Privacy Samsung-smart-tv's onder de loep

In een recent verschenen Amerikaans rapport staat dat slimme televisies gevoelige gegevens doorsturen naar techgiganten als Amazon en Google. Zij ontvangen informatie over het kijkgedrag en het gebruik van de apparaten in het algemeen, waaronder locatiegegevens. Het rapport geeft aanleiding om eens een nadere blik te werpen op de privacyverklaring van producent Samsung.

Via een smart-tv kunnen fabrikanten nauwkeurig bijhouden wat iemand voor programma’s bekijkt en hoelang. Kijkgedrag levert interessante informatie op voor bedrijven, met name adverteerders. Zij gebruiken die gegevens om gerichte aanbiedingen te doen aan kijkers of advertenties te tonen. Deze informatie – die vaak persoonsgegevens bevat – mag niet zomaar aan derden worden gegeven. Op grond van de Algemene Verordening Gegevensbescherming (AVG, de privacywet) mogen deze gegevens alleen aan derden worden gegeven als dat tegemoetkomt aan een zogeheten grondslag uit de AVG. Bijvoorbeeld als de gebruiker zelf toestemming geeft voor het delen van zijn gegevens of als Samsung een gerechtvaardigd belang heeft daarbij.

Het doorgeven van gegevens moet een gerechtvaardigd doel hebben. Gegevens die voor een bepaald doel worden verzameld, mogen alleen aan derden worden gegeven als dat in lijn is met het oorspronkelijke doel. De kijker moet hier zo specifiek mogelijke informatie over krijgen, zodat hij weet wie de gegevens precies ontvangt. In de privacyverklaring van Samsung staat wie toegang krijgt tot de persoonsgegevens: gelieerde ondernemingen, zakenpartners en dienstverleners, maar ook andere partijen als de gebruiker daar toestemming voor geeft.

Onder ‘dienstverleners’ verstaat Samsung onder meer organisaties die ondersteunende diensten verlenen voor reclamedoeleinden. Welke partijen dit zijn, staat er niet. Samsung noemt wel wat voor soort bedrijven het zijn en in welke branche ze actief zijn. Dit zou uitgebreid kunnen worden met de precieze sector en de locaties van de dienstverleners, en informatie over welke persoonsgegevens die partijen precies krijgen.

Rechten van betrokkenen

Op grond van de AVG hebben de kijkers een aantal rechten, die ervoor zorgen dat zij controle kunnen uitoefenen op de verwerking van de persoonsgegevens. Zo moeten zij duidelijke informatie krijgen over hun rechten. Dat moet in de privacyverklaring staan, net als eventuele voorbehouden daarop en hoe de kijkers stappen kunnen ondernemen. In de privacyverklaring van Samsung staan de rechten van betrokkenen (kijkers), maar een duidelijke formulering en toelichting missen. Zo kan de kijker bijvoorbeeld vragen om ‘details te verstrekken over hetgeen we hebben verzameld’ maar ook ‘toegang vragen tot persoonlijke gegevens die wij hebben verzameld, zodat u deze voor uw eigen doeleinden kunt gebruiken’.

Het verschil tussen deze rechten valt uit de verklaring niet goed op te maken. Het lijkt hier te gaan om het recht van inzage en het recht op dataportabiliteit (recht om gegevens over te laten dragen aan een andere partij). Zonder verdere uitleg is dit niet duidelijk voor de gemiddelde kijker. Bovendien mist er informatie over welke beperkingen kunnen gelden op deze rechten en hoe en wanneer die gelden. Er staat alleen dat gegevens die vanwege een wettelijke verplichting bewaard moeten worden, niet verwijderd kunnen worden.

Doorgifte aan derde landen

Bedrijven kunnen er belang bij hebben hun persoonsgegevens door te geven aan landen buiten de Europese Economische Ruimte (EER) waar een ander regime voor persoonsgegevens geldt. De AVG schrijft daarom voor dat persoonsgegevens alleen bij een passend beschermingsniveau aan zulke landen mogen worden doorgegeven. De Europese Commissie heeft van een aantal landen vastgesteld dat het beschermingsniveau ‘passend’ is via een zogeheten adequaatheidsbesluit. Zonder zo’n besluit zijn er nog wel alternatieven om passende waarborgen te garanderen, zoals de inzet van modelcontracten met de buitenlandse partij die de gegevens ontvangt.

Samsung geeft in de privacyverklaring aan dat persoonsgegevens worden doorgegeven naar onder meer Zuid-Korea. Op de website van de Europese Commissie staat dat de gesprekken over een adequaatheidsbesluit met Zuid-Korea nog lopen. Dat betekent dat Samsung tot die tijd extra zekerheden moet inbouwen om de persoonsgegevens te beschermen. Samsung geeft aan modelcontracten te gebruiken. Een kopie daarvan is bij het bedrijf op te vragen. Samsung had de kijkers moeten informeren dat er voor Zuid-Korea (vooralsnog) geen adequaatheidsbesluit is afgegeven.

Eindoordeel

Zetten we onze bevindingen nog even kort op een rijtje:

- Samsung informeert kijkers met welke soort partijen het persoonsgegevens deelt, maar deze lijst is niet uitputtend en kan specifieker zijn. Daarnaast meldt Samsung niet welke persoonsgegevens er worden gedeeld.

- Samsung informeert summier over de rechten van kijkers. Het is daardoor niet altijd duidelijk wat de inhoud is van deze rechten en onder welke omstandigheden een beroep op de rechten niet mogelijk is.

- Samsung noemt expliciet dat het persoonsgegevens deelt met landen buiten de EER. Maar er staat niet of die betreffende landen beschikken over een passend beschermingsniveau. Het concern gebruikt modelcontracten, waarvan de inhoud op te vragen is.

Het gebruik van slimme apparaten is niet zonder risico’s. De apparaten zijn vaak slecht beveiligd, waardoor hackers gemakkelijk toegang kunnen krijgen tot privacygevoelige informatie. De door de slimme apparaten verzamelde informatie is bovendien waardevol voor de producent en andere commerciële partijen.

Uit een Amerikaans rapport bleek dat Samsung via de smart-tv persoonsgegevens deelt. Samsung informeert de kijker via de privacyverklaring wel over het delen met derden. Toch is niet helemaal helder in welke subsector deze bedrijven opereren en welke persoonsgegevens ze krijgen. Dit kan dus transparanter.

Tekst:Jacintha van Dorp en Jesse Vermeij (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Algemeen

Tags: samsung, tv, privacy