Privacyorganisatie klaagt bij Nederlandse overheid over privacybeleid Fitbit

Privacyorganisatie None Of Your Business heeft bij de Autoriteit Persoonsgegevens en twee andere Europese autoriteiten geklaagd over het privacybeleid van Google-dochterbedrijf Fitbit. Fitbit sluist data door naar landen buiten de EU zonder te zeggen welke dat zijn.

Behalve dat Fitbit de landen niet noemt in het privacybeleid, wil de gegevensfunctionaris van het bedrijf ook geen inzage geven in waar de data naartoe gaat, meldt Noyb. Daarom heeft het klachten ingediend in Nederland, Oostenrijk en Italië. Noyb wil dat de autoriteiten Fitbit aanpakken op het schenden van privacywet AVG.

Fitbit zegt in het privacybeleid al jaren dat het data doorstuurt naar landen buiten de EU, maar noemt concreet alleen de Verenigde Staten. Welke landen dat nog meer zijn, blijft onduidelijk. Ook de functionaris binnen Fitbit die de klaagster heeft benaderd wilde geen lijst van landen opsturen.

Zonder toestemming voor het doorsturen van gegevens naar die onbekende landen werken de apps en diensten van het bedrijf niet. "In het onderhavige geval werd de klaagster gedwongen in te stemmen met de doorgifte van haar gegevens naar derde landen en wordt zij gedwongen haar Fitbit account te verwijderen, kan zij geen gebruik meer maken van de Fitbit-app en verliest zij haar Fitbit-abonnement –
waarbij het onduidelijk is of zij eventueel gemaakte abonnementskosten terugkrijgt – als zij haar toestemming voor de gegevensdoorgifte intrekt. Na intrekking van de toestemming kan klaagster kortom nog in slechts zeer beperkte mate gebruikmaken van de functies die haar Fitbit Charge 4-smartwatch biedt." Fitbit is sinds 2021 eigendom van Google.

Reacties (37)

Polydeukes 31 augustus 2023 14:00

Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?

Regel @Polydeukes • 31 augustus 2023 14:04

De gemiddelde consument moet er natuurlijk wel vanuit kunnen gaan dat een product dat in Europa overal verkrijgbaar is, voldoet aan alle Europese regels, waaronder dus ook de AVG.

J_van_Ekris @Regel • 31 augustus 2023 14:34

In mijn beleving voldoet dit strikt juridisch waarschijnlijk wel aan de AVG, want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. Of je accepteert ergens een EULA door middel van een vinkje. En dan roep je als Google zijnde "We hebben expliciete toestemming van de persoon", waarmee de AVG discussie zuiver formeel waarschijnlijk afgehecht is.

Het punt is denk ik eerder dat de landen waar het heengaat (en wat dan, en wie dan, waarom). Dat zal wel op allerlei manieren onduidelijk zijn. En dat is natuurlijk ook lastig na te speuren want je ziet wellicht wel de directe communicatie tussen watch/app en web, maar niet wat het backend nog allemaal doorstuurt. Enige vorm van duidelijkheid zou je wel verwachten.

Eerlijk gezegd moet het eigenlijk gewoon voor koop van zo'n duur product duidelijk zijn wat er met de data waar gebeurd. En hier is FitBit/Google niet alleen in: Garmin en Polar verwerken natuurlijk dezelfde data en ook allemaal op eigen Amerikaanse bodem (??). Punt is wel dat het op zijn minst vooraf duidelijk moet zijn omdat dat voor consumenten een dealbreaker kan zijn. In vergelijking met de EULA die je moet aanklikken bij het opstarten van een nieuwe laptop die ook niet echt rechtsgeldig: serieuze voorwaarden moeten voor aankoop gewoon helder zijn.

Arnoud Engelfriet @J_van_Ekris • 31 augustus 2023 15:27

"want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. "

Dat is in strijd met de AVG, althans is onvoldoende om rechtsgeldig toestemming te krijgen.

McBacon @Arnoud Engelfriet • 31 augustus 2023 15:39

Zijn EULA's die je überhaupt pas te zien krijgt na aankoop van iets, sowieso niet rechtsgeldig? Of anders minstens incompatibel met een of andere richtlijn/wet. Want je hebt het al gekocht en kunt de EULA dus niet echt meer weigeren. Ja, je kunt het ding terugsturen naar de winkel maar dan heb jij al wel mooi kosten gemaakt. Er staat me iets bij dat volgens mij jij in die context een keer iets over Windows had geschreven. Het ging er daarbij om dat je voordat je ook maar één cent uitgeeft, al wel moet kunnen beslissen of je akkoord gaat met (privacy) policies, EULA's en al die zooi.

