GDPR en het gijzelen van apparaten

Ola!

Ik zit even ergens over te tobben waar ik niet helemaal uitkom wat de juridische (vermeende) status is, want de wet lijkt op dat punt nogal ehh... Vaagjes. Dus misschien dat hier iemand het toevallig weet.

Stel je koopt een medisch apparaat. (Niets schokkends en vrij standaard, maar medisch = medisch en medische data wordt nog strenger beschermd dan normale data. ) Dit apparaat verstuurt de verzamelde medische data naar een cloud van de fabrikant. Dat is niet noodzakelijk voor de werking van het apparaat, het stuurt enkel de gegevens door; de gegevens zelf zijn inzichtelijk in de software en het apparaat kan ook functioneren zonder internetverbinding (de gegevens worden dan verstuurd naar de cloud zodra er verbinding is, in de tussentijd is het prima in te zien in de applicatie). Wat de meerwaarde is van dat constant uploaden van de data voor de gebruiker is dus ook even een raadsel, maar dat terzijde.

De fabrikant verplicht je echter om die medische gegevens te versturen. Ze zeggen zelf dat je niet gedwongen wordt omdat je altijd het account kan verwijderen, maar dan blokkeren ze effectief het gehele apparaat. De software start namelijk niet op zonder eerst een ("gratis") account aan te maken. Eigenlijk wordt je dus wel degelijk gedwongen wil je gewoon je kostbare apparaat kunnen gebruiken. "Maar je hebt de optie...!".

Nu valt er natuurlijk omslachtig deels omheen te werken door de app geen internettoegang te geven.
De fabrikant heeft daar echter ook al goed over nagedacht en zorgt ervoor dat bepaalde synchronisaties die lokaal plaatsvinden, zoals de sync met Apple HealthKit, simpelweg niet uitgevoerd worden totdat de app de data heeft geupload naar hun cloud. Ze hebben de volgorde dus zo gemaakt dat als de cloud-upload niet slaagt omdat er geen internetverbinding is, dat dan de data ook niet lokaal naar andere apps/API's wordt gedeeld. Daar is dus over nagedacht om maar zoveel mogelijk te blijven dwingen niet enkel die account aan te maken, maar ook om die data dus te blijven versturen omdat de software anders bepaalde lokale offline koppelingen deactiveert totdat je netjes hebt betaald met je medische data. Je apparaat OF je koppelingen worden dus gegijzeld tenzij je die data naar de cloud laat uploaden voor... Ja waarvoor eigenlijk.


De vraag is of daar eigenlijk al jurisprudentie over bekend is en in hoeverre zoiets tegenwoordig nog is toegestaan? Vroeger kwam je er misschien mee weg, maar nu met de GDPR heb ik toch gegronde twijfels of dat wel compatible is met die wet. Maar de wettekst is, tenzij ik ergens enorm overheen heb gelezen, nogal vaagjes over hoe het nou precies zit met dit soort rare acties.

Stoelpoot schreef op woensdag 12 september 2018 @ 15:42:
- Gaat dit om een medisch apparaat wat in een ziekenhuis of bij een arts staat, of een huis-tuin-en-kuiken-device wat je koopt om met zo'n speciale app te gebruiken (en waarvan de app dus onderdeel is van het product wat je koopt)?
- Waar worden de gegevens voor gebruikt? Hier zou een document over moeten bestaan onder het mom van GDPR. Als ze enkel strikt beveiligd worden opgeslagen op hun servers beveiligd met jouw unieke sleutel, is er mogelijk niets mis mee dat dit wordt opgeslagen.
- Staat Apple wel toe dat gegevens direct over Bluetooth oid worden verzonden?

- Een doe-het-zelf apparaat. De API blijkt redelijk dichtgetimmerd te zijn. Saillant detail om te noemen is overigens dat het verpakkingsmateriaal melding maakt van cloud synchronisatie als "feature", niet als verplichting. Dat er een app is om het apparaat te starten is best logisch, dat de koppeling met de cloud echter verplicht wordt is niet logisch. Laat ik het zo zeggen, ze verplichten blijkbaar deze synchronisatie zelfs al als je slechts iets simpels als een weegschaal van het desbetreffende merk wilt gebruiken.
- Het gebruikt de data "om de dienst te kunnen leveren"; en met "de dienst" wordt dan bedoeld de synchronisatie van de data naar het online account (en door het ontwerp komt dat dus ook neer op überhaupt het werken van de applicatie want als je "de dienst" niet gebruikt mag je je apparaat niet gebruiken...). Een nogal breed begrip. Die dienst heeft voor mij overigens geen enkele toegevoegde waarde. Ik gebruik het apparaat lokaal en zit niet te wachten op cloud synchronisatie.
- De data wordt niet opgeslagen met een unieke sleutel en mag conform de privacy policy zelfs gedeeld worden met "partners" die niet nader gespecificeerd zijn behalve de partners in de vorm van subsidiaries van het bedrijf in kwestie. Ook wordt vermeld dat de data overgeheveld kan worden naar servers buiten de EU/EER.
- Zeker, je kan Bluetooth op een Apple device gewoon gebruiken om met je apparaten te interfacen.

emnich schreef op woensdag 12 september 2018 @ 15:45:
Ik zou zeggen dat het apparaat dan non-conform is en je het terug kan brengen. Dat lijkt me een snellere methode dan de fabrikant te dwingen om z'n firmware aan te passen.

