Fiets- en hardloopapp Strava ongezond voor je privacy

Door Laura Wolfs, Jurriaan Dane, Lukas Pannekoek, Rik Nierop en Thamar Sikkes

Inleiding

Iedereen heeft er ongetwijfeld een keer van gehoord: het monitoren van sportprestaties met behulp van sport- en fitnessapps op je smartphone. Bij het aanmaken van een account voor zo’n app vullen gebruikers vaak onverschillig gegevens in, zoals hun postcode, geboortedatum, gewicht en lengte, met maar één doel voor ogen: een fitter leven. De app kan dit doel vergemakkelijken door dagelijks een herinnering te sturen, het aantal calorieën dat verbrand wordt tijdens de workouts te berekenen en de hardlooproutes te registreren en te delen.

Hoewel veel sporters gebruik maken van sport- en fitnessapps en deze apps als praktisch gezien worden, schuilt daar een gevaar in. Bepaalde functies kunnen namelijk meer informatie vrijgeven dan gebruikers eigenlijk zouden willen. Uit het privacybeleid van de fiets- en hardloopapp Strava (hierna: Strava) is op te maken dat er data van gebruikers kunnen worden verzameld ten behoeve van targeted advertising door Strava of derden. Wanneer men bij het aanmaken van een account toestemming geeft om gegevens te delen met bijvoorbeeld Strava, is dit hoogstwaarschijnlijk niet met de intentie om deze gegevens ongelimiteerd ter beschikking te stellen aan de gehele wereld, maar indien niet de benodigde beveiligingsmaatregelingen worden getroffen, kan dit wel gebeuren.

Strava is de afgelopen tijd regelmatig in het nieuws geweest. Zo werd begin vorig jaar bekend dat de “Heatmap’’ van Strava geheime militaire informatie onthulde. Militairen werden door defensie nadien ingelicht over de privacygevaren van het gebruik van Strava en bovendien werd afgelopen zomer besloten dat er een verbod op het gebruik van Strava door militairen moest komen.

In deze blog hebben wij het privacybeleid van Strava getoetst aan de Algemene verordening gegevensbescherming (hierna: AVG). Hieruit is gebleken dat de verwerking van (bijzondere) persoonsgegevens door Strava in sommige gevallen onrechtmatig is, omdat niet aan het toestemmingsvereiste wordt voldaan. Daarnaast reageert Strava niet op de juiste wijze op ons inzageverzoek.

Niet-transparante inzage

Indien een bedrijf gegevens van een persoon c.q. de gebruiker verwerkt, kan deze gebruiker de verwerkingsverantwoordelijke te allen tijde verzoeken hem inzage in zijn persoonsgegevens te verschaffen. Door één van de onderzoekers is bij Strava een inzageverzoek ingediend (zie screenshot hieronder), waar Strava op heeft gereageerd door middel van een e-mail waarin zij verwijzen naar hun privacyverklaring en de privacy-instellingen van het gebruikersaccount (zie afbeelding hieronder). Deze reactie op het inzageverzoek voldoet niet aan de eisen die daaraan door de AVG worden gesteld. De informatie moet namelijk in gemakkelijke, toegankelijke vorm worden aangeboden en beknopt, transparant en begrijpelijk zijn. Het louter doorverwijzen naar de privacybeleid en het gebruikersaccount volstaat in dat geval niet, wat betekent Strava haar verplichtingen op grond van de AVG niet is nagekomen.

Verder wordt in de reactie op het inzageverzoek niet ingegaan op de vraag of en welke persoonsgegevens worden gedeeld met derden. Ook in het privacybeleid van Strava wordt hier niets over vermeld. In het verleden heeft Strava al eens data verkocht aan steden, zodat deze steden meer inzicht konden krijgen in het gebruik van hun infrastructuur.

Aangezien onduidelijk blijft wat Strava precies met de persoonsgegevens doet en het bedrijf al eens eerder data heeft verkocht aan derden, bestaat de kans dat Strava dit nu nog steeds doet. Strava voldoet ons inziens door de gebrekkige informatie in zowel de reactie op de inzage van persoonsgegevens als het privacybeleid dus niet aan het transparantievereiste op grond van de AVG.

Onrechtmatige verwerking persoonsgegevens Strava

I Toestemmingsmanipulatie

Misleidende click-flow

Wanneer de gebruiker zijn account heeft aangemaakt, vraagt Strava om toestemming om gezondheidsgerelateerde gegevens uit wearables zoals Fitbits te verzamelen. Hierbij is de werkwijze van Strava problematisch omdat de structuur van dit proces, een zogenoemde ‘click-flow’, de gebruiker manipuleert om de gegevens te delen. Opvallend is dat wanneer bevestigend wordt gereageerd op de vraag om gezondheidsgegevens te delen, dit voldoende is, maar dat Strava bij een negatief antwoord op de eerste vraag nog tweemaal om bevestiging van deze weigering vraagt (zie afbeelding onder). De click-flow stuurt derhalve aan op het geven van toestemming door te vereisen dat de gebruiker driemaal zijn negatieve keuze bevestigt.