GertMenkel @McBacon • 31 augustus 2023 16:34

De AVG vereist sowieso expliciete toestemming, en een EULA is dat niet. Al staat de EULA op de doos geprint, voor het verkrijgen van toestemming voor het verwerken van persoonlijke gegevens (mits dit niet om algemeen toegestane redenen gedaan wordt, zoals noodzakelijke gegevensverwerking voor de technische uitvoering van een dienst) zal de gebruiker los toestemming moeten geven.

Illegale cookiemuren zouden niet bestaan als je gewoon in de voorwaarden kon zetten dat je bespied wordt en je gegevens aan de hoogste bieder verkocht worden.

J_van_Ekris @Arnoud Engelfriet • 31 augustus 2023 16:32

"want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. "

Dat is in strijd met de AVG, althans is onvoldoende om rechtsgeldig toestemming te krijgen.

Scherp punt, maar dat verlegt in praktijk natuurlijk de vraag naar het volgende scherm na de EULA, waar je de "vrije" keuze krijgt tussen een crippled device en het opgeven van al je privacy. Op specifieke wijze natuurlijk.

Mijn punt is dat een Fitbit/Google dit technisch aan de AVG kan laten voldoen door toestemming te vragen om persoonsgebonden gezondheidsdata in de VS te verwerken. Maar in praktijk kan natuurlijk daar nog alle kanten mee op door subverwerkersovereenkomsten en amdere trucs die niet evident zijn en zeker niet bij aankoop van het product bekend zijn.

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 13:12]

Stoelpoot @J_van_Ekris • 31 augustus 2023 14:40

De klacht is niet dat data in de VS wordt vermeld, de klacht is dat in de EULA staat dat data in andere landen buiten de EU wordt verwerkt, maar noemt daarna enkel de VS. Wat dus suggereert dat ze informatie uit de EULA weglaten.

Niet Henk @J_van_Ekris • 31 augustus 2023 15:14

In de AVG kan je geen blanco "we sturen data door naar de VS en andere landen" zetten. Je moet specifiek zijn welke data je doorstuurt, waarom je dit doet, en wie het verder verwerkt (als er verwerkers zijn die niet onder een GDPR DPA vallen).

Binnen de AVG heb je expliciete en specifieke toestemming nodig. Een blanco "sta je toe dat je data doorgestuurd wordt naar andere landen waaronder de VS" is zeer waarschijnlijk niet voldoende.

Het verwerken van data in de VS is niet zozeer een probleem. Het is dat het vaag is welke data je verwerkt, waar, en waarom. Als je dit concreet vermeld en de gebruiker gaat akkoord, dan kan het volgens mij allemaal gewoon.

R4gnax

AVG
Privacy

@J_van_Ekris • 1 september 2023 00:50

In mijn beleving voldoet dit strikt juridisch waarschijnlijk wel aan de AVG, want er zal vast wel ergens in de EULA staan dat met het gebruik van de smartwach je instemt met het verwerken van de daaruit voortkomende data in de VS. Of je accepteert ergens een EULA door middel van een vinkje. En dan roep je als Google zijnde "We hebben expliciete toestemming van de persoon", waarmee de AVG discussie zuiver formeel waarschijnlijk afgehecht is.

Toestemming voor doorgifte naar derde landen of internationale organisaties is onderhevig aan een stevig pakket regels. Dit mag slechts zonder voorbehoud plaatsvinden waar er een zgn. adequaatheidsbesluit (Art 45) ligt, wat vastlegt dat binnen de lokaal van toepassing zijnde wetgeving de rechten van de betrokkene even goed gewaarborgd zullen zijn als binnen de Unie; of waar op andere wijze deze waarborgen gegarandeerd worden bijv. via effectieve bindende contractuele afspraken (Art 46) zoals standaardbepalingen of bindende bedrijfsvoorschrfiten (Art 47).

In uitzonderlijke speciale gevallen is het bij ontbreken aan dit soort zaken alsnog toegestaan (Art 49), maar enkel in incidentele en gelimiteerde gevallen. Daar is bij Fitbit dus sowieso geen sprake van; want dat is gewoon structureel.

Één van deze speciale gevallen is inderdaad als er - incidenteel dus; en dat is hier sowieso dus al niet van toepassing... - expliciet toestemming voor de doorgifte is verleend door de betrokkene.

