Analyse privacyvoorwaarden Apps in opdracht van de Consumentenbond
25 juli 2014 Considerati mr. dr. Bart W. Schermer mr. Nathalie Falot www.considerati.com
1
Inhoudsopgave 1 INLEIDING .................................................................................................................................4 1.1 ACHTERGROND ..............................................................................................................................4 1.2 METHODOLOGIE ............................................................................................................................4 1.3 UITGANGSPUNTEN .........................................................................................................................5 1.4 BEOORDELING ...............................................................................................................................5 2 APPS EN PRIVACY......................................................................................................................7 2.1 INSTALLATIE VAN APPS ....................................................................................................................7 2.2 GEBRUIK VAN APPS ........................................................................................................................7 2.2.1 Het aanspreken van OS functies (permissions)..................................................................7 2.2.2 Verwerking van persoonsgegevens ....................................................................................8 3 DOELSTELLINGEN PRIVACYVOORWAARDEN BIJ APPS................................................................9 3.1 INFORMEREN VAN DE CONSUMENT (INFORMATIEPLICHT) ......................................................................9 3.2 BASIS VOOR TOESTEMMING .............................................................................................................9 3.2.1 Toestemming op grond van de Wet bescherming persoonsgegevens ...............................9 3.2.2 Toestemming op grond van de Telecommunicatiewet (cookiewetgeving) ........................9 4 EISEN PRIVACYVOORWAARDEN ..............................................................................................10 4.1 VORM VAN DE PRIVACYVOORWAARDEN ...........................................................................................10 4.1.1 Vindbaarheid ....................................................................................................................10 4.1.2 Toegankelijkheid...............................................................................................................11 4.1.3 Leesbaarheid en begrijpelijkheid ......................................................................................11 4.2 INHOUD PRIVACYVOORWAARDEN ...................................................................................................12 4.2.1 Identificatie*.....................................................................................................................12 4.2.2 Specificatie gebruikte gegevens en doeleinden* ..............................................................12 4.2.3 Delen van gegevens met derden* ....................................................................................12 4.2.4 Noodzakelijkheid verstrekken gegevens*.........................................................................12 4.2.5 Rechten van de consument*.............................................................................................12 4.2.6 Bewaartermijnen..............................................................................................................13 4.2.7 Veiligheidsmaatregelen....................................................................................................13 4.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens............................................13 4.2.9 Uitleg permissies in relatie tot verwerking (persoons)gegevens ......................................13 4.3 TOESTEMMING* ..........................................................................................................................13 5 BEOORDELING PRIVACYVOORWAARDEN ................................................................................16 5.1 NU.NL........................................................................................................................................16 5.1.1 Vorm van de privacyvoorwaarden....................................................................................16 5.1.2 Inhoud privacyvoorwaarden.............................................................................................17 5.1.3 Toestemming*..................................................................................................................19 5.2 DE TELEGRAAF ............................................................................................................................20 5.2.1 Vorm van de privacyvoorwaarden....................................................................................20 5.2.2 Inhoud privacyvoorwaarden.............................................................................................21 5.2.3 Toestemming....................................................................................................................23 5.3 AD.NL MOBILE APP .....................................................................................................................24 5.3.1 Vorm van de privacyvoorwaarden....................................................................................24 5.3.2 Inhoud privacyvoorwaarden.............................................................................................24 5.3.3 Toestemming....................................................................................................................26 5.4 NOS APP....................................................................................................................................27 5.5 RTL NIEUWS MOBILE ...................................................................................................................28 5.5.1 Vorm van de privacyvoorwaarden....................................................................................28
2
5.5.2 Inhoud privacyvoorwaarden.............................................................................................28 5.5.3 Toestemming....................................................................................................................30 5.6 BIJENKORF ..................................................................................................................................31 5.6.1 Vorm van de privacyvoorwaarden....................................................................................31 5.6.2 Inhoud privacyvoorwaarden.............................................................................................32 5.6.3 Toestemming....................................................................................................................34 5.7 APPIE .........................................................................................................................................35 5.7.1 Vorm van de privacyvoorwaarden....................................................................................35 5.7.2 Inhoud privacyvoorwaarden.............................................................................................36 5.7.3 Toestemming....................................................................................................................38 5.8 HEMA ........................................................................................................................................39 5.8.1 Vorm van de privacyvoorwaarden....................................................................................39 5.8.2 Inhoud privacyvoorwaarden.............................................................................................40 5.8.3 Toestemming....................................................................................................................41 5.9 SCOUPY ......................................................................................................................................42 5.9.1 Vorm van de privacyvoorwaarden....................................................................................42 5.9.2 Inhoud privacyvoorwaarden.............................................................................................42 5.9.3 Toestemming....................................................................................................................44 5.10 RECLAMEFOLDER.NL APP .............................................................................................................45 5.11 SPOTTA ....................................................................................................................................46 5.11.1 Vorm van de privacyvoorwaarden .................................................................................46 5.11.2 Inhoud privacyvoorwaarden...........................................................................................46 5.11.3 Toestemming..................................................................................................................48 6 OVERZICHT..............................................................................................................................49 7 ANALYSE EN CONCLUSIES........................................................................................................50 7.1 ANALYSE ....................................................................................................................................50 7.1.1 Vorm .................................................................................................................................50 7.1.2 Inhoud ..............................................................................................................................50 7.1.3 toestemming ....................................................................................................................51 7.2 CONCLUSIE .................................................................................................................................51 8 LITERATUURLIJST ....................................................................................................................53 9 BIJLAGEN ................................................................................................................................54 9.1 PRIVACYVOORWAARDEN ...............................................................................................................54 9.1.1 Nu.nl App ..........................................................................................................................54 9.1.2 RTL NIEUWS (MIJN RTL NIEUWS) .....................................................................................58 9.1.3 De Telegraaf App ..............................................................................................................61 9.1.4 Algemeen Dagblad Mobile App ........................................................................................63 9.1.5 Appie.................................................................................................................................64 9.1.6 Hema App .........................................................................................................................71 9.1.7 Scoupy App .......................................................................................................................73 9.1.8 Reclamefolder.nl App .......................................................................................................74 9.1.9 Spotta App ........................................................................................................................75
3
1 Inleiding Consumenten maken op grote schaal gebruik van apps op hun telefoons, tablets en andere smart devices. De apps die geïnstalleerd worden op deze apparaten verwerken in veel gevallen persoonsgegevens of zijn anderszins privacygevoelig. Wanneer privacygevoelige informatie via apps wordt verwerkt, dan moet de consument hierover geïnformeerd worden. Consumenten worden over het algemeen geïnformeerd via de privacyvoorwaarden van de app (ook wel privacy policy, privacy statement of privacybeleid genoemd). Considerati heeft de privacyvoorwaarden van 11 populaire apps geanalyseerd en gekeken of zij aan alle eisen voldoen die een consument aan de voorwaarden mag stellen. Deze rapportage bevat de uitkomsten van die analyse.
1.1 Achtergrond Het is wettelijk verplicht om de consumenten te informeren over het feit dat hun persoonsgegevens worden verwerkt. Door privacyvoorwaarden op te nemen kunnen organisaties aan deze verplichting voldoen. Een groot probleem van privacyvoorwaarden is echter dat zij vaak veel te lang zijn en door het juridisch taalgebruik moeilijk leesbaar. Daarom lezen veel consumenten de privacyvoorwaarden niet.1 Het is daarom van belang om heldere en toegankelijke privacyvoorwaarden aan consumenten aan te bieden. Zonder duidelijke privacyvoorwaarden heeft een consument geen zicht op wat er met zijn of haar gegevens gebeurt en kan geen goede afweging gemaakt worden over het al dan niet gebruiken van een product of dienst. Ook voor bedrijven is het van belang om heldere privacyvoorwaarden te bieden, niet alleen omdat dit een wettelijke plicht is, maar ook omdat deze het vertrouwen van consumenten in hun digitale dienstverlening vergroot.
1.2 Methodologie De Consumentenbond heeft 11 apps geselecteerd voor de analyse. De privacyvoorwaarden van deze apps zijn door Considerati (juridisch) beoordeeld. De geselecteerde apps zijn hiertoe geïnstalleerd op twee apparaten (een telefoon en een tablet). 2 De privacyvoorwaarden zijn (waar beschikbaar) benaderd via het normale gebruik van de app.3 Daar waar er geen privacyvoorwaarden vindbaar of benaderbaar waren, is gekeken of de iOS versie van de app wel privacyvoorwaarden had. Considerati heeft de privacyvoorwaarden primair getoetst aan de hand van de inhoudelijke eisen van artikel 33 van de Wet bescherming persoonsgegevens (de informatieplicht). Er is (nog) geen wettelijke standaard voor de vorm waarin privacyvoorwaarden moeten worden aangeboden. Wel zijn er een aantal criteria geformuleerd door de Europese 1
Zie ondere andere Custers et al. 2013 Het gaat om een Samsung Galaxy Note telefoon met Android versie 4.4 (KitKat) en een Wacom Cintiq Hybrid tablet met Android versie 4.2.1 (Jelly Bean). 3 De privacyvoorwaarden zijn waar mogelijk gekopieerd (zie bijlage 1). 2
4
privacytoezichthouders (verenigd in de Artikel 29 Werkgroep) die relevant zijn. Het gaat hierbij om zaken als leesbaarheid, vindbaarheid en toegankelijkheid. Deze criteria zijn ook meegenomen in de toetsing. Om te beoordelen of de privacyvoorwaarden daadwerkelijk representatief zijn voor hetgeen in de apps gebeurt, is ook gekeken naar het netwerkverkeer dat de apps genereren. Deze netwerkanalyse is uitgevoerd door de Consumentenbond.
1.3 Uitgangspunten Considerati hanteert bij de beoordeling van de privacyvoorwaarden de volgende uitgangspunten: 1) Uit het installeren van een app via de Play Store door de consument kan niet de (ondubbelzinnige) toestemming voor de verwerking van persoonsgegevens worden afgeleid. Indien bij de beschrijving duidelijk is aangegeven dat het installeren van de app betekent dat de consument zijn ondubbelzinnige toestemming geeft voor specifiek omschreven verwerkingsdoelen, dan wordt aangenomen dat er wel sprake is van ondubbelzinnige toestemming.4 2) Gegevens die de randapparatuur van de gebruiker identificeren zoals IP-‐adres, MAC-‐ adres, IMEI-‐nummer, IMSI-‐nummer en Android ID worden als persoonsgegevens beschouwd.5 3) Het plaatsen van informatie op, of het uitlezen van informatie van de randapparatuur door de app wordt gezien als een handeling in de zin van artikel 11.7a Telecommunicatiewet (de cookiewet). In die gevallen waar het uitlezen van gegevens niet strikt noodzakelijk is voor de technische werking van de app wordt er van uitgegaan dat er een informatieplicht bestaat op grond van artikel 11.7a Telecommunicatiewet. 4) In die gevallen waar gegevens worden doorgestuurd naar advertentienetwerken of andere derde partijen wordt er conform artikel 11.7a Telecommunicatiewet vermoed dat het om een verwerking van persoonsgegevens gaat. Op grond van recente uitspraken van het Cbp en de Memorie van Toelichting bij het consultatievoorstel voor de wijziging van artikel 11.7a Telecommunicatiewet gaan wij er vanuit dat deze handelingen ondubbelzinnige toestemming in de zin van 8a Wbp behoeven.6
1.4 Beoordeling De privacyvoorwaarden zijn getoetst op de aspecten zoals beschreven in hoofdstuk 4. Het betreft hier het subjectieve (juridische) oordeel van de onderzoekers van Considerati. Per app is in hoofdstuk 5 aangegeven wat de bevindingen zijn per aspect. Voor elk aspect is een score op een schaal van ++ naar -‐-‐ gegeven. 4
Zie onder andere de Article 29 Working Party Opinion 15/2011 on the definition of consent. Zie Article 29 Working Party Opinion 4/2007 on the concept of personal data’ en Cbp (2007), Richtsnoeren persoonsgegevens op internet. 6 Zie definitief rapport van bevindingen Cbp in de zaken TPvision (zaaknummer: z2012-‐00605 ), YD BV (zaaknummer: Z2012-‐00811) en NPO (zaaknummer: Z2013-‐00056). 5
5
++ +
+/-‐
-‐
-‐-‐
Het betreffende onderdeel van de privacyvoorwaarden voldoet goed tot zeer goed aan de eisen. Het betreffende onderdeel van de privacyvoorwaarden voldoet aan de eisen, maar verbetering is mogelijk. Het betreffende onderdeel van de privacyvoorwaarden voldoet aan de minimumstandaarden, of op kleine punten niet, maar er is veel verbetering mogelijk. Het betreffende onderdeel van de privacyvoorwaarden onderdeel voldoet niet aan de eisen. Het betreffende onderdeel van de privacyvoorwaarden voldoet volledig niet aan de eisen en/of er is sprake van non-‐compliance.
6
2 Apps en privacy Apps zijn programma’s die geïnstalleerd worden door de consument op hun telefoon, tablet of ander smart device. Apps hebben tal van functionaliteiten. Hieronder zijn de belangrijkste aspecten vanuit privacyperspectief weergegeven.
2.1 Installatie van apps Apps worden primair via de officiële applicatiewinkels van de aanbieders van het besturingssysteem aangeboden. De twee grootste aanbieders zijn Google (Android) en Apple (iOS). Google heeft de ‘Play Store’ en Apple de ‘App Store’. Via deze applicatiewinkels zoekt de gebruiker naar apps en deze worden vervolgens geïnstalleerd op het apparaat. In deze rapportage focussen wij ons op de Play Store van Android. De bevindingen zullen echter op hoofdlijnen van overeenkomstige toepassing zijn op het iOS platform. In de Play Store wordt bij elke applicatie een overzicht van de app getoond. Dit overzicht bevat de naam van de aanbieder en/of ontwikkelaar van de app, een contactadres, eventueel een link naar de privacyvoorwaarden en een beschrijving van de app (met tekst en screenshots). Omdat zowel de App Store als de Play Store beperkte mogelijkheden hebben voor wat betreft het opnemen van aanvullende informatie, wordt bij de algemene beschrijving van de apps soms ook aanvullende informatie gegeven die vanuit privacyoptiek relevant is (zoals bijvoorbeeld het gebruik van permissies).
2.2 Gebruik van apps 2.2.1 Het aanspreken van OS functies (permissions) In de iOS en Android besturingssystemen zijn de apps die geïnstalleerd worden uit stabiliteits-‐ en veiligheidsoverwegingen onder gebracht in een sandbox. Dit betekent dat de apps niet direct toegang hebben tot alle functies van het besturingssysteem, maar dat zij elk in een afgesloten omgeving draaien. Wil een app bepaalde functionaliteiten van het OS en het apparaat gebruiken (bijvoorbeeld het contactenboek, de camera, het netwerk of de GPS), dan moet de app hier toestemming voor vragen (permission) aan de gebruiker. Google en Apple hanteren een verschillende benadering voor wat betreft het vragen van deze permissies. Een Android applicatie vraagt vóór de installatie om alle benodigde permissies. Dit is een ‘take-‐it-‐or-‐leave-‐it’ scenario: als de gebruiker één of meerdere van de permissies niet wil geven, dan kan de app niet geïnstalleerd worden.7 Bij iOS krijgen alle applicaties die geïnstalleerd worden standaard diverse basis-‐permissies. Voor meer specifieke functies (die over het algemeen privacygevoeliger zijn) wordt toestemming gevraagd op het moment dat de applicatie de betreffende functie voor het 7
Er is geen mogelijkheid om in Android permissies in te trekken nadat de app is geïnstalleerd. In Android versie 4.3 is weliswaar een ‘permission manager’ geïntroduceerd, maar deze is er in versie 4.4 weer uitgehaald door Google.
7
eerst aanspreekt. Bijvoorbeeld: wanneer een applicatie gebruikt maakt van geo-‐locatie dan wordt gevraagd of het apparaat de GPS-‐functie mag aanspreken. Het vragen van permissies staat overigens niet gelijk aan het verwerken van persoonsgegevens. In veel gevallen hebben de gevraagde permissies niets te maken met het verwerken van persoonsgegevens. Wel is het vragen van permissies in bepaalde gevallen een noodzakelijke voorwaarde voor een app om persoonsgegevens te kunnen verwerken, omdat zonder de permissie geen toegang kan worden verkregen tot de voorzieningen die nodig zijn om persoonsgegevens te verwerken. 2.2.2 Verwerking van persoonsgegevens Apps verwerken persoonsgegevens op verschillende manieren en voor uiteenlopende doelen. Hoe apps persoonsgegevens verwerken is afhankelijk van de applicatie en de daarvoor gebruikte permissies. Apps kunnen allereerst persoonsgegevens verwerken doordat zij identificerende gegevens verwerken bij het gebruik van de app zelf. Bijvoorbeeld: Om een locatiegebaseerde dienst aan te bieden stuurt de app het Android ID-‐nummer en locatiedata door aan de aanbieder van de app. Apps kunnen ook gegevens verwerken die door de gebruiker zelf zijn ingevoerd. Wanneer bijvoorbeeld een app de functionaliteit biedt om een gebruikersaccount aan te maken, dan kunnen hierbij ook aanvullende persoonsgegevens worden verwerkt. De verwerking van persoonsgegevens kan noodzakelijk zijn om de app te laten werken of de dienst te kunnen leveren. In het eerste voorbeeld is het bijvoorbeeld niet mogelijk om een locatiegebaseerde dienst te richten op een gebruiker zonder diens locatie te weten. Ook bij het bestellen van een product via een app moeten in veel gevallen persoonsgegevens worden verwerkt (bijvoorbeeld NAW-‐gegevens). Er zijn ook verwerkingen van persoonsgegevens die niet strikt noodzakelijk zijn voor de werking van de app of de levering van de gevraagde dienst. Denk hierbij bijvoorbeeld aan gegevens die door de aanbieder worden verzameld ten behoeven van analyse-‐ of marketingdoeleinden. Voor dergelijke verwerkingen heeft de aanbieder van de app in beginsel toestemming nodig (8a Wbp), tenzij hij kan aantonen dat er een gerechtvaardigd belang aan de verwerking ten grondslag ligt en de privacyinbreuk voor de betrokkene beperkt blijft (8f Wbp).
8
3 Doelstellingen privacyvoorwaarden bij apps Privacyvoorwaarden dienen (juridisch gezien) een tweeledig doel. Allereerst dienen zij om de consument te informeren over het verwerken van privacygevoelige informatie (persoonsgegevens). Wil een organisatie (de ‘verantwoordelijke’) persoonsgegevens verwerken, dan moet deze daarover de consument (de ‘betrokkene’) informeren. Daarnaast vormen privacyvoorwaarden de basis voor toestemming van de consument voor de verwerking van deze gegevens daar waar dit nodig is.
3.1 Informeren van de consument (informatieplicht) Wanneer een verantwoordelijke persoonsgegevens van een consument wil verwerken, dan is deze verplicht de betrokkene daarover te informeren (artikel 33 Wbp). De meest gangbare methode in de digitale wereld om consumenten te informeren is het aanbieden van privacyvoorwaarden, bijvoorbeeld via de website of in een app.
3.2 Basis voor toestemming Wil een organisatie met behulp van een app (persoons)gegevens verwerken, dan is hier in bepaalde gevallen toestemming voor nodig. De privacyvoorwaarden spelen hierbij een belangrijke rol. Er zijn voor apps twee specifieke soorten toestemming die relevant zijn: 1) de toestemming op grond van de Wet bescherming persoonsgegevens en 2) de toestemming op grond van artikel 11.7a van de Telecommunicatiewet (de ‘cookiewet’). 3.2.1 Toestemming op grond van de Wet bescherming persoonsgegevens Organisaties (verantwoordelijken) mogen alleen persoonsgegevens verwerken voor uitdrukkelijk omschreven en gerechtvaardigde doelen. Een verwerkingsdoel is gerechtvaardigd op het moment dat daar een legitieme grondslag voor is. Deze grondslagen zijn limitatief opgesomd in artikel 8 Wbp. Een van de grondslagen (8a Wbp) is de ondubbelzinnige toestemming van de betrokkene (de consument). Wil de toestemming voor het verwerken van persoonsgegevens geldig zijn, dan moet deze vrij, specifiek en geïnformeerd zijn. Een consument kan alleen een geïnformeerde beslissing nemen als deze op de hoogte is van de consequenties van de toestemming. Met andere woorden, de consument moet voldoende specifiek geïnformeerd zijn over de verwerking van persoonsgegevens om zelf een weloverwogen beslissing te kunnen nemen. De privacyvoorwaarden hebben tot doel deze informatie te verstrekken. 3.2.2 Toestemming op grond van de Telecommunicatiewet (cookiewetgeving) Op grond van artikel 11.7a Telecommunicatiewet is toestemming nodig van de gebruiker (de consument) wanneer met behulp van een app: 1) gegevens op de randapparatuur van de gebruiker worden geplaatst en/of 2) gegevens uit de randapparatuur van de gebruiker worden uitgelezen. Wanneer een app cookies plaatst op het apparaat, of anderszins persoonsgegevens uitleest, dan is op grond van de cookiewet voorafgaande toestemming nodig.
9
4 Eisen privacyvoorwaarden Wettelijk gezien worden diverse eisen aan de inhoud van privacyvoorwaarden gesteld, deze worden meegenomen in onze analyse. De wettelijke eisen die aan privacyvoorwaarden worden gesteld zijn in dit hoofdstuk met een asterisk aangegeven. De informatieplicht van artikel 33 Wbp stelt geen concrete eisen aan de vorm van de privacyvoorwaarden. De privacytoezichthouders (verenigd in de Artikel 29 Werkgroep) hebben echter wel diverse aanvullende eisen geformuleerd voor wat betreft de vorm van de privacyvoorwaarden. Het gaat dan bijvoorbeeld om zaken als toegankelijkheid en leesbaarheid.8 Wij nemen deze eisen ook mee in onze analyse, maar wij behandelen dit niet als wettelijke vereisten. Momenteel wordt in de Europese Unie gewerkt aan een nieuwe Privacy Verordening die de huidige privacywetgeving vervangt.9 Deze Verordening stelt nieuwe en zeer concrete eisen aan de vorm en de inhoud van privacyvoorwaarden (zie de artikelen 11, 12, 13 en 14 van de Verordening). Zo moeten de privacyvoorwaarden goed leesbaar, toegankelijk en begrijpelijk zijn, moeten de privacyvoorwaarden de gebruikers wijzen op hun rechten op grond van de Verordening (zoals het recht om vergeten te worden en het recht op data portabiliteit) en moeten de gehanteerde bewaartermijnen en veiligheidsmaatregelen worden gespecificeerd. Wij nemen deze criteria waar relevant ook mee in onze analyse, maar wij behandelen dit niet als wettelijke vereisten.
4.1 Vorm van de privacyvoorwaarden 4.1.1 Vindbaarheid De privacyvoorwaarden moeten goed vindbaar zijn voor consumenten. Privacyvoorwaarden moeten daarom op een zichtbare en voor de consument logische plaats staan. Het eerste moment waarop de privacyvoorwaarden aangeboden (kunnen) worden is vóór de installatie van de app. In Play Store kan relevante privacy informatie op twee verschillende manieren worden getoond: 1) Via een speciale link ‘privacybeleid’ bij de algemene informatie over de ontwikkelaar van de app, en 2) via de algemene beschrijving van de app. Het tweede moment dat de privacyvoorwaarden kunnen worden aangeboden is in de app zelf. Meestal staan de privacyvoorwaarden onder de algemene informatie of de instellingen van de app.
