GDPR
In het volgende zullen we antwoorden bieden op de meest dringende onderwerpen met betrekking tot privacy, beveiliging, GDPR en dergelijke. Deze informatie wordt regelmatig bijgewerkt om onze visies, huidige inspanningen en routekaart met betrekking tot deze zaken te weerspiegelen.
We erkennen dat locatiegegevens gevoelige informatie zijn, dus we nemen privacy zeer serieus. Het domein van locatie waarin we werken, is historisch gezien beheerd door ad tech-bedrijven die locatiegegevens verzamelen en monetariseren zonder een 'privacy by design'-mentaliteit. Het is onze ambitie en dagelijks gedrag om deze zaken op een andere manier aan te pakken.
Het begint allemaal met zo open en transparant mogelijk te zijn. Daarom worden hieronder enkele veelgestelde vragen beantwoord. Mocht u aanvullende vragen hebben, neem dan gerust contact met ons op via privacy@accurat.ai.
Unless expressly agreed otherwise, the Client acknowledges that the language of this policy shall also be the language of communication in all commercial transactions with Accurat, or that the Client understands the language of these policies. The English language version of this policy shall be the only authentic one. Translations or documents drawn up in another language are provided as a mere convenience towards the Client.
Wat is onze rol op het gebied van locatie?
Ons doel is om onze uitgeverklanten te helpen geweldige productervaringen te creëren met locatiecontext, of dat nu via gepersonaliseerde inhoud of relevante advertenties is. We verkopen geen enkele data die we verzamelen, en we delen geen locatiegegevens met andere klanten.
We hebben echter een 'inzichten delen-partnerschap', dat de gegevens van eindgebruikers van verschillende klanten samenbrengt om een geaggregeerd overzicht te geven van gedragspatronen in de echte wereld van eindgebruikers. Dit helpt merken om hun doelgroepen beter te begrijpen en hun diensten dienovereenkomstig te verbeteren. Er worden nooit persoonlijke gegevens gedeeld en onze clusteringsalgoritmen vereisen minstens 50 gebruikers.
Welke gegevens verzamelen we?
We verzamelen in eerste instantie gegevens over de gebruiker, zoals zijn advertentie-id, toestemmingsstatus en locatietoestemming. Zodra de tracking begint - voor gebruikers die hebben ingestemd en locatietoestemming hebben ingeschakeld - verzamelen we locatiegegevens. Afhankelijk van verschillende optimalisatie-instellingen verzamelen onze algoritmen meerdere gegevenspunten per uur. De verzamelde gegevens bevatten breedte- en lengtegraad (coördinaat), het advertentie-id, een tijdstempel, het besturingssysteem (Android vs iOS), de OS-versie (bijv. iOS 13.3.1), fabrikant van het apparaat (bijv. iPhone of Samsung), apparaat-id (bijv. A500), mobiel netwerk (bijv. Proximus) en WIFI-netwerk (in geval van een verbinding met een netwerk).
Meerdere gegevenspunten worden direct gebruikt voor het matchen van gebruikers (wanneer en waar), andere worden gebruikt om de tracking te optimaliseren (bijv. batterijoptimalisatie voor specifieke soorten apparaten) of om de kans op een bezoek te verbeteren (bijv. een WIFI-verbinding met 'Accurat' geeft een potentieel bezoek aan Accurat aan).
Verkopen we locatiegegevens?
De gegevens die we verzamelen voor onze klanten worden beschouwd als first party data. We verkopen geen enkele persoonlijke gegevens die we verzamelen. We delen ook geen locatiegegevens met andere klanten. Onze klanten zijn gebonden aan de wetten van de GDPR en mogen de persoonlijke gegevens alleen gebruiken voor de beoogde gebruiksdoeleinden waarvoor een gebruiker toestemming heeft gegeven. We volgen de toestemming op en slaan deze op in onze systemen met tracking van herzieningen om een duidelijk inzicht te hebben in de verleende rechten.
Hoe gaan we om met toestemming?
We volgen nooit gebruikers zonder hun expliciete toestemming. De tracking begint alleen nadat toestemming is verleend - of dat nu via onze geautomatiseerde flow is of de aangepaste integratie door onze klanten. Een voorbeeld van onze toestemmingsflow wordt hieronder beschreven. Een soortgelijke flow wordt gebruikt voor Android en steeds meer sinds Android 10 (locatietoestemming kan tijdelijk, in de app of altijd worden verleend).
Hoe vermijden we het volgen van minderjarigen?
We volgen alleen gebruikers met hun expliciete toestemming. Het is zeer moeilijk om te verifiëren of een gebruiker minderjarig is (of niet). We vertrouwen op een zeer duidelijke definitie van toestemming en privacybeleid of algemene voorwaarden van onze klanten om toestemming van minderjarigen te vermijden. Bovendien stoppen we met het volgen van een gebruiker als we ons ervan bewust worden dat deze mogelijk minderjarig is.
Gaan we om met de rechten van gebruikers?
We hebben een uitgebreide lijst van procedures om de rechten van de eindgebruikers die we volgen te behandelen. We geven hieronder kort ons aanpak weer:
- Het recht op informatie: alle gebruikers worden geïnformeerd via het privacybeleid en/of de algemene voorwaarden van onze klanten en expliciete bewoordingen in de verstrekte toestemmingschermen.
- Het recht op toegang: gebruikers kunnen een gegevensdump in een leesbaar formaat aanvragen over de gegevens die we verzamelen, opslaan en verwerken (zoals de doelgroepen waaraan ze zijn toegewezen).
