Een RTL Z-redacteur wilde gebruikmaken van een huidkanker-app en werd vervolgens gescand op aantal social media-volgers voor commerciële doeleinden.
Dinsdagochtend heb ik de app gedownload en ik wilde gelijk zien hoe het werkte. Helaas wilde het maken van een scherpe foto maar niet lukken. Na drie pogingen liet ik de app voor wat het was; ik had haast en moest naar de redactie. Binnen enkele uren gebeurde er iets geks: Skinvision volgde mij ineens op Twitter. "Dat kan haast geen toeval zijn", dacht ik nog. Maar ik vergat het snel weer...
In de middag kreeg ik een Linkedin-bericht. Van de PR-chef van SkinVision. Ik stuurde een bericht terug. "Is het toeval dat ik vanochtend de app heb gedownload en jullie me op exact dezelfde dag zijn gaan volgen op Twitter en dit bericht sturen?"
Het bleef even stil. Toen kreeg ik het volgende bericht: "Ha.. ik hou in de gaten of er nieuwe gebruikers bijkomen met veel volgers en jij kwam naar boven, ik dacht, aangezien jij recente ervaring hebt met de app, dat het goed is om bij jou te beginnen."
Dit is een commercieel handige vent, denk je nu misschien. Maar ik haal toch drie verontrustende kwesties uit dit bericht.
Ten eerste het feit dat ik gescand ben op aantal volgers op sociale media. En nog veel belangrijker: ik ben klaarblijkelijk niet de enige. Ten tweede dat er verder is gezocht dan de gegevens die ik verstrekt heb. Hoe kunnen ze anders weten dat ik 'veel volgers' heb? Ik heb mijn Twitter-account, waar ik meer dan het gemiddeld aantal volgers heb (6115), niet gedeeld met de app. Wel heb ik me aangemeld met de Facebook-API.
Ten derde 'voelt' dit gewoon niet goed. Dat ik, als gebruiker, journalist ben zou toch niet uit moeten maken. Ik ben een mens die medisch gevoelige informatie deelt. Ik check mijn huid op huidkanker. Waar ik werk zou irrelevant moeten zijn.
Mag dit gewoon? Nee, zegt privacy-advocaat Christiaan Alberdingk Thijm. "Ze hebben gehandeld in strijd met de wet." Omdat het een medische app betreft, zijn mijn gegevens automatisch 'bijzondere gegevens', legt hij uit. "En voor bijzondere persoonsgegevens geldt dat jouw gegevens alleen gebruikt kunnen worden met jouw ondubbelzinnige toestemming, die je geeft met een specifiek doel, namelijk alleen voor het gebruik van de app."
SkinVision heeft echter iets heel anders gedaan. "Ze hebben met behulp van jouw gegevens een beeld gevormd van wie je bent, waar je werkt en je social mediagedrag in kaart gebracht. Dat mag allemaal niet."
ICT-jurist Arnoud Engelfriet sluit zich daarbij aan. "Dit kan niet door de beugel. Zeker omdat het medische app is: jij bent, als het ware, een patiënt. Ik zie geen enkele reden om die informatie (Twitter en LinkedIn-account, red.) op te zoeken. Voor het benaderen op Twitter en LinkedIn moet je toestemming hebben gegeven. En dat heb je niet gedaan."
Wanneer ik SkinVision bel, vertelt hij me dat je bij de aanmelding op de app alleen je email bij het bedrijf binnenkomt. Maar dankzij een data-systeem dat ze gebruiken, Intercom genaamd, wordt op basis van je e-mailadres ook je social mediagegevens in kaart gebracht, zoals je Twitter-account, LinkedIn-account en het bijbehorend aantal volgers. Ik ben dus, inderdaad, niet de enige waar deze gegevens van verzameld worden. Dat gebeurt met alle gebruikers van de app.
Als het om privacy gaat, wordt er vaak gezegd: "Maar ik heb toch niks te verbergen?" Maar alles met betrekking tot mijn medische gegevens, is bij uitstek gevoelig en privé. Dat er voor medische apps striktere privacy-regels gelden, lijkt me dan ook niet meer dan terecht. En blijkbaar moeten wij, als consument, zelf scherp blijven op de naleving van die regels.
Alles bij de bron; RTLZ