8
Zie oa. Opinion 10/2004 on More Harmonised Information Provisions en Opinion on Smart Devices. Zie ook: International Conference of Data Protection and Privacy Commissioners, International Standards on the Protection of Personal Data and Privacy, the Madrid Resolution, 5 November 2009 9 Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) COM/2012/011 final -‐ 2012/0011 (COD)
10
De toezichthouders stellen dat de privacyvoorwaarden zowel vóór de installatie in de applicatiewinkel beschikbaar moeten zijn, als na de installatie (in de app zelf).10 4.1.2 Toegankelijkheid De privacyvoorwaarden moeten eenvoudig toegankelijk zijn voor consumenten. De privacyvoorwaarden moeten daarom overzichtelijk vormgegeven zijn en liefst kort en bondig.11 Waar mogelijk moet gewerkt worden met duidelijke kopjes, paragrafen en bullet points. Gelaagde privacyverklaringen zijn een goed voorbeeld voor wat betreft toegankelijkheid. In dergelijke voorwaarden worden de hoofdlijnen van het privacybeleid kort uitgelegd, zodat de consument direct een compleet overzicht heeft van de belangrijkste punten.12 Om meer details te krijgen kan een consument vervolgens doorklikken naar de volledige voorwaarden met alle details. 4.1.3 Leesbaarheid en begrijpelijkheid Privacyvoorwaarden moet leesbaar en begrijpelijk zijn voor de consument. Ingewikkeld juridisch taalgebruik en moeilijke zinsconstructies moeten daarom worden vermeden. De privacyvoorwaarden moeten qua taalgebruik zijn toegesneden op de doelgroep. Speciale aandacht is nodig daar waar de verwerking van persoonsgegevens betrekking heeft op kinderen. Momenteel worden geen specifieke wettelijke eisen gesteld aan de leesbaarheid van de privacyvoorwaarden. Met de nieuwe Privacy Verordening gaat dit veranderen. De informatie in de privacyvoorwaarden moet begrijpelijk zijn voor de gemiddelde consument (zie artikel 11 Verordening). Dit impliceert dat de teksten in privacyvoorwaarden veelal gericht moeten zijn op iemand met een B1 leesniveau. 13 De toezichthouders hebben in twee opinies nadrukkelijk aangegeven dat leesbaarheid en begrijpelijkheid van privacyvoorwaarden noodzakelijk zijn.14 Een objectieve beoordeling of een tekst leesbaar is, is ingewikkeld. In de taalwetenschappen bestaat nog steeds veel discussie over de houdbaarheid van bijvoorbeeld de Flesch-‐Kincaid test en de Flesch-‐Douma test (voor Nederlands) waarmee een tekst gescored wordt op leesbaarheid. De beoordeling van de leesbaarheid van de privacyvoorwaarden is daarom bovenal een subjectieve beoordeling van de onderzoekers. Wel zijn er een aantal duidelijk aanknopingspunten om te beoordelen of een tekst leesbaar is. Denk hierbij onder andere aan korte zinnen, actief taalgebruik, het vermijden van juridisch en technisch jargon, persoonlijk aanspreken van de consument en het gebruik van als-‐dan constructies.15 10
Interessant genoeg is de WP29 van mening dat de aanbieder van de app store hiervoor mede-‐ verantwoordelijk is: “As a joint controller with the app developers with regard to information, app stores must ensure that every app provides the essential information on personal data processing. They should check the hyperlinks to included pages with privacy information and remove apps with broken links or otherwise inaccessible information about the data processing.” 11 Article 29 Working Party Opinion 10/2004 on More Harmonised Information Provisions, p. 6 12 Article 29 Working Party Opinion 10/2004 on More Harmonised Information Provisions 13 Raad van Europa, Common European Framework for Languages: Learning, Teaching and Assessment. Zie ook: OCW (2009), Referentie kader taal en rekenen 14 Article 29 Working Party Opinion Opinion 10/2004 on More Harmonised Information Provisions, Article 29 Working Party Opinion on smart devices p. 22-‐23 15 Zie ook: Kinsella Media “Language primer for privacy policies”
11
4.2 Inhoud privacyvoorwaarden De wetgeving stelt een aantal minimumeisen aan de informatie die bij elke verwerking van persoonsgegevens moet worden aangeboden (zie artikel 33 lid Wbp). Het gaat hierbij om de identiteit van de verantwoordelijke, de gegevens die verwerkt worden en de doelen waarvoor deze verwerkt worden. De consument moet daarnaast ook nadere informatie krijgen die noodzakelijk is om een behoorlijke en zorgvuldige verwerking te waarborgen (zie artikel 33 lid 3 Wbp). In lijn met Richtlijn 95/46/EG wordt hier in ieder geval onder begrepen: de derden of categorieën van derden waarmee de gegevens worden gedeeld en de rechten van de consument. De Europese toezichthouders hebben verder aangegeven dat het zeer wenselijk is om ook de volgende informatie op te nemen: 1) de gehanteerde bewaartermijnen, 2) de genomen veiligheidsmaatregelen en 3) een uitleg van de afwegingen waarom gegevens moeten worden verwerkt.16 4.2.1 Identificatie* De verantwoordelijke moet duidelijk zijn identiteit kenbaar maken aan de consument (artikel 33 lid 2 Wbp). Dit betekent dat duidelijk is welke organisatie verantwoordelijk is voor de gegevensverwerking, wat de belangrijkste contactgegevens zijn van deze organisatie en waar de consument terecht kan met vragen of opmerkingen.17 4.2.2 Specificatie gebruikte gegevens en doeleinden* De privacyvoorwaarden moeten de gebruikte persoonsgegevens en de doelen voor de verwerking van deze persoonsgegevens specificeren (artikel 33 lid 2 Wbp). Bij het formuleren van de doeleinden voor de verwerking is het van belang dat deze doelen niet te vaag en/of te ruim omschreven zijn. 4.2.3 Delen van gegevens met derden* De consument moet worden geïnformeerd over de (categorieën) derden die de gegevens ontvangen. Indien gegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte zonder een passend beschermingsniveau, dan moet dit ook worden vermeld (artikel 33 lid 4 Wbp). 4.2.4 Noodzakelijkheid verstrekken gegevens* Bij de verplichting tot nadere verstrekking van informatie uit artikel 33 lid 4 Wbp behoort ook de verplichting om duidelijk te maken aan de consument welke gegevens wel verplicht zijn om te verstrekken (bijvoorbeeld in een webformulier) en welke niet verplicht zijn. In de praktijk wordt dit meestal aangegeven met een sterretje voor de verplichte velden. Het moet voor de consument helder zijn waarom deze gegevens gevraagd worden voor de betreffende doelen. Wij zullen dit criterium alleen toetsen voor die apps waar een account aangemaakt kan of moet worden en de consument dus zelf gegevens moet invullen. 4.2.5 Rechten van de consument* De consument heeft recht op inzage, wijziging, verwijdering van de op hem betrekking hebbende persoonsgegevens. Daarnaast is er een absoluut recht op verzet tegen het gebruik 16
Article 29 Working Party Opinion 02/2013 on apps on smart devices, p. 22-‐23 Omdat veel apps en de bijbehorende dienstverlening gekwalificeerd kunnen worden als ‘diensten van de informatiemaatschappij’ moet naast eisen van artikel 33 Wbp ook voldaan worden aan de informatieverplichting ex. artikel 3:15d BW.
17
12
van persoonsgegevens voor direct marketing doeleinden. De privacyvoorwaarden moet duidelijk aangeven dat de consument dit recht heeft en waar de consument met dergelijke verzoeken terecht kan. 4.2.6 Bewaartermijnen De consument moet weten hoe lang zijn of haar gegevens worden bewaard door de verantwoordelijke. Om die reden is het wenselijk dat de verantwoordelijke dit aangeeft. Deze inhoudelijke eis wordt met de nieuwe Verordening verplicht. 4.2.7 Veiligheidsmaatregelen De consument moet zelf een risicoafweging kunnen maken met betrekking tot de vraag of hij of zij het niveau van beveiliging van een verantwoordelijke voldoende vindt. Om die reden is het wenselijk dat de verantwoordelijke de genomen veiligheidsmaatregelen beschrijft. Deze inhoudelijke eis wordt met de nieuwe Verordening verplicht. 4.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens De Artikel 29 Werkgroep is ook van mening dat een verantwoordelijke aan de consumenten duidelijk moeten maken waarom de verwerking van de gegevens in zijn ogen proportioneel is.18 Het duidelijk en expliciet maken van de eigen afwegingen om persoonsgegevens te verwerken kan het vertrouwen van de consument in de verantwoordelijke versterken, omdat het voor de consument helder is waarom de gegevens worden verwerkt. 4.2.9 Uitleg permissies in relatie tot verwerking (persoons)gegevens In het verlengde van het vorige criterium ligt het informeren van de consument over de gehanteerde permissies. Android en iOS apps opereren in een sandbox en mogen slechts na goedkeuring van de gebruiker onderdelen van het OS en functionaliteiten van het apparaat aanspreken. Voor consumenten moet het in zijn algemeen helder zijn waarom deze permissies worden gevraagd, omdat in veel gevallen persoonsgegevens (kunnen) worden verwerkt via deze permissies. Hoewel strikt genomen uitleg over gebruikte permissies niet verplicht is op grond van artikel 33 Wbp (via de gevraagde permissies worden immers niet noodzakelijkerwijs persoonsgegevens verwerkt), is het wel wenselijk dat voor de consument helder is waarom de permissies worden gevraagd. De reden hiervoor is dat de Play Store slechts op hoofdlijnen informatie geeft over de betekenis van permissies en de rol van een gevraagde permissie in het kader van de concrete app niet nader wordt gespecificeerd. Hierdoor is het voor consumenten veelal totaal onduidelijk waarom zij een bepaalde permissie moeten verlenen. Wanneer met behulp van de permissies persoonsgegevens worden verwerkt dan is het van belang om naast de manier waarop persoonsgegevens worden verwerkt ook aan te geven welke rol de betreffende permissies daarbij spelen. Dit kan worden afgeleid uit artikel 33 lid 4 Wbp.
4.3 Toestemming* Privacyvoorwaarden zijn primair bedoeld om de consument van informatie over de verwerking te voorzien. In veel gevallen volstaat het enkel verstrekken van informatie, maar 18
Zie: Article 29 Working Party Opinion 02/2013 on apps on smart devices, p. 23
13
in een aantal gevallen is (ondubbelzinnige) toestemming nodig voor het verwerken van persoonsgegevens. Zo zal op grond van artikel 11.7a Telecommunicatiewet en in voorkomende gevallen artikel 7 jo. artikel 8a Wbp voor het plaatsen van informatie op en het uitlezen van informatie van het apparaat door de app toestemming moeten worden gevraagd. Omdat toestemming zo nauw verbonden is met de privacyvoorwaarden hebben wij dit als apart toetsingscriterium opgevoerd. Toestemming moet voorafgaand aan het plaatsen/uitlezen worden verkregen en indien er sprake is van de verwerking van persoonsgegevens, dan moet de toestemming ondubbelzinnig zijn. Dit betekent dat er geen twijfel mag bestaan over het feit dat de consument zijn toestemming heeft gegeven. Voor deze rapportage gaan wij er vanuit dat het installeren van een app zonder dat daarbij de privacyvoorwaarden beschikbaar zijn niét als ondubbelzinnige toestemming voor de verwerking van persoonsgegevens via de app mag worden gezien. Voor alle apps die wél voorafgaand privacyvoorwaarden aanbieden moet worden beoordeeld of de privacyvoorwaarden voldoende duidelijk de verwerkingen van persoonsgegevens door de app beschrijven én het aan consumenten duidelijk wordt gemaakt dat de installatiehandeling gezien wordt als het geven van toestemming. Slechts als aan deze beide criteria is voldaan mag worden uitgegaan van de ondubbelzinnige toestemming voor het verwerken van persoonsgegevens. De beste oplossing is overigens om geen persoonsgegevens te verwerken totdat de consument hier in de app expliciet toestemming voor heeft gegeven. Een goed voorbeeld van een app die netjes en heel duidelijk na installatie vooraf toestemming vraagt is de nieuwe TomTom App:
In haar opinie over smart devices heeft de Artikel 29 Werkgroep gesteld dat granulaire toestemming moet worden gevraagd voor het gebruik van: locatie, contacten, Unique Device Identifier, identiteit van de consument, identiteit van het apparaat, credit card en
14
andere betalingsgegevens, telefonie en SMS, surfgeschiedenis, email, sociale netwerk inloggegevens en biometrische gegevens.19 Toestemming kan op het niveau van de applicatie worden gevraagd, of op het niveau van de gebruikte permissies. Dit laatste is echter wel afhankelijk van het gebruikte OS. Android en de Google Play Store bieden geen mogelijkheden voor deze granulaire toestemming op basis van permissies, maar bieden slechts een ‘take it or leave it’ scenario. Na de installatie van de app kunnen de gebruikers ook niet meer selectief de permissies uitzetten (opt-‐out). iOS biedt hiervoor iets meer mogelijkheden. Het iOS geeft een melding op het moment dat van de permissie gebruik wordt gemaakt en de consument heeft dan de mogelijkheid om de permissie te weigeren (bijvoorbeeld bij het laden van de kaart wordt de gebruiker gevraagd of zijn locatie mag worden gebruikt). Deze vorm van permissie vragen is in die zin beter dat het voor de consument veel helderder is wat er gebeurt (omdat het toestemmingsmoment direct gekoppeld is aan de verwerking). Vanuit het perspectief van dataminimalisatie is het zinvol om permissies te beperken. Ook bieden permissies tot op zekere hoogte de mogelijkheid om privacyvoorkeuren te managen (bijvoorbeeld het intrekken van een toestemming voor het gebruik van bepaalde data). Hierbij moet wel worden aangetekend dat permissies niet noodzakelijkerwijs het meest geëigende middel zijn om de privacyvoorkeuren van gebruikers te managen. Omdat de permissies niet primair het verwerken van persoonsgegevens tot doel hebben, maar veeleer de werking van de app, kan het (in runtime) uitschakelen van permissies onverwachte en ongewenste consequenties hebben voor de werking en stabiliteit van de app. Het is daarom beter als appontwikkelaars de consument op het niveau van de verwerkingen binnen de app zelf de mogelijkheid geven om hun toestemming te beheren (bijvoorbeeld door het versturen van gegevens aan derden te deactiveren), in plaats van hiervoor permissies te gebruiken. Met andere woorden: de permissies worden dan niet gebruikt om privacyvoorkeuren te managen, maar specifiek daarvoor in de app ingebouwde functionaliteit. Uiteraard moeten permissies die niet noodzakelijk zijn voor de werking van de app en wel een privacyrisico met zich mee kunnen brengen niet gevraagd worden.
19
Zie: Article 29 Working Party Opinion 02/2013 on apps on smart devices, p. 27
15
5 Beoordeling privacyvoorwaarden 5.1 Nu.nl App Versie 5.3.2, beschikbaar sinds 7 juli 2014. Privacyvoorwaaarden laatst geraadpleegd op 16 juli 2014. Laatste wijziging van de privacyvoorwaarden op 16 april 2013. Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken. 5.1.1 Vorm van de privacyvoorwaarden 5.1.1.1 Vindbaarheid De privacyvoorwaarden van de Nu.nl app zijn voorafgaand aan de installatie in te zien via de link in de Play Store. De privacyvoorwaarden zijn ook in te vinden bij de informatie over de ontwikkelaar, waarin een hyperlink staat naar de privacyvoorwaarden van Nu.nl. Na installatie zijn de privacyvoorwaarden van de Nu.nl app in te zien via de instellingen van de app. De privacyvoorwaarden van de Nu.nl app zijn dus goed vindbaar. ++ 5.1.1.2 Toegankelijkheid De privacyvoorwaarden van de Nu.nl app zijn relatief overzichtelijk vormgegeven. Er is gebruik gemaakt van kopjes, waarmee navigatie voor de consument wordt vergemakkelijkt. Wel zijn de privacyvoorwaarden erg lang (2661 woorden), is er geen sprake van een gelaagde structuur en zijn de paragrafen erg lang. Hierdoor is het moeilijk voor consumenten om snel een beeld te krijgen van de privacyvoorwaarden van de app. Door beperkt gebruik van opsommingstekens zijn de privacyvoorwaarden op punten onoverzichtelijk. Voor het specificeren van de doeleinden is wel een opsommingslijst gebruikt. De privacyvoorwaarden zijn uit te printen. +/-‐ 5.1.1.3 Leesbaarheid en begrijpelijkheid Hoewel de privacyvoorwaarden over het algemeen in begrijpelijke en duidelijke taal zijn gesteld, waarbij de toon is aangepast aan de gebruiker, zijn er een aantal onduidelijke passages met lange zinnen of moeilijke zinsconstructies. Dit doet af aan de leesbaarheid en begrijpelijkheid van de privacyvoorwaarden. Bijvoorbeeld: “Zoals reeds eerder vermeld kunnen wij persoonsgegevens die door ons worden verwerkt, uitwisselen met groepsmaatschappijen en je persoonsgegevens combineren met gegevens die zijn verzameld in het kader van de aankoop of gebruik van onze producten of diensten (of producten of diensten van onze groepsmaatschappijen).”
In plaats van:
“We mogen jouw gegevens doorsturen naar onze groepsmaatschappijen. We mogen jouw gegevens ook combineren met gegevens die wij of onze groepsmaatschappijen al van jou hebben. Bijvoorbeeld omdat je één van onze producten of diensten hebt gebruikt.”
16
+ 5.1.2 Inhoud privacyvoorwaarden 5.1.2.1 Identificatie* De verantwoordelijken worden in de privacyvoorwaarden genoemd. De privacyvoorwaarden van Nu.nl stellen het volgende met betrekking tot verantwoordelijkheid voor de verwerking van persoonsgegevens: “De verantwoordelijken voor de verwerking van de persoonsgegevens zijn Sanoma Media Netherlands B.V., Capellalaan 65, 2132 JL Hoofddorp en (voor wat betreft de verwerking van gegevens binnen SBS en haar dochtervennootschappen) SBS Broadcasting B.V., Rietlandpark 333, 1019 DW Amsterdam.”
Eerder in de privacyvoorwaarden is gespecificeerd dat Nu.nl deel uitmaakt van Sanoma Digital The Netherlands B.V.: “NU.nl is een website van Sanoma Digital The Netherlands B.V, onderdeel van de Sanoma Media Netherlands groep.”
Sanoma Digital The Netherlands B.V. is dus de verantwoordelijke is voor de verwerking van persoonsgegevens door de Nu.nl app. Omdat de privacyvoorwaarden niet zijn toegespitst op de app is dit echter niet in één oogopslag duidelijk voor de consument. + 5.1.2.2 Specificatie gebruikte gegevens en doeleinden* Hoewel in de privacyvoorwaarden is gespecificeerd welke gegevens door Sanoma Media Netherlands B.V. en SBS Broadcasting B.V. in zijn algemeenheid kunnen worden verzameld, is niet gespecificeerd welke persoonsgegevens specifiek door de Nu.nl app kunnen worden verzameld. Hetzelfde geldt voor de doelen. Er zijn 10 doelen gespecificeerd, maar het is niet duidelijk welke gegevens uit de app worden gebruikt voor de betreffende doelen. +/-‐ 5.1.2.3 Delen van gegevens met derden* Volgens de privacyvoorwaarden kunnen gegevens worden gedeeld met groepsmaatschappijen van Sanoma Media Netherlands B.V. en SBS Broadcasting B.V. De dochtermaatschappijen worden genoemd in de privacyvoorwaarden. Daarnaast kunnen gegevens worden verhuurd (listbroking) aan ‘zorgvuldig geselecteerde derden’. Wie deze zorgvuldig geselecteerde derden zijn is niet gespecificeerd. Tenslotte wordt via de app contact gemaakt met advertentienetwerken van derden. Hierover wordt weliswaar melding gemaakt onder het kopje cookies, maar niet onder het kopje derden. -‐
17
5.1.2.4 Noodzakelijk te verstrekken gegevens* De privacyvoorwaarden stellen dat het verstrekken van persoonsgegevens niet verplicht is, maar om gebruik te maken van bepaalde diensten is invoer van persoonsgegevens wel noodzakelijk. Bij het aanmaken van een NuJIJ account wordt duidelijk de reden aangegeven waarom het emailadres gevraagd wordt. ++ 5.1.2.5 Rechten van de consument* De privacyvoorwaarden van de Nu.nl App informeren de consument duidelijk over diens recht op inzage, correctie, verwijdering en verzet. De privacyvoorwaarden stellen dat: “Als je wilt weten welke persoonsgegevens van jou zijn vastgelegd, als je gegevens wilt wijzigen of wilt laten wissen conform de daarvoor geldende regelgeving, kun je een email sturen aan
[email protected] of een brief gericht tot Sanoma Media Netherlands B.V., ter attentie van “Klantenservice Privacy”, Capellalaan 65, 2132 JL Hoofddorp, onder vermelding van 'inzage/wijzigen/wissen persoonsgegevens'. Ook kan je doorgeven dat je niet langer prijs stelt op het verstrekken van jouw persoonsgegevens aan groepsmaatschappijen of aan derden, het combineren van je persoonsgegevens tot een profiel, of het gebruik van jouw gegevens voor het doen van gerichte aanbiedingen of op het per e-‐mail of post ontvangen van informatie en aanbiedingen.”
Daarnaast wordt gespecificeerd aan welke vereisten een dergelijk verzoek moet voldoen, teneinde het verzoek op de juiste manier te kunnen behandelen. Verder wordt de consument gewezen op het feit dat bij een aantal websites de mogelijkheid wordt geboden een deel van de verwerkte persoonsgegevens zelf in te zien, wijzigen of verwijderen. Of dit ook bij de Nu.nl App mogelijk is, is niet in de privacyvoorwaarden gespecificeerd. ++ 5.1.2.6 Bewaartermijnen Met betrekking tot bewaartermijnen stellen de privacyvoorwaarden dat persoonsgegevens in beginsel alleen bewaard worden “zolang als dat nodig is voor bovengenoemde doeleinden, of om te voldoen aan wettelijke (bewaar) verplichtingen.” +/-‐ 5.1.2.7 Veiligheidsmaatregelen Bij de websites, producten en diensten van Sanoma Digital Netherlands B.V. wordt “te allen tijde een beveiligingsniveau bij de verwerking van persoonsgegevens [gehandhaafd] dat gezien de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen.” Wat dit precies inhoudt is verder niet gespecificeerd. +/-‐
18
5.1.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Hoewel de doelen voor de verwerking in de privacyvoorwaarden worden uiteengezet, wordt hierin niet de afweging meegegeven die ten grondslag ligt aan het gebruik van (juist deze) persoonsgegevens. -‐ 5.1.2.9 Uitleg gevraagde permissies In de beschrijving van de app wordt duidelijk uitgelegd welke permissies worden gebruikt en waarom de app deze nodig heeft. ++ 5.1.3 Toestemming* De toestemming voldoet niet aan de eisen die de Wbp en/of de Telecommunicatiewet stellen, omdat bij de installatie niet duidelijk genoeg is aangegeven dat het installeren van de app toestemming impliceert voor het plaatsen en uitlezen van gegevens die vermoed worden persoonsgegevens te zijn via de randapparatuur van de gebruiker. Na installatie wordt zonder verdere toestemmingsvraag contact gemaakt met advertentienetwerken en worden diverse tracking cookies gedropt. -‐-‐
19
5.2 De Telegraaf Versie 2.8, beschikbaar sinds 10 juli 2014. Privacyvoorwaarden geraadpleegd op 16 juli 2014. Laatste wijziging privacyvoorwaarden 12 juni 2012. Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken. Dit is gekoppeld aan een proefabonnement. Bij het aanmaken van deze account moet men akkoord gaan met de privacyvoorwaarden. 5.2.1 Vorm van de privacyvoorwaarden 5.2.1.1 Vindbaarheid Voorafgaand aan de installatie is het niet mogelijk de privacyvoorwaarden van De Telegraaf App in te zien. Wanneer de app is geïnstalleerd wordt de gebruiker via het onderdeel ‘informatie’ doorgelinkt naar de privacy verklaring van de Telegraaf Media Group N.V. (TMG). + 5.2.1.2 Toegankelijkheid De privacyvoorwaarden zijn in duidelijke onderdelen verdeeld, met kopjes die navigatie vergemakkelijken. Ook worden de doeleinden van de verwerking overzichtelijk gepresenteerd doordat er gebruik wordt gemaakt van een opsomming door middel van bullets. Ook zijn de privacyvoorwaarden niet te lang (1063 woorden). + 5.2.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden van TMG zijn gericht aan de consument en in zijn algemeenheid duidelijk. Wanneer gebruik wordt gemaakt van terminologie wordt dit aan de hand van voorbeelden toegelicht: “...partijen, die door TMG worden ingeschakeld bij de uitvoering van haar dienstverlening (bijvoorbeeld de leverancier van een door u besteld product)”
Wel is er sprake van veel passief taalgebruik en worden veel opties open gelaten (“kan worden verwerkt”, “het is mogelijk dat”). Hierdoor is het voor een consument niet duidelijk wat er nu daadwerkelijk gebeurt binnen de app. Ook zijn een aantal zinnen nodeloos ingewikkeld. Bijvoorbeeld: “Uw persoonsgegevens kunnen voor de voornoemde doeleinden worden uitgewisseld met of ter beschikking worden gesteld aan alle onderdelen van TMG.”
In plaats van:
“Alle onderdelen van TMG mogen u gegevens ook gebruiken voor deze doelen”
20
Tenslotte wordt op punten onnodig gebruik gemaakt van juridisch of archaïsch taalgebruik (zie onderstreepte tekst). “Uw gegevens worden zonder uw uitdrukkelijke toestemming niet verstrekt aan partijen die niet tot het TMG-‐ concern behoren, behoudens het navolgende.”
