Privacybeleid Ring: Is de video-deurbel veilig?

Videodeurbellen wordt steeds populairder. Maar sommige modellen filmen meer dan strikt noodzakelijk is. Privacywaakhonden plaatsen er dan ook kanttekeningen bij. Is een video-deurbel veilig? We nemen er het privacybeleid van Ring er op na, als een van de grootste aanbieders van dit soort apparaten.

We kunnen het niet vaak genoeg benadrukken: een privacybeleid moet begrijpelijk en transparant zijn. Het doel van de verplichting om te informeren, is dat de lezer begrijpt welke gegevens over hem of haar worden verzameld en gebruikt. Soms moeten in het privacybeleid daarom bepaalde termen worden verduidelijkt, zeker wanneer de doelgroep bijvoorbeeld kinderen betreft.

Ring heeft in haar privacy statement geprobeerd bepaalde termen uit de AVG duidelijker uit te leggen. Zo spreekt Ring van ‘gegevensbeheerder’ in plaats van ‘verwerkingsverantwoordelijke’. Echter, de terminologie wordt niet consequent doorgevoerd, omdat verderop toch weer de term ‘verantwoordelijke’ gebruikt wordt. Bovendien legt Ring niet uit wat er precies met deze juridische termen wordt bedoeld. Dat doet helaas af aan de begrijpelijkheid van het stuk.

Wat ons verder opvalt aan het privacybeleid van Ring, is dat Ring ook informeert over persoonsgegevens die zij gebruikt in het kader van haar rol als verwerker. Op grond van de AVG is alleen de verwerkingsverantwoordelijke verplicht om over gegevensverwerkingen te informeren. Bovendien kan dit leiden tot zogenoemde ‘informatiemoeheid’ en daarmee doet het wederom af aan de begrijpelijkheid van het document.

Ring informeert de consument ook dat de consument ‘gegevensbeheerder’ is voor o.a. het maken van video- of audio-opnamen, live video- of audiostreams en het invoeren van gezichtsherkenning. Deze rolverdeling impliceert dat de consument als verwerkingsverantwoordelijke, zijnde degene die aanbelt, moet informeren over de verwerking van persoonsgegevens. Ook is de consument er verantwoordelijk voor om de deurbel zodanig in te stellen dat er zo min mogelijk van de openbare ruimte in beeld komt. De openbare ruimte mag namelijk niet zomaar permanent in beeld worden gebracht.

Wie is de verwerkingsverantwoordelijke?

Wellicht ten overvloede: een ‘verwerkingsverantwoordelijke’ is verantwoordelijk voor de gegevens die worden verzameld en bepaalt waarom en hoe de gegevens worden verzameld en gebruikt. De meeste verplichtingen uit de privacywet (AVG) rusten op de verwerkingsverantwoordelijke.

Een ‘verwerker’ wordt ingeschakeld door de verwerkingsverantwoordelijke om op basis van diens instructies een bepaalde opdracht uit te voeren. Voor het uitvoeren van de opdracht krijgt de verwerker gegevens van de verwerkingsverantwoordelijke. Het gebruik van de gegevens vindt plaats namens de verwerkingsverantwoordelijke en die blijft in principe ook altijd eindverantwoordelijk voor het verwerken van de gegevens. Een voorbeeld van een verwerker is een clouddienst die in opdracht van een gebruiker gegevens opslaat.

Grondslag van de verwerking

Bedrijven mogen persoonsgegevens alleen gebruiken als zij daar een reden voor hebben. Dat wordt in de AVG een ‘grondslag’ genoemd. In het privacybeleid dient een bedrijf vervolgens uitleg te geven op basis van welke grondslag gegevens worden verzameld. Voorbeelden van grondslagen zijn het geven van toestemming, het sluiten/uitvoeren van een overeenkomst, gerechtvaardigd belang of het uitvoeren van een wettelijke verplichting. Een bedrijf hoeft alleen over de grondslagen te informeren waarvoor het bedrijf als ‘verwerkingsverantwoordelijke’ kan worden aangemerkt.

