Privacyorganisatie klaagt bij Nederlandse overheid over privacybeleid Fitbit

Privacyorganisatie None Of Your Business heeft bij de Autoriteit Persoonsgegevens en twee andere Europese autoriteiten geklaagd over het privacybeleid van Google-dochterbedrijf Fitbit. Fitbit sluist data door naar landen buiten de EU zonder te zeggen welke dat zijn.

Behalve dat Fitbit de landen niet noemt in het privacybeleid, wil de gegevensfunctionaris van het bedrijf ook geen inzage geven in waar de data naartoe gaat, meldt Noyb. Daarom heeft het klachten ingediend in Nederland, Oostenrijk en Italië. Noyb wil dat de autoriteiten Fitbit aanpakken op het schenden van privacywet AVG.

Fitbit zegt in het privacybeleid al jaren dat het data doorstuurt naar landen buiten de EU, maar noemt concreet alleen de Verenigde Staten. Welke landen dat nog meer zijn, blijft onduidelijk. Ook de functionaris binnen Fitbit die de klaagster heeft benaderd wilde geen lijst van landen opsturen.

Zonder toestemming voor het doorsturen van gegevens naar die onbekende landen werken de apps en diensten van het bedrijf niet. "In het onderhavige geval werd de klaagster gedwongen in te stemmen met de doorgifte van haar gegevens naar derde landen en wordt zij gedwongen haar Fitbit account te verwijderen, kan zij geen gebruik meer maken van de Fitbit-app en verliest zij haar Fitbit-abonnement –
waarbij het onduidelijk is of zij eventueel gemaakte abonnementskosten terugkrijgt – als zij haar toestemming voor de gegevensdoorgifte intrekt. Na intrekking van de toestemming kan klaagster kortom nog in slechts zeer beperkte mate gebruikmaken van de functies die haar Fitbit Charge 4-smartwatch biedt." Fitbit is sinds 2021 eigendom van Google.

Door Arnoud Wokke

Redacteur Tweakers

31-08-2023 • 13:56

37

Reacties (37)

37
36
28
0
0
2
Wijzig sortering
Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?
De gemiddelde consument moet er natuurlijk wel vanuit kunnen gaan dat een product dat in Europa overal verkrijgbaar is, voldoet aan alle Europese regels, waaronder dus ook de AVG.
In mijn beleving voldoet dit strikt juridisch waarschijnlijk wel aan de AVG, want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. Of je accepteert ergens een EULA door middel van een vinkje. En dan roep je als Google zijnde "We hebben expliciete toestemming van de persoon", waarmee de AVG discussie zuiver formeel waarschijnlijk afgehecht is.

Het punt is denk ik eerder dat de landen waar het heengaat (en wat dan, en wie dan, waarom). Dat zal wel op allerlei manieren onduidelijk zijn. En dat is natuurlijk ook lastig na te speuren want je ziet wellicht wel de directe communicatie tussen watch/app en web, maar niet wat het backend nog allemaal doorstuurt. Enige vorm van duidelijkheid zou je wel verwachten.

Eerlijk gezegd moet het eigenlijk gewoon voor koop van zo'n duur product duidelijk zijn wat er met de data waar gebeurd. En hier is FitBit/Google niet alleen in: Garmin en Polar verwerken natuurlijk dezelfde data en ook allemaal op eigen Amerikaanse bodem (??). Punt is wel dat het op zijn minst vooraf duidelijk moet zijn omdat dat voor consumenten een dealbreaker kan zijn. In vergelijking met de EULA die je moet aanklikken bij het opstarten van een nieuwe laptop die ook niet echt rechtsgeldig: serieuze voorwaarden moeten voor aankoop gewoon helder zijn.
"want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. "