+ 5.2.2 Inhoud privacyvoorwaarden 5.2.2.1 Identificatie* De verantwoordelijke voor de verwerking van persoonsgegevens wordt duidelijk gespecificeerd in de privacyvoorwaarden: “De verantwoordelijke voor de gegevensverwerking is Telegraaf Media Groep N.V., Basisweg 30, 1043 AP Amsterdam.”
++ 5.2.2.2 Specificatie gebruikte gegevens en doeleinden* Het is onduidelijk welke (categorieën) gegevens door TMG worden verwerkt. De privacyvoorwaarden spreken van ‘de door u verstrekte en gebruikte persoonsgegevens’, ‘telefoongesprekken’ en informatie verzameld door middel van cookies. Het is verder onduidelijk welke gegevens specifiek door de Telegraaf App worden verzameld en verwerkt. De doeleinden voor de verwerking van persoonsgegevens zijn wel duidelijk gespecificeerd. Ook hierbij is het echter niet duidelijk welke gegevens voor welke doeleinden worden verwerkt, en welk van deze doelen van toepassing zijn op de Telegraaf App. -‐ 5.2.2.3 Delen van gegevens met derden* De privacyvoorwaarden stellen dat de persoonsgegevens niet zonder uitdrukkelijke toestemming aan derden worden verstrekt, tenzij deze derden als bewerker worden ingezet, of er een specifieke grond is. Deze uitzonderingen worden duidelijk beschreven in de privacyvoorwaarden. Wel is onduidelijk of het advertentienetwerk dat TMG inzet binnen de Telegraaf App (Mads) ook alleen de gegevens van de consument gebruiken voor de dienstverlening aan de Telegraaf, of ook voor andere doelen. +/-‐ 5.2.2.4 Noodzakelijk te verstrekken gegevens* Bij het registreren voor een Telegraaf account om premium content te ontvangen worden de verplichte velden duidelijk aangegeven. Het wordt niet duidelijk gemaakt waarom bepaalde velden zoals telefoonnummer en adresgegevens verplicht zijn. +/-‐
21
5.2.2.5 Rechten van de consument* De privacyvoorwaarden wijzen de consument op zijn recht van inzage, correctie en verzet en op welke wijze van deze rechten gebruik kan worden gemaakt. ++ 5.2.2.6 Bewaartermijnen De privacyvoorwaarden bevatten geen informatie over de termijn waarin persoonsgegevens worden bewaard. Alleen met betrekking tot telefoongesprekken (wat niet van toepassing is op de Telegraaf App) wordt gespecificeerd dat deze “niet langer [worden] bewaard dan strikt noodzakelijk.” -‐-‐ 5.2.2.7 Veiligheidsmaatregelen Met betrekking tot de beveiliging van de verwerkte persoonsgegevens stellen de privacyvoorwaarden van TMG het volgende: “Alle persoonsgegevens zijn beveiligd opgeslagen in de administratie van TMG. Deze database is uitsluitend toegankelijk voor medewerkers van TMG, voor zover dat uit hoofde van hun functie noodzakelijk is. TMG spant zich verder naar redelijkheid in haar systemen te beveiligen tegen verlies en/of tegen enige vorm van onrechtmatig gebruik of verwerking en maakt daarbij gebruik van passende technische en organisatorische maatregelen, waarbij onder meer rekening wordt gehouden met de stand van de techniek.”
Hoewel de genomen maatregelen niet heel duidelijk worden, heeft de consument wel enige houvast. +/-‐ 5.2.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Hoewel de doelen voor de verwerking in de privacyvoorwaarden worden uiteengezet, wordt hierin niet de afweging meegegeven die ten grondslag ligt aan het gebruik van (juist deze) persoonsgegevens. -‐ 5.2.2.9 Uitleg gevraagde permissies De redenen waarom bepaalde permissies worden gevraagd worden duidelijk uitgelegd voor de installatie van de App. Hierdoor is het voor consumenten helder waarom de permissie wordt gevraagd. ++
22
5.2.3 Toestemming De app voldoet niet aan het vereiste van voorafgaande toestemming in de zin van artikel 11.7a Telecommunicatiewet en/of ondubbelzinnige toestemming in de zin van artikel 8a Wbp, omdat noch voor het installeren noch daarna duidelijk wordt gewezen op het gebruik van advertentienetwerken die gegevens uitlezen van de randapparatuur, of daar gegevens op plaatsen. -‐-‐
23
5.3 AD.nl Mobile App Versie 3.1, beschikbaar sinds 9 juli 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. 5.3.1 Vorm van de privacyvoorwaarden 5.3.1.1 Vindbaarheid De AD.nl Mobile App kent géén privacyvoorwaarden. De voorwaarden zijn niet voorafgaand aan de installatie van de app te zien in de Play Store. Ook wanneer de app is geïnstalleerd is het niet mogelijk de privacyvoorwaarden op te vragen. Slechts wanneer een account wordt aangemaakt, wordt verwezen naar de algemene privacyvoorwaarden van de Persgroep.20 -‐-‐ / GEEN 5.3.1.2 Toegankelijkheid De privacyvoorwaarden van De Persgroep Nederland zijn kort en bondig (521 woorden). Met behulp van het gebruik van koppen wordt navigatie vergemakkelijkt. Voor opsommingen worden geen opsommingstekens gebruikt waardoor het geheel minder overzichtelijk wordt. + 5.3.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden van De Persgroep Nederland zijn in begrijpelijke taal geschreven, zonder juridisch jargon of ingewikkelde termen. Wel zijn de zinnen relatief lang door veel opsommingen en bijzinnen. Bijvoorbeeld: “Wanneer u zich aanmeldt op een van de websites van de Persgroep Nederland, een abonnement neemt op AD, de Volkskrant, Trouw of Het Parool, een publicatie bestelt, deelneemt aan een actie, een bestelling plaatst, of anderszins gebruik maakt van de diensten van (een onderdeel van) de Persgroep Nederland, kan u worden gevraagd de volgende persoonsgegevens te verstrekken: naam, e-‐mailadres, woonadres of bezorgadres en betaalgegevens.”
+ 5.3.2 Inhoud privacyvoorwaarden 5.3.2.1 Identificatie* Hoewel het niet met zo veel woorden wordt gespecificeerd, is het duidelijk af te leiden uit de privacyvoorwaarden dat De Persgroep Nederland verantwoordelijk is voor de verwerking van persoonsgegevens door de AD App. +
20
De AD.nl app (een kiosk app) verwijst in de Play Store wel naar de privacyvoorwaarden van de Persgroep (www.ad.nl/privacy).
24
5.3.2.2 Specificatie gebruikte gegevens en doeleinden* De Persgroep Nederland specificeert de (categorieën) verwerkte persoonsgegevens als volgt: “naam, e-‐mailadres, woonadres of bezorgadres en betaalgegevens.” De doeleinden voor de verwerking worden vervolgens nader uiteengezet: “De Persgroep Nederland gebruikt uw gegevens voor de uitvoering van de gebruikersovereenkomst, de uitvoering van uw bestelling en om u op de hoogte te houden van het verloop daarvan, het verlenen van service en/of om u te informeren over andere producten en diensten van de Persgroep Nederland indien u daarop prijs stelt.”
Adverteren en marketing worden niet expliciet genoemd bij de doeleinden. De AD.nl Mobile App maakt gebruik van onder andere Doubleclick voor het aanbieden van (gerichte) advertenties en hiervoor wordt ook een cookie geplaatst. Dit wordt door het College bescherming persoonsgegevens vermoed een verwerking van persoonsgegevens te zijn en moet dus worden opgenomen in de privacyvoorwaarden. -‐ 5.3.2.3 Delen van gegevens met derden* Met betrekking tot de verstrekking van door De Persgroep Nederland verwerkte gegevens aan derden verklaren de privacyvoorwaarden dat deze gegevens niet worden verstrekt aan ‘bedrijven en instellingen buiten de Persgroep Nederland.’ Het is evenwel niet duidelijk welke gegevens met bewerkers worden gedeeld (zoals bijvoorbeeld Doubleclick). -‐ 5.3.2.4 Noodzakelijk te verstrekken gegevens* De privacyvoorwaarden van De Persgroep Nederland bevatten geen informatie over de vraag waarom verstrekking van bepaalde (categorieën) gegevens (binnen de Persgroep Nederland) noodzakelijk is. Omdat de app bij het aanmaken van een AD-‐account slechts om een emailadres vraagt is dit echter niet onoverkomelijk. +/-‐ 5.3.2.5 Rechten van de consument* De privacyvoorwaarden van De Persgroep Nederland wijzen de consument niet op diens recht van inzage, correctie en verwijdering. Wel wordt de consument gewezen op zijn recht van verzet voor wat betreft het gebruik van zijn gegevens voor het ontvangen van informatie over producten en diensten van de Persgroep Nederland (opt-‐out): “Als u geen prijs stelt op informatie over producten en diensten van de Persgroep Nederland kunt u dit aangeven bij uw registratie voor de websites van de betreffende krant of schriftelijk melden bij: […]”
-‐-‐ 5.3.2.6 Bewaartermijnen De privacyvoorwaarden van de Persgroep Nederland bevatten geen informatie met betrekking tot de bewaartermijn van de verwerkte gegevens. -‐-‐
25
5.3.2.7 Veiligheidsmaatregelen
In de privacyvoorwaarden staat met betrekking tot de beveiliging het volgende: “De Persgroep Nederland maakt gebruik van uitgebreide veiligheidsprocedures voor de bescherming van de verwerkte gegevens, onder meer om te voorkomen dat onbevoegden toegang krijgen tot deze gegevens.”
Daarnaast verklaren de privacyvoorwaarden dat gegevens worden opgeslagen op een Secured Server. Hoewel er wel aandacht is voor beveiliging, is deze passage erg beknopt en geeft weinig inzicht in de mate van beveiliging van de door de Persgroep Nederland verwerkte gegevens. Het is daarnaast twijfelachtig of een gemiddelde consument bekend is met begrippen als ‘secured server’. +/-‐ 5.3.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens De privacyvoorwaarden geven geen inzicht in de afweging van de Pergroep Nederland voor het gebruik van (de door de Persgroep Nederland verwerkte) persoonsgegevens. -‐ 5.3.2.9 Uitleg gevraagde permissies Er is geen uitleg over de redenen voor de gevraagde permissies. -‐-‐ 5.3.3 Toestemming De app voldoet niet aan het vereiste van voorafgaande toestemming in de zin van artikel 11.7a Telecommunicatiewet en/of ondubbelzinnige toestemming in de zin van artikel 8a Wbp, omdat noch voor het installeren noch daarna duidelijk wordt gewezen op het gebruik van advertentienetwerken die gegevens uitlezen van de randapparatuur of daarop plaatsen. Onder andere Doubleclick plaatst een cookie via de AD Mobile App evenals de Persgroep zelf. -‐-‐
26
5.4 NOS app Versie 2.4.0, beschikbaar sinds 17 april 2014. Geen privacyvoorwaarden beschikbaar. De NOS app kent geen privacyvoorwaarden. Uit de analyse van het netwerkverkeer is ook niet af te leiden dat er met behulp van de app ook daadwerkelijk persoonsgegevens worden verwerkt. We kunnen dus stellen dat er geen privacyvoorwaarden zijn omdat er geen persoonsgegevens worden verwerkt.
27
5.5 RTL Nieuws mobile Versie 3.0, beschikbaar sinds 5 mei 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 15 juli 2014. Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken. Bij het aanmaken van deze account moet men akkoord gaan met de privacyvoorwaarden. 5.5.1 Vorm van de privacyvoorwaarden 5.5.1.1 Vindbaarheid Voorafgaand aan de installatie van de app via de Google Play Store zijn de privacyvoorwaarden van RTL Nieuws niet in te zien. Na installatie is het ook binnen de app-‐ omgeving niet mogelijk de privacyvoorwaarden op te vragen en in te zien. Gebruikers hebben de mogelijkheid om binnen de app een gebruikersaccount aan te maken. Bij het aanmaken van deze account moet men akkoord gaan met de privacyvoorwaarden van RTL Nederland. Deze voorwaarden zijn op het moment van aanmelding raadpleegbaar, maar daarna niet meer beschikbaar via de app. -‐-‐ 5.5.1.2 Toegankelijkheid De privacyvoorwaarden zijn 1320 woorden lang. De privacyvoorwaarden van RTL Nederland zijn door het gebruik van kopjes overzichtelijk vormgegeven. Er wordt niet gewerkt met opsommingen waardoor het niet direct duidelijk is welke gegevens worden verwerkt en voor welke doeleinden dit is. + 5.5.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden zijn over het algemeen goed leesbaar. Wel worden door het gebruik van veel bijzinnen en opsommingen de zinnen op punten erg lang. Bijvoorbeeld: Uw persoonsgegevens worden door RTL ook gebruikt ten behoeve van marketingactiviteiten van RTL, waaronder begrepen het verstrekken van informatie – onder meer in de vorm van een elektronische nieuwsbrief die u van tijd tot tijd zal worden toegestuurd – over producten, diensten, activiteiten, aanbiedingen en kortingen die door RTL worden aangeboden.
+ 5.5.2 Inhoud privacyvoorwaarden 5.5.2.1 Identificatie* Er wordt duidelijk aangegeven dat RTL Nederland Interactief BV verantwoordelijke is voor de verwerking. Echter, er zijn geen adres en contactgegevens voor deze BV aangegeven. Aan het einde van de privacyvoorwaarden wordt aangegeven dat consumenten met vragen terecht kunnen bij RTL Nederland, afdeling data products. Dit lijkt echter een andere rechtspersoon te zijn.
28
+/-‐ 5.5.2.2 Specificatie gebruikte gegevens en doeleinden* De privacyvoorwaarden geven aan dat de door de consument verstrekte gegevens worden verwerkt (gegeven bij het aanmaken van een RTL account). Daarnaast worden gegevens verzameld met behulp van cookies en klikgedrag. Welke gegevens dit echter zijn is niet duidelijk. De doelen zijn duidelijk aangegeven (uitvoering van de diensten, statistische analyse en marketing). Wel is onduidelijk welke gegevens met behulp van de app worden verzameld en verwerkt. +/-‐ 5.5.2.3 Delen van gegevens met derden* De categorieën van derden waaraan de gegevens kunnen worden verstrekt zijn duidelijk aangegeven. De situaties waarin gegevens worden verstrekt zijn door gebruik van voorbeelden verduidelijkt. Hoe dit echter in de app gestalte krijgt blijft onduidelijk. In de voorwaarden wordt gemeld dat gegevens alleen met adverteerders worden gedeeld na toestemming van de consument. Deze toestemming wordt afgeleid uit de acceptatie van de privacyvoorwaarden bij het aanmaken van een account. + 5.5.2.4 Noodzakelijk te verstrekken gegevens* Er wordt in de privacyvoorwaarden niet uitgelegd waarom bepaalde gegevens noodzakelijk zijn. Bij het aanmaken van een RTL account wordt wel aangegeven welke velden verplicht zijn. Er wordt verder niet uitgelegd waarom het emailadres verplicht is, maar gezien het feit dat dit gangbaar is bij het aanmaken van accounts is dit niet onoverkomelijk. +/-‐ 5.5.2.5 Rechten van de consument* Er is weliswaar een kopje dat ‘melding en recht op verzet’ heet, maar in de tekst bij dit kopje wordt vervolgens niks gezegd over het recht op verzet of andere rechten van de consument. -‐-‐ 5.5.2.6 Bewaartermijnen Er wordt geen melding gemaakt van de bewaartermijnen. -‐-‐ 5.5.2.7 Veiligheidsmaatregelen Er wordt geen melding gemaakt van genomen veiligheidsmaatregelen.
29
-‐-‐ 5.5.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Er wordt geen verantwoording afgelegd over de afwegingen voor het gebruik van gegevens. -‐ 5.5.2.9 Uitleg gevraagde permissies Er wordt geen uitleg gegeven voor de gebruikte permissies. -‐-‐ 5.5.3 Toestemming Uit de analyse van het netwerkverkeer blijkt dat alleen na het inloggen met een RTL account contact wordt gelegd met een extern advertentienetwerk (Doubleclick). Hiervoor is toestemming op grond van de geaccepteerde privacyvoorwaarden bij het aanmaken van een account. Deze toestemming zou versterkt kunnen worden door bij het invulscherm expliciet om toestemming te vragen voor specifieke doelen, met een verwijzing naar de privacyvoorwaarden voor meer details, in plaats van een kale verwijzing naar de privacyvoorwaarden. +
30
5.6 Bijenkorf Versie 1.6, beschikbaar sinds 16 april 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. Binnen de app kan onder andere een Bijenkorf Card worden aangevraagd. 5.6.1 Vorm van de privacyvoorwaarden 5.6.1.1 Vindbaarheid De privacyvoorwaarden van de Bijenkorf App zijn niet vooraf aan de installatie van de app in te zien. Ook na installatie zijn de privacyvoorwaarden niet binnen de app-‐omgeving in te zien. Wanneer de consument naar het onderdeel 'Shop' gaat en daar voor de optie 'desktopversie' kiest, wordt de consument doorgeleid naar de reguliere web-‐omgeving van de Bijenkorf. Vervolgens kan de consument linksonder in het scherm de optie 'veiligheid en privacy' kiezen, waar de privacyvoorwaarden van de Bijenkorf zijn opgenomen.21 Echter, dit werkt alleen op tablets. Op telefoons wordt een mobiele versie van de website geladen waar geen verwijzing naar de privacyvoorwaarden zichtbaar is. -‐-‐ 5.6.1.2 Toegankelijkheid De privacyvoorwaarden van de Bijenkorf zijn relatief kort (1060 woorden). De voorwaarden zijn duidelijk geordend, waardoor navigatie voor de consument wordt vergemakkelijkt. Met name door de splitsing naar de verschillende Bijenkorf diensten, wordt de consument niet overladen met informatie. Door het ontbreken van een gelaagde structuur is het voor de consument echter niet goed mogelijk om in één oogopslag de noodzakelijke informatie te krijgen. Een nadeel van de privacyvoorwaarden voor telefoons is dat de webomgeving van de desktop-‐versie niet volgens een 'responsive design' werkt. Dit betekent dat de privacyvoorwaarden niet opgemaakt zijn voor een klein scherm, waardoor deze op een telefoonscherm moeilijk leesbaar zijn.22 + 5.6.1.3 Leesbaarheid en begrijpelijkheid De bijenkorf privacyvoorwaarden zijn in begrijpelijke taal geschreven. Er is geen gebruik gemaakt van moeilijk juridisch jargon of technische terminologie. De voorwaarden zijn op de consument toegespitst. + 21
Wanneer een tablet wordt gebruikt wordt de consument direct doorgeleid naar de desktopversie en zijn de privacyvoorwaarden dus iets makkelijker te vinden. 22 De test is uitgevoerd op Samsung Note 3. Of er sprake is van responsive design van de desktop versie op andere toestellen of modellen, is niet bekend.
31
5.6.2 Inhoud privacyvoorwaarden 5.6.2.1 Identificatie* Hoewel de privacyvoorwaarden de term 'verantwoordelijke' niet bevatten, is het duidelijk dat Magazijn Bijenkorf B.V. (“Bijenkorf”) als verantwoordelijke voor de verwerking van persoonsgegevens moet worden aangemerkt. De adres-‐ en contactgegevens zijn verder niet duidelijk aangegeven. “Dit is de privacyverklaring van Magazijn de Bijenkorf B.V. (hierna: de “Bijenkorf”). +/-‐ 5.6.2.2 Specificatie gebruikte gegevens en doeleinden* De privacyvoorwaarden van de Bijenkorf specificeren voor iedere dienst van de Bijenkorf de bij het gebruik van deze dienst verzamelde gegevens. Er staat geen aparte informatie voor de Bijenkorf app. Daarnaast zijn de verschillende doelen voor de verwerking van persoonsgegevens puntsgewijs in de privacyvoorwaarden opgenomen. Wel is onduidelijk welke doelen horen bij welke gegevensverzamelingen. Ook is niet duidelijk waarom bepaalde gegevens verwerkt worden voor de doelen. +/-‐ 5.6.2.3 Delen van gegevens met derden* De privacyvoorwaarden van de Bijenkorf bevatten op verschillende plaatsen informatie over het delen van persoonsgegevens met derden. Zo worden creditcard gegevens gedeeld met ICS. Dit is duidelijk aangegeven. Wanneer de consument de knop ‘shop’ aanklikt wordt deze doorverwezen naar de (mobiele) website van de Bijenkorf. Daar worden ±30 tracking en social cookies van verschillende partijen geplaatst. In de voorwaarden van de Bijenkorf wordt echter gesproken van één partij waarmee de gegevens worden gedeeld: Sociomantic. Dit lijkt gezien de grote hoeveelheid trackers een onjuiste voorstelling van zaken. -‐-‐ 5.6.2.4 Noodzakelijk te verstrekken gegevens* De privacyvoorwaarden maken geen onderscheid tussen 'noodzakelijk te verstrekken gegevens' en 'vrijwillig te verstrekken gegevens'. Wanneer bijvoorbeeld een Bijenkorf Card wordt aangevraagd, dan zijn de verplichte velden wel aangegeven. Voor deze velden wordt echter niet duidelijk gemaakt waarom zij verplicht zijn. Daar het hier gaat om gevoelige gegevens waaronder het Burger Service Nummer (BSN), zou dit wel extra wenselijk zijn.23 23
De voor de Bijenkorf Card verantwoordelijke partij (ICS) vraagt waarschijnlijk het BSN in verband met de wettelijke renseigneringsplicht voor consumptief krediet (zie artikel 53 lid 2 en 3 Algemene Wet Inzake Rijksbelastingen).
32
-‐ 5.6.2.5 Rechten van de consument* De privacyvoorwaarden wijzen de consument op diens recht om de toestemming voor cookies in te trekken: “Wanneer u bezwaar heeft tegen het registreren van uw surfgedrag en tegen het tonen van gepersonaliseerde banners, dan kunt u zich onderaan de pagina via de link “Cookie instellingen” afmelden. Let op: Het afmelden is op een cookie gebaseerd. Op het moment dat u al uw cookies verwijdert, weten wij niet meer dat u zich afgemeld heeft. “
Hoewel hier een terechte waarschuwing wordt gegeven, is het twijfelachtig of de consument deze constructie zal begrijpen. Daarnaast wordt de consument gewezen op dienst recht van inzage en correctie: “ U kunt uw eigen gegevens en uw persoonlijke instellingen altijd bekijken en zonodig wijzigen. U kunt hiervoor contact opnemen met ons Klant Contact Center, 0800 -‐ 0818 (gratis).”
De consument wordt niet gewezen op diens recht van verwijdering en verzet. +/-‐ 5.6.2.6 Bewaartermijnen Met betrekking tot bewaartermijnen wordt het volgende gesteld:
“De kopie van het identiteitsbewijs zal worden vernietigd zodra de controle is uitgevoerd.”
Maar het is de vraag of dit relevant is in het kader van de App. In het kader van gepersonaliseerde banners stellen de privacyvoorwaarden:
“De cookie waarmee gewerkt wordt, blijft maximaal 2 jaar op uw computer staan, daarna wordt alle informatie automatisch verwijderd. Wanneer u binnen deze periode deBijenkorf.nl opnieuw bezoekt, wordt de zoekinformatie ververst.”
Verder bevatten de privacyvoorwaarden geen informatie over de bewaartermijn van de overige gegevens die de Bijenkorf verwerkt, zoals de NAW-‐gegevens, telefoonnummers of e-‐ mailadressen. -‐ 5.6.2.7 Veiligheidsmaatregelen De Bijenkorf treft verschillende maatregelen om de veiligheid van de door hen verwerkte persoonsgegevens te waarborgen: “De Bijenkorf draagt zorg voor een passende mate en vorm van beveiliging van uw persoonsgegevens. Dit wordt onder andere gedaan door gebruik van een firewall die er zorg voor draagt dat onbevoegden niet bij uw gegevens kunnen komen en certificaten die data verkeer tussen uw computer en de Bijenkorf versleutelen opdat
33
derden de informatie niet kunnen lezen. Uitsluitend die personen die hiertoe door de Bijenkorf zijn aangewezen binnen het kader van de aan hen opgedragen taken hebben toegang tot uw persoonsgegevens.”
