Noyb heeft geen goed woord over voor het privacy- en data-uitwisselingsbeleid van gezondheid- en fitnessbedrijf Fitbit. De stichting beweert dat moederbedrijf Google nieuwe gebruikers dwingt om akkoord te gaan dat hun gegevens in de VS en andere landen worden opgeslagen. Daarom heeft ze de privacytoezichthouders in Nederland, Oostenrijk en Italië gevraagd om gebruikers in staat te stellen om de app van het bedrijf te gebruiken zonder dat ze akkoord hoeven te gaan met gegevensdoorgifte.
Dat schrijft de Oostenrijkse privacystichting in een persverklaring.
Europese Commissie stemt in met acquisitie Fitbit door Google
Het is 2020 als Google kenbaar maakt interesse te hebben in Fitbit. Zowel consumentenorganisaties als belangenverenigingen waren bang dat hun gezondheidsgegevens op grote schaal zouden worden verzameld en doorverkocht aan derden voor advertentiedoeleinden. De Europese Commissie besloot daarop om een onderzoek in te stellen naar de acquisitie.
Google deed diverse toezeggingen om Fitbit in te lijven. Zo beloofde de zoekgigant dat de overname niet draaide om data, maar om apparaten. Gezondheidsgegevens van gebruikers zouden niet worden doorverkocht om gerichte advertenties aan te bieden. Tevens beloofde Google haar API’s open te stellen voor andere fabrikanten van fitnesstrackers. Consumenten waren dan niet verplicht om Google Fit als gezondheidsapplicatie te gebruiken als ze een Fitbit kochten.
De Europese Commissie concludeerde dat de beloftes van Google voldoende waren om de markt voor wearables open en competitief te houden. Doordat gebruikers niet verplicht zijn om hun gezondheidsgegevens met Google te delen, wordt hun privacy beschermd.
‘Fitbit dwingt gebruikers akkoord te gaan met data-uitwisselingsbeleid’
Op papier lijkt het alsof alles goed is geregeld. De praktijk is volgens Noyb een stuk weerbarstiger. Bij het aanmaken van een Fitbit-account zijn Europese gebruikers verplicht om in te stemmen met het data-uitwisselingsbeleid van Google. Daarin staat onder meer dat gezondheidsgegevens in de VS en andere landen kunnen worden opgeslagen, ook als Europeanen daar niet dezelfde privacybescherming genieten als in de EU.
“Met andere woorden: Fitbit dwingt zijn gebruikers om toestemming te geven voor het delen van gevoelige gegevens zonder hen duidelijke informatie te geven over mogelijke implicaties of de specifieke landen waar hun gegevens naartoe gaan. Dit resulteert in een toestemming die niet vrijelijk, geïnformeerd of specifiek is, wat betekent dat de toestemming duidelijk niet voldoet aan de vereisten van de AVG”, aldus Noyb.
Drie consumenten probeerden te achterhalen welke specifieke gegevens Fitbit van hen verzamelde. Geen van hen ontving een antwoord van het bedrijf, wat in strijd met het recht op inzage. Dat beginsel is vastgelegd in artikel 15 van de Algemene Verordening Gegevensbescherming (AVG). Daarop besloten ze om aan te kloppen bij de Oostenrijkse privacystichting.
‘Inzage in je gegevens vereist een marathon’
“Fitbit wil dat je hen een blanco cheque geeft, waardoor ze je gegevens overal ter wereld naartoe kunnen sturen. Gezien het feit dat het bedrijf de meest gevoelige gezondheidsgegevens verzamelt, is het verbazingwekkend dat het niet eens probeert uit te leggen hoe het deze gegevens gebruikt, zoals de wet voorschrijft”, betoogt privacyadvocaat Bernardo Armentano.
Noyb heeft aan de Nederlandse, Oostenrijkse en Italiaanse toezichthouders gevraagd om hier een stokje voor te steken. De stichting wil dat de privacywaakhonden Fitbit verplicht om alle informatie die het bedrijf heeft van haar gebruikers te delen. Ook eist de stichting dat gebruikers hun Fitbit-apparaat kunnen gebruiken zonder in te stemmen met het data-uitwisselingsbeleid.
“Fitbit mag dan een leuke app zijn om je fitheid bij te houden, maar zodra je meer wilt weten over hoe er met je gegevens wordt omgegaan, vereist dit een marathon”, zo zegt een van de aanklagers. Volgens berekeningen van Noyb kunnen de toezichthouders een boete opleggen aan Alphabet, het moederbedrijf van Google, van bijna 11,3 miljard euro.
