Privacy-organisatie klaagt bij EU-instanties om databeleid Fitbit
De privacy-organisatie None of your business heeft bij toezichthouders in de EU een klacht ingediend over de manier waarop smartwatchmaker Fitbit gebruikers om toestemming vraagt voor het opslaan van hun data en waar deze wordt opgeslagen.
Gebruikers van smartwatches van Fitbit moesten - om het slimme horloge te kunnen gebruiken - toestemming geven voor het opslaan van hun data. Die data wordt echter opgeslagen op servers buiten de Europese Unie en dat mag niet zonder dat daar expliciet toestemming voor is gevraagd.
Bovendien kunnen gebruikers die toestemming - na eenmaal akkoord te hebben gegeven - niet meer terugtrekken. Volgens de Oostenrijke organisatie None of your business (noyb) wil Fitbit ook niet duidelijk maken waar die gegevens precies wordt opgeslagen.
Akkoord geven bij aanmaken account
Wanneer je een account aanmaakt bij Fitbit, zijn Europese gebruikers verplicht om "in te stemmen met de overdracht van hun gegevens naar de Verenigde Staten en andere landen met verschillende gegevensbeschermingswetten", aldus noyb. Dit betekent dat de gegevens terecht kunnen komen in elk land ter wereld, die niet dezelfde privacybescherming kennen als landen in de EU.
Volgens de organisatie dwingt Fitbit hiermee zijn gebruikers om in te stemmen met het delen van gevoelige gegevens zonder hen duidelijke informatie te geven over mogelijke gevolgen of naar welke specifieke landen hun gegevens gaan. Hierdoor is de toestemming niet vrij, geïnformeerd of specifiek - wat betekent dat de toestemming duidelijk niet voldoet aan de eisen van de GDPR.
Volgens het privacybeleid van Fitbit omvat de gedeelde informatie niet alleen zaken zoals het e-mailadres, de geboortedatum en het geslacht van een gebruiker. Het bedrijf kan volgens Noyb ook "gegevens zoals logs voor voeding, gewicht, slaap, water, of het volgen van vrouwelijke gezondheid; een alarm; en berichten op discussieborden of naar je vrienden op de diensten" delen.
Betalen om je gegevens te delen
Volgens Maartje de Graaf, gegevensbeschermingsadvocaat bij noyb moet je betalen om je data vrij te geven. “Eerst koop je een Fitbit horloge van zo'n 100 euro. Vervolgens meld je je aan voor een betaald abonnement, om er vervolgens achter te komen dat je 'vrijelijk' moet instemmen met het delen van je gegevens met ontvangers over de hele wereld. Vijf jaar na de invoering van de GDPR probeert Fitbit nog steeds een take it or leave it-benadering te handhaven.” Die verzamelde gegevens kunnen zelfs gedeeld worden voor verwerking met derde bedrijven waarvan we niet weten waar ze zich bevinden. Bovendien is het voor gebruikers onmogelijk om te achterhalen welke specifieke gegevens worden getroffen.
Klachten liggen bij EU-instanties
Noyb heeft bij drie Europese landen een klacht neergelegd bij de verantwoordelijke organisaties. De klachten liggen respectievelijk bij de Oostenrijkse Datenschutzbehörde, de Nederlandse Autoriteit Persoonsgegevens en het Italiaanse Garante per la protezione dei dati Personali en zijn gericht aan de Ierse tak van Fitbit. De organisatie wil dat Fitbit inzichtelijk maakt wat er met de opgeslagen data gebeurt en dat het mogelijk moet worden om de Fitbit te gebruiken zonder dat de verzamelde data wordt gebruikt.