Deze informatie is duidelijk voor consumenten, daar duidelijke (en bekende) voorbeelden worden gegeven. ++ 5.6.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Er wordt geen verdere informatie verschaft voor wat betreft de afweging die is gemaakt voor het gebruik van (juist deze) gegevens, behalve de omschreven doeleinden voor verwerking. -‐ 5.6.2.9 Uitleg gevraagde permissies Voorafgaand aan de installatie van de Bijenkorf app wordt geen specifieke informatie gegeven waarom bepaalde permissies worden gevraagd. -‐-‐ 5.6.3 Toestemming De app voldoet niet aan het vereiste van voorafgaande toestemming in de zin van artikel 11.7a Telecommunicatiewet en/of ondubbelzinnige toestemming in de zin van artikel 8a Wbp, omdat noch voor het installeren nog daarna duidelijk wordt gewezen op het gebruik van advertentienetwerken die gegevens uitlezen van de randapparatuur, of daar gegevens op plaatsen. -‐-‐
34
5.7 Appie Versie 4.0.5, beschikbaar sinds 4 juli 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. Binnen de app kan een mijn AH account worden aangemaakt. 5.7.1 Vorm van de privacyvoorwaarden 5.7.1.1 Vindbaarheid De Appie app van Albert Heijn verwijst naar verschillende privacyvoorwaarden: Voorafgaand aan installatie van de app wordt de consument via de beschrijving en de informatie over de ontwikkelaar gewezen op de algemene privacyvoorwaarden van Albert Heijn: www.ah.nl/privacy. Wanneer men binnen de app naar het menu navigeert en vervolgens bij het onderdeel “instellingen” naar “Privacy-‐ en cookiebeleid” doorstroomt, komt men terecht bij privacyvoorwaarden getiteld “Privacy informatie Bonuskaartdoeleinden online bestellen”. Dit zijn andere privacyvoorwaarden dan de voorwaarden waarnaar voorafgaand aan de installatie is verwezen. Het is daarmee onduidelijk voor de consument welke voorwaarden van toepassing zijn, of beide voorwaarden van toepassing zijn en hoe deze zich tot elkaar verhouden. Daarnaast is het voor de consument niet mogelijk om via een telefoon vanuit de app-‐omgeving direct de volledige voorwaarden (van www.ah.nl/privacy) in te zien.24 In de privacyvoorwaarden werkt ook de gelaagde structuur niet meer (de links ‘lees meer’ zijn niet actief). Overigens zijn in de iOS versie van Appie wél specifieke privacyvoorwaarden voor de app opgenomen (een samenvatting van de algemene privacyvoorwaarden) en werkt ook de link naar de algemene privacyvoorwaarden. De anchors die worden gebruikt om naar specifieke onderdelen van de algemene privacyvoorwaarden te gaan werken echter weer niet waardoor de consument niet eenvoudig toegang kan krijgen. -‐ 5.7.1.2 Toegankelijkheid De privacyvoorwaarden die ter beschikking worden gesteld via www.ah.nl/privacy zijn zeer uitgebreid (maarliefst 24 pagina’s A4, meer dan 11.000 woorden). Deze voorwaarden zijn van toepassing op alle diensten van Albert Heijn, waaronder de Appie app. Om de informatie behapbaar te houden wordt gebruik gemaakt van een gelaagde structuur waarbij de consument door kan klikken op specifieke onderdelen om meer informatie te krijgen. Deze gelaagde structuur zorgt voor makkelijkere navigatie, waarbij de consument indien gewenst meer informatie kan verkrijgen. Ook het gebruik van hoofdstukken met tussenkoppen bevorderd de navigatie door de consument. Zo is er een kop “AH Websites en AH Apps (Algemeen)”, waar de informatie met 24
Dit is wel mogelijk met een tablet.
35
betrekking tot het verwerken van technische informatie is terug te vinden. De onderliggende paragrafen verzorgen extra informatie met betrekking tot het verwerken van persoonsgegevens, zoals de paragraaf getiteld “Online boodschappen doen via Appie en ah.nl”. De structuur van de privacyvoorwaarden is goed doordacht en sluit op elkaar aan. Voor een consument die alleen informatie wil ontvangen over de Appie applicatie, kan de hoeveelheid aan informatie en het feit dat verschillende onderdelen wel of niet van toepassing zijn, echter verwarrend en overweldigend werken. Specifieke privacyvoorwaarden, meer toegespitst op de app zouden de toegankelijkheid sterk verbeteren. +/-‐ 5.7.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden op www.privacy.nl/ah zijn op een begrijpelijke wijze geschreven. Er is geen gebruik gemaakt van moeilijk juridisch jargon en de koppen zijn veelal opgesteld in de vorm van vragen van consumenten, waardoor de consument aan de hand van de daarbij horende vraag bij de desbetreffende informatie komt. Ook wordt veel gebruik gemaakt van voorbeelden. ++ 5.7.2 Inhoud privacyvoorwaarden 5.7.2.1 Identificatie* Het is duidelijk dat Albert Heijn B.V. de verantwoordelijke is voor de verwerking:
“Albert Heijn B.V., gevestigd aan de Provincialeweg 11, 1506 MA te Zaandam, is de verantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.”
++ 5.7.2.2 Specificatie gebruikte gegevens en doeleinden* Met betrekking tot de gebruikte gegevens en de doeleinden voor de verwerking stellen de privacyvoorwaarden het volgende: “Wanneer je de AH Websites bezoekt of de AH Apps gebruikt verwerken wij een aantal technische gegevens van je (zoals je IP-‐adres) om de functionaliteiten van deze online diensten te bieden en deze technisch te beheren.”
Door middel van een uitklapbaar venster kan meer informatie hierover worden verkregen. Hierbij wordt het doel verder toegelicht en worden de gegevens die voor dit doel worden verwerkt nader gespecificeerd. Ook verkrijgt de consument bij het uitklapbare gedeelte gelijk informatie over de bewaartermijn van deze gegevens. Met betrekking tot de overige verwerkingen van persoonsgegevens (bijvoorbeeld in het kader van een online bestelling) wordt op een gelijksoortige manier informatie verschaft; de
36
consument krijgt eerst korte en bondige informatie, waarna met behulp van een uitklapbare tekst en informatie naar andere onderdelen meer informatie kan worden verkregen. ++ 5.7.2.3 Delen van gegevens met derden* Voor wat betreft het delen van persoonsgegevens met derde partijen stellen de privacyvoorwaarden van Albert Heijn het volgende: “Albert Heijn schakelt bij de uitvoering van haar dienstverlening en andere bedrijfsactiviteiten derden in (zoals drukkerijen en e-‐mail en postverwerkers). Voor zover deze derden bij het uitvoeren van de betreffende diensten en bedrijfsactiviteiten je gegevens verwerken, doen zij dit in hoedanigheid van bewerker voor Albert Heijn en heeft Albert Heijn de vereiste technische en organisatorische maatregelen getroffen om te verzekeren dat je gegevens uitsluitend voor bovenstaande doeleinden worden verwerkt. Uitsluitend indien Albert Heijn hiertoe wettelijk is verplicht, worden persoonsgegevens verstrekt aan toezichthouders, fiscale autoriteiten en opsporingsinstanties. Je persoonsgegevens kunnen in dit kader ook worden doorgegeven naar ontvangers in landen buiten de Europese Economische Ruimte. Albert Heijn zal in dergelijke gevallen passende maatregelen nemen die redelijkerwijs nodig zijn om te waarborgen dat je gegevens zo goed mogelijk worden beschermd.”
Deze informatie is duidelijk voor de consument. Alleen de categorieën derden (bewerkers) waarmee de gegevens worden gedeeld zouden nog nader gespecificeerd kunnen worden. ++ 5.7.2.4 Noodzakelijk te verstrekken gegevens* Bij het aanmaken van een mijn AH profiel wordt alleen om het emailadres gevraagd. Er wordt niet aangegeven waarom dit noodzakelijk is. Gezien het feit dat het vragen van een emailadres gangbaar is voor het aanmaken van een account is dit geen probleem. Voor het koppelen van de bonuskaart wordt duidelijk aangegeven dat dit optioneel is. In de privacyvoorwaarden wordt de consument ook gewezen op het feit dat hij op eigen initiatief andere gegevens kan verstrekken (“Jouw keuze; opgeven nummer Bonus-‐, Air Miles-‐ en/of Gall & Gallkaart”). Ook de reden waarom deze gegevens verstrekt kunnen worden is hierbij gespecificeerd. + 5.7.2.5 Rechten van de consument* De privacyvoorwaarden van Albert Heijn verstrekken informatie over de rechten van de consument met betrekking tot de verwerking van diens persoonsgegevens: “Je kunt op elk moment inzage vragen in de gegevens die Albert Heijn over je verzamelt en deze laten corrigeren of verwijderen door een verzoek op te sturen naar […].”
Vervolgens worden de voorwaarden voor een rechtmatig verzoek verder uiteengezet. ++
37
5.7.2.6 Bewaartermijnen Bij vrijwel ieder onderdeel worden de bewaartermijnen expliciet gespecificeerd. ++ 5.7.2.7 Veiligheidsmaatregelen Albert Heijn neemt maatregelen om de veiligheid van de door hen verwerkte persoonsgegevens te waarborgen en wijst geïnteresseerde consumenten op de standaarden die daarbij gehanteerd worden. “Albert Heijn gaat uiterst zorgvuldig om met je persoonsgegevens. Wij hebben verschillende technische en organisatorische maatregelen genomen om je persoonsgegevens te beveiligen tegen verlies of onrechtmatig gebruik. Zo beveiligen wij onze systemen en applicaties volgens de geldende standaarden voor informatiebeveiliging, zoals Control Objectives for Information and related Technology (CobiT) en de Standard of Good Practice for Information Security (ISF, 2011).”
Wel is het de vraag of de consument bekend is met deze standaarden. Met duidelijker voorbeelden had de begrijpelijkheid van deze paragraaf vergroot kunnen worden. + 5.7.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Hoewel niet voor alle verwerkingsdoelen expliciet de afweging wordt meegegeven die ten grondslag ligt aan het gebruik van (juist deze) persoonsgegevens, kan uit de uitleg over het algemeen goed worden opgemaakt waarom bepaalde persoonsgegevens worden verwerkt. Bijvoorbeeld bij het gebruik van het bonuskaartnummer bij online bestellen: “Wij verwerken het Bonuskaartnummer om na te gaan of je Bonuskaart een geldige Bonuskaart is. Voor het verstrekken van Bonuskorting hoeven wij geen transactiegegevens te verwerken.”
+ 5.7.2.9 Uitleg gevraagde permissies Er wordt geen uitleg verstrekt over de gevraagde permissies. -‐-‐ 5.7.3 Toestemming Appie lijkt geen gegevens op de randapparatuur te plaatsen of gegevens uit te lezen waarvoor op grond van artikel 11.7a Telecommunicatiewet voorafgaande toestemming nodig is. Voor het gebruik van door de consument zelf verstrekte persoonsgegevens wordt via het aanmaken van een account ondubbelzinnige toestemming verkregen. ++
38
5.8 Hema Versie 2.0.5, beschikbaar sinds 26 juni 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. Via de app is het mogelijk om een HEMA account aan te maken. 5.8.1 Vorm van de privacyvoorwaarden 5.8.1.1 Vindbaarheid De privacyvoorwaarden van HEMA (waar de verwerking van persoonsgegevens door de HEMA app onder valt) zijn voorafgaand aan de installatie in te zien via de Play Store onder het onderdeel “Ontwikkelaar”. Hier wordt verwezen naar de privacyvoorwaarden op http://www.hema.nl/footers/privacy.aspx. Vanuit de App krijgt de consument een verkorte versie van deze voorwaarden te zien (mobiele versie van de website voor de telefoon) of de gehele privacyvoorwaarden (desktopversie van de website voor tablets). ++ 5.8.1.2 Toegankelijkheid De privacyvoorwaarden van HEMA zijn relatief kort (764 woorden), hetgeen de toegankelijkheid bevordert. Door gebruik van kopjes is de navigatie voor de consument vergemakkelijkt. Ook de doelen zijn duidelijk opgesomd. Nadeel bij het gebruik van mobiele telefoons is dat de in-‐app voorwaarden extra kort zijn, waardoor essentiële informatie wegvalt.25 Deze voorwaarden verwijzen ook niet door naar het bredere beleid op de normale web-‐omgeving van HEMA. + 5.8.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden van HEMA zijn in begrijpelijke taal gesteld. Op een aantal punten is de informatie echter niet direct tot de consument gericht en zijn de teksten nodeloos ingewikkeld. Bijvoorbeeld: HEMA legt bij bezoek aan de website, gebruik van de HEMA app, bij haar dienstverlening aan of bij het aanvragen van producten of diensten door klanten of bij het aanmaken van een HEMA account persoonsgegevens vast.
In plaats van: Wij leggen uw persoonsgegevens vast als u: • onze site bezoekt, • onze app gebruikt, • onze diensten gebruikt of daar vragen over heeft, • en wanneer u een HEMA account aanmaakt.
25
Op tablets wordt direct de web-‐omgeving van de HEMA geladen en kan toegang worden gekregen tot de privacyvoorwaarden onder aan de pagina.
39
+ 5.8.2 Inhoud privacyvoorwaarden 5.8.2.1 Identificatie* De verantwoordelijkheid voor de verwerking van persoonsgegevens is duidelijk belegd bij HEMA B.V. De privacyvoorwaarden binnen de app zeggen dit niet met zoveel woorden, maar daar zal voor de consument geen onduidelijkheid over bestaan. De uitgebreidere privacyvoorwaarden op de HEMA website specificeren dit nader: “HEMA B.V. is Verantwoordelijk voor de persoonsgegevens die worden verkregen door de HEMA Groep. Tot de HEMA Groep (“HEMA”) behoren alle dochterondernemingen van HEMA B.V. zoals onder meer HEMA Financial Services B.V., aanbieder van HEMA Verzekeringen.”
++ 5.8.2.2 Specificatie gebruikte gegevens en doeleinden* De privacyvoorwaarden van HEMA specificeren wel duidelijk de doeleinden waarvoor persoonsgegevens verwerkt worden, maar zetten niet uiteen welke (categorieën van) persoonsgegevens verwerkt worden. -‐ 5.8.2.3 Delen van gegevens met derden* Op verschillende plaatsen in de privacyvoorwaarden wordt informatie verstrekt met betrekking tot het delen van de door HEMA verwerkte persoonsgegevens met derden: “ HEMA stelt de persoonsgegevens, voor zover wettelijk is toegestaan, ter beschikking aan haar dochterondernemingen voor bovenstaande doeleinden. Uw e-‐mailadres zal echter alleen worden gebruikt in het kader van een overeenkomst of wanneer u uw toestemming hiervoor heeft gegeven.” “Voor sommige producten of diensten is HEMA een tussenpersoon. Persoonsgegevens worden wanneer u een product of dienst afneemt waarvoor HEMA optreedt als tussenpersoon aan de contractspartij beschikbaar gesteld.”
Welke gegevens hieronder kunnen vallen, wordt niet nader gespecificeerd. +/-‐ 5.8.2.4 Noodzakelijk te verstrekken gegevens* De privacyvoorwaarden bevatten geen informatie met betrekking tot de noodzakelijkheid van bepaalde te verstrekken gegevens. Bij het aanmaken van een HEMA account wordt wel aangegeven welke velden verplicht zijn. Hierbij wordt verder niet aangegeven waarom deze velden verplicht zijn, maar gegeven het feit dat het gaat om redelijk gangbare informatie bij de aanmaak van een account is dit niet problematisch. +/-‐ 5.8.2.5 Rechten van de consument* De privacyvoorwaarden van HEMA wijzen de consument op diens recht van inzage, correcte, verwijdering en verzet:
40
“U kunt uw toestemming voor het gebruik van uw e-‐mailadres intrekken via de afmeldlink in ieder e-‐mailbericht of door een e-‐mail te sturen naar de HEMA Klantenservice via het contactformulier op de website.”
“Ook kunt u bij de HEMA Klantenservice terecht indien u inzage wenst in de gegevens die HEMA van u heeft geregistreerd en voor eventuele correctie daarop en/of verwijdering van uw persoonsgegevens.”
++ 5.8.2.6 Bewaartermijnen De privacyvoorwaarden bevatten geen informatie met betrekking tot de bewaartermijnen van door HEMA verwerkte persoonsgegevens. -‐-‐ 5.8.2.7 Veiligheidsmaatregelen HEMA stelt het volgende met betrekking tot beveiliging van persoonsgegevens:
“HEMA leeft de wet-‐ en regelgeving op het gebied van bescherming van persoonsgegevens na en maakt tijdens het bestelproces en het versturen van contactformulieren altijd gebruik van een beveiligde (SSL-‐)verbinding.”
Andere informatie over de eventuele beveiliging van (opgeslagen) persoonsgegevens wordt niet verstrekt. +/-‐ 5.8.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Anders dan de doeleinden voor verwerking en de uitleg met betrekking tot het gebruik van cookies bevatten de privacyvoorwaarden geen informatie over de afweging die ten grondslag ligt aan het verwerken van persoonsgegevens. -‐ 5.8.2.9 Uitleg gevraagde permissies De gevraagde permissies worden niet verder toegelicht. -‐-‐ 5.8.3 Toestemming HEMA lijkt geen gegevens op de randapparatuur te plaatsen of gegevens uit te lezen waarvoor op grond van artikel 11.7a Telecommunicatiewet voorafgaande toestemming nodig is. Voor het gebruik van door de consument zelf verstrekte persoonsgegevens wordt via het aanmaken van een account ondubbelzinnige toestemming verkregen. ++
41
5.9 Scoupy Versie 2.4, beschikbaar sinds 2 juli 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. Voor het gebruik van de Scoupy app moet een account worden aangemaakt. 5.9.1 Vorm van de privacyvoorwaarden 5.9.1.1 Vindbaarheid Er zijn geen aparte privacyvoorwaarden. De privacyvoorwaarden zijn als artikel 22 tot en met 24 opgenomen in de algemene voorwaarden. Deze zijn via de Play Store te benaderen (onder “Ontwikkelaar” -‐> “privacybeleid”) en via de App (algemene voorwaarden). Omdat het niet gangbaar is dat privacyvoorwaarden onderdeel uitmaken van de algemene voorwaarden kan het voor de consument lastig zijn om de relevante privacyvoorwaarden te vinden. Verder wordt in artikel 24 aangegeven dat bij acceptatie van de algemene voorwaarden de consument ook akkoord is met het gehanteerde privacy-‐ en cookiebeleid. Dit beleid is niet te vinden en het is niet duidelijk of hiermee dan artikel 22 tot en met 24 van de algemene voorwaarden worden bedoeld (waarin alleen over privacy wordt gesproken en niet over cookies). -‐ 5.9.1.2 Toegankelijkheid De privacyvoorwaarden zijn zeer kort, hetgeen de toegankelijkheid bevordert. Het feit dat de privacyvoorwaarden een onderdeel vormen van de algemene voorwaarden doet echter af aan de toegankelijkheid. +/-‐ 5.9.1.3 Leesbaarheid en begrijpelijkheid De privacyvoorwaarden zijn goed leesbaar. Wel zijn de privacyvoorwaarden in de vorm van contractsvoorwaarden gesteld waardoor de teksten onnodig worden gejuridiseerd. + 5.9.2 Inhoud privacyvoorwaarden 5.9.2.1 Identificatie* De identiteit van Scoupy wordt duidelijk bekend gemaakt via de Algemene Voorwaarden. ++ 5.9.2.2 Specificatie gebruikte gegevens en doeleinden* Scoupy geeft aan de persoonsgegevens te verwerken die de consument zelf heeft ingevuld bij het aanmaken van een account en gegevens omtrent het mobiele dataverkeer (onder
42
meer GPS). Van deze laatste categorie gegevens is het onduidelijk om welke gegevens het nu precies gaat. Het is verder onduidelijk wat de doelen precies zijn omdat deze zeer ruim en open zijn geformuleerd. Het is ook onduidelijk welke gegevens ten behoeve van welke doelen worden gebruikt. -‐ 5.9.2.3 Delen van gegevens met derden* De gegevens worden volgens Scoupy niet gedeeld met derden anders dan voor de doeleinden gespecificeerd in artikel 21. Artikel 21 betreft de handhaving van het intellectueel eigendom. Het is niet duidelijk wat hiermee wordt bedoeld (of Scoupy bij een auteursrechtelijke inbreuk de gegevens vrijwillig voorlegt aan de ‘bevoegde rechterlijke instanties’). Uit het netwerkverkeer van de app kan verder niet worden afgeleid of persoonsgegevens met derden worden gedeeld. -‐ 5.9.2.4 Noodzakelijk te verstrekken gegevens* Er wordt niet aangegeven waarom het verstrekken van een emailadres bij de registratie verplicht is. Gegeven het feit dat het vragen van een email bij het aanmaken van een account gangbaar is, is dit echter niet problematisch. +/-‐ 5.9.2.5 Rechten van de consument* De consument wordt gewezen op de mogelijkheid om zijn account te verwijderen. Er wordt niet gewezen op het inzagerecht, het correctierecht of het recht op verzet. -‐-‐ 5.9.2.6 Bewaartermijnen De algemene voorwaarden bevatten geen informatie met betrekking tot de bewaartermijnen van door Scoupy verwerkte persoonsgegevens. -‐-‐ 5.9.2.7 Veiligheidsmaatregelen Scoupy stelt dat het gegevens altijd beveiligd zal opslaan. Dit wordt niet verder gespecificeerd. +/-‐ 5.9.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Hierover wordt geen informatie verschaft, anders dan de doeleinden voor de verwerking.
43
-‐ 5.9.2.9 Uitleg gevraagde permissies Hierover wordt geen informatie verschaft. -‐-‐ 5.9.3 Toestemming De Algemene Voorwaarden van de Scoupy App veronderstellen dat de consument toestemming geeft voor het verwerken van diens persoonsgegevens: “De Consument geeft hiermee toestemming aan SCOUPY om de persoonsgegevens te gebruiken om: a) haar dienstverlening uit te oefenen; b) haar dienstverlening verder te optimaliseren c) gerbuikersinformatie of serviceberichten te sturen; d) het inloggen via de website van SCOUPY social media platforms mogelijk te maken;”
Deze toestemming kan nooit worden afgeleid uit het accepteren van de algemene voorwaarden. -‐-‐
44
5.10 Reclamefolder.nl app Versie 2.1.7, beschikbaar sinds 28 januari 2014. De Reclamefolder app heeft geen privacyvoorwaarden. Wanneer men de informatie van de app raadpleegt, vindbaar via het menu, stelt Reclamefolder.nl dat er geen persoonsgegevens worden opgeslagen via de applicatie. De applicatie verstuurt echter wel het Android ID alsmede locatiedata naar de Reclamefolder API. Dit kan gezien worden als een verwerking van persoonsgegevens omdat de Android ID het mogelijk maakt om de gebruiker te individualiseren. Het is door het ontbreken van privacyvoorwaarden niet mogelijk om het doel hiervan te bepalen en te beoordelen of toestemming nodig is voor deze handelingen. -‐-‐
45
5.11 Spotta Versie 2.1, beschikbaar sinds 27 januari 2014. Privacyvoorwaarden voor het laatst geraadpleegd op 16 juli 2014. Via de app kan een Spotta account worden aangemaakt. 5.11.1 Vorm van de privacyvoorwaarden 5.11.1.1 Vindbaarheid In de Play Store worden de privacyvoorwaarden niet aangeboden. In de App zelf zijn de privacyvoorwaarden wel eenvoudig vindbaar onder de knop instellingen. + 5.11.1.2 Toegankelijkheid De privacyvoorwaarden zijn kort en bondig (648 woorden). Daarnaast wordt door middel van het gebruik van duidelijke koppen en opsommingen de navigatie en leesbaarheid vergemakkelijkt. + 5.11.1.3 Leesbaarheid en begrijpelijkheid Het privacybeleid is goed leesbaar en niet heel lang. De tekst is toegespitst op de consument en er wordt gebruik gemaakt van duidelijke voorbeelden. ++ 5.11.2 Inhoud privacyvoorwaarden 5.11.2.1 Identificatie* In de privacyvoorwaarden wordt duidelijk aangegeven dat de app wordt aangeboden door Netwerk VSP BV. Nadere contactdetails worden niet geboden. +/-‐ 5.11.2.2 Specificatie gebruikte gegevens en doeleinden* De doeleinden voor de verwerking zijn duidelijk gespecificeerd alsmede de categorieën van gegevens. Het is echter niet duidelijk welke gegevens ten behoeve van welke verwerkingsdoelen worden gebruikt. + 5.11.2.3 Delen van gegevens met derden* De Spotta App kan persoonsgegevens delen met derden. Dit wordt weliswaar aangegeven in de privacyvoorwaarden, maar het is niet duidelijk welke derden dit zijn en om welke gegevens het gaat. Uit de analyse van het netwerkverkeer blijkt dat de Android ID in ieder geval wordt doorgestuurd naar het domein *.nakko.nl. Het is niet duidelijk of dit voor de technische werking van de app is, of voor andere doeleinden zoals advertenties.