Dat is in strijd met de AVG, althans is onvoldoende om rechtsgeldig toestemming te krijgen.
Zijn EULA's die je überhaupt pas te zien krijgt na aankoop van iets, sowieso niet rechtsgeldig? Of anders minstens incompatibel met een of andere richtlijn/wet. Want je hebt het al gekocht en kunt de EULA dus niet echt meer weigeren. Ja, je kunt het ding terugsturen naar de winkel maar dan heb jij al wel mooi kosten gemaakt. Er staat me iets bij dat volgens mij jij in die context een keer iets over Windows had geschreven. Het ging er daarbij om dat je voordat je ook maar één cent uitgeeft, al wel moet kunnen beslissen of je akkoord gaat met (privacy) policies, EULA's en al die zooi.
De AVG vereist sowieso expliciete toestemming, en een EULA is dat niet. Al staat de EULA op de doos geprint, voor het verkrijgen van toestemming voor het verwerken van persoonlijke gegevens (mits dit niet om algemeen toegestane redenen gedaan wordt, zoals noodzakelijke gegevensverwerking voor de technische uitvoering van een dienst) zal de gebruiker los toestemming moeten geven.

Illegale cookiemuren zouden niet bestaan als je gewoon in de voorwaarden kon zetten dat je bespied wordt en je gegevens aan de hoogste bieder verkocht worden.
"want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. "

Dat is in strijd met de AVG, althans is onvoldoende om rechtsgeldig toestemming te krijgen.
Scherp punt, maar dat verlegt in praktijk natuurlijk de vraag naar het volgende scherm na de EULA, waar je de "vrije" keuze krijgt tussen een crippled device en het opgeven van al je privacy. Op specifieke wijze natuurlijk.

Mijn punt is dat een Fitbit/Google dit technisch aan de AVG kan laten voldoen door toestemming te vragen om persoonsgebonden gezondheidsdata in de VS te verwerken. Maar in praktijk kan natuurlijk daar nog alle kanten mee op door subverwerkersovereenkomsten en amdere trucs die niet evident zijn en zeker niet bij aankoop van het product bekend zijn.

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 13:12]

De klacht is niet dat data in de VS wordt vermeld, de klacht is dat in de EULA staat dat data in andere landen buiten de EU wordt verwerkt, maar noemt daarna enkel de VS. Wat dus suggereert dat ze informatie uit de EULA weglaten.
In de AVG kan je geen blanco "we sturen data door naar de VS en andere landen" zetten. Je moet specifiek zijn welke data je doorstuurt, waarom je dit doet, en wie het verder verwerkt (als er verwerkers zijn die niet onder een GDPR DPA vallen).

Binnen de AVG heb je expliciete en specifieke toestemming nodig. Een blanco "sta je toe dat je data doorgestuurd wordt naar andere landen waaronder de VS" is zeer waarschijnlijk niet voldoende.

Het verwerken van data in de VS is niet zozeer een probleem. Het is dat het vaag is welke data je verwerkt, waar, en waarom. Als je dit concreet vermeld en de gebruiker gaat akkoord, dan kan het volgens mij allemaal gewoon.
In mijn beleving voldoet dit strikt juridisch waarschijnlijk wel aan de AVG, want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. Of je accepteert ergens een EULA door middel van een vinkje. En dan roep je als Google zijnde "We hebben expliciete toestemming van de persoon", waarmee de AVG discussie zuiver formeel waarschijnlijk afgehecht is.
Toestemming voor doorgifte naar derde landen of internationale organisaties is onderhevig aan een stevig pakket regels. Dit mag slechts zonder voorbehoud plaatsvinden waar er een zgn. adequaatheidsbesluit (Art 45) ligt, wat vastlegt dat binnen de lokaal van toepassing zijnde wetgeving de rechten van de betrokkene even goed gewaarborgd zullen zijn als binnen de Unie; of waar op andere wijze deze waarborgen gegarandeerd worden bijv. via effectieve bindende contractuele afspraken (Art 46) zoals standaardbepalingen of bindende bedrijfsvoorschrfiten (Art 47).

In uitzonderlijke speciale gevallen is het bij ontbreken aan dit soort zaken alsnog toegestaan (Art 49), maar enkel in incidentele en gelimiteerde gevallen. Daar is bij Fitbit dus sowieso geen sprake van; want dat is gewoon structureel.

