De nieuwe hype: Pokémon Go. Privacy proof?

 in IT-recht

Wie dacht dat Pokémon op zijn retour is, heeft het bij het verkeerde eind. Heeft u toevallig laatst gigantisch veel mensen met hun smartphone op een bepaalde plek zien staan, zoals de Grote Markt in Haarlem? Grote kans dat deze mensen Pokémon Go aan het spelen waren. Pokémon Go, ontwikkeld door Niantic, is een nieuw smartphone spel waarvoor gebruikers de omgeving intrekken om Pokémon te vangen, “gyms” te veroveren en de beste Pokémon trainer te worden. Niantic ontstond in 2010 als een start-up van Google en werd onafhankelijk in augustus 2015. Onder andere Nintendo heeft aandelen in Niantic.

Het spel is al veel in het nieuws geweest. Zo waarschuwen beveiligingsexperts dat verschillende malafide Pokémon Go applicaties in omloop zijn, waarmee cybercriminelen proberen te profiteren van de populariteit van het spel. Deze applicaties kunnen vol zitten met malware, zoals Droidjack: een tool om op afstand controle uit te oefenen over het apparaat waarop het spel is geïnstalleerd. Dit is met name een bedreiging wanneer het spel wordt geïnstalleerd op een smartphone waarop gevoelige (bedrijfs)informatie opgeslagen staat, of waarvandaan die gevoelige informatie te bereiken is. Ook schijnt dat meerdere hackers de afgelopen dagen de servers van Pokémon Go hebben gehackt. De hackers beweren dat de beveiliging van de servers niet deugt en willen dit middels het platleggen van die servers bewijzen.

Eerder werd ook al bekend dat Google een verkeerde “acces token” aan Niantic verleend zou hebben. Hierdoor zouden iPhone gebruikers bij het inloggen met een Google account volledige toegang (“full access”) tot al hun Google-informatie geven, waarmee dus meer rechten verleend werden dan enkel de noodzakelijke. Niet alleen kon Niantic daardoor de mailbox van gebruikers uitlezen, ook kon Niantic bijvoorbeeld e-mails vanuit die mailbox versturen, of de Chrome zoekgeschiedenis en navigatie historie in Google Maps bekijken! Veel mensen waren in rep en roer, maar volgens Ari Rubenstein, security programmeur van Slack, was er geen reden tot ophef. Volgens hem was de term “full access” slechts ongelukkig gekozen, en had Niantic daadwerkelijk alleen toegang tot basis informatie. Hoe dan ook, de gemoederen zijn weer bedaard door de uitgebrachte update van 12 juli 2016. Maar zijn we nu gerustgesteld?

Toepasselijk recht voor gebruikers in Nederland

De verantwoordelijke bevindt zich buiten de Europese Unie. Het nationale recht van een lidstaat is van toepassing indien de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Gemeenschap, maar voor de verwerking van persoonsgegevens wel gebruikmaakt van middelen die zich op het grondgebied van genoemde lidstaat bevinden. Aangezien de gebruikte smartphone nodig is bij de verwerking van persoonsgegevens van en over de gebruiker, is in casu aan deze voorwaarde voldaan, en vindt de toepasselijkheid van het Nederlands recht, en aldus de bevoegdheid van de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, zijn aanknopingspunt in het gebruik van apparatuur op (in casu) Nederlands grondgebied.
Bij een nieuwe, zeer populaire, maar vooral ook locatie-gebruikende applicatie is het vaak interessant om eens een blik te werpen op de toepasselijke privacy voorwaarden: de meest opmerkelijke bepalingen uit de privacy voorwaarden van Pokémon Go op een rij.

Gameplay informatie

Tijdens het spel zal bepaalde informatie van de gebruiker verzameld worden, zoals gebruikersnaam en de inhoud van verzonden berichten naar andere gebruikers. Deze informatie zal (overigens onbenoemde) anderen niet in staat stellen de gebruiker te identificeren, tenzij de gebruiker ervoor heeft gekozen om zijn of haar echte naam en andere identificerende informatie te gebruiken. Er wordt dus een grote verantwoordelijkheid bij gebruikers zelf neergelegd wanneer zij niet geïdentificeerd willen worden door deze “anderen”.

Informatie met betrekking tot het gebruik van de diensten

De servers van Niantic slaan automatisch bepaalde informatie op met betrekking tot hoe een gebruiker gebruik maakt van de diensten. Deze informatie kan een IP-adres  zijn, het type browser waarvan gebruik wordt gemaakt, maar ook de internetpagina die een gebruiker heeft bezocht voor gebruik te maken van de diensten van Niantic. Informatie wordt vervolgens gebruikt om de dienstverlening te verbeteren. Ook (onbenoemde) derde partijen kunnen hiervoor ingeschakeld worden. Niantic geeft wel aan dat deze derde partijen gebonden zullen zijn aan contractvoorwaarden, zodat gegevens alleen worden verwerkt met inachtneming van relevante Europese wetten omtrent gegevensbescherming.