46
VPS geeft aan dat alleen mogelijk is met de ondubbelzinnige toestemming van de gebruiker. Echter, er wordt nergens op ondubbelzinnige wijze om toestemming gevraagd. -‐ 5.11.2.4 Noodzakelijk te verstrekken gegevens* Bij het aanmaken van een account wordt aangegeven welke velden verplicht zijn en waarom deze verplicht zijn. Onduidelijk is echter waarom het postcodeveld verplicht is, daar het kunnen aanbieden van folders in de buurt van de gebruiker niet perse noodzakelijk is voor de dienstverlening +/-‐ 5.11.2.5 Rechten van de consument* De consument wordt duidelijk gewezen op het recht op verzet, wijziging en verwijdering. ++ 5.11.2.6 Bewaartermijnen De privacyvoorwaarden bevatten geen informatie over de bewaartermijnen van de door Spotta verwerkte persoonsgegevens. -‐-‐ 5.11.2.7 Veiligheidsmaatregelen Met betrekking tot beveiliging stelt de app het volgende:
“ Netwerk VSP handhaaft te allen tijde een beveiligingsniveau bij de verwerking van persoonsgegevens dat gezien de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen.”
Welke maatregelen daarmee precies worden bedoeld is echter niet duidelijk. +/-‐ 5.11.2.8 Uitleg afwegingen voor het gebruik van persoonsgegevens Hierover wordt geen informatie verstrekt, anders dan in de doelen voor de verwerking. -‐ 5.11.2.9 Uitleg gevraagde permissies Er wordt niet uitgelegd waarvoor de permissies die de app vraagt noodzakelijk zijn. -‐-‐
47
5.11.3 Toestemming De app voldoet verder zeer waarschijnlijk niet aan het vereiste van voorafgaande toestemming in de zin van artikel 11.7a Telecommunicatiewet en/of ondubbelzinnige toestemming in de zin van artikel 8a Wbp. Uit de analyse van het netwerkverkeer blijkt dat een cookie wordt geplaatst vanaf het domein merlin.nakko.com. Hoewel het mogelijk is dat dit een technische cookie is waar geen voorafgaande toestemming voor nodig is, is Merlin de naam van een advertentienetwerk van Nakko. De onderzoekers gaan er daarom vanuit dat het hier een tracking cookie betreft. Er wordt gesteld in de privacyvoorwaarden dat er ondubbelzinnige toestemming wordt gevraagd aan de consument voordat gegevens aan derden worden verstrekt, maar er is nergens binnen de app een mogelijkheid om toestemming te geven of in te trekken. -‐-‐
48
6 Overzicht
* ** ***
NOS App**
RTL Nieuws App
Bijenkorf App
Appie App
Hema App
Scoupy App
Reclamefolder.nl ***
Spotta App
Kortingsapps
AD App
Winkelapps
De Telegraaf App
Nieuwsapps
Nu.nl App toestemming
Inhoud
vorm
Vindbaarheid
++
+
-‐-‐
nvt
-‐-‐
-‐-‐
-‐
++
-‐
-‐-‐
+
Toegankelijkheid
+/-‐
+
+
nvt
+
+
+/-‐
+
+/-‐
-‐-‐
+
Leesbaarheid
+
+
+
nvt
+
+
++
+
+
-‐-‐
++
Identificatie*
+
++
+
nvt
+/-‐
+/-‐
++
++
++
-‐-‐
+/-‐
Gegevens en doeleinden* Delen gegevens met derden* Noodzakelijkheid gegevens* Rechten van consument* Bewaartermijnen Veiligheidsmaatregelen Afwegingen gebruik Uitleg permissies Toestemming*
+/-‐ -‐ ++ ++ +/-‐ +/-‐ -‐ ++ -‐-‐
-‐ +/-‐ +/-‐ ++ -‐-‐ +/-‐ -‐ ++ -‐-‐
-‐ -‐ +/-‐ -‐-‐ -‐-‐ +/-‐ -‐ -‐-‐ -‐-‐
nvt nvt nvt nvt nvt nvt nvt nvt nvt
+/-‐ + +/-‐ -‐-‐ -‐-‐ -‐-‐ -‐ -‐-‐ +
+/-‐ -‐-‐ -‐ +/-‐ -‐ ++ -‐ -‐-‐ -‐-‐
++ ++ + ++ ++ + + -‐-‐ ++
-‐ +/-‐ +/-‐ ++ -‐-‐ +/-‐ -‐ -‐-‐ ++
-‐ -‐ +/-‐ -‐-‐ -‐-‐ +/-‐ -‐ -‐-‐ -‐-‐
-‐-‐ -‐-‐ -‐-‐ -‐-‐ -‐-‐ -‐-‐ -‐-‐ -‐-‐ nvt
+ -‐ +/-‐ ++ -‐-‐ +/-‐ -‐ -‐-‐ -‐-‐
Wettelijk verplicht App verwerkt geen persoonsgegevens, App verwerkt persoonsgegevens, maar heeft geen privacyvoorwaarden.
49
7 Analyse en conclusies Wanneer wij de verschillende privacyvoorwaarden naast elkaar leggen dan kunnen we het volgende concluderen.
7.1 Analyse 7.1.1 Vorm Qua vindbaarheid en toegankelijkheid is het redelijk slecht gesteld met de privacyvoorwaarden van de onderzochte apps. Slechts twee apps (Nu.nl en HEMA) hebben privacyvoorwaarden die én in de Play Store én in de app zelf goed vindbaar zijn.26 De overige apps gebruiken slechts één van beide kanalen, of hebben in het geheel geen goed vindbare privacyvoorwaarden. Enkele apps (AD, RTL Nieuws) presenteren hun privacyvoorwaarden pas bij het aanmaken van een account. In het geval van de AD mobile app is dit wettelijk gezien niet toereikend omdat reeds vóór het aanmaken van een account persoonsgegevens worden verwerkt. De Reclamefolder App heeft in het geheel geen privacyvoorwaarden omdat de aanbieder betoogt dat er geen persoonsgegevens worden opgeslagen. Uit het netwerkverkeer blijkt echter dat wel degelijk persoonsgegevens worden verwerkt en er dus een informatieplicht op Reclamefolder.nl rust. Voor wat betreft de toegankelijkheid van de privacyvoorwaarden zijn nog vele stappen te maken. Veel privacyvoorwaarden zijn door hun lengte eenvoudigweg niet goed toegankelijk voor consumenten. Afgezien van de Appie app hebben de privacyvoorwaarden geen gelaagde structuur om de toegankelijkheid te vergroten. Bij de Appie app is deze gelaagde structuur echter wel een absolute noodzaak, omdat de voorwaarden van Albert Heijn met meer dan 11.000 woorden met afstand de langste zijn. De gelaagde structuur zorgt er bij deze app er dus niet voor dat een consument in één oogopslag weet waar hij aan toe is met de app. Hier komt nog bij dat in de Android versie van Appie de privacyvoorwaarden niet goed werken. Qua leesbaarheid is het redelijk gesteld met de privacyvoorwaarden. De positieve uitschieter hier is de Appie app van Albert Heijn. De teksten zijn goed leesbaar en begrijpelijk voor de gemiddelde consument. 7.1.2 Inhoud Ook qua inhoud valt er nog veel te verbeteren aan de privacyvoorwaarden van de onderzochte apps. In de meeste gevallen zijn de privacyvoorwaarden niet toegespitst op het gebruik van persoonsgegevens binnen de app. Er wordt bij de meeste apps verwezen naar de algemene privacyvoorwaarden van het bedrijf. Deze voorwaarden (zeker bij de grote concerns) 26
De Appie app van Albert Heijn is in principe ook goed vindbaar maar door de niet goed werkende policy in de Android app heeft deze toch een slechtere score.
50
bevatten dusdanig veel (mogelijke) verwerkingsdoelen dat het voor de gemiddelde consument niet duidelijk is welke persoonsgegevens nu via de app worden verwerkt. De verwijzing naar algemene privacyvoorwaarden heeft ook tot gevolg dat de voorwaarden heel lang zijn waardoor de gemiddelde consument waarschijnlijk minder geneigd is ze te lezen. Het is beter om de privacyvoorwaarden specifiek toe te spitsen op de verwerking van persoonsgegevens door de app, met een koppeling naar de algemene privacyvoorwaarden waar relevant. Inhoudelijk gezien bieden de meeste apps tot op zekere hoogte de informatie die wettelijk verplicht is. Echter, de meeste apps specificeren niet welke gegevens voor welke doelen worden gebruikt en welke van de verwerkingen nu daadwerkelijk via de app plaatsvinden. Ook wordt maar zeer summier gesproken over het delen van gegevens met derden. Hierdoor blijft het gissen voor de consument wat er nu binnen de app gebeurt en met wie de app gegevens deelt. Negatieve uitschieter hier is de Bijenkorf, de Bijenkorf stelt in de privacyvoorwaarden alleen surfgegevens te delen met Sociomantic, maar er worden binnen de shopomgeving zo'n 30 tracking en social cookies geplaatst door derde partijen. De momenteel niet wettelijk verplichte, maar voor consumenten wel zeer relevante informatie, wordt door de meeste apps niet geboden. Zo worden bewaartermijnen maar bij één app echt duidelijk gespecificeerd, worden de afwegingen waarom persoonsgegevens worden verwerkt niet expliciet gemaakt en geven maar 2 van de 11 apps informatie over de gebruikte permissies. Appie is qua informatievoorziening een positieve uitschieter met toereikende informatie in alle verplichte categorieën maar ook in de meeste niet verplichte categorieën. Albert Heijn geeft alleen niet aan waarom bepaalde permissies worden gebruikt. 7.1.3 toestemming Tenslotte concluderen wij dat tenminste 4 van de 11 apps (Nu.nl, Telegraaf, AD, Bijenkorf) geen voorafgaande (ondubbelzinnige) toestemming vragen voor de verwerking van persoonsgegevens door middel van het plaatsen van tracking cookies. 27 Deze partijen handelen dus in strijd met de cookiewet. Ditzelfde geldt waarschijnlijk ook voor de Spotta app.28
7.2 Conclusie Er moet nog een hoop gebeuren op het gebied van goede informatievoorziening aan de consument via privacyvoorwaarden. Hoewel de meeste aanbieders van de onderzochte apps privacyvoorwaarden hebben, schieten deze zowel qua vorm als qua inhoud op veel punten te kort. Het valt met name op dat de privacyvoorwaarden zowel qua vorm (niet goed toegankelijk en leesbaar op een klein scherm) als qua inhoud (ontoereikende informatie en informatie niet toegesneden op het gebruik van de app) niet zijn afgestemd op het medium app. Hierdoor worden consumenten onvoldoende geïnformeerd hetgeen mogelijk negatieve gevolgen heeft voor hun privacy. 27
Scoupy vraagt toestemming door het accepteren van de algemene voorwaarden hetgeen op grond van de Wbp nooit een rechtsgeldige ondubbelzinnige toestemming kan zijn, maar bij deze app kon uit de netwerkanalyse niet worden afgeleid dat er gegevens worden doorgegeven aan derden en/of tracking cookies worden geplaatst. 28 De onderzoekers houden hier een slag om de arm,omdat niet met 100% zekerheid te zeggen is dat de Nakko cookie een advertentiecookie is.
51
Appontwikkelaars moeten zoeken naar manieren om consumenten effectief van de benodigde informatie te voorzien. Dit betekent privacyvoorwaarden en toestemmingsvragen die afgestemd zijn op het medium apps.
52
8 Literatuurlijst
Custers B.H.M., Hof S. van der, Schermer B.W., Appleby-‐Arnold S., Brockdorff & N. (2013), Informed Consent in Social Media Use. The Gap between User Expectations and EU Personal Data Protection Law., Script-‐ed: a journal of law and technology10(4): 435-‐457. Munur, M., Branam S., Mrkobrad, M. (2012), Best practices in drafting plain-‐language and layered privacy policies (via IAPP resource center, www.privacyassociation.org). Kinsella Media, Plain Language Primer for Privacy Policies (via www.kinsella.com) Schermer, B. W., Custers, B. H. M. & Hof S. van der (2014), The crisis of consent: how stronger legal protection may lead to weaker consent in data protection, Ethics and Information Technology 16(2): 171-‐182. McDonald, A. M., Cranor, L. F. (2008), The Cost of Reading Privacy Policies, in: I/S: A Journal of Law and Policy for the Information Society, 2008 Privacy Year in Review issue McDonald, M., Lowenthal T. (2013), Nano-‐notice: privacy disclosure at a mobile scale, in: Journal of Information Policy 3 (2013), p. 331-‐354 Nissenbaum, H. (2011), A contextual approach to privacy online. In: Daedalus, 140(4), 32-‐48.
53
9 Bijlagen 9.1 Privacyvoorwaarden 9.1.1 Nu.nl App
PRIVACY-‐ EN COOKIEBELEID (Nu.nl) INLEIDING Welkom op NU.nl. NU.nl is een website van Sanoma Digital The Netherlands B.V, onderdeel van de Sanoma Media Netherlands groep. Dit privacybeleid is van toepassing op de verwerking van persoonsgegevens van gebruikers, bezoekers, klanten en abonnees van (mobiele) websites (waaronder ook apps) en diensten en producten van Sanoma Media Netherlands B.V. (hierna: “Sanoma”) en SBS Broadcasting B.V. (hierna: “SBS”) en haar beider dochtervennootschappen (waaronder Sanoma Digital The Netherlands B.V., Mood for Magazines B.V., Veronica Uitgeverij B.V., European Autotrader B.V., Mediakiosk B.V., SB Commerce B.V. en Read & View B.V.). Met dit privacybeleid verschaffen Sanoma en SBS informatie over de gegevens die wij verwerken van onze abonnees op tijdschriften en klanten en gebruikers van onze (mobiele) websites (waaronder ook apps), webwinkels en andere diensten, zoals online promoties, beurzen en acties, prijsvragen en loyaltyprogramma’s. De informatie die wij over jou verwerken (hierna aangeduid als: "persoonsgegevens") wordt met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Hierbij houden wij ons aan alle toepasselijke wet-‐ en regelgeving, waaronder de Wet Bescherming Persoonsgegevens. De verantwoordelijken voor de verwerking van de persoonsgegevens zijn Sanoma Media Netherlands B.V., Capellalaan 65, 2132 JL Hoofddorp en (voor wat betreft de verwerking van gegevens binnen SBS en haar dochtervennootschappen) SBS Broadcasting B.V., Rietlandpark 333, 1019 DW Amsterdam. Wij hebben de verwerking van persoonsgegevens aangemeld bij het College Bescherming Persoonsgegevens (CBP), onder nummer1527839 . Meer informatie over het College Bescherming Persoonsgegevens en over privacy kun je vinden op http://www.cbpweb.nl. CONTACT Via
[email protected] en via Sanoma Media Netherlands B.V., ter attentie van “Klantenservice Privacy”, Capellalaan 65, 2132 JL Hoofddorp, kun je altijd contact opnemen met Sanoma met vragen over dit privacybeleid (gaat het om een verwerking van gegevens door SBS of haar dochtervennootschappen (verwerking van gegevens via de websites en/of diensten van SBS6, NET5, Veronica, Kijk.nl, Veronica Magazine en/of Totaal TV) neem dan contact op via
[email protected] of via SBS Broadcasting B.V., Rietlandpark 333, 1019 DW Amsterdam, onder vermelding van ‘privacy’). HET VERSTREKKEN VAN PERSOONSGEGEVENS IS NIET VERPLICHT Uitgangspunt is dat het verstrekken van persoonsgegevens niet verplicht is. Je hebt te allen tijde zelf de keuze of je persoonsgegevens wilt invoeren. Echter, om gebruik te kunnen maken van een aantal van onze diensten is het invoeren van persoonsgegevens noodzakelijk. Als de invoer van gegevens wordt gevraagd, wordt aangegeven welke gegevens noodzakelijk zijn om van de dienst gebruik te kunnen maken en dus moeten worden ingevuld, en welke gegevens optioneel kunnen worden verstrekt. SOORTEN GEGEVENS EN DOELEINDEN VERWERKING Bij het aanbieden van diensten kunnen wij persoonsgegevens verwerken. Het gaat hierbij om gegevens als naam, contactgegevens, geboortedatum, geslacht en e-‐mailadres, en ook om gegevens over interesses van jou als gebruiker van één of meer van onze (mobiele) websites (waaronder ook apps), producten of andere diensten. Deze gegevens kunnen bijvoorbeeld bij ons bekend zijn omdat je hebt aangegeven dat bepaalde onderwerpen je interesseren of omdat wij jouw interesses hebben afgeleid uit de manier waarop je van onze (mobiele) websites (waaronder ook apps), diensten of producten gebruik maakt. Ook kan het zijn dat je ons toegang hebt geboden tot bepaalde gegevens (bijvoorbeeld locatiegegevens of via koppelingen met social media). Daarnaast worden financiële gegevens, zoals je bankrekeningnummer verwerkt als je producten op een van onze websites bestelt of je abonneert op betaalde diensten, voorzover deze gegevens noodzakelijk zijn voor de betaling van de betreffende producten of abonnementen. Onze servers kunnen voorts automatisch bepaalde gegevens vastleggen, zoals URL, IP-‐adres, browsertype en -‐taal, en de datum en tijd van je bezoek aan onze (mobiele) websites (waaronder ook apps). Sanoma en SBS kunnen jouw persoonsgegevens
54
uitwisselen met groepsmaatschappijen. Daaronder worden alle dochtermaatschappijen van Sanoma Media Netherlands B.V. en SBS Broadcasting B.V. begrepen (waaronder Sanoma Digital The Netherlands B.V., Sanoma Digital Group The Netherlands B.V., Mood for Magazines B.V., SBS Productions B.V., Veronica Uitgeverij B.V., European Autotrader B.V., No Search B.V., Mediakiosk B.V., SB Commerce B.V., Helden Magazine B.V., Hemels Customer Media, Geïllustreerde Pers/M V.O.F., Paardenbladen B.V., Sanoma Media Customer Services B.V. en Read & View B.V.). Je gegevens kunnen door ons worden gecombineerd met gegevens die zijn verzameld in het kader van jouw aankoop of gebruik van verschillende van onze producten of diensten (en/of producten of diensten van onze groepsmaatschappijen). Op basis van die gegevens stellen wij een profiel op zodat wij je beter van dienst kunnen zijn en de inhoud van deze producten en diensten (o.a. websites en apps) nog beter op je interesses af kunnen stemmen. Indien je bezwaar hebt tegen het uitwisselen en combineren van jouw persoonsgegevens binnen de groepsmaatschappijen van Sanoma Media Netherlands B.V. en SBS Broadcasting B.V., kan je dit melden via
[email protected]. Wij verzamelen en verwerken persoonsgegevens voor de volgende doeleinden, onder meer via de door ons geëxploiteerde (mobiele) websites (waaronder ook apps): voor de totstandkoming en uitvoering van een met jou gesloten overeenkomst; om je de overeengekomen diensten, producten en/of informatie aan te bieden, te leveren en deze aan te passen aan je behoeften en wensen; om je in de gelegenheid te stellen informatie te plaatsen en uit te wisselen op een van de websites, of om indien de website die mogelijkheid biedt contact op te nemen met andere gebruikers; als het gaat om een betaalde dienst, om te factureren. Financiële gegevens publiceren wij nooit op een website, en worden ook niet aan derden ter beschikking gesteld voor doeleinden anders dan het uitvoeren van de overeenkomst. Wanneer betaling uitblijft voor onze producten of diensten kunnen wij bijvoorbeeld de vordering in handen stellen van derden, zoals een incassobureau ; om gericht aanbiedingen te doen, bijv. via e-‐ mail. Ook kan bijvoorbeeld op een website of in een app een advertentie worden getoond van een product waarvan wij op basis van door ons verwerkte gegevens vermoeden dat het je interesse heeft. In het kader van de optimalisatie van het doen van aanbiedingen kunnen wij een profiel van je opstellen; om je een nieuwsbrief, aanbieding, gebruikersinformatie, service bericht of andere elektronische boodschap toe te sturen; wij kunnen NAW-‐gegevens verhuren aan derde partijen die je producten, diensten of informatie kunnen aanbieden (zie verder onder ‘Delen en bekend maken van persoonsgegevens’); om onze websites en bijbehorende technologieën te analyseren, te onderhouden, te optimaliseren en te beveiligen en om fraude tegen te gaan; om te voldoen aan de op ons rustende wet-‐ en regelgeving en voor het behandelen van geschillen en het laten uitvoeren van (accountants) controle om marktonderzoek uit te voeren en managementinformatie samen te stellen ten behoeve van product-‐ en dienstontwikkeling en voor het bepalen van de (algemene)strategie Wij bewaren je persoonsgegevens in beginsel zolang als dat nodig is voor bovengenoemde doeleinden, of om te voldoen aan wettelijke (bewaar) verplichtingen. DELEN EN BEKEND MAKEN VAN PERSOONSGEGEVENS Zoals reeds eerder vermeld kunnen wij persoonsgegevens die door ons worden verwerkt, uitwisselen met groepsmaatschappijen en je persoonsgegevens combineren met gegevens die zijn verzameld in het kader van de aankoop of gebruik van onze producten of diensten (of producten of diensten van onze groepsmaatschappijen). Indien je bezwaar hebt tegen het uitwisselen en combineren van jouw persoonsgegevens binnen de groepsmaatschappijen van Sanoma en SBS, kan je dit melden via
[email protected]. Je adresgegevens kunnen voorts voor het per telefoon en/of per post toezenden van informatie en aanbiedingen worden verstrekt aan zorgvuldig geselecteerde derden (onder andere 'list rental'). We kunnen deze derden selecteren op basis van de informatie die we hebben verzameld over jouw productafname, internetgedrag en/of abonnementen. Deze derden zullen je gegevens vervolgens gebruiken om je aanbiedingen te doen waarvan zij verwachten dat die aanbiedingen aansluiten bij jouw interesses. Indien je geen prijs stelt op die informatie of aanbiedingen, zullen wij je gegevens op verzoek daartoe blokkeren. Uitsluitend als jij ons daarvoor (ondubbelzinnige) toestemming hebt gegeven, kunnen wij je elektronische contactgegevens, zoals je e-‐mailadres, gebruiken voor het toesturen van informatie en aanbiedingen van derden over hun producten en diensten. Dergelijke informatie en aanbiedingen zullen altijd worden verstuurd vanuit Sanoma of SBS. Dergelijke informatie en aanbiedingen van derden wordt ook altijd door ons beoordeeld voordat deze door ons wordt verstuurd. Je kan een verleende toestemming voor het gebruik van je elektronische contactgegevens door derden altijd weer intrekken. In beide gevallen kun je een email sturen aan
[email protected] of een brief gericht tot Sanoma Media Netherlands B.V., ter attentie van “Klantenservice Privacy”, Capellalaan 65, 2132 JL Hoofddorp. In speciale gevallen kunnen wij, zonder je toestemming daarvoor, persoonsgegevens aan derden ter beschikking stellen. Speciale gevallen zijn bijvoorbeeld rechtmatige verzoeken daartoe van autoriteiten, dagvaardingen of gerechtelijke bevelen, handelingen om schade of fraude op te sporen of te voorkomen, of handelingen om de veiligheid van ons
55
netwerk en onze diensten te garanderen. Tevens kunnen wij persoonsgegevens verstrekken aan zogenaamde bewerkers die in opdracht van ons aan jou op jouw verzoek producten of diensten leveren, waarbij (tenzij anders aangegeven) je persoonsgegevens enkel zullen worden gebruikt voor het uitvoeren van die leveringsverplichting. Wij kunnen bepaalde geanonimiseerde gegevens delen met derden, zoals het aantal gebruikers dat met een bepaalde zoekterm heeft gezocht, of hoeveel gebruikers op een bepaalde advertentie hebben geklikt. Aan de hand van deze gegevens kun je niet worden geïdentificeerd. BEVEILIGING Wij handhaven te allen tijde een beveiligingsniveau bij de verwerking van persoonsgegevens dat gezien de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen. VERZET, INZAGE, WIJZIGING EN VERWIJDERING VAN PERSOONSGEGEVENS Wij zijn van mening dat het belangrijk is om transparant te zijn over de manier waarop wij met je persoonsgegevens omgaan. Met dit privacy-‐ en cookiebeleid willen we daar een bijdrage aan leveren. Als je echter vragen hebt over de manier waarop wij met je persoonsgegevens omgaan, kun je een email sturen aan
[email protected] of een brief gericht tot Sanoma Media Netherlands B.V., ter attentie van “Klantenservice Privacy”, Capellalaan 65, 2132 JL Hoofddorp. Als je wilt weten welke persoonsgegevens van jou zijn vastgelegd, als je gegevens wilt wijzigen of wilt laten wissen conform de daarvoor geldende regelgeving, kun je een email sturen aan
