Felyx: Elektrische huurscooter-dienst zorgvuldig met privacy
Felyx is een populaire aanbieder van gedeelde elektrische huurscooters die zijn diensten aanbiedt in verschillende Europese steden via een app. Ook in steeds meer Nederlandse steden is de dienst te gebruiken. Een uitkomst om snel van A naar B te reizen, zeker nu de scooter niet op de oorspronkelijke plaats teruggezet hoeft te worden. In dit artikel gaan wij na hoe felyx informeert over de persoonsgegevens die het bedrijf bij het gebruik van de app verzamelt.
Kredietcheck (+)
Gebruikers dienen de felyx-app te downloaden en zich te registreren. Vervolgens kunnen zij via deze app gemakkelijk de locatie van de dichtstbijzijnde beschikbare scooter zien en deze reserveren. Als de gebruiker bij de scooter is, wordt de scooter ontgrendeld via de app en kan deze voor een vaste prijs per minuut gebruikt worden binnen het servicegebied. Felyx geeft aan dat het een kredietcheck kan laten uitvoeren door een derde partij die gespecialiseerd is in kredietrapportage. Het huren van scooters gebeurt namelijk tegen achterafbetaling en op deze wijze wil felyx wanbetaling voorkomen. De voor de kredietcheck benodigde gegevens geeft felyx als verwerkingsverantwoordelijke door aan deze derde partij. Door middel van het opgestelde profiel van de kredietwaardigheid van de gebruiker, kan felyx het risico op wanbetaling laten evalueren.
In de privacyverklaring informeert felyx over de kredietcheck. De informatie is opgenomen onder het kopje ‘Validatie, verificatie en geautomatiseerde besluitvorming’. Felyx lijkt in deze bepaling te impliceren dat het bedrijf op geautomatiseerde wijze beslist over de gevolgen die het verbindt aan de uitkomsten van de kredietcheck. In het geval van felyx is niet geheel duidelijk of sprake is van menselijke tussenkomst bij het besluit om een scooter al dan niet te verhuren. Dat lijkt niet waarschijnlijk, gelet op het grote aantal gebruikers.
Op grond van de privacywet (Algemene verordening gegevensbescherming, AVG) is geautomatiseerde besluitvorming zonder menselijke tussenkomst, al dan niet door middel van profilering, in beginsel niet toegestaan als dit besluit rechtsgevolgen heeft voor de betrokkene of de betrokkene anderszins in aanmerkelijke mate treft. Profilering is het (laten) samenstellen van een profiel van de betrokkene om zo voorspellingen te kunnen doen. Een kredietcheck en de score die daaruit voortvloeit, is daar een voorbeeld van.
Geautomatiseerde besluitvorming
Er is geen sprake van geautomatiseerde besluitvorming als sprake is van enige menselijke tussenkomst. Die tussenkomst moet dan wel van enige impact zijn en kan dus niet gefabriceerd worden om het verbod te omzeilen. Als felyx geautomatiseerde besluitvorming gebruikt – wat hier het geval lijkt – is dat pas verboden als dat voor de gebruiker rechtsgevolgen heeft of de gebruiker in aanmerkelijke mate treft. Daarvan is volgens het comité van Europese privacytoezichthouders (European Data Protection Board, EDPB) sprake wanneer de effecten van de kredietcheck groot of belangrijk genoeg zijn om de aandacht te verdienen.
Het besluit moet het potentieel hebben om de omstandigheden, het gedrag of de keuzes van de betrokken personen in aanmerkelijke mate te treffen, een langdurig of blijvend effect op de betrokkene te hebben, of in het uiterste geval, tot uitsluiting of discriminatie van personen te leiden, aldus de EDPB. In dit geval lijkt felyx ervan uit te gaan dat er geen sprake is van een rechtsgevolg of een besluit dat gebruikers in aanmerkelijke mate treft als een gebruiker geen scooter kan huren op grond van de kredietcheck. Daar valt inderdaad wat voor te zeggen. In dat geval doet felyx er alsnog goed aan om hierover te informeren in de privacyverklaring, wat het bedrijf ook heeft gedaan.
Rechten van gebruikers (+/-)
Op basis van de AVG hebben betrokkenen bij de gegevensverwerking (in dit geval: gebruikers van de app en bezoekers van de website) een aantal rechten, zoals het recht om persoonsgegevens in te zien die felyx van deze personen verwerkt. De AVG vereist verder dat de betrokkene wordt geïnformeerd over zijn rechten, wat inhoudt dat felyx de rechten in de privacyverklaring moet benoemen en een samenvatting moet geven van wat het recht inhoudt. Verder dient felyx te informeren over de wijze waarop de betrokkene stappen kan ondernemen om dat recht uit te oefenen en eventuele beperkingen van het recht te vermelden.
Hoewel felyx de rechten van de betrokkene benoemt, ontbreekt een samenvatting van dat wat het recht daadwerkelijk inhoudt. Ook is niet opgenomen binnen welke termijn felyx verzoeken van een betrokkene behandelt. Eventuele beperkingen staan wel vermeld.
Conclusie
+ Felyx maakt waarschijnlijk gebruik van geautomatiseerde besluitvorming in het kader van de kredietscore van een gebruiker. Felyx lijkt van mening te zijn dat de weigering om een scooter aan betrokkene te verhuren niet aan te merken is als een gevolg dat de betrokkene in aanzienlijke mate treft, en het bedrijf informeert uitgebreid over de geautomatiseerde besluitvorming. +/- Het is goed dat felyx gebruikers informeert over rechten die betrokkenen toekomen op grond van de AVG. Een samenvatting van wat deze rechten precies inhouden of termijnen waarbinnen felyx reageert, ontbreekt.
Eindoordeel (+)
Felyx heeft duidelijk veel aandacht aan de privacyverklaring besteed. Het bedrijf informeert de gebruikers uitgebreid en overzichtelijk over de persoonsgegevens die het verwerkt en informeert ook over geautomatiseerde besluitvorming. Het document leest prettig en is overzichtelijk. Verbetering is mogelijk op het punt van rechten van betrokkenen.