- Het recht op rectificatie: gebruikers kunnen verzoeken om de gegevens die we van hen hebben verzameld bij te werken.
- Het recht om vergeten te worden: een gebruiker kan verzoeken om te worden vergeten en ons alle gegevens die we hebben verzameld en verwerkt te laten verwijderen.
- Het recht om de verwerking te beperken: we slaan toestemmingen voor individuele doeleinden apart op, zodat een gebruiker zijn voorkeuren voor verwerking kan wijzigen.
- Het recht op gegevensoverdraagbaarheid: de gegevensdump die we verstrekken om te voldoen aan het recht op toegang, is in een leesbaar formaat. Hoewel er een standaard ontbreekt voor locatiegegevens, maken we het zowel voor mensen als voor een computerprogramma gemakkelijk om de gegevens te interpreteren.
- Het recht om bezwaar te maken: het recht om bezwaar te maken wordt gelijk behandeld aan het 'recht om vergeten te worden'.
- Rechten met betrekking tot geautomatiseerde besluitvorming, inclusief profilering: het recht om niet te worden onderworpen aan besluiten die uitsluitend zijn gebaseerd op geautomatiseerde verwerking (inclusief profilering) die juridische gevolgen hebben (of een soortgelijk effect hebben). Accurat zal nooit locatiegegevens gebruiken om geautomatiseerde beslissingen te nemen die juridische gevolgen hebben voor gebruikers.
Hoe vermijden we het profileren van gebruikers met 'gevoelige gegevens' (bijv. religie, seksuele voorkeur, lidmaatschap van een vakbond, ...)?
Bij het matchen en profileren van gebruikers worden de coördinaten vergeleken met een zwarte lijst van gevoelige locaties. Als een gebruiker wordt beschouwd als een bezoek aan bijvoorbeeld een ziekenhuis, een kerk, het hoofdkantoor van een politieke partij of vakbond, wordt die match nooit opgeslagen in onze systemen.
Bovendien, als een klant een (tijdelijk) interessepunt wil maken dat zich bevindt waar onze zwarte lijst een locatie bevat, wordt deze POI nooit opgeslagen. Deze praktijk helpt ons om het profileren van gebruikers op basis van locaties die inzicht zouden kunnen geven in politieke of seksuele voorkeuren of de gezondheidstoestand van een gebruiker, te vermijden.
Wat is ons beleid inzake gegevensbewaring?
Als onderdeel van onze maatregelen voor gegevensbescherming beperken we de duur van de persoonlijke gegevens die we opslaan en verwerken. We bewaren uw gegevens alleen zolang als nodig is om onze diensten aan te bieden en te voldoen aan contractuele of wettelijke vereisten. Zodra de bewaartermijn verloopt, verwijderen we de gegevens veilig en we bekijken en werken regelmatig ons beleid inzake gegevensbewaring bij om ervoor te zorgen dat we alleen persoonlijke gegevens opslaan en verwerken zolang als nodig is.
Hebben we een ethische benadering van locatiegegevens?
We geloven dat elk bedrijf moet handelen volgens een 'privacy by design'-standaard. Bovendien hebben we enkele persoonlijke overtuigingen die we waardevol achten in een dergelijke zaak, waardoor we ervoor hebben gezorgd dat onze algoritmen gebruikers nooit profileren in specifieke doelgroepen die we als niet-ethisch beschouwen. Bijvoorbeeld, wanneer een gebruiker een casino bezoekt, slaan we deze informatie niet op, zodat wedkantoren gebruikers niet op deze manier kunnen targeten.
Hebben we serieuze maatregelen genomen op het gebied van beveiliging?
We hebben verschillende maatregelen genomen om de gegevens die we verzamelen, verwerken en opslaan te beschermen door best practices te volgen op het gebied van procedures - zowel administratief als fysiek (geen computers kunnen onbeheerd worden achtergelaten), versleuteling (HMAC), authenticatie van gebruikers (via OAuth), beperking van gegevensoverdracht (een of twee keer per dag gemiddeld), beperking van de toegang tot gegevens, beperking van vertrouwde bronnen (via IP-targeting of VPN-toegang), beperking van risico's door implementatie van TFA (two factor authentication), SSO-oplossingen (SAML 2.0) of door gegevens te deconstrueren en gescheiden op te slaan (bijv. locaties worden gescheiden opgeslagen van de advertentie-id van een gebruiker). U kunt hier alles over lezen in ons Beveiligingsbeleid.
Hebben we versleutelings- en authenticatieoplossingen geïmplementeerd?
De ruwe gegevens (coördinaten) worden opgeslagen in Big Query, waar standaard uitgebreide versleuteling plaatsvindt. Andere gegevens worden opgeslagen met een gebruikerstoken in plaats van de advertentie-id, waardoor het moeilijker wordt om de verbanden te leggen in geval van een inbreuk of iets dergelijks. Bovendien hebben we plannen om alle gegevens end-to-end verder te versleutelen.
Voor authenticatie gebruiken we HMAC - beschouwd als een van de beste authenticatiealgoritmen die op dit moment bestaan - voor onze SDK-API-verbindingen. Steeds vaker beperken we het gebruik van de API tot IP-adressen, gebruiken we VPN of de SDK voor specifieke apps. Alle verkeer is end-to-end versleuteld via SSL/TLS.
Wie is onze DPO?
Onze DPO is Tim De Bock, werkzaam als juridisch adviseur bij Deloitte België. Hij kan worden bereikt via dpo@accurat.ai.
Als u vragen heeft, neem dan contact op met: