gedownload wordt uit de ene of de andere app store concreet doet met hun persoonsgegevens.
Vaak echter loopt het daar vandaag mis. Er is in vele gevallen een totaal gebrek aan transparantie en heel wat apps zijn duidelijk niet “GDPR compliant” in die zin dat de identiteit van de aanbieder vaak niet transparant is, de aard van de verzamelde gegevens vaak niet transparant is, evenmin als het gebruik dat van die gegevens gemaakt zal worden. Bovendien worden de regels voor het verkrijgen van toestemming niet correct nageleefd. Dat is overigens ook de vaststelling die wij bij Sirius Legal al vaker dienden te maken in het kader van de vele appbouwers die ons consulteren.
De app stores van Apple en Google bieden die mogelijkheid nu niet. Dit moet zo snel mogelijk veranderen, vinden de verschillende consumentenbeschermers.
Grootscheepse controle uitgevoerd
Vorig jaar hebben de verschillende consumententoezichthouders die lid zijn van het internationale netwerk van ICPEN (International Consumer Protection and Enforcement Network), waar ook België lid van is, onderzoek gedaan naar de manier waarop consumenten in de verschillende app stores worden geïnformeerd over de persoonsgegevens die app-aanbieders over hen verzamelen en wat zij met deze gegevens doen. De vaststelling van ICPEN was dat de informatieverschaffing en transparantie aan de consument ruimschoots onvoldoende is. Nochtans is transparantie onder GDPR en onder heel wat gelijkaardige wetgevingen precies één van de kernbegrippen waaraan bedrijven in alle omstandigheden moeten voldoen. Het ICPEN onderzoek was de eerste gelegenheid waarbij zoveel consumententoezichthouders wereldwijd hun krachten bundelden.
Interessant om zien is overigens dat het initiatief uitgaat van consumentenbeschermingsautoriteiten en niet van de gegevensbeschermingsautoriteiten van de betrokken landen. Een en ander onderstreept eens te meer de nauwe band tussen consumentenbescherming en gegevensbescherming.
Hoe bindend is dit voor Google en Apple?
De open brief van de 26 betrokken toezichthouders heeft op zich geen bindende juridische kracht voor app stores en app-aanbieders. Het spreekt echter voor zich dat elk van de betrokken overheden individueel kan beslissen om sancties op te leggen als Apple en Google niet tegemoet komen aan de eisen van de verschillende toezichthouders. To be continued, dus.
