Er komen steeds meer applicaties op de markt die op één of andere manier gezondheidsgegevens van hun gebruikers verwerken. Dergelijke applicaties hebben de potentie om voordelen op te leveren voor gebruikers voor het monitoren, evalueren en verbeteren van de gezondheid. Het in acht nemen van de privacy van de gebruikers is daarbij echter ook van belang. Op dat punt gaat het echter wel eens mis. Nike moest van de Autoriteit Persoonsgegevens (“AP”) de toestemming die werd gegeven in het kader van de Nike Running App aanpassen en werkgevers werden op de vingers getikt omdat ze via zogenaamde wearables inzage kregen in de hoeveelheid beweging en slaappatronen van hun werknemers.
Een aantal stakeholders uit de industrie heeft het initiatief genomen voor meetings met de Europese Commissie ten aanzien van dit onderwerp. Het resultaat is een document “Draft Code of conduct on privacy for mobile health applications” (“Code of Conduct”). Doel van deze Code of Conduct is om ontwikkelaars van gezondheidsapps handvatten te bieden zodat de ontwikkeling voldoet aan geldende privacy wetgeving. De Code of Conduct verwoordt dit als volgt:
“This Code has been developed with these goals in mind: it provides an accessible and effective tool to ensure that mobile health apps have been properly developed, and that they can be entrusted with data concerning health in a manner that complies with European legal principles of data protection law.”
In de Code of Conduct worden “data concerning health” gedefinieerd als alle data gerelateerd aan de fysieke of mentale gezondheid van een persoon, of aan het aanbieden van gezondheidsdiensten aan een persoon.
De Code of Conduct bevat verder tips aan ontwikkelaars van gezondheidsapps, waaronder:
–praktische richtlijnen omtrent het verkrijgen van toestemming van gebruikers van apps;
–een overzicht van de basis principes waaraan moet worden voldaan voordat een gezondheidsapp openbaar gemaakt kan worden;
–welke informatie verstrekt moet worden aan gebruikers voordat ze de app kunnen gebruiken;
–hoe lang de data kan worden opgeslagen;
–wat te doen in het geval van een datalek; en
–op welke wijze gewaarborgd kan worden dat alle beveiligingsmaatregelen passend zijn in relatie tot de type en de aard van de verwerkte data.
Om te testen of een ontwikkelaar voldoet aan de voorschriften uit de Code of Conduct is er in de bijlage een zogenaamde ‘Privacy Impact Assessment’ opgenomen. Aan de hand van deze vragenlijst kan een ontwikkelaar beoordelen of hij aan de Code of Conduct voldoet en dus voor wat betreft de privacy en verwerking van persoonsgegevens zijn zaken op orde heeft.
De Code of Conduct ligt momenteel voor beoordeling bij de Artikel 29-werkgroep. Het is nu afwachten wat de Artikel 29 Werkgroep van de Code of Conduct vindt.
Lees hier meer informatie over de concept Code of Conduct.
