Privacybeleid onder de loep: Hoe privé is Apple Pay?

Naast contactloos betalen kun je sinds kort ook betalen met Apple Pay. Iedere gebruiker van een Apple Watch of een iPhone 6 of hoger kan (na activatie van Apple Pay) met de telefoon of smartwatch betalen. Maar hoe privé is dat eigenlijk? We namen er het privacybeleid van de dienst voor onder de loep.

Voordat we verder gaan is het eerst belangrijk om te weten hoe het wettelijk zit met je financiële data. De Algemene Verordening Gegevensbescherming (hierna: ‘AVG’ of ‘privacywet’) maakt onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn verboden om te gebruiken, tenzij één van de uitzonderingen uit de privacywet geldt. Financiële data zijn geen bijzondere persoonsgegevens, maar vallen wel onder ‘gevoelige persoonsgegevens’. Dit is een soort tussencategorie, waar extra voorzichtigheid mee is geboden, maar waarvan het gebruik wel mag.

Zo zou een aanbieder uit transactiegegevens kunnen afleiden wat bijvoorbeeld de religie, gezondheidstoestand, politieke overtuiging of het geslacht van de betaler is. Denk aan de aankoop van halalvlees, medicijnen of de contributie van een lidmaatschap. Dit zijn allemaal bijzondere persoonsgegevens, die niet verwerkt mogen worden, tenzij er een wettelijke uitzondering geldt.

Bij gebruik van Apple Pay, is Apple verplicht om gebruikers te informeren over de doeleinden en de grondslag van de gegevensverwerking. Daarnaast dient Apple bij het gebruik van bijzondere persoonsgegevens toe te lichten onder welke wettelijke uitzondering dit valt. In de privacyverklaring op de website vinden we hier niets over terug. Pas wanneer je als gebruiker vanuit de Wallet zelf een betaalpas toevoegt, vind je in het ‘Device Privacy Statement’ meer informatie.

Apple vermeldt bijvoorbeeld voordat je een betaalpas toevoegt het doel van de gegevensverwerking, maar de grondslag hiervan blijft achterwege. Voor meer informatie verwijst Apple naar de website, waar je meer algemene informatie over de verwerking van persoonsgegevens kunt vinden – en waar wij juist vandaan kwamen.

Informatie over de grondslag voor de gegevensverwerking vinden wij, zo op het eerste gezicht, niet op de website. Natuurlijk is het voor een bedrijf aan te raden om zijn privacyverklaring gelaagd te maken, zodat gebruikers niet afhaken door een overdaad aan informatie. Maar tegelijkertijd moet de informatie daardoor niet onvindbaar zijn. De privacywet verplicht namelijk dat de informatie ‘gemakkelijk toegankelijk’ hoort te zijn.

Beveiliging

Apple informeert in de privacyverklaring op de website wel vrij uitgebreid over de beveiligingsmaatregelen die het neemt om te voorkomen dat ze direct inzage hebben in de transactie- en kaartgegevens. Apple geeft aan dat ze geen toegang hebben tot originele nummers van creditcards, bankpassen of andere betaalkaarten. Alleen een deel van de kaartnummers, een beschrijving en een deel van het apparaatnummer worden bewaard. Daarnaast worden transactiegegevens waaruit de gebruiker herkent kan worden, niet bewaard.

Informatie over wat er is gekocht, wanneer en door wie is alleen toegankelijk voor de winkelier, de bank en de gebruiker. Hoe gaat dat in zijn werk? De betaalpas wordt gecodeerd met een sleutel die door betaalproviders kan worden ontgrendeld. Nadat de kaart door de bank is goedgekeurd, wordt een nummer aangemaakt dat uniek is voor het apparaat van de gebruiker. Dit nummer (en andere gegevens) wordt teruggestuurd naar Apple. Het nummer wordt bewaard op het apparaat van de gebruiker in een beveiligde, gecertificeerde standaardchip. Transactiegegevens en Wallet-gegevens worden gecodeerd door middel van ‘end-to-end-codering’.

