Spelers hoeven Pokémon Go-app niet open te hebben om eieren uit te laten komen

Het is vanaf binnenkort niet langer nodig om de Pokémon Go-app open te laten staan op een smartphone om de game de afstand te laten detecteren die gebruikers lopen. Dat meldde Tweakers vorige week. Met deze vernieuwing wordt het mogelijk Pokémon-eieren uit te laten komen. Die gebeurtenis in het augmented reality-spel vereist dat je een zeker aantal stappen hebt genomen in de echte wereld, en met de nieuwe feature wordt deze informatie uitgelezen uit je Google Fit data, het Google-platform voor fitness- en gezondheidsdata. Leuk verzonnen, maar gaat dat juridisch wel goed?

Google Fit is een platform dat gezondheidsinformatie verzamelt van apparaten en apps zoals Runkeeper of de Nike Fuelband-armband. Denk aan hartslag, aantal stappen of verbrande calorieën. Iedere app op een Android-telefoon of tablet kan via een gestandaardiseerde API deze informatie opvragen en voor eigen doeleinden aanwenden. Niantic had in de Pokémon Go app al langer de feature dat je na een flinke wandeling virtuele eieren liet uitkomen, en implementeert dat nu opnieuw met deze API zodat je niet steeds de Go-app open hoeft te houden. Handig: kun je je ogen op de weg houden, om eens wat te noemen.

Juridisch is dit wel een uitdaging: data als deze worden onder de AVG al heel snel gezien als gezondheidsgegevens, oftewel “persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”. Daaronder vallen ook gegevens over je fysieke fitheid, en dat is dus zo ongeveer alles dat Google Fit van je bijhoudt.

Op zich geen ramp, want die gegevens mag je laten inzetten zolang je er maar specifieke uitdrukkelijke toestemming voor geeft. Dat wil zeggen, het moet apart worden gevraagd (dus niet in de gebruiksvoorwaarden benoemd), uitdrukkelijk worden gegeven (dus niet afgeleid uit instemming met iets anders of gebruik van de feature) en in vrijheid kunnen geweigerd. Oh, en je moet uitleggen hoe het precies werkt en wat er gebeurt. Oh, en je moet de toestemming eenvoudig ook weer in kunnen trekken natuurlijk.

Deze feature staat standaard uit, en je moet hem zelf aanzetten. Ik heb de feature zelf nog niet kunnen evalueren maar op het eerste gezicht lijkt het me dat dit prima AVG-compliant te regelen moet zijn.

Alleen: wat doe je met minderjarigen? Bij spelers van dit spel is de kans reëel dat je te maken hebt met personen onder de 16, en volgens de AVG heb je dan ouderlijke toestemming nodig in plaats van hun eigen toestemming. Als aanbieder moet je ook nog eens nagaan of die werkelijk gegeven wordt, of dat het een kind is dat “het mag, groetjes mijn vader” zegt.

Dat is natuurlijk iets dat nooit gebeurt bij apps als deze, maar het is wel een serieus aandachtspunt. Ik moet wel zeggen dat ik bij gratis apps niet zo goed weet hoe dit te doen. Je kunt moeilijk vragen om een betaling met creditcard, en bij dit volume aan spelers is persoonlijk nabellen en luisteren of je werkelijk een volwassen stem hoort, ook niet echt een optie. Maar hoe dan?

Arnoud

12 reacties

  1. Laat je een betaling van 1 cent doen voor deze feature. Of een identiteitsbewijs uploaden waar enkel de naam en geboortedatum van zichtbaar is. Want een stem is soms lastig in te schatten als volwassen. Via een camera naar iemand kijken terwijl deze persoon toestemming geeft lijkt mij ook lastig.

    Het argument we hebben veel spelers en daarom kan het niet ga ik niet in mee. Het is niet een feature die je verplicht moet inbouwen en met veel spelers hebben ze waarschijnlijk ook een redelijke omzet en als ze geluk hebben ook winst. Ik zou het dus eerder als lastig voor kleine organisaties zien.

    1. Precies mijn eerste gedachte, maar je kan natuurlijk die betaling doen met een prepaid creditcard die je bij de supermarkt kan kopen.

      En het uploaden van een kopie van je paspoort lijkt mij juist een grotere privacyimpact hebben dan de privacyimpact waar we mee begonnen waren.

      Je zou bijna medelijden krijgen met de spelaanbieders die zich netjes aan de AVG willen houden…

  2. De meest simpele oplossing is natuurlijk om APPS waarvan te verwachten valt dat deze door mijn meerjarigen gebruikt gaan worden niet toe te staan om dit soort gevoelige data te verzamelen, daar er ook geen zwaarwegend belang is.

  3. Kinderen kunnen inloggen met een zogenoemd “Niantic Kids”-account. Ouders hebben zo invloed op de privacy van hun kinderen (zie bijvoorbeeld https://pokemongolive.com/en/post/niantickids/) Afhankelijk van hoe Niantic het feitelijk gaat implementeren (de feature is er immers nog niet; alles wat er tot nu toe is, is ‘gelekt’, maar nog niet functioneel), zou het uitsluiten van deze kids-account dit niet oplossen?

      1. Mensen kunnen nog steeds ‘gewoon’ zichzelf registreren. In hun privacy policy (https://www.nianticlabs.com/privacy/) geven ze aan dat kinderen de service niet mogen gebruiken, tenzij ze toestemming hebben. Daarnaast geven ze aan: “If we learn that we have collected Personal Data of a child, and we do not have parental consent, we will take steps to delete such information from our files as soon as possible.”

        In hoeverre dit in praktijk gaat werken, is een tweede. Evenals iedere andere betrouwbare controle vooraf op leeftijd is dit een lastige.

        1. voor zover mij bekend is het inderdaad mogelijk om een valse geboortedatum aan te geven en zo een normale volwassenen account aan te maken. Veel kinderen van medespelers hebben dit gedaan. Als je eerlijk bent geweest staan bepaalde funcites voor onder de 13 al uit (friends en trading). Ik denk dat Niantic zich zal verhullen achter, tja als mensen deze regels zelf overtreden hebben wij geen schuld. Maar of dat juridisch stand houdt.

          Ik zou veel liever zien dat er een parental consent wordt ingebouwd voor deze functies. Er zijn immers al kinder accounts onder volwassen/ouderaccounts. Op dit moment is het aantrekkelijk een valse datum op te geven omdat niantic nu gewoon functies uitzet voor kinderen. Met parental consent ondervang je het toestemmingsgebeuren en is het veel minder aantrekkelijk een foute geboorte datum op te geven.

  4. Zoals het gepresenteerd werd, gaat het om de stappentellerfunctie van dergelijke apps. Gezien Pokémon Go zelf gebruik maakt van de GPS, lijkt me een stappenteller minder privacygevoelig dan een GPS locatie. Of Niantic door de koppeling met die apps ook andere gegevens kan uitlezen, weet ik niet, maar lijkt me in ieder geval niet de bedoeling. Overigens wordt er gewerkt aan een alternatief voor rolstoelgebruikers (wat bewijst dat ze alleen de stappen tellen, gezien er anders geen oplossing hoeft te komen), wat wellicht wat gevoeliger ligt?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.