Maar let wel: expliciete toestemming. Dat wil dus zeggen dat er apart voor dat ene geval toestemming gevraagd moet zijn. Kan dus niet begraven liggen in een EULA oid.
En let ook op het feit dat toestemming, toestemming is zoals door de AVG/GDPR gedefineerd. Dwz. deze moet vrijelijk gegeven zijn. Als je in moet stemmen met de doorgifte omdat anders je product gewoon de-facto onklaar gemaakt wordt, dan is dat niet vrijelijk gegeven...

J2S @Polydeukes • 31 augustus 2023 14:03

Dit is een organisatie om consumenten te beschermen. Ze doen het niet voor zichzelf, maar om te voorkomen dat mensen in de verleiding worden gebracht om hun eigen interesses te ondermijnen.

Dat heeft verder niets met individuele verantwoordelijkheid te maken, maar met collectieve veiligheid.

Room42 @Polydeukes • 31 augustus 2023 14:03

Ja daaag, zo kun je alle regels wel aan je laars lappen. "Niemand verplicht je met mij zaken te doen. Als je niet opgelicht wilt worden shop je toch ergens anders?"

thomas_n @Polydeukes • 31 augustus 2023 14:04

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?

Dat argument gaat op voor alle mogelijke "extra's", maar niet voor het voldoen aan de wet. De wet volgen is de ondergrens.

RobbieB @Polydeukes • 31 augustus 2023 14:05

Je anderzijds is compleet overbodig vanwege je enerzijds. Bedrijven hebben zich aan de wet te houden. Je zou niet de voorwaarden tot op de letter door moeten spitten om tot de conclusie te komen dat ze dat niet doen, waardoor je kunt besluiten een ander product aan te schaffen.

[Reactie gewijzigd door RobbieB op 23 juli 2024 13:12]

avlt @Polydeukes • 31 augustus 2023 14:21

Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?

Die voorwaarden krijg je pas te zien als je het product al gekocht hebt en wilt gaan gebruiken.

En een bedrijf kan/mag nooit in zijn voorwaarden beperkingen opleggen die al wettelijk zijn vastgelegd.

CAPSLOCK2000

Privacy
Nederland
AVG
Europa

@Polydeukes • 31 augustus 2023 15:29

Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?

We hebben een wet die zegt dat dit niet mag zodat je de voorwaarden niet hoeft te lezen om de ergste misstanden te voorkomen.

Want we weten allemaal dat mensen dat niet doen en dat het onredelijk is om te verwachten dat ze het wel doen. De helft van de mensheid mist domweg de intellectuele capaciteit om zo'n contract te doorgronden. Dat is geschreven door professionele juristen die er jaren voor gestudeerd hebben. Je kan niet verwachten dat gewone mensen dat kunnen begrijpen. Dat is zo oneerlijk dat er basisvoorwaarden in de wet staan waar iedereen zich aan moet houden.

Als struikrover vind ik ook dat ik het recht heb om "je geld of je leven!" te zeggen. Mensen krijgen een eerlijke keuze en als ze dat niet willen dan zijn ze niet verplicht om langs mij struik te lopen.

RobinJ1995

@Polydeukes • 31 augustus 2023 16:08

"Niemand verplicht je gebruik te maken van"

Kunnen we alsjeblieft stoppen met dit onzinargument? Als het volgens de wetgeving niet mag, dan mag het volgens de wetgeving niet. Dat is hetzelfde als dat jouw baas in jouw arbeidsovereenkomst wel kan zetten dat je 80 uur per week paraat moet staan of je nou ziek bent of niet, maar volgens de wetgeving mag het niet en al dat soort overeenkomsten staan niet boven de wet.

BenVenNL @Polydeukes • 31 augustus 2023 17:39

Je koopt iets, vervolgens veranderen ze achteraf de voorwaarden, waardoor je de functionaliteit niet meer gebruiken kan, behalve als je instemt.

Ik heb, de dag zelf nog, toen een paar jaar terug ik ineens moest inloggen met een Google account, resoluut binnen 1 min de app van mn telefoon gehaald, en het apparaat aan mn zoon gegeven welke het nu gebruikt als veredelde stappenteller van €160,- .

Geen Google meer op mn TV, geen Google meer in mn gadgets. Helaas heb ik qua telefoon weinig keuzes, anders was ik ook weg.

enigmafan @Polydeukes • 1 september 2023 10:38

Enerzijds snap ik de klacht. Als je je diensten aanbiedt in de EER moet je voldoen aan de AVG/GDPR. Punt.

Anderzijds: niemand verplicht je gebruik te maken van Fitbit. Als je het niet eens bent met hun voorwaarden, shop je toch ergens anders?

Wat voor nut heeft de AVG dan nog? Je moet als bedrijf deze wettelijke regels volgen, maar als je daar geen zin in hebt dan zet je dat in je privacyverklaring en dan ben je klaar? Dan zal ieder bedrijf even lachen om die AVG, voorwaarden aanpassen en vrolijk doorgaan.

