Privacyorganisatie None of your Business (noyb) diende eind vorige week drie klachten in tegen Fitbit in zowel Oostenrijk, Nederland als Italië. In ons gaat de klacht naar de Autoriteit Persoonsgegevens.
Het populaire gezondheids- en fitnessbedrijf, sinds 2021 eigendom van Google, dwingt nieuwe gebruikers van de app om toestemming te geven voor gegevensdoorgifte buiten de EU. In tegenstelling tot de wettelijke vereisten, krijgen gebruikers niet eens de mogelijkheid om hun toestemming in te trekken. In plaats daarvan moeten ze hun account volledig verwijderen om de illegale verwerking te stoppen.
Gebruikers kunnen de doorgifte van persoonsgegevens dus niet omzeilen. Bij het aanmaken van een account bij Fitbit zijn Europese gebruikers verplicht om “in te stemmen met de overdracht van hun gegevens naar de Verenigde Staten en andere landen met andere wetten op het gebied van gegevensbescherming”. Dit betekent dat hun gegevens terecht kunnen komen in landen over de hele wereld die niet dezelfde privacybescherming hebben als de EU.
Dwingen
Fitbit dwingt zijn gebruikers dus om toestemming te geven voor het delen van gevoelige gegevens zonder hen duidelijke informatie te geven over mogelijke implicaties of de specifieke landen waar hun gegevens naartoe gaan. Dit resulteert in een toestemming die niet vrij, geïnformeerd of specifiek is – wat betekent dat de toestemming duidelijk niet voldoet aan de vereisten van de AVG.
Volgens het privacybeleid van Fitbit omvatten de gedeelde gegevens niet alleen zaken als het e-mailadres, de geboortedatum en het geslacht van een gebruiker. Het bedrijf kan ook gegevens delen zoals “logs for food, weight, sleep, water, or female health tracking; an alarm; and messages on discussion boards or to your friends on the Services”.
De verzamelde gegevens kunnen zelfs worden gedeeld voor verwerking met andere bedrijven waarvan we niet weten waar ze zich bevinden. Bovendien is het voor gebruikers onmogelijk om te achterhalen om welke specifieke gegevens het gaat. Alle drie de klagers hebben hun recht op inzage uitgeoefend bij de functionaris voor gegevensbescherming van het bedrijf – maar nooit een antwoord ontvangen.
Drie keer betalen
Maartje de Graaf, jurist gegevensbescherming bij noyb: “Eerst koop je een Fitbit-horloge van minimaal 100 euro. Dan schrijf je je in voor een betaald abonnement, om er vervolgens achter te komen dat je gedwongen wordt om “vrijwillig” in te stemmen met het delen van je gegevens met ontvangers over de hele wereld. Na vijf jaar AVG probeert Fitbit nog steeds een ’take it or leave it’-aanpak af te dwingen.”
Om te zorgen dat gebruikers van gedachten kunnen veranderen, geeft de AVG iedereen ook het recht om hun toestemming in te trekken. Tenminste in theorie. In het privacybeleid van Fitbit staat dat de enige manier om toestemming in te trekken het verwijderen van een account is.
Voor consumenten betekent dit dat ze al hun eerder bijgehouden workouts en gezondheidsgegevens kwijtraken. Dit geldt zelfs als je een premium abonnement koopt voor 79,99 euro per jaar. Hoewel deze functies de belangrijkste reden zijn om een Fitbit te kopen, is er geen realistische manier om de controle over je gegevens terug te krijgen zonder je product onbruikbaar te maken.
Bernardo Armentano, jurist gegevensbescherming bij noyb: “Fitbit wil dat je hen een blanco cheque geeft, waardoor ze je gegevens overal ter wereld naartoe kunnen sturen. Gezien het feit dat het bedrijf de meest gevoelige gezondheidsgegevens verzamelt, is het verbazingwekkend dat het niet eens probeert uit te leggen hoe het deze gegevens gebruikt, zoals de wet voorschrijft.”
Toestemming intrekken
Zelfs als er een manier was om toestemming in te trekken, zou Fitbit volgens de klacht van noyb nog steeds niet voldoen aan de Europese privacywetgeving. Volgens de AVG mag je toestemming alleen gebruiken als uitzondering op het verbod op gegevensdoorgifte buiten de EU. Dit betekent dat toestemming alleen een geldig doorgiftemechanisme kan zijn voor incidentele en niet-repetitieve gegevensdoorgiften. Fitbit gebruikt toestemming echter om alle gezondheidsgegevens routinematig te delen.
Romain Robert, een van de klagers: “Fitbit mag dan een leuke app zijn om je fitheid bij te houden, maar zodra je meer wilt weten over hoe er met je gegevens wordt omgegaan, vereist dit een marathon.”
Daarom vraagt noyb de Oostenrijkse, Nederlandse en Italiaanse gegevensbeschermingsautoriteiten om Fitbit te bevelen alle verplichte informatie over de gegevensdoorgiften met haar gebruikers te delen en hen in staat te stellen de app te gebruiken zonder toestemming te hoeven geven voor de gegevensdoorgiften. Op basis van de omzet van Alphabet (het moederbedrijf van Google) van vorig jaar, zouden de bevoegde autoriteiten ook een boete tot 11,28 miljard euro kunnen opleggen.
Fitbit zelf gaf tot nu toe geen reactie op de aanklacht.
Lees ook:
- De ‘snelle jongens’ van Quin Dokters
- Harnessing the Power of the Cloud