Blog

FaceApp: hoe zit het met je privacy?

Je hebt het vast meegekregen: via de app genaamd FaceApp kan je je eigen foto’s uploaden, waarna je er een filter overheen kan gooien. Die filter maakt je van vrouw een man of toont je hoe je er over 30 jaar uit zal zien. Zelfs schilderijen kunnen aan het lachen worden gebracht. Hilarisch toch?

Afgelopen week was in het nieuws dat de app niet zo goed scoort als het gaat om je privacy. Hoe zit dat nu?

FaceApp – welke gegevens worden verwerkt?

Volgens de privacyverklaring verwerkt FaceApp de volgende gegevens:

  • Informatie die je zelf uploadt, zoals foto’s;
  • Gegevens om communicatie mogelijk te maken, zoals je e-mailadres;
  • Informatie die nodig is voor hun analytics;
  • Cookies en vergelijkbare technologie (voor bijvoorbeeld adverteerders);
  • Log file information, zoals je IP-adres;
  • Device identificators;
  • Metadata.

Met welk doel worden deze gegevens verwerkt?

De gegevens worden gebruikt om:

  • gepersonaliseerde content en informatie aan jou en anderen te tonen. Online advertenties en marketing vallen hieronder;
  • de app te gebruiken en te verbeteren;
  • nieuwe producten te ontwikkelen en te testen;
  • te meten hoeveel mensen gebruik maken van de app;
  • fouten te herstellen;
  • de app automatisch te updaten.

Met wie wordt de informatie gedeeld?

Volgens de privacyverklaring worden je gegevens niet met partijen buiten FaceApp gedeeld zonder jouw toestemming. Uitzonderingen zijn:

  • Zogenaamde “affiliates” van FaceApp. Dit zijn bedrijven die onderdeel uitmaken van de groep waar FaceApp toe behoort.
  • Service providers van de FaceApp;
  • Adverteerders (het gaat dan vooral om de cookies).

Daarbij staat: “We may remove parts of data that can identify you and share anonymized data with other parties. We may also combine your information with other information in a way that it is no longer associated with you and share that aggregated information.”

Waar en hoe worden de gegevens opgeslagen?

  • De informatie wordt in de VS opgeslagen, of in een ander land waar FaceApp, de ‘affiliates’ of de service provider faciliteiten onderhoudt;
  • De gegevens mogen doorgegeven worden aan andere landen in de wereld.

Belangrijk: als je de app gebruikt geef je toestemming voor het bovenstaande.

  • Er worden redelijke waarborgen getroffen om de gegevens te beveiligen en FaceApp neemt redelijke stappen om te verifiëren of jij de eigenaar van een account bent.
  • N.B.: “However, FaceApp cannot ensure the security of any information you transmit to FaceApp”

avg

De AVG is van toepassing

De FaceApp is afkomstig uit Rusland, en daarom zou je denken dat de Algemene Verordening Gegevensbescherming (AVG) niet van toepassing is. Maar niets is minder waar.

In artikel 3 van de AVG staat namelijk dat de AVG van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden (wij), door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker (FaceApp). Er geldt wel een extra voorwaarde: het moet gaat om een verwerking die verband houdt met het aanbieden van goederen of diensten aan de betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist.

Die situatie doet zich voor, waardoor de AVG van toepassing is (zie ook de guideline van de GDPR).

4 voorbeelden van regels die door FaceApp niet in acht zijn genomen zijn:

  1. Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is Bij de FaceApp ontbreekt een rechtsgeldige rechtsgrond voor de verwerking (althans die wordt niet genoemd) en het is onduidelijk welke partijen de gegevens verwerken (“Affiliates” is vaag). Transparantie ontbreekt!
  2. Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld De doeleinden zoals genoemd door de FaceApp voldoen hier waarschijnlijk niet aan. Het vermoeden bestaat dat de gegevens ook voor de verbetering gezichtsherkenningssoftware worden gebruikt, en dat wordt niet benoemd. Wederom ontbreekt de transparantie.
  3. Onder de AVG gelden extra regels voor doorgifte van gegevens aan landen buiten de EU →  In de privacyverklaring staat niet aan welke specifieke landen de gegevens worden doorgegeven, waardoor het moeilijk is om te bepalen of daar extra vereisten voor moeten gelden. Transparantie ontbreekt wederom. 
  4. Onder de AVG gelden er strenge beveiligingseisen →  De FaceApp lijkt niet aan die eisen te voldoen. FaceApp geeft slechts aan dat ze zorgen voor waarborgen, maar garandeert niet dat de gegevens goed beveiligd worden.

De gevaren

Evelyn Austin van Bits of Freedom legt in het AD uit dat techbedrijven foto’s gebruiken om gezichtsherkenningsoftware te verbeteren. Op die manier kunnen mensen aan de hand van hun gezicht worden gevolg. Ze zegt: “Dat volgen gebeurt nu al op grote schaal via smartphones, maar zo’n telefoon kun je nog uitzetten. Je gezicht kun je niet thuislaten.’’

Conclusie

Hoe leuk de app ook is, het valt af te raden om gebruik te maken van de FaceApp. In Europa zijn we er inmiddels aan gewend dat bedrijven rekening moeten houden met strenge privacy-wetgeving, maar dat is lang niet vanzelfsprekend.

We zullen ons er overigens wel bewust van zijn dat ‘gratis’ apps niet gratis zijn en veel data verzamelen. Maar denk dan nog eens na: we willen toch niet dat onze dierbare gegevens – die direct aan onze identiteit te koppelen zijn – zomaar ergens worden opgeslagen? Sterker nog: als ze niet veilig worden opgeslagen, kunnen criminelen er hun voordeel mee doen.

Advies nodig over privacyrecht? Contact Lawfox!

Gerelateerde berichten