Wanneer je een app (mobiele, web- of software-applicatie) gaat ontwikkelen die persoonsgegevens zal verzamelen en verwerken in het kader van of als deel van een onderzoek, moet jij er als onderzoeker over waken dat deze app en het gebruik ervan conform is aan de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

 

Hoe kan je je app ‘GDPR-conform’ ontwikkelen?

‘GDPR-conform’ vereist eerst en vooral een correcte ontwikkeling van de tool vertrekkende vanuit de principes ‘privacy by design‘ en ‘privacy by default’. Dit betekent dat je reeds tijdens de ontwerpfase van de app nadenkt over maatregelen die je dient te nemen om de privacy- en gegevensbeschermingsprincipes vanaf het begin te waarborgen (‘privacy by design’). Voorbeelden van dergelijke maatregelen zijn het toepassen van pseudonimisering (het vervangen van identificeerbare persoonsgegevens door pseudoniemen) en versleuteling of encryptie (een methode waarbij data onleesbaar worden gemaakt door middel van bepaalde algoritmen).

Ook dien je de maximale mate van privacy in de standaardinstellingen voor elke app in te bouwen (‘privacy by default’). Zo wordt de privacy van de gebruikers van de app of de deelnemers vanaf het begin van het onderzoek beschermd, zelfs wanneer deze er zelf voor kiest om niets te doen.

Daarnaast dienen ook de andere basisprincipes van de GDPR nageleefd te worden.

Het ontwikkelen van een ‘GDPR-conforme’ app begint dus bij jou, als de betrokken onderzoeker, zelf.

Enkele vragen die je hierbij kunnen helpen:

 

Ontwerp van het onderzoek / studieopzet

• Heb je wel écht persoonsgegevens nodig? Als dit niet noodzakelijk is, dan gebruik je best anonieme gegevens.
• Welke persoonsgegevens heb je strikt gezien nodig om het onderzoeksdoeleinde te bereiken (dataminimalisatie)? Probeer je te beperken tot enkel die persoonsgegevens die bijdragen tot het beantwoorden van de onderzoeksvraag.
• Heb je bij de verwerking ruwe persoonsgegevens nodig, of kan je na verzameling werken met gepseudonimiseerde gegevens?
• Hoe worden persoonsgegevens gepseudonimiseerd en/of geanonimiseerd en wanneer? Dit kan bij aanvang van de gegevensverwerking of ook later in het proces.
• Houdt de manier waarop je persoonsgegevens verwerkt risico’s in voor de betrokkenen? Verzamel je bijvoorbeeld gevoelige persoonsgegevens? Verzamel je persoonsgegevens van kwetsbare personen of van minderjarigen? Is er sprake van systematische monitoring… ?
• Op welke rechtsgrond baseer je de verwerking van persoonsgegevens?
• Heb je een AVG-record aangemaakt om de verwerking van persoonsgegevens te registreren (in DMPonline.be)?

 

Informatie- en toestemmingsbrief, privacyverklaring

• Worden de gebruikers van de app vooraf voldoende geïnformeerd over de gegevensverzameling, het doeleinde van de verwerking van persoonsgegevens en hun rechten (transparantie)?
• Hoe ga je de gebruikers informeren? Is er een uitnodiging tot gebruik van de app? Is er een informatiebrief, -mail of -pagina in de app? Is er een project/app-specifieke privacyverklaring?
• Wanneer beroep wordt gedaan op de rechtsgrond ‘toestemming’ om persoonsgegevens te verzamelen, hoe verkrijg je toestemming (in de app zelf?)?

 

Gebruikerstoegang en -controle

• Hoe gebeurt de authenticatie en autorisatie van de gebruikers en welke persoonsgegevens worden hierbij verzameld en/of opgeslagen? Kunnen de gebruikers de app op een anonieme manier gebruiken (bv. zonder koppeling aan hun persoon – dus ook zonder opslag van het IP-adres)?
• Wordt er gebruik gemaakt van web analytics om het gedrag van de gebruikers te monitoren (bv. Google Analytics)? Wordt er gebruik gemaakt van cookies? Is een cookiebanner voorzien die conform is met de UGent richtlijnen?

 

Dataopslag en -transfer

• Worden de in de app verzamelde gegevens veilig getransfereerd en opgeslagen (informatieveiligheid)?
• Wordt er gebruik gemaakt van het IP-adres of andere identificerende data van de gebruiker om data tijdens de datacollectie aan elkaar te koppelen? Wordt deze identificerende data verwijderd na datacollectie?
• Wat gebeurt met de data na de datacollectie (datatransfer, data-analyse)? Worden de data gedeeld met andere onderzoekers of partijen? Met wie en voor welke doeleinden? Onder welke vorm zal dit gebeuren (gepseudonimiseerd of geanonimiseerd)? Indien hierbij andere onderzoekers of partijen (i.e. niet-UGent) betrokken zijn, wat zijn de rollen van deze partijen en hun verschillende verantwoordelijkheden en zijn de daarvoor vereiste overeenkomsten opgezet? Contacteer hiervoor de juridische ondersteuningsdienst van TechTransfer.

 

Gebruik van externe (cloud) platformen

• Waar wordt de app geïnstalleerd? Op welke server? Centraal aangeboden door UGent of niet, in de cloud?
• Wordt dit extern platform binnen of buiten België of zelfs buiten de EU gehost?
• Waar worden de data opgeslagen? Lokaal op een UGent-server of in een cloudoplossing of -platform? Binnen of buiten België? Binnen of buiten de EU?
• Welke risico’s zijn verbonden aan het gebruik van dit platform? Wat zijn de maatregelen voor informatieveiligheid, de gebruiksvoorwaarden omtrent verwerking van persoonsgegevens en de privacyverklaring van het platform? Is een verwerkingsovereenkomst met het platform nodig of is de privacyverklaring van het platform van toepassing?

 

Rechten van de betrokkenen in functie van de AVG

• Heb je bijkomende mechanismen nodig voor gebruikers die hun gegevens willen raadplegen, wijzigen of wissen?
• Hoe kunnen deelnemers hun toestemming intrekken, hun gegevens bekijken of zelfs hun gegevens laten verwijderen?

 

Samengevat

Zorg dat je zelf de juiste en voldoende maatregelen genomen hebt om de persoonsgegevens in je app veilig en in lijn met de GDPR te verzamelen en verwerken. Denk hierbij aan gegevensminimalisatie, gegevensbescherming en transparantie.

Houd rekening met volgende aandachtspunten:

• Verzamel alleen persoonsgegevens die van absoluut belang en noodzakelijk zijn om het onderzoeksdoeleinde te bereiken.
• Informeer de gebruikers over de app en de onderliggende verwerkingen van persoonsgegevens, en doe dit vóór er gegevens worden verzameld.
• Werk met gebruiksvoorwaarden en privacy-informatie die duidelijk opgesteld zijn en door de gebruikers gelezen worden voor installatie / gebruik van de app.
• Hou rekening met cookies en trackers, tracking pixels, plug-ins, applets… in jouw app. Ook deze kunnen persoonsgegevens verwerken.
• Sluit de juiste (verwerkings)overeenkomsten af met externe dienstverleners (ontwikkelaars van de app…). Contacteer hiervoor de juridischeondersteuningsdienst van TechTransfer.
• Zorg ervoor dat persoonsgegevens zo veel als mogelijk versleuteld zijn en informeer de gebruikers hierover.
• Registreer je gegevensverwerking en app voor ingebruikname in het AVG-Register van deUGent (via dmponline.be).