[email protected] of een brief gericht tot Sanoma Media Netherlands B.V., ter attentie van “Klantenservice Privacy”, Capellalaan 65, 2132 JL Hoofddorp, onder vermelding van 'inzage/wijzigen/wissen persoonsgegevens'. Ook kan je doorgeven dat je niet langer prijs stelt op het verstrekken van jouw persoonsgegevens aan groepsmaatschappijen of aan derden, het combineren van je persoonsgegevens tot een profiel, of het gebruik van jouw gegevens voor het doen van gerichte aanbiedingen of op het per e-‐mail of post ontvangen van informatie en aanbiedingen. In je bericht dien je in ieder geval je volledige naam, adres en woonplaats op te nemen, en je dient een kopie van een identificatiebewijs mee te sturen zodat wij zeker weten dat de informatie naar de juiste persoon wordt gestuurd. Als wij niet of niet volledig kunnen vaststellen op welke persoonsgegevens je verzoek tot inzage, wijziging of verwijdering betrekking heeft, kunnen we je vragen om je verzoek (nader) te specificeren. We schorten de uitvoering van je verzoek op totdat je ons de (nadere) specificatie hebt verstrekt. Na uitvoering van je verzoek sturen we je altijd een bevestigingsbericht. Zo spoedig mogelijk na ontvangst van je verzoek daartoe zullen wij het gebruik van jouw gegevens voor de doeleinden waartegen jouw verzet zich richt beëindigen en in geval van een rechtmatig verzoek om verwijdering of wijziging van gegevens, de betreffende persoonsgegevens verwijderen of wijzigen, tenzij en voorzover de wet ons verplicht om de betreffende persoonsgegevens te bewaren of er (andere) dringende redenen zijn die zich tegen verwijdering verzetten. Ook geven vele van onze websites je de mogelijkheid om je eigen persoonsgegevens zelfstandig in te zien of te wijzigen, en kun je je persoonsgegevens die jij zelf op zo'n website hebt ingevoerd, verwijderen via de daartoe gegeven mogelijkheden. KINDEREN JONGER DAN 16 JAAR Wij bieden een aantal producten en diensten aan die (mede) zijn gericht op kinderen. De ouder(s) of een wettelijke vertegenwoordiger van kinderen jonger dan 16 jaar dienen in het belang van het kind dit privacybeleid te lezen en kunnen in de plaats van het kind verzet aantekenen tegen verwerking van persoonsgegevens van het kind, inzage of correctie vragen van persoonsgegevens of toestemming geven voor het gebruik van elektronische contactgegevens, zoals een e-‐mailadres, voor het toesturen van informatie en aanbiedingen van derden over hun producten en diensten. COOKIES Cookies zijn eenvoudige kleine tekstbestanden die worden opgeslagen op de harde schijf of in het geheugen van je computer. Cookies kunnen je computer of de bestanden die op jouw computer staan niet beschadigen. Aan de hand van cookies kan je op onze websites worden herkend als je deze opnieuw bezoekt. Wij gebruiken cookies bijvoorbeeld om bij te houden welke producten jij in je winkelwagentje hebt liggen of om de voorkeuren die je hebt ingesteld voor een bepaalde dienst of webpagina vast te leggen. Daarnaast gebruiken we cookies voor statistische doeleinden. Onder meer om te kunnen zien hoe vaak een website wordt bezocht, van welke website(s) bezoekers vandaan komen en welke pagina’s op een website worden bezocht. Ook kunnen we (afhankelijk van de verkregen toestemming) cookies gebruiken om advertenties op de websites die je bezoekt beter op je behoeften en interesses af te stemmen, om te voorkomen dat je een bepaalde advertentie te vaak ziet en om te registreren hoe vaak een advertentie wordt vertoond. Wij maken
56
daar bij gebruik van sessie cookies, deze worden automatisch verwijderd op het moment dat je je internetbrowser afsluit. Ook maken wij gebruik van een zogenaamde unique-‐id cookie, om een internetgebruiker te herkennen als unieke bezoeker. Deze cookie heeft op de meeste van onze websites een levensduur van één jaar, wat betekent dat deze automatisch verdwijnt zodra je langer dan één jaar geen van onze websites bezoekt. Tot slot kunnen we (afhankelijk van de verkregen toestemming) gebruik maken van tijdelijke cookies. Deze tijdelijke cookies registreren je surfgedrag op onze websites gedurende maximaal negentig dagen. Wanneer je voor de eenennegentigste dag contact maakt met een van onze websites, verdwijnen de gegevens van dag één uit de cookie. De informatie die via deze cookies wordt verkregen, wordt 180 dagen na je laatste bezoek automatisch verwijderd. Als je het plaatsen van cookies (via je browserinstellingen) onmogelijk maakt, bestaat de kans dat bepaalde functies niet werken of dat je van bepaalde diensten geen gebruik kunt maken. Zoals reeds eerder vermeld kunnen persoonsgegevens die door ons worden verwerkt, uitwisselen met groepsmaatschappijen en je persoonsgegevens combineren met gegevens die zijn verzameld in het kader van jouw aankoop of gebruik van onze producten of diensten (of producten of diensten van groepsmaatschappijen), waaronder ook via cookies verzamelde surfgegevens. Onder andere Google en haar groepsmaatschappij DoubleClick presenteren in opdracht van ons advertenties op onze websites. Zij plaatsen daarvoor tevens cookies op je computer. Op het gebruik van cookies door andere bedrijven is het privacy-‐ en cookiebeleid van het desbetreffende bedrijf van toepassing. Adverteerders of andere bedrijven hebben geen toegang tot de door ons geplaatste cookies. Je kan te allen tijde zelf beslissen of je cookies wilt accepteren of weigeren of dat je wilt dat je browser je op de hoogte stelt wanneer er een cookie wordt geplaatst. Wil je je voorkeuren voor het accepteren of weigeren van bepaalde categorieën cookies op onze websites wijzigen, dan kan je de pagina waarop je je instellingen kan wijzigen altijd bereiken via de link privacy-‐ en cookiebeleid onderaan elke pagina. Wil je binnen een bepaalde categorie cookies van bepaalde partijen accepteren of weigeren, dan kan dat ook. Zo kan je je op http://www.google.nl/privacy_ads.html afmelden voor het plaatsen van cookies door Google en haar groepsmaatschappijen en op http://www.youronlinechoices.eu/nl kan je je afmelden voor het plaatsen van cookies door andere advertentienetwerken die via onze websites advertenties presenteren. DOORGIFTE DERDE LANDEN De servers die DoubleClick gebruikt voor het presenteren van advertenties op onze websites bevinden zich buiten de Europese Unie. Om de juiste, Nederlandstalige advertenties te presenteren verstrekken wij locatiegegevens aan DoubleClick. Een passend beschermingsniveau is gewaarborgd aangezien DoubleClick heeft verklaard zich te houden aan de 'safe harbor' privacy regelgeving. WIJZIGEN VAN HET PRIVACY-‐ EN COOKIEBELEID Wij behouden ons het recht voor dit privacy-‐ en cookiebeleid aan te passen. We adviseren je dan ook regelmatig op deze pagina te kijken of er veranderingen zijn doorgevoerd. Indien we wezenlijke wijzigingen aanbrengen zullen we zorg dragen voor een meer opvallende kennisgeving, bijvoorbeeld via email voor bepaalde diensten. Dit privacy-‐ en cookiebeleid is laatst gewijzigd op 16 april 2013.
57
9.1.2 RTL NIEUWS (MIJN RTL NIEUWS)
PRIVACY-‐ EN COOKIESTATEMENT PRIVACY RTL Nederland Interactief B.V. zal in opdracht van CLT-‐UFA S.A. de door u verstrekte persoonsgegevens opnemen in een bestand ten behoeve van het gebruik door RTL Nederland B.V., RTL Nederland Interactief B.V., RTL Nederland Productions B.V. en CLT-‐UFA S.A. en aan deze vennootschappen gelieerde ondernemingen (hierna gezamenlijk te noemen: RTL). CLT-‐UFA heeft RTL Nederland Interactief B.V. aangewezen als verantwoordelijke voor de verwerking van persoonsgegevens door RTL. In dit privacy statement wordt beschreven hoe RTL met uw persoonsgegevens omgaat. Gebruik persoonsgegevens door RTL De door de u verstrekte persoonsgegevens zullen door RTL worden verwerkt ter uitvoering van diensten waarvan u gebruik maakt of gaat maken (bijvoorbeeld: prijsvragen, abonnementen, nieuwsbrieven, promotionele acties en/of kansspelen, deelname aan programma's, e-‐commerce activiteiten, gaming, inzending van foto's en video's, evenementen etc.), alsmede voor statistische analyses. Uw persoonsgegevens worden door RTL ook gebruikt ten behoeve van marketingactiviteiten van RTL, waaronder begrepen het verstrekken van informatie – onder meer in de vorm van een elektronische nieuwsbrief die u van tijd tot tijd zal worden toegestuurd – over producten, diensten, activiteiten, aanbiedingen en kortingen die door RTL worden aangeboden. Daarnaast kan RTL indien u daartoe toestemming heeft verleend uw persoonsgegevens gebruiken om u te informeren over producten, diensten, aanbiedingen en kortingen van derden, die mogelijkerwijs interessant voor u zijn. RTL kan ten behoeve van de hiervoor beschreven marketingdoeleinden, en tevens om uw profiel te optimaliseren, gebruik maken van informatie die zij op rechtmatige wijze over u heeft vergaard, bijvoorbeeld door middel van het gebruik van cookies of uw klikgedrag op de websites van RTL, zodat u gerichter informatie krijgt toegestuurd. Verstrekking persoonsgegevens aan derden RTL kan bij de uitvoering van de hiervoor beschreven activiteiten gebruik maken van door haar ingeschakelde derden. Daarbij kan bijvoorbeeld gedacht worden aan organisatoren van evenementen, e-‐commerce partners en productiebedrijven. Deze derden krijgen dan de beschikking over uw persoonsgegevens, voor zover dit noodzakelijk is voor de uitvoering van de activiteiten. Indien RTL een activiteit (programma, prijsvraag, actie) tezamen met een andere partij organiseert, bijvoorbeeld een sponsor of adverteerder, kan RTL de gegevens die zij van u ontvangt met betrekking tot die activiteit, met deze andere partij delen om u te benaderen ten behoeve van die activiteit, danwel soortgelijke activiteiten. Tenslotte kan RTL de gegevens die zij van u ontvangt ter beschikking stellen aan een adverteerder ten behoeve van direct marketing doeleinden indien u daartoe toesteming heeft verleend. Melding CBP en recht op verzet RTL Nederland Interactief B.V. is door CLT-‐UFA aangewezen als verantwoordelijke en zal als zodanig zorgvuldig en in overeenstemming met de Wet bescherming persoonsgegevens en andere relevante wet-‐ en regelgeving omgaan met uw persoonsgegevens. De verwerking van persoonsgegevens is conform de Wet bescherming persoonsgegevens aangemeld bij het College Bescherming Persoonsgegevens te ’s-‐Gravenhage, onder meldingsnummer 1107095. Overdracht activiteiten Indien (een onderdeel van) RTL een dochteronderneming of bedrijfseenheid verkoopt of indien (een onderdeel
58
van) RTL wordt aangekocht door of fuseert met een ander bedrijf, kunnen de persoonsgegevens die op u betrekking hebben, onderdeel uitmaken van een dergelijke transactie en derhalve één van de overgenomen bedrijfsmiddelen zijn. COOKIES Wat doen cookies Cookies zijn kleine bestandjes die door websites die u bezoekt op uw computer geplaatst worden. Zo worden er bij een bezoek aan deze website cookies opgeslagen op de harde schijf van uw computer, zodat u bij een volgend bezoek aan deze website als gebruiker wordt herkend. Door RTL, en/of door derden, kan zo informatie over uw gebruik van deze website en van andere websites worden verzameld. Voor zover RTL met behulp van cookies persoonsgegevens over u verzamelt, verwerkt RTL die conform de bepalingen van het privacy statement. Welke cookies gebruikt RTL RTL maakt op al haar websites, zoals www.rtl.nl, www.rtlxl.nl, www.rtltickets.nl, www.rtltext.nl, www.vanvoordeel.nl, www.spelsalon.nl, www.sizz.nl, www.pepper.nl, www.couverts.nl, www.kijkes.nl, gebruik van cookies. Er zijn verschillende soorten cookies. In sommige gevallen worden cookies automatisch verwijderd als u uw browser afsluit, in andere gevallen blijven deze cookies langer bewaard en kunnen die ook bij een volgende bezoek aan deze website worden uitgelezen. RTL plaatst zelf cookies, ook wel first party cookies genoemd. Deze cookies zijn gemaakt door of voor RTL, worden door RTL op uw computer opgeslagen en alleen RTL heeft toegang tot deze cookies en de informatie die door middel van de cookie wordt verzameld. Zulke cookies worden door RTL bijvoorbeeld gebruikt om u taalinstellingen te onthouden of om te zorgen dat u niet te vaak dezelfde advertentie te zien krijgt. Er worden ook door derden cookies geplaats via de websites van RTL, ook wel third party cookies genoemd. Cookies van derde partijen zijn gemaakt door of voor derde partijen, worden door derde partijen op uw computer opgeslagen, en alleen derde partijen hebben toegang tot die cookies en de informatie die door de cookie wordt verzameld. Het is belangrijk om te weten dat RTL geen zeggenschap heeft over en/of kennis heeft van de inhoud en de werking van deze 'third party cookies'. Adverteerders kunnen bijvoorbeeld third party cookies plaatsen om inzicht te verkrijgen in uw interessegebieden, zodat ze gericht een advertentie kunnen plaatsen. Deze advertenties zijn nodig om de websites van RTL gratis aan te kunnen bieden aan consumenten. Daarnaast maakt RTL gebruik van diensten van derden, zoals Google Analytics, om het gebruik van de website te analyseren. Deze diensten plaatsen ook cookies op uw computer, die gebruikt worden om op geaggregeerd niveau rapportages te maken over hoe bezoekers de website gebruiken. Dit stelt RTL in staat haar website aan te passen aan de voorkeuren van de bezoekers. Andere derden die via onze website cookies kunnen plaatsen op uw computer, zijn de sociale netwerkdiensten zoals Facebook, Twitter en Google+. Dat gebeurt via de buttons van deze diensten die u op de website ziet om de content te promoten (“vind ik leuk”) of te delen (“tweet”). Klik HIER voor meer informatie over de cookies die gebruikt worden op onze website(s). Weigeren en verwijderen van cookies U kunt uw browser zo instellen dat u tijdens uw volgende gebruik van de websites van RTL geen nieuwe cookies meer ontvangt. De wijze waarop verschilt per browser; raadpleeg eventueel de help functie van uw browser. Daar kunt u ook vinden hoe u reeds eerder geplaatste cookies kunt verwijderen. NB: als u helemaal geen cookies meer wenst te ontvangen, dient u deze instellingen te wijzigen in alle browsers en op alle computers die u gebruikt. Als u cookies weigert en/of verwijdert kan het gebeuren dat u niet gebruik kunt maken van alle mogelijkheden van de website of dat u geen toegang hebt tot (onderdelen van) de website. Na het uitschakelen van cookies blijft u overigens wel advertenties zien, maar die zijn dan niet afgestemd op uw eerdere gebruik van de website. OPEN ID Partners van RTL kunnen OpenID aanbieden. OpenID is een herkenningsmechanisme dat het voor u mogelijk maakt om, nadat u eenmaal bij RTL bent ingelogd, vanuit een van de websites van RTL een website van een partner te bezoeken, zonder dat u daarvoor opnieuw hoeft in te loggen. RTL kan aan een partner die gebruik maakt van OpenID persoonsgegevens van u verstrekken. RTL zal echter niet meer persoonsgegevens aan een partner verstrekken dan nodig is om u direct en optimaal gebruik te laten maken van de website van zo’n partner.
59
Indien u geen (commerciële) informatie meer van RTL wenst te ontvangen over de producten en diensten van RTL of die van anderen, dan kunt u dat hier aangeven. Voor specifieke vragen of opmerkingen met betrekking tot de wijze waarop RTL met persoonsgegevens en/of cookies omgaat, kunt u contact opnemen met de afdeling: Data Products RTL Nederland Afdeling Data Products Barend en Van Dorpweg 2 1217 WP HILVERSUM Postbus 15016 1200 TV Hilversum
[email protected] +31 (035) -‐ 6718718 Wijzigingen Privacy en Cookie Statement RTL behoudt zich het recht voor haar privacy en cookie statement van tijd tot tijd te updaten en te herzien ter aanpassing aan wettelijke en andere ontwikkelingen. U dient dit Privacy en Cookie Statement dan ook regelmatig te raadplegen, zodat u op de hoogte bent van wijzigingen.
60
9.1.3 De Telegraaf App Privacy Verklaring Op deze pagina treft u de Privacy Verklaring aan van Telegraaf Media Groep N.V. (TMG). TMG is de grootste Nederlandse mediagroep, met leidende marktposities in o.a. dagbladen, (puzzel)magazines, radio en digitale diensten, zoals websites en (mobiele) applicaties. Deze Privacy Verklaring is van toepassing op alle producten, diensten en activiteiten van TMG en haar dochtermaatschappijen tenzij deze uitdrukkelijk een eigen privacy verklaring hanteren. Klik hier voor een overzicht van de activiteiten die onder TMG vallen. Algemeen Wanneer u een abonnement neemt, een publicatie bestelt, u aanmeldt voor een e-‐mail nieuwsbrief, deelneemt aan een actie, gebruik maakt van onze digitale diensten, contact opneemt met TMG of anderszins gebruik maakt van de diensten van (een onderdeel van)TMG, worden de door u verstrekte en gebruikte persoonsgegevens vastgelegd en verwerkt. De verantwoordelijke voor de gegevensverwerking is Telegraaf Media Groep N.V., Basisweg 30, 1043 AP Amsterdam. De gegevensverwerking is gemeld bij het College Bescherming Persoonsgegevens te Den Haag. TMG vindt het belangrijk om uw persoonsgegevens met alle zorgvuldigheid en vertrouwelijkheid te behandelen. TMG houdt zich daarom zowel aan de Wet Bescherming Persoonsgegevens, de Telecommunicatiewet, als aan de gedragscodes van de DDMA (Dutch Dialogue Marketing Association). Doeleinden gegevensverwerking De verstrekte persoonsgegevens kunnen door TMG worden verwerkt voor de volgende doeleinden: Voor de totstandkoming en uitvoering van de overeenkomst, bijvoorbeeld om de door u gekozen producten, diensten of informatie te leveren; Als u een betaalde dienst of product hebt afgenomen, om te factureren; Om u in de gelegenheid te stellen informatie te plaatsen en uit te wisselen via één van de digitale diensten van TMG of contact op te nemen met andere gebruikers van die digitale diensten; Om u op de hoogte te houden van de producten en diensten van TMG; Om u een nieuwsbrief, gebruikersinformatie, servicebericht of andere (al dan niet elektronische) boodschap te sturen; Om het inloggen via social media diensten van derde partijen mogelijk te maken; Om u gerichte advertenties te tonen; zo kan bijvoorbeeld een advertentie worden getoond van een product of dienst waarvan TMG op basis van de door haar verwerkte gegevens vermoedt dat u daarvoor interesse heeft; Om te voldoen aan de op TMG van toepassing zijnde wet-‐ en regelgeving. Uw persoonsgegevens kunnen voor de voornoemde doeleinden worden uitgewisseld met of ter beschikking worden gesteld aan alle onderdelen van TMG. Bij gebruikmaking van onze digitale diensten, is het mogelijk dat automatisch voor u een account wordt aangemaakt met gebruikmaking van de door u reeds verstrekte persoonsgegevens in het kader van één van onze andere diensten. Ook is het mogelijk dat wanneer u gebruik maakt van verschillende TMG producten en/of diensten, de in dat kader verstrekte gegevens worden gecombineerd met gegevens afkomstig van (het gebruik van) andere TMG producten en/of diensten. Gegevensverstrekking aan derden Uw gegevens worden zonder uw uitdrukkelijke toestemming niet verstrekt aan partijen die niet tot het TMG-‐concern behoren, behoudens het navolgende. Uw gegevens kunnen zonder uw uitdrukkelijke toestemming worden verstrekt aan partijen, die door TMG worden ingeschakeld bij de uitvoering van haar dienstverlening (bijvoorbeeld de leverancier van een door u besteld product). In een dergelijk geval worden uw gegevens slechts gebruikt voor het doel waarvoor u ze heeft verstrekt (bijvoorbeeld de levering van het product).. Daarnaast is het mogelijk dat TMG op grond van geldende wet-‐ en regelgeving verplicht wordt bepaalde gegevens te verstrekken, bijvoorbeeld aan de politie in het kader van een opsporingsonderzoek. TMG zal in deze gevallen uitsluitend gegevens verstrekken als duidelijk is dat een wettelijke verplichting tot verstrekking bestaat. Tenslotte kan TMG uw gegevens doorgeven aan derden, bijvoorbeeld indien een derde van oordeel is dat de inhoud van uw advertentie inbreuk maakt op zijn intellectuele eigendomsrechten, of dat sprake is van onrechtmatige uitingen op één van de fora die TMG ter beschikking stelt. In dergelijke gevallen zal TMG uw gegevens uitsluitend onder strikte voorwaarden verstrekken waarbij steeds rekening wordt gehouden met uw belangen. Cookies Bij gebruik van de digitale diensten van TMG kan informatie over uw gebruik van deze diensten worden verzameld, bijvoorbeeld door middel van cookies. Meer informatie over cookies is te vinden in de TMG Cookie Verklaring. Telefoongesprekken Telefoongesprekken met de klantenservice van TMG-‐onderdelen kunnen worden opgenomen voor trainings-‐ en coachingsdoeleinden. De opnames worden niet langer bewaard dan strikt noodzakelijk en zijn niet toegankelijk voor onbevoegden. Externe dienstverleners en andere sites
61
Indien u via een digitale dienst van TMG terecht komt op de site of applicatie van een derde, zijn de voorwaarden en privacyregels van de betreffende partner c.q. derde van toepassing. U wordt aangeraden de privacy verklaring van deze partner c.q. derde te raadplegen. Voor digitale diensten van TMG waartoe u toegang kan krijgen via social media diensten van derde partijen, geldt dat TMG de in dat kader door u gebruikte inloggegevens verwerkt op de wijze als beschreven in deze Privacy Verklaring. Beveiliging gegevens TMG respecteert de privacy van iedere betrokkene en draagt er zorg voor dat persoonsgegevens vertrouwelijk en met de grootst mogelijke zorgvuldigheid worden behandeld. Alle persoonsgegevens zijn beveiligd opgeslagen in de administratie van TMG. Deze database is uitsluitend toegankelijk voor medewerkers van TMG, voor zover dat uit hoofde van hun functie noodzakelijk is. TMG spant zich verder naar redelijkheid in haar systemen te beveiligen tegen verlies en/of tegen enige vorm van onrechtmatig gebruik of verwerking en maakt daarbij gebruik van passende technische en organisatorische maatregelen, waarbij onder meer rekening wordt gehouden met de stand van de techniek. TMG is echter niet aansprakelijk voor onrechtmatig verkregen toegang tot computers of bestanden, via advertenties verspreide virussen of andere onrechtmatige programma’s of bestanden, of enig ander gevolg van het ter beschikking stellen van gegevens aan TMG. Inzage en correctie gegevens en recht van verzet U kunt te allen tijde en zonder kosten inzicht krijgen in uw gegevens die door TMG zijn verwerkt en deze gegevens desgewenst aanpassen. Ook kunt u bezwaar maken tegen het ontvangen van informatie of gerichte aanbiedingen van TMG via e-‐mail, telefoon, post en/of SMS. Indien u van een van deze mogelijkheden gebruik wil maken dan kunt u dat schriftelijk doen via: Telegraaf Media Groep T.a.v. Klantregistratie Antwoordnummer 9098 1000 VV Amsterdam. U kunt ook een e-‐mail sturen naar
[email protected] Wijziging van deze Privacy Verklaring TMG behoudt zich het recht voor om wijzigingen aan te brengen in deze Privacy Verklaring. Elke aanpassing zal op deze pagina worden gepubliceerd. Wij raden u aan deze Privacy Verklaring geregeld te raadplegen, zodat u altijd van de inhoud
van de geldende Privacy Verklaring op de hoogte bent. Deze
Privacy
Verklaring
is
voor
het
laatst
gewijzigd
op
7
december
2012.