Één van deze speciale gevallen is inderdaad als er - incidenteel dus; en dat is hier sowieso dus al niet van toepassing... - expliciet toestemming voor de doorgifte is verleend door de betrokkene.

Maar let wel: expliciete toestemming. Dat wil dus zeggen dat er apart voor dat ene geval toestemming gevraagd moet zijn. Kan dus niet begraven liggen in een EULA oid.
En let ook op het feit dat toestemming, toestemming is zoals door de AVG/GDPR gedefineerd. Dwz. deze moet vrijelijk gegeven zijn. Als je in moet stemmen met de doorgifte omdat anders je product gewoon de-facto onklaar gemaakt wordt, dan is dat niet vrijelijk gegeven...
Dit is een organisatie om consumenten te beschermen. Ze doen het niet voor zichzelf, maar om te voorkomen dat mensen in de verleiding worden gebracht om hun eigen interesses te ondermijnen.

Dat heeft verder niets met individuele verantwoordelijkheid te maken, maar met collectieve veiligheid.
Ja daaag, zo kun je alle regels wel aan je laars lappen. "Niemand verplicht je met mij zaken te doen. Als je niet opgelicht wilt worden shop je toch ergens anders?" 8)7
Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?
Dat argument gaat op voor alle mogelijke "extra's", maar niet voor het voldoen aan de wet. De wet volgen is de ondergrens.
Je anderzijds is compleet overbodig vanwege je enerzijds. Bedrijven hebben zich aan de wet te houden. Je zou niet de voorwaarden tot op de letter door moeten spitten om tot de conclusie te komen dat ze dat niet doen, waardoor je kunt besluiten een ander product aan te schaffen.

[Reactie gewijzigd door RobbieB op 23 juli 2024 13:12]

Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?
Die voorwaarden krijg je pas te zien als je het product al gekocht hebt en wilt gaan gebruiken.

En een bedrijf kan/mag nooit in zijn voorwaarden beperkingen opleggen die al wettelijk zijn vastgelegd.
Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?
We hebben een wet die zegt dat dit niet mag zodat je de voorwaarden niet hoeft te lezen om de ergste misstanden te voorkomen.

Want we weten allemaal dat mensen dat niet doen en dat het onredelijk is om te verwachten dat ze het wel doen. De helft van de mensheid mist domweg de intellectuele capaciteit om zo'n contract te doorgronden. Dat is geschreven door professionele juristen die er jaren voor gestudeerd hebben. Je kan niet verwachten dat gewone mensen dat kunnen begrijpen. Dat is zo oneerlijk dat er basisvoorwaarden in de wet staan waar iedereen zich aan moet houden.

Als struikrover vind ik ook dat ik het recht heb om "je geld of je leven!" te zeggen. Mensen krijgen een eerlijke keuze en als ze dat niet willen dan zijn ze niet verplicht om langs mij struik te lopen.
"Niemand verplicht je gebruik te maken van"

Kunnen we alsjeblieft stoppen met dit onzinargument? Als het volgens de wetgeving niet mag, dan mag het volgens de wetgeving niet. Dat is hetzelfde als dat jouw baas in jouw arbeidsovereenkomst wel kan zetten dat je 80 uur per week paraat moet staan of je nou ziek bent of niet, maar volgens de wetgeving mag het niet en al dat soort overeenkomsten staan niet boven de wet.
Je koopt iets, vervolgens veranderen ze achteraf de voorwaarden, waardoor je de functionaliteit niet meer gebruiken kan, behalve als je instemt.

Ik heb, de dag zelf nog, toen een paar jaar terug ik ineens moest inloggen met een Google account, resoluut binnen 1 min de app van mn telefoon gehaald, en het apparaat aan mn zoon gegeven welke het nu gebruikt als veredelde stappenteller van €160,- .