Locatiegegevens

Zonder het goedkeuren van het delen van locatiegegevens (welke goedkeuring overigens wel netjes wordt gevraagd voorafgaand aan het spelen), kan het spel niet gespeeld worden. De locatiegegevens worden opgeslagen. Dit wordt pas echt spannend wanneer Niantic uiteenzet wanneer en welke informatie gedeeld kan worden met derden.

Informatie gedeeld met derden

Service providers

(Onbenoemde) service providers deze hebben toegang tot informatie die gebruikt kan worden om gebruikers te identificeren of herkennen, maar enkel om onbenoemde diensten voor Niantic te verlenen. Ze worden verplicht om deze informatie goed te beschermen.

Derde partijen

Gegevens kunnen ook worden gedeeld worden met (onbenoemde) derden. Wel wijst Niantic erop dat die gedeelde gegevens geanonimiseerd zouden moeten zijn en geen informatie mag bevatten waarmee de gebruiker geïdentificeerd of herkend kan worden.

Gegevens gedeeld in verband met veiligheid

Niantic kan samenwerken met overheden en private partijen in het kader van het handhaven van en voldoen aan de wet. Alle informatie (any information) over de gebruiker kan worden doorgegeven aan deze partijen wanneer Niantic dit noodzakelijk acht, bijvoorbeeld in het geval van het identificeren en/ of tegenhouden van illegale of onethische praktijken. Vooral in combinatie met locatiegegevens van gebruikers (en zeker wanneer deze ook nog hun eigen naam gebruiken) kan dit behoorlijk interessant zijn voor overheden of andere wetshandhavers.

Aanpassen of verwijderen van gegevens

Wanneer een gebruiker diens gegevens waaruit deze geïdentificeerd of herkend kan worden aangepast of verwijderd wil hebben, dan kan de gebruiker contact opnemen met Niantic.  Op grond van de Wet bescherming persoonsgegevens heeft een gebruiker het recht om te verzoeken aan de verantwoordelijke (in casu Niantic) dat zijn/haar persoonsgegevens worden verbeterd, aangevuld, verwijderd, of afgeschermd indien deze gegevens feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Los van het feit dat het voor de gebruiker wellicht lastig te achterhalen is op basis van welke informatie hij of zij te herkennen is, zal volgens Niantic aanpassing of verwijdering zo snel mogelijk gebeuren, maar kan het voorkomen dat “sommige” informatie achterblijft in archieven of back ups. Het is de vraag of deze doorlopende verwerking in lijn is met het wettelijk kader, in het bijzonder of wordt voldaan aan de noodzakelijkheidstoets en dataminimalisatie.

Beëindiging of de-activatie van het account

Na beëindiging of de-activatie van een account kan profielinformatie een redelijke termijn worden behouden in het kader van back up, archief, en/ of audit redenen. Niet aangegeven wordt of deze informatie dan geanonimiseerd wordt.

Internationale doorgifte van gegevens

Het kan voorkomen dat gegevens buiten het land van gebruiker worden verwerkt: bijvoorbeeld in de Verenigde Staten. Niantic geeft aan dat er in het land van verwerking voldoende waarborgen voor beveiliging zullen zijn. De gebruiker kan expliciet verzoeken of zijn of haar gegevens niet in de Verenigde Staten verwerkt worden, maar dan kan het zo zijn dat deze gebruiker niet van alle functionaliteiten van de applicatie gebruik kan maken. Lees onze weblogs over doorgifte van persoonsgegevens naar de Verenigde Staten hier, hier, hier, en hier.

Diensten van derden

De applicatie kan links naar websites en diensten van (onbenoemde) derden bevatten. Alle informatie die verschaft wordt aan of verzameld wordt door een dergelijke derde dienstverlener, wordt ook direct en zonder tussenkomst van Niantic verschaft of verzameld. Niantic raadt in dat kader gebruikers aan om het privacy beleid van die derde dienstverleners erop na te slaan.

Kortom

De privacy voorwaarden van de Pokémon Go applicatie zijn tamelijk twijfelachtig. Veel termen zijn niet gedefinieerd, wat ruimte laat voor een uitleg die zeer in het voordeel van Niantic kan zijn. Ook wordt veelal naar partijen verwezen die niet bij naam genoemd of überhaupt gespecificeerd zijn. Het wordt dan voor gebruikers van de applicatie erg lastig om te controleren of hun privacy daadwerkelijk is en wordt gegarandeerd. Gebruikers, die al zo druk zijn met het spelen van het spel, zullen veelal het heft in eigen handen moeten nemen om hun privacy te waarborgen, maar zullen naar waarschijnlijkheid niet helemaal aan hun lot overgelaten worden: ook de toezichthouder heeft hierbij een belangrijke rol.

Heeft u vragen over dit artikel, of heeft u een andere privacyrecht gerelateerde vraag? Neem dan gerust vrijblijvend contact op met mr. J.G. Udo.

Recent Posts

Plaats een reactie