62
9.1.4
Algemeen Dagblad Mobile App
Privacystatement De Persgroep Nederland is uitgever van onder meer AD, de Volkskrant, Trouw en Het Parool. Persoonlijke gegevens van gebruikers van de producten en diensten van de Persgroep Nederland worden zorgvuldig behandeld en beveiligd. De Persgroep Nederland houdt zich aan de Wet Bescherming Persoonsgegevens. Vastleggen en verwerking van gegevens Wanneer u zich aanmeldt op een van de websites van de Persgroep Nederland, een abonnement neemt op AD, de Volkskrant, Trouw of Het Parool, een publicatie bestelt, deelneemt aan een actie, een bestelling plaatst, of anderszins gebruik maakt van de diensten van (een onderdeel van) de Persgroep Nederland, kan u worden gevraagd de volgende persoonsgegevens te verstrekken: naam, e-‐mailadres, woonadres of bezorgadres en betaalgegevens. De door u verstrekte gegevens komen onder de verantwoordelijkheid van de Persgroep Nederland te vallen. U verklaart dat deze gegevens correct zijn en zal ons informeren over wijzigingen die zouden optreden in deze gegevens. Uw gegevens worden niet verstrekt aan bedrijven en instellingen buiten de Persgroep Nederland. De Persgroep Nederland gebruikt uw gegevens voor de uitvoering van de gebruikersovereenkomst, de uitvoering van uw bestelling en om u op de hoogte te houden van het verloop daarvan, het verlenen van service en/of om u te informeren over andere producten en diensten van de Persgroep Nederland indien u daarop prijs stelt. Hierbij tracht de Persgroep Nederland rekening te houden met uw voorkeuren. Uw persoonlijke gegevens worden bewaard op een Secured Server. Als u geen prijs stelt op informatie over producten en diensten van de Persgroep Nederland kunt u dit aangeven bij uw registratie voor de websites van de betreffende krant of schriftelijk melden bij: De Persgroep Nederland Postbus 2104 1000 CC Amsterdam Beveiliging gegevens De Persgroep Nederland maakt gebruik van uitgebreide veiligheidsprocedures voor de bescherming van de verwerkte gegevens, onder meer om te voorkomen dat onbevoegden toegang krijgen tot deze gegevens. Clickgedrag Op de website worden bezoekgegevens bijgehouden om de belangstelling voor de verschillende onderdelen van de site te meten. Daardoor kan de inrichting van de website aangepast worden aan de belangstelling en ervaringen van bezoekers. Gebruik van Cookies De websites van de Persgroep Nederland maken bij het aanbieden van hun diensten gebruik van cookies om u te identificeren en daarmee de toegang tot de site voor u gemakkelijker te maken. Een cookie is een eenvoudig klein bestand dat op de harde schijf van uw computer wordt opgeslagen. Een geregistreerde die geen cookies accepteert, heeft slechts beperkte toegang tot de betreffende site. De Persgroep Nederland gebruikt de informatie uit de cookies niet op individueel niveau. Links naar websites en cookies van andere partijen Op de websites van de Persgroep Nederland staan hyperlinks naar andere websites. De websites van de Persgroep Nederland zijn niet verantwoordelijk voor de inhoud of het privacybeleid van websites waarnaar wordt doorverwezen. Ook zijn de websites van de Persgroep Nederland niet verantwoordelijk voor de plaatsing van cookies door partijen die op deze site adverteren. Wijzigingen De Persgroep Nederland behoudt zich het recht voor om wijzigingen aan te brengen in het privacystatement. Check daarom regelmatig het privacystatement voor eventuele aanpassingen. Vragen Als u nog vragen heeft over ons privacybeleid kunt u contact opnemen de Persgroep Nederland via het e-‐mailadres
[email protected]
63
9.1.5 Appie Beleid op www.ah.nl/privacy (lagenstructuur niet meegenomen) Privacy-‐ en Cookiebeleid van Albert Heijn B.V. Dit is het privacybeleid van Albert Heijn B.V. ("Albert Heijn"). Dit privacybeleid verschaft informatie over de gegevens die we verwerken van de gebruikers en klanten van onze Albert Heijn winkels, websites, webwinkels en andere diensten, zoals onze mobiele apps, waaronder de Appie app voor je mobiele telefoon. Wij vinden het belangrijk er voor te zorgen dat onze dienstverlening transparant, persoonlijk en betrouwbaar is. Wij zijn dan ook voortdurend op zoek naar manieren om onze dienstverlening waar nodig te verbeteren en deze zoveel mogelijk af te stemmen op je persoonlijke wensen en behoeften. Albert Heijn gaat daarbij zorgvuldig om met je gegevens en zorgt ervoor dat elke verwerking van je gegevens voldoet aan de toepasselijke wet-‐ en regelgeving. Dit privacybeleid kan van tijd tot tijd wijzigen indien nieuwe ontwikkelingen daartoe aanleiding geven. Het meest actuele privacybeleid vind je altijd op www.ah.nl. Albert Heijn raadt je aan dit privacybeleid geregeld te raadplegen, zodat je van deze wijzigingen op de hoogte bent. In het privacybeleid wordt altijd de laatste datum van wijziging aangegeven. Dit privacybeleid is voor het laatst gewijzigd op 11 juni 2014. Wanneer is dit privacybeleid van toepassing? Dit privacybeleid is van toepassing op alle gegevens die Albert Heijn verzamelt en verwerkt van gebruikers en klanten van de Nederlandse Albert Heijn winkels, websites, webwinkels en andere diensten, zoals mobiele applicaties waaronder "Appie", "AH Zelfscannen" en de "Allerhande" apps. Op de AH Websites tref je een aantal links aan naar andere websites. Hoewel deze websites met zorg zijn geselecteerd, zijn wij niet verantwoordelijk voor verwerking van je persoonsgegevens via deze websites. Dit privacybeleid is niet van toepassing op het gebruik van dergelijke websites. Wie is verantwoordelijk voor je gegevens? Albert Heijn B.V., gevestigd aan de Provincialeweg 11, 1506 MA te Zaandam, is de verantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid. Conform het bepaalde in de Wet Bescherming Persoonsgegevens heeft Albert Heijn haar verwerkingen van persoonsgegevens aangemeld bij het College Bescherming Persoonsgegevens ("CBP") in Den Haag. In de meldingen is aangegeven welke gegevens Albert Heijn verwerkt, voor welke doeleinden en aan welke personen en of instanties de gegevens worden verstrekt, zie het openbare register van het CBP. Inhoudsopgave Privacy-‐ en Cookiebeleid 1. Uitleg opbouw van dit Privacy-‐ en Cookiebeleid
2. Welke gegevens verwerken wij en hoe komen we er aan?
2.1 Winkelen bij Albert Heijn
* Als je jonger bent dan 16 jaar
* Voor welke doelen verwerkt Albert Heijn je gegevens? * Een vraag stellen of een klacht indienen
* Deelnemen aan een speciale actie
* Air Miles sparen
* Camerabeveiliging
* Product recall
* Deelnemen aan een klantenpanel
2.2 Online diensten van Albert Heijn
* AH Websites en AH Apps (algemeen)
* Je Mijn ah.nl profiel
* Online boodschappen doen via Appie en ah.nl
* Additionele Appie functionaliteiten
* Nieuwsbrieven
2.3 Ons Bonuskaartprogramma
* AH Bonuskaart
* Extra Services bij je Bonuskaart (zoals de AH Sleutelservice)
64
* Het persoonlijke Mijn Bonus-‐programma van Albert Heijn
3. Als je met ons communiceert via social media
4. Maken wij gebruik van cookies?
5. Welke derden hebben toegang tot je gegevens?
6. Hoe beveiligen wij je gegevens?
7. Vragen en verzoeken om inzage, correctie en verwijdering
1 Uitleg opbouw van dit Privacy-‐ en Cookiebeleid In dit Privacy-‐ en Cookiebeleid beschrijven we per dienst welke persoonlijke gegevens Albert Heijn van je verwerkt om je deze specifieke dienst te leveren en wat dat precies betekent. Soms heb je voor een bepaalde dienst (zoals gebruikmaking van de Online Winkel van Albert Heijn) een Mijn ah.nl profiel nodig. In dat geval wordt dit bij de paragraaf over de Online Winkel van Albert Heijn vermeld en een link opgenomen naar de paragraaf over het Mijn ah.nl profiel, met uitleg welke gegevens we daarvoor verwerken, voor welke doeleinden we dat doen en hoe lang we je gegevens daarvoor bewaren. Voor andere diensten is een Bonuskaart nodig, bijvoorbeeld voor de Sleutelservice. In dat geval wordt bij de paragraaf over de Sleutelservice aangegeven dat je een Bonuskaart nodig hebt met telkens een link naar uitleg over welke gegevens we daarvoor verwerken en voor welke doelen we dat doen. 2 Welke gegevens verwerken wij en hoe komen we eraan? 2.1 Winkelen bij Albert Heijn Als je jonger bent dan 16 jaar Als je jonger bent dan 16 jaar, mag je slechts persoonsgegevens aan Albert Heijn verstrekken indien één van je ouders of een wettelijke vertegenwoordiger die dit privacybeleid heeft gelezen ons hiervoor namens jou toestemming geeft. Wij verzoeken je daarom geen gegevens aan ons te verstrekken indien je nog geen toestemming hebt gekregen.Sommige diensten (zoals online boodschappen bestellen of het Mijn Bonus-‐programma) zijn niet toegankelijk voor jongeren die jonger zijn dan 16 of 18 jaar. Wij informeren per dienst over de toepasselijke leeftijdsgrens. Bij aanvraag van een Bonuskaart kunnen we om je identiteitsbewijs vragen zodat we kunnen controleren of je jonger bent dan 16 jaar. Voor welke doelen verwerkt Albert Heijn je gegevens? Om te kunnen winkelen in een Albert Heijn winkel heb je geen Bonuskaart of registratie nodig. In sommige gevallen kan het zijn dat Albert Heijn wel persoonsgegevens van je verwerkt. 1. Een vraag stellen of een klacht indienen Lees meer 2. Deelnemen aan een speciale actie Lees meer 3. Air Miles sparen Lees meer 4. Camerabeveiliging Lees meer 5. Product recall Lees meer 6. Deelnemen aan een klantenpanel Lees meer 2.2 Online diensten van Albert Heijn Albert Heijn biedt een aantal online diensten aan, waaronder de websites van Albert Heijn zoals www.ah.nl ("AH Websites"), een aantal apps ("AH Apps") zoals de Allerhande app ("Allerhande app") en de persoonlijke boodschappenhulp Appie (bestaande uit een mobiele applicatie en de Appiewebsite) ("Appie") en de online winkel en AH Wijndomein ("Online Winkel van Albert Heijn") die bereikbaar zijn via ah.nl en Appie en de online fotoservice van Albert Heijn ("AH Fotoservice"). Ook kun je je online inschrijven voor nieuwsbrieven van Albert Heijn. 1. AH Websites en AH Apps (algemeen) Wanneer je de AH Websites bezoekt of de AH Apps gebruikt verwerken wij een aantal technische gegevens van je (zoals je
65
IP-‐adres) om de functionaliteiten van deze online diensten te bieden en deze technisch te beheren. Lees meer 2. Je Mijn ah.nl profiel Je Mijn ah.nl profiel kun je aanmaken op ah.nl, of via de Appie app. Wanneer je de AH Websites bezoekt of de AH Apps gebruikt, verwerken we bepaalde technische gegevens van je. Lees meer Met een Mijn ah.nl profiel kun je gebruik maken van verschillende functionaliteiten zoals het maken van boodschappenlijstjes en het bewaren van favoriete recepten (kookschrift) en plaatsen van huishoudtips op ons webforum. Via je Mijn ah.nl profiel kun je je verder aanmelden voor online bestellen in de Online Winkel van Albert Heijn, de Sleutelservice, de nieuwsbrieven en het Mijn Bonus-‐programma van Albert Heijn. Centraal beheer van je gegevens voor gebruiksgemak De gegevens die je opgeeft bij je inschrijving voor de diverse diensten worden telkens opgeslagen in je Mijn ah.nl profiel. Deze gegevens kun je centraal inzien en beheren onder Mijn gegevens". Heb je gegevens eerder elders ingevoerd, dan worden deze bij inschrijving voor andere diensten voor-‐ingevuld op het moment dat je je daarvoor aanmeldt. Lees meer Voordeelkaarten Indien jij bij één van de online diensten het nummer van je Bonus-‐, Air Miles-‐ en/of Gall & Gallkaart opgeeft, worden deze kaartnummers opgeslagen binnen je Mijn ah.nl profiel. Je kunt daarna zelf kiezen voor welke andere diensten wij deze kaartnummers mogen gebruiken. Je kaartnummers worden dus pas doorgevoerd voor een andere (online) dienst als je bij je aanmelding voor die andere dienst aangeeft dat wij je kaartnummer ook daarvoor mogen gebruiken (enkel voor zover daarvoor relevant). Lees meer Wanneer je een Mijn ah.nl profiel opent en hiervan gebruik maakt, verwerken wij je gegevens om je Mijn ah.nl profiel aan te kunnen maken en de functionaliteiten van Mijn ah.nl te kunnen leveren. Lees meer 3. Online boodschappen doen via Appie en ah.nl De Online Winkel van Albert Heijn is bereikbaar via de AH Websites en Appie. Wanneer je de AH Websites bezoekt of de AH Apps gebruikt, verwerken we bepaalde technische gegevens van je. Lees meer Als je je wilt aanmelden voor online bestellen in de Online Winkel heb je een Mijn ah.nl profiel nodig. Voor het Mijn ah.nl profiel verwerken we onder meer je inloggegevens. Lees meer Online boodschappen bestellen Via de Online Winkel van Albert Heijn kun je snel en eenvoudig boodschappen bestellen en laten thuisbezorgen (of ophalen bij een AH pick-‐up point als je via Appie bestelt). In de Online Winkel van Albert Heijn kun je ook producten uit het assortiment van Etos en Gall & Gall bestellen en laten afleveren. Lees meer Voor het doen van online boodschappen heb je een Mijn ah.nl profiel nodig en een aanvullende aanmelding voor online bestellen in de Online Winkel van Albert Heijn. In uitzonderlijke omstandigheden kan Albert Heijn je aanmelding voor online bestellen in de Online Winkel van Albert Heijn blokkeren. Wanneer jij je aanmeldt voor online bestellen in de Online Winkel van Albert Heijn, verwerken wij je gegevens om: je de Online Winkelfunctionaliteiten te kunnen leveren en je bestelling af te kunnen handelen. Lees meer Om een creditcheck te doen wanneer je bestellingen via de Online Winkel van Albert Heijn wilt afrekenen op grond van een automatische incasso of op rekening. Lees meer Om je eerdere aankopen in de Online Winkel van Albert Heijn en in de fysieke AH winkels te kunnen bijhouden zodat je gemakkelijker online boodschappenlijstjes kan opstellen en bestellingen kan plaatsen. Lees meer Om je de online boodschappenhulp-‐functionaliteiten van Appie en de Online Winkel te leveren, zoals snel recepten opzoeken uit de Allerhande, een boodschappenlijstje maken en deze op loopvolgorde zetten. Lees meer (e) Om je boodschappenlijst binnen de Online Winkel en Appie uit te breiden met producten van websites van derden. Lees meer Blokkering van een aanmelding voor online bestellen in de Online Winkel van Albert Heijn Albert Heijn kan in een uiterst geval je aanmelding voor online bestellen in de Online Winkel van Albert Heijn blokkeren indien: een door jou gegeven automatische incasso niet inbaar blijkt en Albert Heijn je herhaaldelijk heeft aangemaand;
je als zakelijke klant die op rekening betaalt, tekortschiet in je betalingsverplichtingen;
je herhaaldelijk en ten onrechte betwist dat bepaalde online bestelde producten niet zijn afgeleverd;
je online bestelde producten aan de deur weigert te betalen. we vermoeden dat je online producten bestelt voor wederverkoop aan derden.
Indien je aanmelding voor online bestellen in de Online Winkel van Albert Heijn op grond van één van de bovenstaande redenen door ons wordt geblokkeerd, kun je geen online producten meer bestellen totdat je je betalingsachterstand hebt voldaan. Wanneer je aanmelding voor online bestellen in de Online Winkel van Albert Heijn wordt geblokkeerd, zullen wij je hiervan op de hoogte stellen.
66
4. Elektronische nieuwsbrieven Afhankelijk van waar je je voor onze nieuwsbrieven aanmeldt verwerken we (optioneel) ook nog andere gegevens van je. Als je je inschrijft via: de AH Websites Lees meer je Mijn ah.nl profiel Lees meer de Online Winkel van Albert Heijn. Lees meer via Appie Lees meer Op diverse plaatsen op de AH Websites, je Mijn ah.nl profiel, de Online Winkel van Albert Heijn, de AH Fotoservice en de AH Apps kun je je aanmelden voor het ontvangen van onze elektronische nieuwsbrieven met onze aanbiedingen en algemene informatie over bijvoorbeeld onze winkels, het klantenpanel, promotionele acties en recepten. Lees meer 2.3 Ons Bonuskaartprogramma Je kunt bij Albert Heijn een Bonuskaart ontvangen. Met je Bonuskaart kun je niet alleen je vertrouwde Bonuskorting ontvangen maar kun je je ook inschrijven voor extra Services (zoals de Sleutelservice) en verder het persoonlijke Mijn Bonus-‐programma. Wij leggen je hieronder uit wat deze verschillende keuzes inhouden.
2.3.1 AH Bonuskaart Met een Bonuskaart kun je profiteren van de landelijke Bonusaanbiedingen. Je kunt een Bonuskaart verkrijgen aan de servicebalie van iedere winkel van Albert Heijn. Wanneer je een Bonuskaart ontvangt, kun je deze direct gebruiken en ontvang je direct de landelijke Bonuskorting aan de kassa. Een Bonuskaart die je direct in gebruik neemt, is niet herleidbaar tot jou, tenzij je je je hebt ingeschreven voor het Mijn Bonus-‐programma of je online hebt ingeschreven voor Appiefunctionaliteiten of extra Services zoals de Online Winkel van Albert Heijn of de Sleutelservice). Lees meer Wanneer je bij de kassa in een Albert Heijn winkel je Bonuskaart laat scannen of invoert via je Mijn ah.nl profiel of bij je aanmelding voor online bestellen in de Online Winkel van Albert Heijn, verzamelt en verwerkt Albert Heijn je gegevens voor de volgende doeleinden: 1. om je Bonuskortingen te kunnen verstrekken Lees meer 2. om je de Zelfscanservice met je Bonuskaart of je mobiele telefoon te leveren en te controleren of je alle producten in je boodschappenmand of -‐kar hebt gescand. Lees meer 3. voor het op anonieme basis onderzoek doen naar trends in het aankoopgedrag van onze klanten om ons winkelaanbod en diensten zo goed mogelijk op de wensen en behoeften van onze klanten af te stemmen. Lees meer 4. Als je je Bonuskaartnummer opgeeft in je Mijn ah.nl profiel of bij aanmelding voor online bestellen in de Online Winkel van Albert Heijn: om je de online Bonuskaart functionaliteiten te bieden (o.b.v. je eerdere aankopen) Lees meer 2.3.2 Extra Services bij je AH Bonuskaart (zoals de AH Sleutelservice) Voor sommige extra Services heb je een AH Bonuskaart nodig. In het kader van de AH Bonuskaart verwerken wij bepaalde gegevens van je. Lees meer Services koppelen aan je AH Bonuskaart doe je via de AH Websites of Appie. Wanneer je de AH Websites bezoekt of de AH Apps gebruikt verwerken we bepaalde technische gegevens van je. Lees meer Als je Services wilt koppelen aan je AH Bonuskaart heb je een Mijn ah.nl profiel nodig. Voor het Mijn ah.nl profiel verwerken we onder meer je inloggegevens. Lees meer Albert Heijn biedt je de mogelijkheid om aan je Bonuskaart extra Services toe te voegen zoals de Sleutelservice. Wanneer je je aanmeldt voor een extra Service zullen wij je om de aanvullende persoonlijke gegevens vragen die nodig zijn voor het leveren van de betreffende extra Service. In het geval van de Sleutelservice betreffen dit je naam en adresgegevens. Als je je inschrijft voor de Sleutelservice wordt je Bonuskaartnummer opgeslagen binnen je Mijn ah.nl profiel. Je kunt zelf bepalen voor welke (online) diensten van Albert Heijn je je Bonuskaartnummer nog meer wilt laten doorvoeren. Zo kun je ervoor
67
kiezen om dan inzicht te krijgen in je eerdere aankopen in de Albert Heijn winkels zodat je gemakkelijker een boodschappenlijstje kunt samenstellen, eerder gekochte producten kan opzoeken en zien welke van je laatst of vaakst gekochte producten in de Bonusaanbieding zijn. 1. AH Sleutelservice Wanneer je de AH Sleutelservice toevoegt aan je AH Bonuskaart kan Albert Heijn gevonden sleutelbossen en/of andere eigendommen aan je retourneren. Lees meer 2.3.3 Mijn Bonus Als je ervoor kiest om je in te schrijven voor het Mijn Bonus-‐programma door je Bonuskaart te activeren heb je een AH Bonuskaart nodig. Hiervoor verwerken we bepaalde gegevens van je. Lees meer Je AH Bonuskaart activeren doe je via de AH Websites of Appie. In dat verband verwerken we ook bepaalde technische gegevens van je. Lees meer Als je je aanmeldt voor het Mijn Bonus-‐programma, heb je een Mijn ah.nl profiel nodig. Voor het Mijn ah.nl profiel verwerken we onder meer je inloggegevens. Lees meer Onderdeel van het Mijn Bonus-‐programma is de AH Sleutelservice. Wij verwerken je contactgegevens ook voor dat doel.Lees meer Je kunt er ook voor kiezen om naast de vertrouwde landelijke Bonusaanbiedingen nóg meer voordeel te ontvangen. Dat doe je door je Bonuskaart te "activeren". Als je je inschrijft voor het Mijn Bonus-‐programma door je Bonuskaart te activeren, ontvang je persoonlijke aanbiedingen (ook wel Exclusieve Deals genoemd), bedankjes, acties en relevante informatie die echt welkom zijn omdat ze goed aansluiten bij je boodschappenlijstje. Aanbiedingen kunnen bijvoorbeeld zijn: extra Bonuskortingen op producten die je vaak koopt. Of op producten waarvan we denken dat ze je zullen aanspreken. Bijvoorbeeld omdat je in het verleden vergelijkbare producten hebt gekocht of omdat andere klanten vergelijkbare producten kochten.
speciaal door Albert Heijn geselecteerde aanbiedingen of kortingen op producten namens onze partners, waarvan wij denken dat ze je zullen aanspreken op basis van producten die je eerder hebt gekocht bij Albert Heijn, of op basis van jouw profiel of voorkeuren. Wij geven hiervoor geen gegevens over jou door aan onze partners.
bijzondere voordeeltjes en bedankjes zoals korting op bezorgkosten bij online bestellen, uitnodigingen voor wijnproeverijen, toegang tot sample producten, deelname aan speciaal voor jou geselecteerde winacties, of Air Miles Bonus Deals in je favoriete AH winkel en recepten voor of informatie over producten die je vaak koopt. extra spaar-‐ of inwisselmogelijkheden op basis van je Air Mileskaart (als je ervoor kiest je Air Mileskaart te koppelen).
een verassing rond je verjaardag (als je dat hebt aangegeven).