Polydeukes @enigmafan • 1 september 2023 12:17

De AVG verbiedt doorgifte naar 'derde landen' helemaal niet. Er zijn alleen strenge voorwaarden aan gesteld. Het kan best zijn dat Fitbit aan die voorwaarden voldoet, maar de klacht gaat erover dat Fitbit de lijst met landen niet wil delen, waardoor niet te controleren is of men aan de AVG voldoet.

Mijn punt is dat bedrijven die hier producten/diensten aanbieden zich aan de AVG moeten houden. Dan kan het dus nog steeds zijn dat jouw gegevens doorgegeven worden aan 'derde landen'. Als je dat niet wil, dan heb je alternatieven genoeg.

[Reactie gewijzigd door Polydeukes op 23 juli 2024 13:12]

Blazzie

31 augustus 2023 14:20

Wat er nog bijkomt is dat als je al een Fitbit had en daarna het privacybeleid wijzigt dan heb je een niet meer functionerende fitbit. Dit is wat hier in huis gebeurt is: de app deed het opeens niet meer en er moesten verplicht allerlei dingen toegestaan worden.

J_van_Ekris @Blazzie • 31 augustus 2023 14:43

Dat is natuurlijk een hele rare situatie als je er over nadenkt: je kunt immers niet met je telefoon of smartwatch terug naar de winkel onder de opmerking "Ik kom hem terug brengen want Google heeft haar privacybeleid gewijzigd", terwijl bij een zuivere dienst datzelfde wel een reden tot directe opzegging kan zijn. Terwijl dat privacybeleid echt rare dingen kan bevatten en "nee" zeggen dat dure product totaal onbruikbaar maakt. Het voelt ook een beetje als de spelregels veranderen tijdens het spel. Eigenlijk is het tijd dat ook daar rechtelijke uitspraken of wetgeving ontstaat wat redelijke verwachtingen zijn.

Pendora @J_van_Ekris • 31 augustus 2023 15:07

Is dat zo? In principe is het *apparaat* niet meer conform met de situatie bij aankoop. Je zou zeggen dat je wel degelijk hem terug kan brengen. Zal bij de eerste een rechtszaak worden uiteraard.

J_van_Ekris @Pendora • 31 augustus 2023 16:24

Dat is natuurlijk alleen in de garantieperiode zo. Maar inderdaad, de eerste rechtszaak is interessant hierin.

VeeGee 31 augustus 2023 14:42

Het gaat overigens niet om een klacht bij de Nederlandse overheid (zoals de titel suggereert), maar om een klacht bij de Nederlandse Autoriteit Persoonsgegevens ('AP'). De AP is een zelfstandig bestuursorgaan met eigen rechtspersoonlijkheid en als zodanig dus geen 'Nederlandse overheid' (in de zin dat het onder het gezag van een ministerie zou vallen).

[Reactie gewijzigd door VeeGee op 23 juli 2024 13:12]

DeComponeur @VeeGee • 31 augustus 2023 14:58

Nôh wel aangestuurd door de overheid (en EU overheden) hoor...

Zie Hoofdstuk 2 artikel 6 en 7
Ter uitvoering van een bindende EU-rechtshandeling kunnen, gehoord de Autoriteit persoonsgegevens, bij regeling van Onze Minister aan de Autoriteit persoonsgegevens taken worden opgedragen.
De voorzitter, de andere leden en de buitengewone leden van de Autoriteit persoonsgegevens worden bij koninklijk besluit, op voordracht van Onze Minister, benoemd.

VeeGee @DeComponeur • 31 augustus 2023 15:01

Nee, dat is echt wat anders. De AVG vereist dat lidstaten een onafhankelijke toezichthouder instellen. Dat is nader uitgewerkt in de UAVG. Dat wil niet zeggen dat ze rechtstreeks onder het gezag staan van een ministerie.

mjtdevries @VeeGee • 31 augustus 2023 17:41

Maar de overheid bestaat uit meer dan alleen de ministeries.
Tenminste als je naar de definitie op wikipedia kijkt. En dan valt de AP wel onder de overheid.
Ik kan zo snel niet vinden wat de overheid zelf als definitie gebruikt.

GameNympho 31 augustus 2023 14:07

Het wordt ind tijd dat al die data honger stopt van dit soort bedrijven buiten de EU, we hebben al een tijdje de AVG wet en als men niet kan of wil voldoen, aanpakken die hap.

