De voorwaarden stellen dat installatie van de app een criterium is voor deelname.
Als je bij punt 6 over het gebruik van persoonsgegevens kijkt dan zie je dat de verzamelde data voor wetenschappelijk onderzoek wordt gebruikt. Verder wordt naar de privacyvoorwaarden van De Verkeersonderneming verwezen, die op hun website te vinden zijn. Hoewel de PDF diverse links bevat naar uitvoerder VCCR Advies is een link naar De Verkeersonderneming kennelijk teveel gevraagd. De website is natuurlijk met een simpele zoekopdracht te vinden, maar het privacystatement staat niet op een logische plek, namelijk onder "Contact". Daar is de enige categorie van door hun verwerkte persoonsgegevens die hier van toepassing kan zijn "onderzoekgegevens na deelname aan enquête, onderzoek, test en/of experiment". Daar staat dat de resultaten uitsluitend geanonimiseerd worden ingezet voor analysedoeleinden en niet te herleiden zijn tot individuen.
Dat lijkt geen ruimte te laten om de gegevens voor controle op individuele deelnemers te verzamelen, alleen gebeurt dat wel degelijk. In punt 3.1 van de voorwaarden staat dat deelnemers steekproefgewijs worden gebeld ter validatie van de rittenregistratie, en in punt 8.2 ("overig") wordt gemeld dat locatiegegevens worden geregistreerd door de leverancier van de app en gebruikt worden voor controle van het gebruik.
De reageerders hierboven vinden het kennelijk allemaal duidelijk, ik vind het misleidend dat als je gericht naar het deel van de voorwaarden kijkt dat over persoonsgegevens gaat je tot de conclusie komt dat persoonsgegevens alleen geanonimiseerd voor wetenschappelijk onderzoek worden gebruikt, maar dat je in andere delen van de voorwaarden ziet staan dat er wel degelijk ook ander gebruik van persoonsgegevens is. Dat kan slordigheid zijn van mensen die niet doorhebben hoe je teksten moet structureren, dus de intentie hoeft niet te zijn om te misleiden, maar het effect is er wel.
Voor de AVG moet toestemming vrij en ondubbelzinnig zijn, en die voorwaarden doen behoorlijk afbreuk aan de ondubbelzinnigheid omdat ze rammelend zijn opgesteld. Maar bij toestemming geldt ook dat je die expliciet moet geven en dat ze niet als onderdeel van algemene voorwaarden gegeven moeten worden, dus hoe ondubbelzinnig het is hangt ook af van hoe het aanmeldformulier in elkaar zit. Op pagina twee daarvan staat[*]:
De registratie van de ritten vindt plaats via de Fynch app. Ik ben hiervoor in het bezit van een smartphone, voorzien van minimaal Androidversie 6.0 of IOS 9.0 (een iPhone 55 of nieuwer), ingebouwde GPS en een dataverbinding.
Daar moet je met "ja" of "nee" op antwoorden.
Volgens mij stem je daar helemaal niet in met de dataverzameling en zelfs niet met het gebruik van de app, maar geef je enkel aan dat je een smartphone bezit die daarvoor geschikt is. Die wordt weliswaar met het woord "hiervoor" gekoppeld aan de registratie (alsof je die smartphone hebt aangeschaft om hieraan mee te kunnen doen), maar dat is nogal indirect, je belooft niet met zoveel woorden hem er ook echt voor te gaan gebruiken en ook niet dat je accoord gaat met de dataverwerking en het doel ervan, alleen dat je je smartphone "hiervoor" hebt. Ik denk dat iedereen wel eens iets "ergens voor" heeft aangeschaft om het vervolgens in de praktijk nooit te gebruiken omdat het ook zonder bleek te gaan. Ik denk daarom dat dit niet goed genoeg is voor de AVG, die duidelijkheid en ondubbelzinnigheid vereist. Ook dit is slordig geformuleerd, het had veel scherper en duidelijker gekund.
Volgens het privacystatement van De Verkeersonderneming is verwerking op toestemming gebaseerd en kan je die op elk moment weer intrekken. Ik zie nergens als verwerkingsgrond voor waar het hier om gaat genoemd worden dat het noodzakelijk is voor de uitvoering van de overeenkomst. Maar als de toestemming niet noodzakelijk is voor de uitvoering van de overeenkomst dan houdt vrijelijk verlenen ervan in dat je toestemming ook mag weigeren en mag de uitvoering van de overeenkomst daar niet van afhankelijk zijn (dat staat expliciet in overweging 43 van de AVG). Ook hier rammelt iets.
Ik ben, voor alle duidelijkheid, geen jurist. Ik denk wel dat je een heel eind komt als je op het pietluttige af formuleringen in wetten en voorwaarden letterlijk neemt en niet meteen aanneemt dat ze wel zus of zo zullen bedoelen, die worden namelijk verondersteld precies en eenduidig te zijn. Ik vind wat ik hier dan tegenkom veel te rommelig en indirect, en ruimte geven voor alternatieve interpretaties. Of het met betere formuleringen iets had opgeleverd waar je het verwerken van die persoonsgegevens niet had kunnen weigeren weet ik niet te beoordelen, ik denk wel dat zoals het er nu staat veel beter had gekund en niet voldoet.
Ik zou overwegen hierover een melding of klacht bij de Autoriteit Persoonsgegevens te doen, zonder overigens te verwachten dat dat snel genoeg resultaat geeft om er praktisch iets aan te hebben.
[*] Ik heb niets ingevuld om pagina twee van het formulier zichtbaar te maken. Als je met de ingebouwde developer tools van Firefox (F12) naar het formulier kijkt blijkt die tweede pagina al aanwezig te zijn, alleen nog niet getoond te worden. Verwijder bij de CSS "display: none" en het het wordt zichtbaar.