Uw locatie delen met apps: bent u voldoende geïnformeerd?

Marie gebruikt een hardloop-app en staat toe dat haar locatie altijd wordt gedeeld. Enkele weken later ontvangt ze een gepersonaliseerde brief met een aanbod voor een abonnement bij een sportschool dicht bij haar werk.

Marie vraagt zich af hoe dit bedrijf weet waar ze werkt.

In werkelijkheid konden al haar verplaatsingen worden geregistreerd en geanalyseerd doordat ze toestemming gaf voor voortdurende toegang tot haar locatie. Locatiegegevens zijn bijzonder veelzeggend. Ze maken het mogelijk om al haar verplaatsingen te reconstrueren en daaruit zeer precieze informatie af te leiden over haar dagelijkse leven, zowel professioneel als privé. Zo kan men bijvoorbeeld achterhalen:

waar ze woont en waar ze werkt;
welke winkels of plaatsen ze bezoekt (restaurants en bars, een sportschool, een gebedshuis, ziekenhuizen, enz.), alsook hoe vaak en op welke dagen en tijdstippen ze daar komt;
naar welke school haar kinderen gaan;
…

Door al deze informatie samen te brengen, kan een gedetailleerd profiel van Marie worden opgesteld. Dat profiel kan vervolgens worden gedeeld met derden voor direct-marketingdoeleinden.

Dergelijke gebruikersprofielen (of bepaalde afzonderlijke gegevens daaruit) hebben een grote economische waarde. Deze gegevens kunnen namelijk aan derden worden verkocht voor marketingdoeleinden, soms zonder dat u zich daar volledig van bewust bent.

De verkoop van persoonsgegevens voor direct-marketingdoeleinden door gegevensmakelaars

Gegevensmakelaars (of “data brokers” in het Engels) zijn bedrijven die persoonsgegevens verzamelen uit verschillende, soms onrechtstreekse bronnen, deze verwerken (en met name verrijken met gegevens uit deze verschillende bronnen) en vervolgens doorverkopen aan derden die ze voor allerlei doeleinden gebruiken (bijvoorbeeld marketing, bijwerking of verrijking van hun eigen klantenbestanden, onderzoek, enz.).

De gegevens die door gegevensmakelaars worden verwerkt en doorverkocht, worden meestal niet rechtstreeks bij u verzameld. Ze zijn vaak afkomstig van bedrijven die deze gegevens hebben verkregen via uw interacties met hen (bijvoorbeeld wanneer u aankopen doet of gebruikmaakt van hun diensten). Deze situatie kan problemen opleveren op het vlak van transparantie. In veel gevallen bent u namelijk niet duidelijk geïnformeerd over deze handel in gegevens, over het uiteindelijke gebruik van uw gegevens of over de vele verschillende actoren die betrokken zijn in deze keten. Transparantie is nochtans essentieel om u in staat te stellen controle te behouden over uw persoonsgegevens en om een doeltreffende bescherming ervan te waarborgen.

Als u bijvoorbeeld een sportapp gebruikt die uw gegevens met derden deelt, moet deze app u informeren over de identiteit van de derden met wie uw gegevens worden gedeeld, evenals over de doeleinden waarvoor deze derden uw gegevens mogen gebruiken, en moet zij uw toestemming vragen.

Op die manier kunt u uw rechten op het gebied van gegevensbescherming uitoefenen, zoals het recht op inzage in uw gegevens, het recht om bezwaar te maken tegen de verwerking van uw gegevens, of het recht om uw gegevens te laten verwijderen.

Wanneer is het delen van uw locatie echt noodzakelijk?

Het is belangrijk om twee situaties te onderscheiden:

enerzijds kunnen locatiegegevens noodzakelijk zijn voor de werking van een app, bijvoorbeeld bij een gps- of navigatie-app. In dat geval zijn locatiegegevens noodzakelijk om de gevraagde dienst te kunnen leveren.
anderzijds kunnen locatiegegevens voor andere doeleinden worden gebruikt, zoals het delen van deze gegevens met derden voor direct marketing. In dat geval kan dit niet worden beschouwd als strikt noodzakelijk voor de goede werking van de dienst. Zo heeft een zaklamp-app in principe geen toegang nodig tot locatiegegevens om te kunnen functioneren. In zo’n geval moeten de verzameling en het gebruik van locatiegegevens duidelijk worden toegelicht en moet de toestemming van de gebruiker worden verkregen.

Is deze praktijk gereguleerd?

Alle betrokken partijen die uw gegevens verwerken, moeten de algemene verordening gegevensbescherming (AVG) naleven. Dat betekent onder meer dat zij:

u moeten informeren over het gebruik van uw persoonsgegevens (wie ze gebruikt, waarvoor en hoelang);
uw toestemming moeten verkrijgen voor het gebruik van gegevens die niet strikt noodzakelijk zijn voor de werking van de app, of wanneer gegevens die door apps worden verzameld – zoals locatiegegevens – vervolgens aan derden worden doorverkocht voor marketingdoeleinden.

Om geldig te zijn volgens de AVG moet toestemming aan een aantal voorwaarden voldoen. Ze moet onder meer:

geïnformeerd zijn: u moet weten welke organisaties uw gegevens verwerken en waarom, zodat u geïnformeerde toestemming kunt geven voor de verwerking van uw gegevens. Als de verzamelde gegevens aan derden worden doorverkocht voor direct marketing, moet u daarvan vanaf het begin op de hoogte worden gebracht;
ondubbelzinnig zijn: uw toestemming moet blijken uit een duidelijke actieve handeling. Ze mag niet worden verondersteld op basis van stilzwijgen, inactiviteit of omdat u een vooraf aangevinkt vakje niet hebt uitgeschakeld;
specifiek zijn: wanneer een bedrijf uw gegevens voor meerdere doeleinden wil gebruiken, moet het voor elk doel afzonderlijk uw toestemming vragen;
vrij zijn: u moet een echte keuze hebben. Als u bijvoorbeeld niet instemt met de doorverkoop van uw gegevens aan derden voor direct marketing, mag dat geen negatieve gevolgen hebben, zoals het niet meer kunnen gebruiken van de app of bepaalde functies ervan.

Tips om uw gegevens te beschermen

Download niet zomaar elke app. Installeer alleen apps die u vertrouwt.
Lees het privacybeleid. Zo weet u met name welke gegevens worden verzameld, met wie ze worden gedeeld en voor welke doeleinden ze worden gebruikt.
Deel uw locatie alleen wanneer dat nodig is. In de instellingen van uw telefoon kunt u voor het delen van uw locatie altijd kiezen tussen “altijd”, “nooit” of “alleen bij gebruik van de app”. Vermijd het om uw locatie altijd te delen.
Beperk de toegangsrechten tot uw gegevens, vooral wanneer deze buitensporig lijken of geen verband houden met de aangeboden dienst.
Controleer regelmatig de instellingen van uw telefoon.
Ga niet automatisch akkoord met het delen van uw gegevens met derden.
Oefen uw recht op inzage uit. Hebt u bijvoorbeeld een gepersonaliseerde reclamebrief ontvangen? Neem dan contact op met de organisatie in kwestie en vraag meer informatie: Welke gegevens hebben jullie over mij? Hoe hebben jullie die verkregen? Met wie worden ze gedeeld en wat kunnen deze derden met mijn gegevens doen?

Interessante links

Wat zijn mijn rechten?

Wat doe je bij misbruik?