Ring informeert in haar privacybeleid wel welke gegevens worden verzameld en waarvoor Ring deze gegevens nodig heeft, maar in de meeste gevallen is niet of niet duidelijk op welke grondslag Ring het verzamelen van gegevens baseert. Wanneer Ring de persoonsgegevens verzamelt op basis van haar gerechtvaardigde belangen, dient bovendien te worden uitgelegd wat het gerechtvaardigde belang van Ring dan is en waarom dat zwaarder weegt dan het belang van de gebruikers of websitebezoekers. In bepaalde gevallen kan er ook voor worden gekozen om de consument meer informatie te laten opvragen over deze belangenafweging. Nu de grondslag ontbreekt, ontbreekt de informatie over het belang van Ring ook.

Bovendien vraagt Ring om toestemming van de consument voor een dienst waarvoor zij naar eigen zeggen als ‘verwerker’ kan worden aangemerkt. Toestemming is een zogenoemde grondslag in de zin van de AVG. Als Ring de persoonsgegevens alleen ten behoeve van de consument gebruikt, kan Ring als verwerker ‘meeliften’ op de grondslag van de consument. Apart om toestemming vragen is dan niet nodig.

Delen van gegevens

Ring informeert in haar privacybeleid dat persoonsgegevens kunnen worden gedeeld met gelieerde bedrijven en dochterondernemingen en dienstverleners, bijvoorbeeld op het gebied van orderverwerking en analyse en de opslag van gegevens. Op basis van de AVG is dat echter niet voldoende: alle (namen van de) feitelijke ontvangers van de persoonsgegevens, of categorieën persoonsgegevens, moeten worden verstrekt.

Ring zou er ook voor kunnen kiezen om niet de namen te noemen, maar de gebruiker alleen over de categorieën van ontvangers te informeren. Dan dient wel het type ontvangers, de industrie, de (sub)sector en de locatie van de ontvangers te worden aangeduid. Hieraan heeft Ring niet (volledig) voldaan.

Conclusie

Laten we eerst de belangrijkste punten nog even opsommen:

- Ring informeert niet volledig over de grondslagen (redenen) op basis waarvan persoonsgegevens worden verwerkt. Dit is wel verplicht.

+/- In het privacybeleid wordt maar beperkt gespecificeerd wie de ontvangers van de persoonsgegevens zijn.

+/- Ring heeft geprobeerd om door middel van afwijkende termen dan in de wet genoemd worden het privacybeleid begrijpelijker te maken. Omdat de termen niet consequent worden toegepast, leidt dit helaas niet tot een helderder stuk. Daarnaast informeert Ring over verwerkingen waarvoor zij zich volgens haarzelf als verwerker kwalificeert. Dat is niet verplicht en kan leiden tot informatiemoeheid bij de lezer.

Niet alleen bij de slimme deurbel an sich, maar ook op het privacybeleid van Ring valt nog het een en ander aan te merken. Ring heeft geprobeerd het document duidelijk te maken voor de lezer, maar zou hier nog wel wat stappen in kunnen maken. Te beginnen met de rol die Ring zichzelf toebedeeld. Ring noemt zichzelf zowel ‘verantwoordelijke’ als ‘gegevensbeheerder’, zonder daarmee duidelijk te maken wat deze kwalificaties exact inhouden.

Opvallend is dat Ring ook informeert over haar rol als verwerker. Bij gebruik van de deurbel wijst Ring erop dat de consument zelf verwerkingsverantwoordelijke is. Als deze rolverdeling inderdaad klopt, komt dit erop neer dat de consument als verwerkingsverantwoordelijke ook informatie moet verschaffen over het gebruik van de slimme deurbel, bijvoorbeeld door middel van een waarschuwingssticker. Daarnaast dienen de grondslag van de verwerking en de informatie over de categorieën van ontvangers te worden aangevuld.

Tekst:Jacintha van Dorp en Jesse Vermeij (SOLV advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: privacy, iot, ring