Geen Google meer op mn TV, geen Google meer in mn gadgets. Helaas heb ik qua telefoon weinig keuzes, anders was ik ook weg.
Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?
Wat voor nut heeft de AVG dan nog? Je moet als bedrijf deze wettelijke regels volgen, maar als je daar geen zin in hebt dan zet je dat in je privacyverklaring en dan ben je klaar? Dan zal ieder bedrijf even lachen om die AVG, voorwaarden aanpassen en vrolijk doorgaan.
De AVG verbiedt doorgifte naar 'derde landen' helemaal niet. Er zijn alleen strenge voorwaarden aan gesteld. Het kan best zijn dat Fitbit aan die voorwaarden voldoet, maar de klacht gaat erover dat Fitbit de lijst met landen niet wil delen, waardoor niet te controleren is of men aan de AVG voldoet.

Mijn punt is dat bedrijven die hier producten/diensten aanbieden zich aan de AVG moeten houden. Dan kan het dus nog steeds zijn dat jouw gegevens doorgegeven worden aan 'derde landen'. Als je dat niet wil, dan heb je alternatieven genoeg.

[Reactie gewijzigd door Polydeukes op 23 juli 2024 13:12]

Wat er nog bijkomt is dat als je al een Fitbit had en daarna het privacybeleid wijzigt dan heb je een niet meer functionerende fitbit. Dit is wat hier in huis gebeurt is: de app deed het opeens niet meer en er moesten verplicht allerlei dingen toegestaan worden.
Dat is natuurlijk een hele rare situatie als je er over nadenkt: je kunt immers niet met je telefoon of smartwatch terug naar de winkel onder de opmerking "Ik kom hem terug brengen want Google heeft haar privacybeleid gewijzigd", terwijl bij een zuivere dienst datzelfde wel een reden tot directe opzegging kan zijn. Terwijl dat privacybeleid echt rare dingen kan bevatten en "nee" zeggen dat dure product totaal onbruikbaar maakt. Het voelt ook een beetje als de spelregels veranderen tijdens het spel. Eigenlijk is het tijd dat ook daar rechtelijke uitspraken of wetgeving ontstaat wat redelijke verwachtingen zijn.
Is dat zo? In principe is het *apparaat* niet meer conform met de situatie bij aankoop. Je zou zeggen dat je wel degelijk hem terug kan brengen. Zal bij de eerste een rechtszaak worden uiteraard.
Dat is natuurlijk alleen in de garantieperiode zo. Maar inderdaad, de eerste rechtszaak is interessant hierin.
Het gaat overigens niet om een klacht bij de Nederlandse overheid (zoals de titel suggereert), maar om een klacht bij de Nederlandse Autoriteit Persoonsgegevens ('AP'). De AP is een zelfstandig bestuursorgaan met eigen rechtspersoonlijkheid en als zodanig dus geen 'Nederlandse overheid' (in de zin dat het onder het gezag van een ministerie zou vallen).

[Reactie gewijzigd door VeeGee op 23 juli 2024 13:12]

Nôh wel aangestuurd door de overheid (en EU overheden) hoor... ;)
Zie Hoofdstuk 2 artikel 6 en 7
Ter uitvoering van een bindende EU-rechtshandeling kunnen, gehoord de Autoriteit persoonsgegevens, bij regeling van Onze Minister aan de Autoriteit persoonsgegevens taken worden opgedragen.
De voorzitter, de andere leden en de buitengewone leden van de Autoriteit persoonsgegevens worden bij koninklijk besluit, op voordracht van Onze Minister, benoemd.
Nee, dat is echt wat anders. De AVG vereist dat lidstaten een onafhankelijke toezichthouder instellen. Dat is nader uitgewerkt in de UAVG. Dat wil niet zeggen dat ze rechtstreeks onder het gezag staan van een ministerie.
Maar de overheid bestaat uit meer dan alleen de ministeries.
Tenminste als je naar de definitie op wikipedia kijkt. En dan valt de AP wel onder de overheid.
Ik kan zo snel niet vinden wat de overheid zelf als definitie gebruikt.
Het wordt ind tijd dat al die data honger stopt van dit soort bedrijven buiten de EU, we hebben al een tijdje de AVG wet en als men niet kan of wil voldoen, aanpakken die hap.
privacybeleid van Google-dochterbedrijf
Dan weet je natuurlijk eigenljk al genoeg.
Zoveel mogelijk geld verdienen en fuck de regels als die je daarin tegenhouden is het devies.
En als je gepakt wordt zeg je gewoon dat het een bug was, pak je een kleine boete en ga je op dezelfde voet verder.
Wat ik ergerlijk vind is dat je tegenwoordig steeds vaker apparaten móet registeren met een (Google) account, als je dat niet doet werken ze niet of maar gedeeltelijk... is best absurd.
Een Philips TV moet je aanmelden anders kun je geen andere apps downloaden, een DJI Osmo camera houdt na 3 keer filmen op tenzij je een stukje privacy opgeeft. Snap niet dat overheden daar niets aan doen.
Straks gaat mijn nieuwe smartkoelkast niet lager dan 10 graden, pas na mijn mobile nummer, vriezen :+