Maar puur principieel heb je gelijk en mogen ze die gegevens niet zo maar verwerken.

De fabrikant dwingen zal inderdaad een hele kluif worden, tenzij bijvoorbeeld de Autoriteit Persoonsgegevens zich ermee gaat bemoeien en vindt dat het inderdaad niet door de beugel kan.
Zal daar ook een klacht neerleggen, maar was vooral benieuwd of hier al jurisprudentie over is of zoiets mag (met medische data).

Een kleine update hierover.
Het bedrijf in kwestie weigert een oplossing te bieden. In elke vorm.
Geen oplossing waarbij het apparaat te gebruiken is zonder dataverzameling. (Eg: gebruiken zonder account of tenminste het beschikbaar maken van een publieke API voor de apparaten waar jij of iemand anders tegenaan kan programmeren) noch een oplossing waarbij het apparaat wordt teruggenomen omdat het niet functioneert.

De punten waarop, naar mijn mening, de AVG wordt geschonden zijn:
- Geforceerd consent (je MOET accepteren anders werkt je apparaat niet, terwijl het apparaat bewezen wel zonder enig probleem KAN functioneren zonder cloud synchronisatie), dat mag niet zomaar - al helemaal niet voor medische data, met slechts zeer summiere uitzonderingen, waarvan geen van toepassing zijn op dit bedrijf. Het excuus "maar je kan je account verwijderen" is niet voldoende als daarmee wordt veroorzaakt dat de apparatuur niet meer zal functioneren. ^{(Toevoeging: het staat ook niet op het verpakkingsmateriaal vermeld dat een account vereist is. Of dat juridisch een verschil zou maken voor de AVG weet ik niet eens, maar het staat er sowieso niet.)}
- Verzameling van medische gegevens zonder dat daar een duidelijke grondslag voor is, zeker in combinatie met het bovenstaande is dat uiterst dubieus.
- Het vermelden dat het delen van medische gegevens kan plaatsvinden met "derde partijen" die niet nader gespecificeerd zijn. Dit mag sowieso niet, maar met medische gegevens moet al helemaal duidelijk zijn met wie het gedeeld wordt, onder welke omstandigheden, wat zij er mee doen en mogen doen, et cetera.

En dan ook nog (al is dit niet iets wat specifiek met de AVG te maken heeft denk ik, weet ik niet helemaal zeker. Mogelijk wel gezien zij een informatieplicht hebben en dus kloppende gegevens dienen te verstrekken.) het meermaals liegen in de communicatie dat zij geen toegang hebben tot de data, wat onmogelijk is gezien de data gewoon inzichtelijk is op hun website, en daarnaast ook in de kopie van je gegevens in hun cloud die je kan opvragen in plain-text is inbegrepen. Dat gaat niet zonder toegang tot de data Vragen daarover worden gewoon genegeerd alsof je er niets over gevraagd hebt. Het kan zijn dat dit is omdat ze het laten afhandelen door eerste lijn, maar dat is niet mijn probleem; ik had immers reeds verzocht de zaak door te geven aan een persoon die hier meer over kan en mag vertellen en ook daadwerkelijk verstand heeft van de materie.


Op basis van al het bovenstaande is intussen contact geweest met de AP. Die vinden het ook nogal dubieus en het klinkt als een behoorlijke schending van de AVG op meerdere fronten. Op basis daarvan is nu een klacht ingediend bij het AP (je bent, terecht, verplicht om eerst zelf te pogen tot een oplossing te komen namelijk - na 1.5 maand heen en weer geouwehoer lijkt het me duidelijk dat die oplossing er niet vanuit hun gaat komen.), hopelijk pikken ze het op!

Nogmaals dank voor de reacties.

[ Voor 3% gewijzigd door WhatsappHack op 17-10-2018 17:42 ]

Ik dacht ik plaats hier eens een update. Na melding te hebben gemaakt in september 2018, kreeg ik pas geleden een mail dat ze het doorgestuurd hebben naar de toezichthouder die het moet gaan behandelen. 9 maanden verder dus en nu pas is het doorgestuurd. Betekent ook dat het daar waarschijnlijk weer onderaan de stapel ligt, ik verwacht niet meer voor ‘t einde van 2019 een antwoord te hebben.

Best leip dat het zo enorm lang duurt eigenlijk, dan heb je ook vrij weinig aan die procedures imho. Zal vast druk zijn, maar zó druk dat een mailtje forwarden 9 maanden de tijd kost: dan zal de inhoudelijk behandeling waarschijnlijk nog veel en veel langer duren en is het apparaat wellicht intussen zelfs voorbij z’n levensduur.

[ Voor 4% gewijzigd door WhatsappHack op 22-06-2019 04:20 ]