Vexxon 31 augustus 2023 14:19

privacybeleid van Google-dochterbedrijf

Dan weet je natuurlijk eigenljk al genoeg.
Zoveel mogelijk geld verdienen en fuck de regels als die je daarin tegenhouden is het devies.
En als je gepakt wordt zeg je gewoon dat het een bug was, pak je een kleine boete en ga je op dezelfde voet verder.

DeComponeur 31 augustus 2023 15:06

Wat ik ergerlijk vind is dat je tegenwoordig steeds vaker apparaten móet registeren met een (Google) account, als je dat niet doet werken ze niet of maar gedeeltelijk... is best absurd.
Een Philips TV moet je aanmelden anders kun je geen andere apps downloaden, een DJI Osmo camera houdt na 3 keer filmen op tenzij je een stukje privacy opgeeft. Snap niet dat overheden daar niets aan doen.
Straks gaat mijn nieuwe smartkoelkast niet lager dan 10 graden, pas na mijn mobile nummer, vriezen

[Reactie gewijzigd door DeComponeur op 23 juli 2024 13:12]

The Zep Man

Privacy
Nederland

@DeComponeur • 31 augustus 2023 15:44

Straks gaat mijn nieuwe smartkoelkast niet lager dan 10 graden, pas na mijn mobile nummer, vriezen

Dat zou niet gewenst zijn, dat je koelkast gaat vriezen. Dus ik zou zeker niet je mobiele nummer geven.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 13:12]

haam 31 augustus 2023 16:55

Had iemand wat anders verwacht toen de toko werd overgenomen door Google?

Volgens mij zijn er nogal wat vrachtwagenladingen met mensen die denken "als ik er niet over nadenk, is er geen probleem".

Het is een compleet nieuwe aanvalshoek om mensen specifiek te targetten. Maar zolang mensen door een reclame niet bij hun voornaam worden genoemd, denken ze waarschijnlijk dat het 'algemene' reclame is

joey82 31 augustus 2023 16:43

dan koop je het toch niet?

Blazzie

@joey82 • 1 september 2023 10:29

Dat is niet de situatie: wij hebben een fitbit lang geleden gekocht, en sinds heel recent werkte de app niet meer en moesten we deze ongewenste privacy wijzigingen accepteren. En zonder de app is de fitbit niet goed bruikbaar.
Met de situatie zoals die nu is zouden we nooit een fitbit gekocht hebben maar een ander merk. Maar nu is het een voldongen feit. Garantie is allang verlopen. Kortom, wat moeten we doen, fitbit maar niet meer gebruiken en een andere kopen? Terwijl hij het nog prima doet los van de privacy problemen?

mrsunshine75 31 augustus 2023 15:57

Alle "groten der aarde" lappen de AVG regels aan de spreekwoordelijke laars. Microsoft/Windows, Dell, Google..etc Je moet altijd hun regels aanvaarden en die stellen dat het jouw verantwoordelijkheid is wat er met de bij of via jouw account vergaarde data gebeurt.
Er is nergens een opt-out te vinden.

Als je dit als bedrijf, MKB-er, ZZp-er netjes wil regelen voor je klanten en natuurlijk zodat je niet beboet wordt, dan gaat dat eenvoudigweg niet.
Als je overheidsinstanties er over benaderd, dat dit zo lek als een mandje is, dan geven zij aan dat je dit met de bedrijven in kwestie zelf moet regelen.
Ze zijn er slechts voor advisering, regelgeving en handhaving bij gebruikers. Niet de uitvoerbaarheid van de praktische implementatie.
Het wordt tijd dat ze de pijlen richtten op de leveranciers en die verplicht stellen de producten en diensten standaard AVG compliant aan te bieden en verhandelen. Maar dat lijkt juridische niet haalbaar voor onze overheid.

Bij Microsoft moet je bijvoorbeeld een corporate account/licentie regelen. Daar is maatwerk mogelijk.
Maar bij Dell kan dat al weer niet.
Maar hoe kunnen business laptops dan met Microsoft programma's verkocht worden door Dell zonder dat die licentie corporate is?

Het hele AVG lijkt wel een exersitie schone schijn ophouden, waarbij de verantwoordelijkheid lekker bij de gebruikers gedeponeerd wordt. Die er vervolgens zelf gewoonweg geen invloed op uit kunnen oefenen.

Awel..we leven iig in een interessante wereld in een interessante tijd, zullen we maar denken.
Hang in there everyone.

Op dit item kan niet meer gereageerd worden.

Privacyorganisatie klaagt bij Nederlandse overheid over privacybeleid Fitbit

Lees meer

Reacties (37)

Sorteer op:

Weergave: