Privacybeleid Garmin: Wat doet men met jouw fitnessdata?

Het hele doel van fitnesswearables en smartwatches is om zoveel mogelijk data te registeren, zodat je een goed beeld krijgt van je algehele gezondheid. Maar wat wordt er zoal met die gegevens gedaan? We kijken naar het privacybeleid van Garmin om daar een indruk van te geven.

Bij IoT staat het verzamelen en delen van (privacygevoelige) data centraal. Slimme apparaten registreren zodoende steeds meer data van hun gebruikers. Een goed voorbeeld hiervan is de huidige generatie smartwatches die op grote schaal gezondheidsgegevens registreren, zoals slaapritme, hartslag, menstruatiecyclus en stress. 

Uit onderzoek van het Financieele Dagblad blijkt dat de grote fabrikanten van de slimme horloges de betrokkenen onvoldoende informeren in hun privacybeleid over de verwerking van deze gegevens. Onder meer de Amerikaanse fabrikant Garmin zou daardoor niet aan de Europese privacywetgeving (AVG) voldoen. In dit artikel wordt daarom een nadere blik geworpen op het privacybeleid voor de wearables van Garmin.

Wettelijk grondslag en doel

Op grond van de AVG is het vereist dat de verwerkingsverantwoordelijke in zijn privacybeleid uitlegt welke persoonsgegevens voor welk doel en op basis van welke wettelijk grondslag worden verzameld. Deze informatie moet transparant en duidelijk zijn. Dat betekent dat elke verwerking van een (type) persoonsgegeven gekoppeld moet zijn aan een concreet doel en een juridische grondslag. Alleen een aparte opsomming van de persoonsgegevens, de doelen en de grondslagen is niet voldoende. Voor de gebruiker is dan immers nog steeds niet duidelijk op basis van welke concrete grondslag en voor welk specifieke doel bepaalde persoonsgegevens worden verwerkt.

Toch beperken veel organisaties zich tot een aparte opsomming zonder enige koppeling tussen de persoonsgegevens en de specifieke doelen en grondslagen. Garmin doet dit wel. De organisatie vermeldt op overzichtelijke wijze per handeling (zoals het aanmaken van een Garmin-account) welke persoonsgegevens worden verzameld. Vervolgens wordt per persoonsgegeven uitgelegd voor welke verschillende doelen deze wordt verzameld. Vervolgens specificeert Garmin ook de juridische grondslagen.

Privacy by default

Een ander veelvoorkomend probleem bij slimme apparaten is dat de standaardinstellingen niet privacyvriendelijk zijn. Voor alle producten en diensten geldt dat deze zo ingericht moeten zijn dat de verwerking van persoonsgegevens tot het minimum wordt beperkt. Dit principe wordt ook wel privacy by default genoemd en vloeit voort uit de AVG. Vooraf aangevinkte vakjes voor het delen van bepaalde gegevens of het automatisch verzamelen van locatiedate zijn voorbeelden die niet stroken met dit principe.

Op basis van zijn privacybeleid lijkt Garmin zijn producten zoveel mogelijk in lijn met het principe van privacy by default te hebben ingericht. De betrokkene kan zijn smartwatch bijvoorbeeld gebruiken zonder dat de activiteitgegevens (verbrande calorieën, hartslag, slaap) automatisch worden geüpload in zijn Garmin-account. Als de betrokkene zijn activiteitgegevens wel wil uploaden, bepaalt hij zelf welke gegevens andere personen kunnen inzien. Het account staat standaard altijd op ‘privé’ ingesteld, aldus Garmin. Zonder aanpassingen van de betrokkene zelf zijn deze gegevens dus niet inzichtelijk voor anderen.

Doorgifte buiten de EER

Het Hof van Justitie verklaarde in de zaak Schrems II het zogenoemde Privacy Shield ongeldig. Het Privacy Shield is een adequaatheidsbesluit van de Europese Commissie op grond waarvan doorgifte van persoonsgegevens van de EU naar de VS goedgekeurd was. Het standpunt was dat het Privacy Shield de EU-burgers een vergelijkbaar beschermingsniveau als onder de AVG bood bij doorgifte naar de VS. Het Hof was van mening dat het Privacy Shield de rechten van de EU-burgers in de VS toch onvoldoende waarborgde. Met als gevolg dat het Hof het besluit ongeldig verklaarde. Daarmee is een belangrijke grondslag weggevallen voor de doorgifte van persoonsgegevens van de EU naar de VS.

Garmin geeft aan dat het persoonsgegevens van betrokkenen binnen de EER moet delen met andere Garmin-bedrijven om de producten, apps en diensten aan te kunnen bieden. Garmin maakt vervolgens in een aparte lijst inzichtelijk waar deze bedrijven zich bevinden. Voor de EER geldt dat de persoonsgegevens namens een aantal Amerikaanse entiteiten worden verwerkt. 

Volgens Garmin gebeurt dit (nog steeds) op grond van het Privacy Shield. Garmin baseert zich zodoende op een grondslag die niet meer geldig is. Voor doorgifte naar de VS zal Garmin dus een andere grondslag moeten zoeken. Organisaties kunnen bijvoorbeeld voor de doorgifte buiten de EER wel gebruikmaken van de modelcontracten van de Europese Commissie, ook wel Standard Contractual Clauses (SCC) genoemd.

Delen van data met derden

Onder de AVG dient de verwerkingsverantwoordelijke duidelijk te informeren met welke derden hij de informatie deelt. Het heeft de voorkeur dat de derde partij concreet wordt genoemd, maar het benoemen van de categorie van ontvangers is ook toegestaan. De categorie dient in dat geval wel voldoende gespecificeerd te zijn, zodat de betrokkene ook daadwerkelijk een beeld heeft van de organisaties die zijn persoonlijke data ontvangen.

Garmin heeft ervoor gekozen om de categorieën van ontvangers te benoemen. Garmin gebruikt een aantal algemene restcategorieën zoals overige derden en andere dienstverleners. Bij deze laatste categorie maakt Garmin duidelijk dat het gaat om externe serviceproviders zoals Adobe en Emarsys. Van de overige derden maakt Garmin niet duidelijk welke partijen hieronder vallen. Het bedrijf geeft slechts aan dat het activiteitgegevens kan verkopen of delen met overige derden voor onderzoeks- of andere doeleinden. Welke overige derden dit kunnen zijn, is voor de betrokkene niet duidelijk.

Eindoordeel 

Opgesomd:

+ Garmin informeert per type persoonsgegeven dat het verwerkt, uitgebreid over de grondslag daarvoor en het doel.

- Bij de inrichting van de producten en diensten tracht Garmin de verwerking van persoonsgegevens te beperken.

- Voor de doorgifte van persoonsgegevens buiten de EU baseert Garmin zich op het ongeldige verklaarde Privacy Shield.

+/- Garmin deelt data met overige derden, maar specificeert niet duidelijk genoeg wie onder deze categorie vallen.

Het privacybeleid van Garmin is overzichtelijk en duidelijk. Ook de door Garmin aangeboden producten en diensten lijken zo privacyvriendelijk mogelijk te zijn ingesteld. Dat is ook van groot belang nu de smartwatches van Garmin een variatie aan gezondheidsgegevens verwerken. Er zijn tenslotte ook een aantal aandachtspunten. Zo zou Garmin de grondslag voor doorgiften naar de VS moeten heroverwegen. Het Privacy Shield is namelijk ongeldig verklaard.

Geschreven door: Redactie PCM op

Category: Nieuws, Wearables

Tags: Smartwatch, Privacy, Garmin