Apple brengt eerste eigen versie Beddit-slaapmonitorhardware uit

Uiteraard wil ik het wel toelichten.
Noot dat dit de situatie van 3 a 4 maanden geleden was en voor het laatst vorige maand gecontroleerd waarbij er nog niets was veranderd.


Ten eerste wordt het privacy probleem eigenlijk al duidelijk zodra je Health Mate start Je kan niet verder zonder jezelf te registreren voor een account en akkoord te gaan met hun policies en dus het uploaden van je gegevens naar hun cloud. Deze upload naar de cloud is op het moment van schrijven NIET uit te schakelen. Zodra je "uitlogt" kan je ook meteen de app niet meer in, dat is meteen einde verhaal. En je moet er in kunnen wil je je metingen starten. Je kan de app, en daarmee de devices, dus niet gebruiken zonder de koppeling met hun servers. Het is zelfs zo erg bewust op die manier ontworpen dat op iOS bijvoorbeeld data lokaal niet wordt weggeschreven naar Healthkit als je wel aangemeld bent, maar de verbinding met hun servers blokkeert. Eerst moet je het naar hun servers sturen, dan pas mag de data in Healthkit verschijnen; dat hebben ze dus bewust zo geprogrammeerd. Wat je ook probeert om onder dat account uit te komen: je wordt elke stap van de weg tegengewerkt. M.a.w.: als je zo'n apparaat koopt, ben je verplicht om ook nog eens te betalen met je privé data... Anders doet ie het niet. (En dat staat niet bepaald vermeld op de verpakking. )

Dit is eigenlijk al een, waarschijnlijke (ik bedoel... dat is aan de AP om te beoordelen en/of een rechter), schending van de AVG. Immers mag je sowieso al niet zomaar functies/toegang tot een product blokkeren als je weigert toe te stemmen met dataverzameling. (Afhankelijk van het product.) Hier gaat het om een product dat om te functioneren eigenlijk geen enkele noodzaak heeft om eerst een verbinding met de Withings' servers te leggen. (Ik bedoel... Een weegschaal of bloeddrukmeter hoeft echt geen cloud-power te hebben heur Maar: ze *werken* ook gewoon zonder internet... Alleen dan blokkeren ze weer andere features om je te motiveren tóch te syncen met hun servers.) Het kan dus prima lokaal werken als Withings zou willen, maar ze kiezen ervoor dat te blokkeren als je weigert alles in je account te zetten; en frustreren volledige werking als je een firewall activeert of je internetverbinding uitschakelt. Dat is normaal al een probleem... Maar hier is het nog erger: het gaat hier om medische gegevens. (Gewicht, hartslag, bloeddruk, dat soort shit) Die vallen onder een nog strenger regime en terecht. Maar daar lijkt Withings maling aan te hebben, je (dure) apparaat wordt gewoon gegijzeld en geblokkeerd totdat jij akkoord gaat met de voorwaarde dat je een account moet aanmaken en al je medische data geproduceerd door de apparatuur upload naar hun cloud.

Last but not least, dit alles zou misschien nog niet eens een probleem zijn (al behoor je gewoon de keuze te hebben) als de privacy policy waterdicht was. Maar zelfs dát is niet helemaal het geval. Het ding is redelijk vaag en, zeker bij medische data, behoort Withings te benoemen met WIE de data gedeeld wordt (zodat je bij die partijen eventueel ook bezwaar kan indienen dat ze je data hebben.). Withings houdt dat echter redelijk vaagjes bij "We may share your personal data with other Nokia companies or authorized third parties. in de generieke privacy policy. Om het nog verwarrender te maken hebben ze ook een "supplement privacy policy" voor "connected devices" waarin dan wel een beperktere scope voor het dataverzamelen/delen staat, maar omdat ze het als "supplement" omschrijven is het wat onduidelijk wat de juridische status daarvan nou precies is.

