Adfærdskodeks for beskyttelse af personlige oplysninger på mobile sundhedsapps

De første versioner af adfærdskodeksen for mobile sundhedsapps blev udarbejdet på baggrund af Europa-Kommissionens grønbog om mobil sundhed fra 2014. Høringen afslørede, at folk ofte ikke stoler på mobile sundhedsapps på grund af bekymringer om privatlivets fred.

Efter denne høring opfordrede Europa-Kommissionen industriens interessenter til at udarbejde en adfærdskodeks for beskyttelse af privatlivets fred i forbindelse med mobile sundhedsapps for at øge tilliden.

Målet var, at adfærdskodeksen skulle opnå en formel godkendelse fra de europæiske databeskyttelsesmyndigheder. I henhold til den nuværende generelle forordning om databeskyttelse (GDPR) henhører rollen som vurdering af koder under Det Europæiske Databeskyttelsesråds mandat. Kodekser, der er godkendt af Det Europæiske Databeskyttelsesråd, kan gives generel gyldighed i hele EU ved hjælp af en gennemførelsesretsakt.

Historie og nuværende status

Arbejdet med en adfærdskodeks for mobil sundhed begyndte i april 2015, da et redaktionsteam af industrimedlemmer begyndte at udvikle kodeksens tekst. Europa-Kommissionen har fungeret som formidler ved at levere juridisk og politisk ekspertise og ressourcer og føre tilsyn med udviklingen af dette arbejde.

Dette redaktionsteam omfattede App Association (ACT), App Developer Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm og Samsung. De arbejdede gennem regelmæssige møder og præsenterede arbejdet ved forskellige arrangementer for at få yderligere feedback. Visionen var, at kodeksen skulle være letforståelig for SMV'er og individuelle udviklere, som måske ikke har adgang til juridisk ekspertise.

Redaktionsgruppen forelagde i juni 2016 en tidlig udgave af arbejdet for Artikel 29-Gruppen med henblik på en første runde af feedback. Efter forskellige forslag til forbedringer fra gruppen blev kodeksen omarbejdet (.pdf) og formelt forelagt den 7. december 2017 med anmodning om godkendelse i henhold til databeskyttelsesdirektivet.

Gruppen offentliggjorde sin vurdering i april 2018. Den fandt, at kriterierne i den generelle forordning om databeskyttelse bør anvendes, og at den eksisterende kodeks endnu ikke i tilstrækkelig grad opfylder disse krav. Som følge heraf blev kodeksen ikke godkendt.

Næste skridt

Kommissionen er i dialog med en række interessenter i branchen for at tilskynde til videreudvikling af det nuværende udkast til kodeks, således at det i fremtiden kan forelægges Det Europæiske Databeskyttelsesråd for at anmode om en formel godkendelse.

Vigtigste bestemmelser for app udviklere

Det nuværende udkast til kodeksen består af praktisk vejledning til appudviklere om databeskyttelsesprincipper, samtidig med at der udvikles mobile sundhedsapps. Kodeksen omhandler navnlig følgende emner:

Brugers samtykke 

Brugerens samtykke til behandling af personoplysninger skal være gratis, specifikt og informeret. Der skal indhentes udtrykkeligt samtykke til behandling af sundhedsoplysninger. Enhver tilbagekaldelse af samtykke skal resultere i sletning af brugerens personoplysninger.

Formålsbegrænsning og dataminimering

Oplysningerne må kun behandles til specifikke og legitime formål. Kun data, der er strengt nødvendige for appens funktionalitet, må behandles.

Beskyttelse af personlige oplysninger gennem design og som standard

Privatlivets implikationer af appen skal overvejes på hvert trin i udviklingen, og hvor brugeren får et valg. App udvikleren er nødt til at forhåndsvælge det mindst privatliv invasive valg som standard.

Den registreredes rettigheder og oplysningskrav

Brugeren har ret til at få adgang til sine personoplysninger, anmode om rettelser og gøre indsigelse mod yderligere behandling. Appudvikleren skal give brugeren visse oplysninger om behandlingen.

Opbevaring af data 

Personoplysninger må ikke opbevares længere end nødvendigt.

Sikkerhedsforanstaltninger

Der skal gennemføres tekniske og organisatoriske foranstaltninger for at sikre fortroligheden, integriteten og tilgængeligheden af de personoplysninger, der behandles, og for at beskytte mod hændelig eller ulovlig tilintetgørelse, tab, ændring, videregivelse, adgang eller andre ulovlige former for behandling.

Annoncering i mobile sundhedsapps

Der skelnes mellem reklame baseret på behandling af personoplysninger (kræver opt-in-samtykke) og reklame, der ikke er baseret på personoplysninger (opt-out-samtykke).

Brug af personoplysninger til sekundære formål

Enhver behandling til sekundære formål skal være forenelig med det oprindelige formål. Yderligere behandling til videnskabelig og historisk forskning eller statistiske formål anses for at være forenelig med det oprindelige formål. Sekundær behandling til ikke-kompatible formål kræver et nyt samtykke.

Videregivelse af oplysninger til tredjeparter med henblik på behandling

Brugeren skal informeres inden offentliggørelse, og appudvikleren skal indgå en bindende juridisk aftale med tredjeparten.

Overførsel af data

For dataoverførsler til et sted uden for EU/EØS skal der være juridiske garantier, der tillader en sådan overførsel, f.eks. Europa-Kommissionens beslutning om tilstrækkeligheden af beskyttelsesniveauet, Europa-Kommissionens modelkontrakter eller bindende virksomhedsregler.

Brud på persondatasikkerheden

Koden indeholder en tjekliste, der skal følges i tilfælde af brud på persondatasikkerheden, navnlig forpligtelsen til at underrette en databeskyttelsesmyndighed.

Data indsamlet fra børn

Afhængigt af den aldersgrænse, der er fastsat i den nationale lovgivning, er det nødvendigt at anvende den mest restriktive tilgang til databehandling, og der skal indføres en procedure for at opnå forældresamtykke.