Push Notificatie Service valt ook onder de GDPR

Een Push Notificatie is zo’n een klein signaaltje dat een App of website geeft als er bijvoorbeeld een nieuw bericht is of een update. Ze verschijnen als kleine popup of als icoontje in de bovenbalk. In veel gevallen geven ze ook een geluidje. Ze dienen er voor de gebruiker te waarschuwen dat hij of zij actie moet ondernemen. De services die deze berichten afgeven moeten natuurlijk wel weten wie de gebruikers zijn. Daarvoor hebben ze persoonlijke gegevens nodig en vallen ze onder de GDPR. Wat zijn de gevolgen voor de eigenaren van die Apps en websites?

Juridische voorwaarden van de push notificatie service.

De Push Notificatie leveranciers hebben zich gehaast om de juridische voorwaarden voor hun klanten (site en app eigenaren) te wijzigen. In de eerste plaats om uit te leggen welke gegevens worden opgeslagen. Maar vooral ook om de verantwoordelijkheid bij de website en app-eigenaren te leggen. Zij zijn verantwoordelijk voor de toestemming die de gebruikers moeten geven. Er moet een wettelijke basis zijn om de gegevens door te mogen sturen naar de Push Notificatie Service. Aangeraden wordt om een jurist in de arm te nemen en die te laten onderzoeken wat de specifieke verantwoordelijkheden zijn.

Technische aanpassingen

Push Notificatie Services moesten stappen ondernemen om ervoor te zorgen dat alle naar hen verzonden data veilig is. Deze data moet bijvoorbeeld versleuteld wordt opgeslagen. Daarnaast moest de aandacht voor netwerkbeveiliging en datacenterbeveiliging worden aangescherpt. Dit was nodig om het onderhoud te waarborgen en er voor te zorgen dat er alleen geoorloofde toegang tot de servers wordt verleend.

De Push Notificatie Service verandert

1. Eindgebruikers krijgen een optie om hun IP-adres niet door te geven. Standaard worden de IP-adressen van eindgebruikers uit de EU landen niet opgeslagen.
2. De service moet stoppen met het verkopen van datasets met EU gegevens aan incidentele klanten en data-analysepartners. Voor de Enterprise-klanten moet een gegevensverwerkingsovereenkomst worden opgesteld. Die duidt de Push Notificatie Service formeel aan als een gegevensverwerker.
3. De software moet worden aangepast zodat eindgebruikers er zeker van kunnen zijn dat gebruikersgegevens niet naar de service worden verzonden zonder expliciete toestemming.
4. De API van de service moet het verwijderen van gebruikersgegevens ondersteunen. Het verwijderen van persoonlijke gegevens moet daadwerkelijk binnen 72 uur plaatsvinden.
5. De Push Notificatie Service moet een functie hebben voor het exporteren van gebruikersgegevens. Daarmee wordt het gemakkelijker om gebruikersgegevens terug te zoeken en te exporteren vanuit de service. Zodoende kunnen de klanten van de service voldoen aan individuele gebruikersverzoeken voor inzage en verwijdering van persoonlijke gegevens.
6. De gebruikersinstructie moet duidelijk maken hoe bezoekers gebruik van de Push Notificatie kunnen maken zonder dat hun persoonlijke gegevens worden verzonden.

Afschuiven van verantwoordelijkheden

Push Notificatie Services zitten op een data goudmijn. Er zijn vele kleine website en app eigenaren die gebruik maken van een push notificatie service, bijvoorbeeld om een nieuwe post te melden. Zij zijn de service zeer dankbaar omdat ze veel extra verkeer genereren. Zij hebben echter geen inzage in de persoonlijke gegevens die worden doorgestuurd. Toch worden ze door de service door middel van de juridische voorwaarden verantwoordelijk gemaakt voor als het fout gaat.

Dankzij het vastleggen van gegevens van bezoekers van vele websites wordt big data bij de service gevormd. Door deze data slim te combineren kan men een profiel samenstellen dat voor het targetten van consumenten kan worden ingezet. Het is in dat opzicht verwerpelijk dat de verantwoordelijkheid bij de website en app eigenaren wordt gelegd.

Discussieer mee op LinkedIn.