Ik ,oet wel zeggen dat het er op lijkt dat ze een paar kleine aanpassingen hebben gemaakt zie ik net. (Of ik zie nog een oude policy van voor het jaartje dat Withings Nokia Health heette, wat ze pas hebben terug gedraaid. We [wat geïrriteerde gebruikers bij elkaar] hadden wat meldingen ingediend bij privacy waakhonden in verschillende EU-landen; zoals de Autoriteit Persoonsgegevens (AP), omdat wat Nokia/Withings deed gewoon echt niet kon. AP liet weten het op te gaan pikken omdat het inderdaad wel erg verdacht is allemaal, zeker omdat het medische gegevens betreft is de werkwijze van Withings op z'n minst discutabel. Maar daar staan maanden de tijd voor en dan moeten buitenlandse waakhonden ook nog meewerken (in dit geval in Finland, Frankrijk en Ierland) - of ze kunnen uiteindelijk besluiten het niet door te zetten (vanwege prioriteiten). Ik ben benieuwd of Withings daar iets van gehoord heeft (van een van de waakhonden in welk land dan ook.) en daardoor in ieder geval de privacy policy zelf iets beter dichtgetimmerd hebben nu. Moet hem nog even geheel doornemen (incl. de onderliggende policy en de juridische status daarvan) om te kijken wat ik er van vind. Probleem m.b.t. dat je verplicht bent om je medische gegevens af te staan aan Withings wil je je apparaatje gebruiken blijft echter sowieso staan, want dat is alsnog niet aangepast: zonder account geen werkende hardware en met account helaas automatisch verplichte sync naar hun cloud.

Dan is er nog een akkefietje dat ik persoonlijk met ze had toen ik het probeerde te bespreken met ze, waarbij support er alles aan deed om de vragen te vermijden m.b.t. de privacy policy (de variant die destijds (maand of 3 geleden) geldig was) en waarom ze de app expres op deze manier hadden ontwikkeld. Tot liegen aan toe, zoals "Wij kunnen helemaal niet bij uw data. Het staat volledig encrypted in de cloud, dus alleen U heeft toegang". Oh dat is toch gek, want jullie hebben het zelf over analyseren (in de cloud), delen van data (wel of niet geanonimiseerd) met derde-partijen (wie?), delen met je dokter (wat allemaal vanaf de cloud wordt geregeld, niet vanaf je telefoon), et cetera. En als ik op jullie website (dus niet op m'n telefoon.) een GDPR-dump aanvraag van alle gegevens die jullie van me hebben staan: dan krijg ik doodleuk een paar uur later een zipje waar alle measurements in staan. Hoe wil je dat voor elkaar krijgen als je geen toegang hebt tot die encrypted data...?* ... En dan kwam er weer een vaag antwoord, ontkenning of kwam er weer een nieuwe medewerker die dan de thread niet las en een simpel default response "Dank u voor uw bericht. Wij respecteren uw privacy, hier kunt u onze privacy policy lezen <link>. Fijne dag!" terugstuurde. Later maakte iemand het zo bont om te stellen dat de gegevens zelfs m'n telefoon niet verlaten, maar grappig genoeg kwam een ander daar zelf snel op terug door te zeggen dat dat zeker niet klopt.

Ik vind het maar niets dat die data plain-text accessible bij Withings in de cloud staat. Ten eerste is het volstrekt onnodig en wil ik het helemaal niet; ik wil metingen zien in Healthkit en daarmee klaar. Ten tweede is de Withings-cloud al eens gehackt waarbij allerlei persoonsgegevens zijn gejat. Alleen *daarom* al wil ik het gewoon niet bij hun op de servers hebben - het is onnodig en risicovol.


Is dat zo voldoende onderbouwing?
Link met bewijs is wat lastig, immers hebben we het over een complete app - dus ik kan je wel linken naar de app: maar die heb je waarschijnlijk al - dus kun je het bekijken en/of uitproberen. Het zijn punten die je makkelijk zelf uit kan proberen en/of nalezen in ieder geval.


_{* = daar zijn overigens in principe wel bepaalde methodes voor, maar die worden niet door de Withings' website gehanteerd. Er is ook geen socket-verbinding naar je telefoon o.i.d. om de data te benaderen.}

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 21:53]

Dat gaat van zelf met berichtjes (Push).

Apple device. Mijn xs max verbruikt gemiddeld 30%.