[Reactie gewijzigd door DeComponeur op 23 juli 2024 13:12]

Straks gaat mijn nieuwe smartkoelkast niet lager dan 10 graden, pas na mijn mobile nummer, vriezen :+
Dat zou niet gewenst zijn, dat je koelkast gaat vriezen. Dus ik zou zeker niet je mobiele nummer geven. :+

[Reactie gewijzigd door The Zep Man op 23 juli 2024 13:12]

Had iemand wat anders verwacht toen de toko werd overgenomen door Google?

Volgens mij zijn er nogal wat vrachtwagenladingen met mensen die denken "als ik er niet over nadenk, is er geen probleem".

Het is een compleet nieuwe aanvalshoek om mensen specifiek te targetten. Maar zolang mensen door een reclame niet bij hun voornaam worden genoemd, denken ze waarschijnlijk dat het 'algemene' reclame is
dan koop je het toch niet?
Dat is niet de situatie: wij hebben een fitbit lang geleden gekocht, en sinds heel recent werkte de app niet meer en moesten we deze ongewenste privacy wijzigingen accepteren. En zonder de app is de fitbit niet goed bruikbaar.
Met de situatie zoals die nu is zouden we nooit een fitbit gekocht hebben maar een ander merk. Maar nu is het een voldongen feit. Garantie is allang verlopen. Kortom, wat moeten we doen, fitbit maar niet meer gebruiken en een andere kopen? Terwijl hij het nog prima doet los van de privacy problemen?
Alle "groten der aarde" lappen de AVG regels aan de spreekwoordelijke laars. Microsoft/Windows, Dell, Google..etc Je moet altijd hun regels aanvaarden en die stellen dat het jouw verantwoordelijkheid is wat er met de bij of via jouw account vergaarde data gebeurt.
Er is nergens een opt-out te vinden.

Als je dit als bedrijf, MKB-er, ZZp-er netjes wil regelen voor je klanten en natuurlijk zodat je niet beboet wordt, dan gaat dat eenvoudigweg niet.
Als je overheidsinstanties er over benaderd, dat dit zo lek als een mandje is, dan geven zij aan dat je dit met de bedrijven in kwestie zelf moet regelen.
Ze zijn er slechts voor advisering, regelgeving en handhaving bij gebruikers. Niet de uitvoerbaarheid van de praktische implementatie.
Het wordt tijd dat ze de pijlen richtten op de leveranciers en die verplicht stellen de producten en diensten standaard AVG compliant aan te bieden en verhandelen. Maar dat lijkt juridische niet haalbaar voor onze overheid.

Bij Microsoft moet je bijvoorbeeld een corporate account/licentie regelen. Daar is maatwerk mogelijk.
Maar bij Dell kan dat al weer niet.
Maar hoe kunnen business laptops dan met Microsoft programma's verkocht worden door Dell zonder dat die licentie corporate is?

Het hele AVG lijkt wel een exersitie schone schijn ophouden, waarbij de verantwoordelijkheid lekker bij de gebruikers gedeponeerd wordt. Die er vervolgens zelf gewoonweg geen invloed op uit kunnen oefenen.

Awel..we leven iig in een interessante wereld in een interessante tijd, zullen we maar denken.
Hang in there everyone.

Op dit item kan niet meer gereageerd worden.