Een app die weet of je depressief bent: gat in de markt of privacyrisico?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
App-weet-depressief-bent

Apple wil in samenwerking met de Universiteit van Los Angeles en de Amerikaanse farmaceut Biogen een functie ontwikkelen waarmee depressie en cognitieve achteruitgang in een vroeg stadium gedetecteerd kunnen worden.

Op basis van sensordata van de iPhone wordt een algoritme ontwikkeld waarmee de geestelijke gesteldheid van de gebruiker gemeten kan worden. Gegevens zoals de slaapcyclus, het typegedrag, de hoeveelheid beweging en fysieke inspanning zouden hiervoor gebruikt worden.

De afgelopen jaren is het gebruik van gezondheids- en lifestyleapps enorm toegenomen. Tot nu toe ging het daarbij vooral om de meetbare aspecten van de fysieke gezondheid, zoals bij de hartslagmeter en de stappenteller.

Een app waarmee de stand van de mentale gezondheid wordt gemeten, klinkt als een gat in de markt waar veel vraag naar zal zijn. Men gaat er echter vaak aan voorbij dat hier wel bijzondere persoonsgegevens gedeeld en verwerkt worden. Een aantal jaren geleden heeft de Artikel 29 Werkgroep (de voorganger van de EDPB) al geadviseerd over privacyvriendelijk gebruik van gezondheidsapps, aangezien onzorgvuldige omgang met gezondheidsgegevens zeer grote risico’s op kan leveren voor iemands persoonlijke leven.

Vanuit privacyrechtelijk oogpunt gelden voor de verwerking van gezondheidsgegevens strenge regels.

In deze blog zal nader worden ingegaan op gezondheidsapps vanuit een privacyrechtelijk perspectief en zullen mogelijke risico’s worden belicht.

Verwerking van gezondheidsgegevens

In beginsel is de verwerking van bijzondere persoonsgegevens verboden op grond van artikel 9 lid 1 van de AVG. In twee gevallen is een uitzondering hierop geoorloofd. Er moet sprake zijn van uitdrukkelijke toestemming van de gebruiker, of de verwerking moet noodzakelijk zijn op grond van een van de uitzonderingsgronden opgesomd in artikel 9 lid 2 sub b t/m j AVG. In het tweede geval is dus geen toestemming vereist voor de verwerking van de bijzondere persoonsgegevens.

Het verwerken van bijzondere persoonsgegevens in het kader van gezondheidsapps valt onder geen van de uitzonderingsgronden uit artikel 9 lid 2 sub b t/m j AVG. Dit betekent dat de gegevens enkel mogen worden verwerkt wanneer sprake is van uitdrukkelijke toestemming van de gebruiker.

Toestemmingsvereiste

Een rechtsgeldige toestemming moet op grond van de AVG aan een aantal eisen voldoen. Allereerst moet de toestemming vrijelijk gegeven worden. Dat wil zeggen dat de gebruiker niet benadeeld mag worden als hij geen toestemming geeft. Ten tweede moet de toestemming ondubbelzinnig zijn. Om hieraan te voldoen moet sprake zijn van een duidelijke actieve handeling. Dit kan door bijvoorbeeld het gebruik van een vakje dat aangevinkt moet worden om toestemming te verlenen.

Het derde vereiste is dat de toestemming geïnformeerd moet zijn. Kortgezegd betekent dit dat de gebruiker moet weten waar hij toestemming voor geeft en aan wie. Ook moet bekend zijn welke persoonsgegevens met welk doel verwerkt zullen worden en voor hoelang. Daarnaast moet de gebruiker erop worden gewezen dat het hem vrij staat om op elk moment zijn toestemming in te trekken.

Tot slot moet de toestemming specifiek zijn. Dat wil zeggen dat de toestemming steeds geldt voor een specifieke verwerking met een specifiek doel. Voor ieder doel afzonderlijk moet dus toestemming worden gevraagd.

Risico’s?

Dit alles zou ertoe moeten leiden dat de gebruiker een weloverwogen keuze maakt om in te stemmen met de verwerking van zijn gezondheidsgegevens. In de praktijk leest echter het merendeel van de mensen nooit de privacyvoorwaarden.

Daarnaast is uit een onderzoek van de Belgische Consumentenvereniging gebleken dat het merendeel van de populairste gezondheidsapps persoonsgegevens verstuurt naar derde partijen. Een aantal van deze apps deelt zelfs de gezondheidsgegevens. Uit het onderzoek is ook gebleken dat veel apps niet transparant zijn over welke derde partijen de gegevens ontvangen en om welke reden. Daarnaast is meermaals gebleken dat veel apps hun beveiliging niet op orde hebben en zijn er regelmatig datalekken.

Waar informatie over iemands fysieke gesteldheid al zeer waardevol is voor adverteerders, zal dat bij informatie over iemands mentale gesteldheid nog sterker het geval zijn. Iemand die niet lekker in z’n vel zit – om wat voor reden dan ook – zal over het algemeen eerder geneigd zijn om impulsief te handelen. Zo zou bijvoorbeeld een adverteerder van casinospellen zijn advertentie kunnen richten op een doelgroep die trekken van cognitieve achteruitgang vertoont. Dit soort informatie is dus zeer gevoelig en eenmaal in de verkeerde handen kan dit – ten koste van de gebruiker – voor allerlei doeleinden misbruikt worden.

Uiteraard zal een gezondheidsapp die de stand van je mentale gezondheid kan meten, voor velen zeker veel voordelen met zich meebrengen. Zo kunnen gebruikers zich bewuster worden van hun gedrag en daardoor op tijd professionele hulp zoeken. Dit neemt echter niet weg dat de gebruiker van een gezondheidsapp, vooral van een app die zich richt op je mentale gezondheid, zich bewust moet zijn van de risico’s daarvan. Het is dan ook maar te hopen dat Apple het uitgangspunt van privacy-by-design in acht neemt en er over een tijd geen wildgroei zal ontstaan aan geestelijke gezondheidsapps van dubieuze appontwikkelaars.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.