verder word je ook geattendeerd indien producten die je vaak koopt in de landelijke Bonusaanbieding zijn. Als je je inschrijft voor het Mijn Bonus-‐programma maak je automatisch gebruik van extra Services, zoals de Sleutelservice. Wanneer je je inschrijft voor je Mijn Bonus-‐programma door je Bonuskaart te activeren, vragen wij je om aanvullende persoonlijke gegevens zoals je naam, geslacht, adres en woonplaats. Deze gegevens zijn nodig voor het leveren van de diverse voordelen van het Mijn Bonus-‐programma. Voor het doen van de persoonlijke aanbiedingen analyseren we welke producten je vaak bij ons koopt, wat je op onze website bekijkt en vergelijken dit met dat van andere klanten. Indien je je inschrijft voor het Mijn Bonus-‐programma door je Bonuskaart te activeren, gaan we vanaf dat moment persoonlijke aanbiedingen doen. Op het moment van activering analyseren we daarvoor je aankoop-‐ en websitebezoekgegevens van de voorafgaande 3 maanden. Dit kan een kortere periode zijn als je je nieuwe Bonuskaart pas net in gebruik hebt genomen omdat pas vanaf ingebruikname van je nieuwe Bonuskaart deze gegevens daaraan worden gekoppeld. Als je je nieuwe kaart langer in gebruik hebt analyseren we uiteindelijk je aankoop-‐ en websitebezoekgegevens over een periode van maximaal 27 maanden. Op basis hiervan sturen we je persoonlijke mailings. De persoonlijke mailings versturen we gemiddeld 2x per week per e-‐mail en soms per post. Ook worden persoonlijke aanbiedingen getoond via ah.nl en in de Appie app. Voor het deelnemen aan het Mijn Bonus-‐programma hebben we je toestemming nodig. Door online je Bonuskaart te activeren en je persoonsgegevens in te vullen stem je in met deelname aan het Mijn Bonus-‐programma. Afmelden voor het Mijn Bonus-‐programma Je kunt je deelname aan het Mijn Bonus-‐programma op elk moment stopzetten door je op www.ah.nl/mijn af te melden voor het Mijn Bonus-‐programma. Wij zullen dan alle gegevens die je bij je inschrijving voor het Mijn Bonus-‐programma hebt opgegeven, verwijderen en deze gegevens niet meer analyseren, tenzij we deze gegevens nog nodig hebben voor het leveren van een extra Service waar je nog voor bent aangemeld. Je instellingen Je kunt je inschrijving voor het Mijn Bonus-‐programma op onderdelen aanpassen aan je voorkeuren op ah.nl/mijn. Zo kun je aangeven geen persoonlijke aanbiedingen of bedankjes te willen ontvangen en je afmelden voor de Sleutelservice. Je kunt daar verder je Bonuskaart koppelen aan je Air Mileskaart (of dit ongedaan maken), en je aan-‐ of afmelden voor het ontvangen van een verjaardagsverrassing en de AH nieuwsbrieven met de algemene Bonusaanbiedingen. Lees meer
68
Voor welke doelen verwerken wij je gegevens? Wanneer je je inschrijft voor het Mijn Bonus-‐programma door je Bonuskaart online te activeren, verwerken wij je gegevens voor de volgende doelen: 1. om op basis van jouw gegevens, instellingen en aankopen specifiek op jou afgestemde (Mijn Bonus-‐)aanbiedingen, bedankjes, verjaardagsverassingen, acties en relevante informatie te sturen voor producten en/of diensten van Albert Heijn Lees meer 2. binnen het Mijn Bonus-‐programma kun je ervoor kiezen om je Air Mileskaartnummer te koppelen aan je Bonuskaart zodat je gemakkelijker Air Miles kunt sparen en extra spaar-‐ en inwisselmogelijkheden krijgt Lees meer 3 Als je met ons communiceert via social media De AH Websites delen via social media Indien je ervoor kiest de AH Websites te delen via social media, zoals Youtube, Facebook en/of Twitter, dan zullen je persoonsgegevens (zoals je naam en het feit dat je geïnteresseerd bent in onze producten en diensten) tevens zichtbaar worden voor alle bezoekers van je persoonlijke social mediapagina's. Op het gebruik van dergelijke social media websites zijn de voorwaarden (waaronder het privacybeleid) van de betreffende social media websites van toepassing. De algemene voorwaarden van Albert Heijn en dit Privacy-‐ en cookiebeleid zijn niet van toepassing op het gebruik van dergelijke social media websites. Onze social media pagina's Wij zijn actief op verschillende social media platforms, zoals Twitter, Youtube en Facebook. Wanneer je met ons communiceert via onze social mediapagina's (bijvoorbeeld wanneer je commentaar plaatst, media uploadt, een persoonlijke boodschap verzendt of fan van ons wordt door op de "Like" knop te klikken) kan het zijn dat wij persoonlijke informatie over je ontvangen (zoals je (gebruikers)naam, je profielfoto, je woonplaats, je e-‐mailadres en je geslacht). Hoe wij met je gegevens omgaan, staat beschreven in de Albert Heijn Facebook Privacyverklaring, dat in aanvulling geldt op (i) dit privacybeleid en (ii) de gebruiksvoorwaarden en andere verklaringen van Facebook. Albert Heijn raadt je aan om de gebruiksvoorwaarden en andere verklaringen van Facebook zorgvuldig te lezen. Deze kunnen afwijken van het privacybeleid van Albert Heijn. 4 Maken wij gebruik van cookies? De AH Websites en de Appie app gebruiken cookies. Een cookie is een techniek die informatie verzamelt en gebruikt. Het is een klein tekstbestand dat wij naar je browser sturen, zodat wij je browser automatisch kunnen herkennen bij een herhaald bezoek aan de AH Websites of gebruik van de Appie app. Cookies kunnen gegevens verzamelen die verbonden zijn aan het gebruik van de AH Websites en de Appie app, zoals welke pagina's zijn bezocht en de duur van een gebruikerssessie. Wanneer je gebruik maakt van de AH Websites en de Appie app, stuurt de cookie informatie terug aan ons. Met behulp van cookies willen wij jouw gebruikservaring op onze websites verbeteren. Cookies zorgen er bijvoorbeeld voor dat je ingelogd kan blijven op onze website. Daarnaast plaatst Albert Heijn cookies die noodzakelijk zijn voor het leveren van de functionaliteiten van de AH Websites, de Online Winkel van Albert Heijn, de AH Fotoservice en de Appie website en app. Hierdoor ben je bijvoorbeeld in staat je boodschappen in het winkelwagentje te plaatsen en de inhoud van het winkelwagentje te bekijken. Ook kan Albert Heijn dankzij cookies bijvoorbeeld zien hoe vaak onze websites door bezoekers worden bekeken. Als je helemaal geen cookies wilt ontvangen, kun je de instellingen van jouw Internet browser aanpassen en het plaatsen van cookies volledig blokkeren. Je kunt dan echter mogelijk niet van alle onderdelen van de AH Websites of de Appie app gebruikmaken. Het gebruik van cookies is veilig. Cookies slaan geen gegevens op zoals jouw telefoonnummer of e-‐mailadres, waardoor het mogelijk zou worden om jou via die kanalen te benaderen. Noch wordt er met behulp van cookies een profiel opgebouwd dat tot een persoon te herleiden is. Meer informatie over de cookies die gebruikt worden door AH websites of de Appie app: Functionele cookies Deze cookies zijn noodzakelijk om onze website te kunnen bezoeken en om gebruik te kunnen maken van de diensten die onze website biedt. Cookies voor gebruikersgemak, service en kwaliteit Deze cookies zijn bedoeld om de bezoeker gemak te bieden bij het bezoeken van onze website. Het levert een betere service en hogere kwaliteit van je bezoek op. Dit type cookie onthoudt bijvoorbeeld of een bepaalde melding al aan jou is getoond, zodat je deze niet nogmaals te zien krijgt. Tracking cookies (statistiek en analyse) Deze cookies meten het gebruik van onze website. Deze statistieken geven ons inzicht in onder meer hoe vaak onze website bezocht wordt en welke onderdelen van onze website bezoekers het meest interessant vinden. Dit doen wij om onze website continu te kunnen verbeteren en het bezoek zo gebruiksvriendelijk mogelijk te maken. Social media cookies Deze cookies maken het mogelijk om de inhoud van onze website te delen via social media. Deze cookies worden niet door ons geplaatst, maar door de social media partijen zelf. Wanneer je op onze website een social media button aanklikt, zal een social media cookie worden geplaatst. De social media partij kan je dan herkennen op het moment dat je een deel van onze website of een video wilt delen. Voor de social media cookies die via onze website worden geplaatst verwijzen wij naar de website en voorwaarden van deze partijen. Albert Heijn heeft geen invloed op deze voorwaarden van derden. Facebook gegevensgebruik
69
Facebook cookies
YouTube
Hyves
Twitter
Google+
Affiliate cookies Deze cookies worden gebruikt om bij te houden welke advertentie (bijvoorbeeld een banner of tekstlink) leidt tot een aankoop, zodat degene die deze advertentie heeft getoond (de affiliate), hiervoor een beloning kan ontvangen.
5 Welke derden hebben toegang tot je gegevens? Albert Heijn schakelt bij de uitvoering van haar dienstverlening en andere bedrijfsactiviteiten derden in (zoals drukkerijen en e-‐mail en postverwerkers). Voor zover deze derden bij het uitvoeren van de betreffende diensten en bedrijfsactiviteiten je gegevens verwerken, doen zij dit in hoedanigheid van bewerker voor Albert Heijn en heeft Albert Heijn de vereiste technische en organisatorische maatregelen getroffen om te verzekeren dat je gegevens uitsluitend voor bovenstaande doeleinden worden verwerkt. Uitsluitend indien Albert Heijn hiertoe wettelijk is verplicht, worden persoonsgegevens verstrekt aan toezichthouders, fiscale autoriteiten en opsporingsinstanties. Je persoonsgegevens kunnen in dit kader ook worden doorgegeven naar ontvangers in landen buiten de Europese Economische Ruimte. Albert Heijn zal in dergelijke gevallen passende maatregelen nemen die redelijkerwijs nodig zijn om te waarborgen dat je gegevens zo goed mogelijk worden beschermd. 6 Hoe beveiligen wij je gegevens? Albert Heijn gaat uiterst zorgvuldig om met je persoonsgegevens. Wij hebben verschillende technische en organisatorische maatregelen genomen om je persoonsgegevens te beveiligen tegen verlies of onrechtmatig gebruik. Zo beveiligen wij onze systemen en applicaties volgens de geldende standaarden voor informatiebeveiliging, zoals Control Objectives for Information and related Technology (CobiT) en de Standard of Good Practice for Information Security (ISF, 2011). 7 Vragen en verzoeken om inzage, correctie en verwijdering Je kunt op elk moment inzage vragen in de gegevens die Albert Heijn over je verzamelt en deze laten corrigeren of verwijderen door een verzoek op te sturen naar: Albert Heijn afdeling Bonuskaart Antwoordnummer 250 1500 VC Zaandam Als je je hebt ingeschreven voor het Mijn Bonus-‐programma of als je je hebt aangemeld voor online bestellen in de Online Winkel van Albert Heijn of de Sleutelservice dan vraagt Albert Heijn je om een kopie van je rijbewijs, identiteitskaart, of paspoort mee te sturen bij je verzoek. Als je een gewone Bonuskaart hebt zonder deel te nemen aan het het Mijn Bonus-‐programma, kunnen we je niet identificeren en kunnen we je dan ook geen inzage verlenen. Dit kan wel als Albert Heijn over aanvullende identificerende gegevens van je beschikt, bijvoorbeeld als je een Mijn ah.nl profiel hebt. In dat geval zullen we je vragen om bepaalde bij ons bekende gegevens te verstrekken (bijvoorbeeld je Mijn ah.nl inlognaam), zodat wij kunnen controleren of jij inderdaad degene bent aan wie de Bonuskaart of de gegevens toebehoren. Via je Mijn ah.nl profiel (ah.nl/mijn) kun je je persoonsgegevens inzien of wijzigen. Ook kun je daar aangeven dat je geen e-‐ mail meer wenst te ontvangen met informatie over producten en/of aanbiedingen. Als je geen e-‐mail meer wenst te ontvangen met informatie over producten en/of (persoonlijke) aanbiedingen, dan kun je dat ook aangeven door een verzoek op te sturen naar het hierboven genoemde postadres of door contact op te nemen met de Albert Heijn Klantenservice via ah.nl/klantenservice of door te bellen naar 0800-‐0305. Indien je vragen of klachten hebt of indien je wilt reageren op dit privacybeleid, dan kun je tijdens werkdagen contact opnemen met de afdeling Albert Heijn Klantenservice via ah.nl/klantenservice of door te bellen naar 0800-‐0305.
70
9.1.6 Hema App
HEMA respecteert de privacy van de bezoekers van haar website en draagt er zorg voor dat uw gegevens vertrouwelijk worden behandeld. Uw persoonsgegevens worden in overeenstemming met alle toepasselijke privacy regelgeving behandeld en vastgelegd in een bestand dat is aangemeld bij het College Bescherming Persoonsgegevens te Den Haag. Deze privacyverklaring is afgestemd op het gebruik van, en de mogelijkheden op, de website van HEMA. Eventuele aanpassingen en/of veranderingen van de website kunnen leiden tot wijzigingen in deze privacyverklaring. Het is daarom raadzaam om deze privacyverklaring regelmatig te raadplegen. HEMA gebruikt en bewaart uw persoonsgegevens en gegevens met betrekking tot uw bestelling om uw bestelling zo snel en gemakkelijk mogelijk te laten verlopen. Door het aanmelden op de online nieuwsbrief van HEMA verleent u tegelijkertijd toestemming om uw persoonsgegevens en e mailadres op te slaan. HEMA gebruikt deze opgeslagen informatie om u te informeren over activiteiten in de winkel, het doen van andere aanbiedingen van HEMA en om webstatistieken te ontwikkelen. Ook kan het voorkomen dat HEMA u per e-‐mail benadert om deel te nemen aan marktonderzoek ter verbetering van haar producten en/of dienstverlening. Uw gegevens worden niet aan derden ter beschikking gesteld tenzij dit noodzakelijk is voor de uitvoering van uw bestelling of op grond van een wettelijk voorschrift.
Beleid op www.hema.nl/footers/privacy.aspx privacybeleid HEMA is ervan overtuigd dat de bescherming van de persoonlijke levenssfeer van haar klanten en bezoekers van de website van essentieel belang is voor haar activiteiten. HEMA B.V. is Verantwoordelijk voor de persoonsgegevens die worden verkregen door de HEMA Groep. Tot de HEMA Groep (“HEMA”) behoren alle dochterondernemingen van HEMA B.V. zoals onder meer HEMA Financial Services B.V., aanbieder van HEMA Verzekeringen. Voor aanvullende informatie over HEMA Verzekeringen verwijzen we u graag naar onze dienstenwijzer. De verwerking van de persoonsgegevens is aangemeld bij de toezichthouder het College Bescherming Persoonsgegevens. HEMA leeft de wet-‐ en regelgeving op het gebied van bescherming van persoonsgegevens na en maakt tijdens het bestelproces en het versturen van contactformulieren altijd gebruik van een beveiligde (SSL-‐)verbinding. welke gegevens gebruikt HEMA en waarvoor? HEMA legt bij bezoek aan de website, gebruik van de HEMA app, bij haar dienstverlening aan of bij het aanvragen van producten of diensten door klanten of bij het aanmaken van een HEMA account persoonsgegevens vast. Ook maakt HEMA gebruik van door bezoekers of klanten geboden toegang tot social media zoals Facebook, waardoor HEMA toegang heeft tot uw gegevens op social media. Voor sommige producten of diensten is HEMA een tussenpersoon. Persoonsgegevens worden wanneer u een product of dienst afneemt waarvoor HEMA optreedt als tussenpersoon aan de contractspartij beschikbaar gesteld. HEMA verzamelt en verwerkt uw persoonsgegevens voor de volgende doeleinden: de uitvoering van uw bestellingen van producten of diensten; het toesturen van nieuwsbrieven en/of om je te informeren over interessante aanbiedingen; het doen van persoonlijke aanbiedingen op basis van eerdere aankopen; het analyseren, onderhouden en/of optimaliseren van de website; het uitvoeren van marktonderzoek en samenstellen van managementinformatie ten behoeve van product-‐ en dienstontwikkeling. HEMA stelt de persoonsgegevens, voor zover wettelijk is toegestaan, ter beschikking aan haar dochterondernemingen voor bovenstaande doeleinden. Uw e-‐mailadres zal echter alleen worden gebruikt in het kader van een overeenkomst of wanneer u uw toestemming hiervoor heeft gegeven. U kunt uw toestemming voor het gebruik van uw e-‐mailadres intrekken via de afmeldlink in ieder e-‐mailbericht of door een e-‐mail te sturen naar de HEMA Klantenservice via het contactformulier op de website. Indien u het gebruik van uw persoonsgegevens wilt laten blokkeren stuur dan eveneens een e-‐mail naar de HEMA Klantenservice via het contactformulier op de website. Ook kunt u bij de HEMA Klantenservice terecht indien u inzage wenst in de gegevens die HEMA van u heeft geregistreerd en voor eventuele correctie daarop en/of verwijdering van uw persoonsgegevens. andere sites Op de sites van HEMA treft u links aan naar andere sites. HEMA kan echter geen verantwoordelijkheid dragen met betrekking tot de omgang door die partijen met uw gegevens. Lees hiervoor de/het privacyverklaring/privacystatement, indien aanwezig, van de site die u bezoekt.
71
cookies De HEMA website maakt gebruik van cookies. Een cookie is een klein tekstbestand dat bij uw bezoek aan de website naar uw computer wordt gestuurd en door uw browser op de harde schijf van uw computer wordt opgeslagen. Met cookies kan de server de browser opnieuw herkennen en bijhouden wat u in het verleden heeft gedaan. HEMA gebruikt cookies om uw instellingen en voorkeuren te onthouden om een volgend bezoek aan de website makkelijker te maken. Deze website maakt tevens gebruik van Google Analytics, een webanalyse-‐service die wordt aangeboden door Google Inc. (“Google”). Ook Google Analytics maakt gebruik van “cookies”. De door het cookie gegenereerde informatie over uw gebruik van de website (met inbegrip van Uw IP-‐adres) wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe u de website gebruikt, rapporten over de website-‐activiteit op te stellen voor website-‐exploitanten en andere diensten aan te bieden met betrekking tot website-‐activiteit en internetgebruik. Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Google zal uw IP-‐adres niet combineren met andere gegevens waarover Google beschikt. U kunt het gebruik van cookies weigeren door in uw browser de daarvoor geëigende instellingen te kiezen. Wij wijzen u er echter op dat u in dat geval wellicht niet alle mogelijkheden van deze website kunt benutten. Door gebruik te maken van deze website geeft u toestemming voor het verwerken van de informatie door Google op de wijze en voor de doeleinden zoals hiervoor omschreven. vragen Heeft u vragen of opmerkingen over ons privacybeleid, dan kunt u deze richten aan: HEMA B.V. Afdeling Consumentenservice Postbus 37110 1030 AC Amsterdam wijzigen van het privacybeleid HEMA behoudt zich het recht voor om haar privacybeleid aan te passen. Het is daarom raadzaam deze pagina regelmatig te raadplegen. Amsterdam, 6 november 2013
72
9.1.7 Scoupy App
22. Bij het aanmaken van een persoonlijk gebruikersprofiel voert een Consument persoonlijke gegevens in. Hiernaast verkrijgt SCOUPY door het gebruik van haar Scoupy App door een Consument, gegevens omtrent het mobiele dataverkeer via (onder meer) ‘GPS’. SCOUPY zal zulke gegevens altijd beveiligd opslaan. De Consument geeft hiermee toestemming aan SCOUPY om de persoonsgegevens te gebruiken om: a) haar dienstverlening uit te oefenen; b) haar dienstverlening verder te optimaliseren; c) gebruikersinformatie of servicebericht te sturen; d) het inloggen via de website van SCOUPY social media platforms mogelijk te maken; De door de Consument verstrekte persoonsgegevens zullen niet aan derden worden verstrekt voor (direct) marketing doeleinden of voor andere doeleinden buiten die als bedoeld onder 21. 23. Mocht u de door u verstrekte toestemming tot het gebruik van de persoonsgegevens op enig moment willen herroepen, stuurt u een email aan
[email protected]. Het is voor u hierdoor niet langer mogelijk gebruik te maken van de Scoupy App dan wel gebruik te maken van de Scoupy Media voor zover hier een persoonlijk gebruikersprofiel voor vereist is.
24. Door acceptatie van deze algemene voorwaarden, verklaart de Consument eveneens akkoord te zijn met het door SCOUPY gehanteerde privacy-‐ en cookiebeleid.
73
9.1.8 Reclamefolder.nl App nvt.
74
9.1.9 Spotta App
PRIVACYBELEID SPOTTA APP De Spotta app is een initiatief van Netwerk VSP B.V.. Netwerk VSP gaat zorgvuldig om met je gegevens binnen de Spotta app. Uitgangspunt van Netwerk VSP is dat het verstrekken van persoonsgegevens aan Netwerk VSP niet verplicht is. Je hebt altijd zelf de keuze of je persoonsgegevens wilt invoeren. Om gebruik te kunnen maken van Spotta app is het invoeren van persoonsgegevens niet noodzakelijk. Als de invoer van gegevens wordt gevraagd, wordt aangegeven welke gegevens verplicht zijn om van de dienst gebruik te kunnen maken en welke gegevens optioneel kunnen worden verstrekt. SOORTEN GEGEVENS EN DOELEINDEN VERWERKING Netwerk VSP kan bij het aanbieden van diensten persoonsgegevens verwerken. Het gaat hierbij niet alleen om gegevens als naam, contactgegevens, geboortedatum, sekse, en e-‐mailadres, maar ook om gegevens over jouw interesses als gebruiker van Spotta app. Deze gegevens kunnen bijvoorbeeld bekend zijn omdat je hebt aangegeven dat bepaalde onderwerpen je interesseren of omdat Netwerk VSP jouw interesses heeft afgeleid uit de manier waarop u van de functies in de Spotta app gebruik maakt. Netwerk VSP verzamelt en verwerkt via Spotta app persoonsgegevens voor de volgende doeleinden: A. Om de overeengekomen diensten, producten en/of informatie aan te bieden, te leveren en deze aan te passen aan jouw behoeften en wensen; B. Om je gerichte en relevante content te kunnen aanbieden. Zo kan er bijvoorbeeld een folder of aanbieding worden getoond waarvan op basis van verwerkte gegevens wordt vermoed dat je hierin interesse hebt. In het kader van de optimalisatie van dit proces kan Netwerk VSP een profiel van jou opstellen. C. Om je, indien je jezelf hiervoor uitdrukkelijk het aangemeld, per e-‐mail een nieuwsbrief toe te sturen. Indien je deze e-‐mail nieuwsbrief niet meer wilt ontvangen, kun je je hiervoor altijd afmelden via jouw persoonlijke profiel of via de afmeldmogelijkheid in iedere toegezonden e-‐mail; VERSTREKKEN VAN GEGEVENS AAN DERDEN Netwerk VSP kanjo uw persoonsgegevens uitsluitend verstrekken aan derden voor het toesturen van informatie en aanbiedingen over hun producten en diensten indien je hiervoor ondubbelzinnige toestemming hebt gegeven. Netwerk VSP kan in speciale gevallen, ongeacht jouw toestemming daarvoor persoonsgegevens aan derden ter beschikking stellen. Speciale gevallen zijn bijvoorbeeld rechtmatige verzoeken daartoe van autoriteiten, dagvaardingen of gerechtelijke bevelen, handelingen om schade of fraude op te sporen of te voorkomen, of handelingen om de veiligheid van het netwerk en de diensten van Netwerk VSP te garanderen. Netwerk VSP kan bepaalde geaggregeerde gegevens delen met derden, zoals het aantal gebruikers dat met een bepaalde zoekterm heeft gezocht, of hoeveel gebruikers op een bepaalde advertentie hebben geklikt. Aan de hand van deze gegevens kun je niet worden geïdentificeerd. BEVEILIGING Netwerk VSP handhaaft te allen tijde een beveiligingsniveau bij de verwerking van persoonsgegevens dat gezien de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen. INZAGE, WIJZIGING EN VERWIJDERING VAN PERSOONSGEGEVENS Netwerk VSP wil duidelijk zijn over de manier waarop ze met jouw persoonsgegevens omgaat. Als je vragen hebt over de manier waarop Netwerk VSP met jouw persoonsgegevens omgaat, kun je via
[email protected] contact opnemen, onder vermelding van 'Privacy Spotta app'. Je kunt ook een bericht aan bovenstaand e-‐mailadres sturen als je wilt weten welke persoonsgegevens van jou zijn vastgelegd op Spotta app, als je jouw gegevens wilt wijzigen of wil laten verwijderen conform de daarvoor geldende regelgeving. Indien Netwerk VSP niet of niet volledig kan vaststellen op welke persoonsgegevens je verzoek tot inzage, wijziging of verwijdering betrekking heeft, kan Netwerk VSP je vragen om jouw verzoek (nader) te specificeren. Netwerk VSP schort de uitvoering van het verzoek op totdat je Netwerk VSP de (nadere) specificatie hebt verstrekt. WIJZIGEN VAN HET PRIVACYBELEID Netwerk VSP behoudt zich het recht voor haar privacybeleid aan te passen. Netwerk VSP adviseert je dan ook regelmatig op deze pagina te kijken of er veranderingen zijn doorgevoerd. Indien Netwerk VSP wezenlijke wijzigingen aanbrengt zal zij
75
zorg dragen voor een meer opvallende kennisgeving, bijvoorbeeld via e-‐mail of berichtgeving via zogenaamde push technologie binnen de Spotta app voor bepaalde diensten.
76