Apple maakt bij gegevens die het ontvangt in het kader van Apple Pay gebruik van pseudonimisering. Bij deze techniek is het voor Apple bij een betaling niet (direct) duidelijk om wie het gaat. Toch kunnen deze gegevens in theorie met de juiste sleutel weer worden herleid. Daardoor is de AVG op deze gegevensverwerking van toepassing. Apple treft maatregelen om ervoor te zorgen dat toegang tot de sleutel wordt beperkt, het gehele kaartnummer wordt bijvoorbeeld alleen maar in het apparaat opgeslagen. Apple heeft daar zelf geen toegang toe.

Bedrijven zijn vanuit de AVG verplicht om technische- en organisatorische beveiligingsmaatregelen te treffen bij de verwerking van persoonsgegevens. Maar Apple is niet verplicht om gebruikers te informeren welke dat zijn. Door hier open over te zijn, zorgt Apple voor meer vertrouwen bij de gebruiker en draagvlak voor de dienst.

Studentenkaarten

Uit het Device Privacy Statement blijkt dat een gebruiker ook studentenkaarten kan toevoegen aan de Wallet. Op sommige universiteiten is het mogelijk te betalen met de studentenkaart, bijvoorbeeld voor printjes. Apple vermeldt dat het de foto van de studentenkaart opslaat en aan het iCloud-account toevoegt.

Maar vanuit de AVG mag Apple alleen persoonsgegevens verwerken wanneer die noodzakelijk zijn voor het doel waarvoor ze gegeven werden. Apple mag daarnaast niet meer persoonsgegevens verwerken dan strikt noodzakelijk is. Waarom het toevoegen van de foto aan het iCloud-account precies noodzakelijk is, wordt in de privacyverklaring niet toegelicht. De overige gegevens (nummer studentenkaart, naam en factuuradres voor Apple-account en apparaat informatie) zijn waarschijnlijk al voldoende om de betalingsmogelijkheid te activeren.

Conclusie

Samengevat:

+/- De informatie over de verwerking van persoonsgegevens bij gebruik van Apple Pay is verspreid over het Device Privacy Statement en de privacyverklaring op de website. Dit maakt de informatievoorziening voor gebruikers minder transparant en minder toegankelijk. Mede daardoor is onduidelijk wat de grondslag is voor de verwerking van persoonsgegevens voor Apple Pay.

+ Apple heeft technische maatregelen getroffen zodat het niet direct toegang heeft tot de betaalgegevens van de gebruikers. Apple informeert uitdrukkelijk over maatregelen zoals pseudonimisering.

- Bij het toevoegen van de studentenkaart verwerkt Apple ook de pasfoto die daarop staat. Deze verwerking is naar alle waarschijnlijkheid niet noodzakelijk voor de doeleinden van Apple Pay. In het kader van dataminimalisatie dient Apple de foto dan ook niet te verwerken.

Met Apple Pay is betalen (weer) een stuk eenvoudiger. Daartegenover staat wel dat een techgigant als Apple nog meer persoonlijke data tot zijn beschikking krijgt, wat privacyrisico’s met zich brengt.

Op het gebied van marktwerking zijn er ook risico’s. De toetreding van grote techbedrijven op de Nederlandse betaalmarkt kan invloed hebben op de eerlijke concurrentie. De sterke positie van deze techbedrijven zorgt er mogelijk voor dat kleine bedrijven moeilijk kunnen toetreden tot de betaalmarkt. De Autoriteit Consument & Markt (ACM) is een onderzoek gestart naar de plannen die techbedrijven als Apple hebben op de Nederlandse betaalmarkt en het effect daarvan op concurrentie. Halverwege 2020 worden de resultaten van het onderzoek verwacht.

Tekst:Jacintha van Dorp en Jesse Vermeij (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Smartphones

Tags: apple, privacy, financieel, avg