Gegevens over de gezondheid van een persoon, bijvoorbeeld over calorieverbruik en lichamelijke activiteiten, zijn bijzondere persoonsgegevens. Bijzondere persoonsgegevens mogen worden verwerkt voor een of meer welbepaalde doelen, als de gebruiker hiervoor uitdrukkelijke toestemming heeft gegeven.

Deze eis is strenger dan de eis van ondubbelzinnige toestemming bij niet-bijzondere persoonsgegevens. De gebruiker moet vooraf geïnformeerd zijn over wat er precies met zijn persoonsgegevens zal gebeuren. Het Ministerie van Justitie en Veiligheid geeft in de Handleiding AVG aan dat als richtsnoer hiervoor aangehouden kan worden dat de handeling waarmee uitdrukkelijke toestemming gegeven wordt specifiek gericht moet zijn op het geven van toestemming.

Het ontwerp van de click-flow van Strava is misleidend, omdat deze specifiek gericht lijkt te zijn op het voorkomen van een weigering. Hierdoor is niet meer zeker of de gebruiker wel een uitdrukkelijke toestemming heeft gegeven voor het delen van de gezondheidsgegevens. De gebruiker – die vaak snel de app wil installeren om deze vervolgens direct te gebruiken – zal op deze manier eerder dan normaal wél toestemming geven omdat het weigeren hem moeilijker wordt gemaakt. Zelfs de gebruiker die vooraf terughoudend is met het geven van toestemming zou op deze manier gemanipuleerd kunnen worden om van zijn eerdere keuze af te wijken. De werkwijze van Strava – het aansturen op het geven van toestemming – staat daarmee haaks op de aanvullende bescherming die deze bijzondere persoonsgegevens toekomt.

Het ontwerp van de click-flow van Strava is misleidend, omdat deze specifiek gericht lijkt te zijn op het voorkomen van een weigering.

Manipuleren gebruikservaring

Naast de click-flow manipuleert Strava gebruikers door hen te laten klikken op de rechter button, waarmee direct toestemming gegeven wordt voor het delen van gezondheidsgegevens (zie afbeelding onder). In een gids van de IAPP wordt een aantal praktische voorbeelden gegeven hoe op een juridisch juiste wijze toestemming verkregen kan worden. Strava maakt gebruik van twee methoden die in deze gids nadrukkelijk worden afgeraden. Allereerst wordt de keuze voor het delen van gezondheidsgegevens ‘gepromoot’ omdat de rechter button in een andere, veel meer opvallende, kleur is geplaatst, waardoor gebruikers sneller geneigd zijn om daar op te klikken omdat zij de app snel willen installeren.

Daarnaast stelt de IAPP in de gids dat wanneer er twee keuzes naast elkaar worden getoond, de rechter optie als standaard wordt gezien. De rechter button is in dit geval de ‘toestaan’ optie, waardoor deze door gebruikers dus als standaard wordt gezien.

Juist bij bijzondere persoonsgegevens is het ontzettend belangrijk dat gebruikers voor het verwerken uitdrukkelijke toestemming geven, dus dat gebruikers de mogelijkheid hebben om een overweging te maken zonder dat ze gemanipuleerd worden. Dit kan bijvoorbeeld door de twee opties onder elkaar te zetten, zodat deze opties als gelijkwaardig worden gezien. Hoewel de gids geen officiële uitleg is van de wetgever of van de toezichthouder, achten wij dit wel van belang omdat de ‘user interface’ van grote invloed kan zijn op de keuze die een gebruiker gaat maken.

II Aangevinkt vakje Heatmap

Zoals reeds uiteengezet, is voor de verwerking van persoonsgegevens toestemming vereist. Deze toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld door een elektronische verklaring. Ook volstaan elektronische middelen waaruit blijkt dat de gebruiker vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.

Het gebruik van reeds aangekruiste vakjes volstaat niet als toestemming. Strava genereert op basis van gebruikersgegevens een wereldwijde Heatmap van looproutes. Bij het aanmaken van een gebruikersaccount staat het delen van je activiteiten ten behoeve van de Heatmap automatisch aan (zie afbeelding onder). Dit levert problemen op met betrekking tot de toestemming omdat er geen sprake is van de vereiste actieve handeling, zoals hierboven besproken.

Conclusie

Bovenstaande blog toont aan dat Strava onrechtmatig gegevens verwerkt, omdat er niet aan het toestemmingsvereiste wordt voldaan. Daarnaast voldoet Strava niet aan de vereisten omtrent het inzageverzoek, omdat de informatie die in de e-mail is gestuurd als reactie op het inzageverzoek niet in een gemakkelijke, begrijpelijke en toegankelijke vorm is aangeboden. Voorts wordt in de reactie op het inzageverzoek niet ingegaan op de vraag of en zo ja welke persoonsgegevens worden gedeeld met derde partijen. De reactie op het inzageverzoek is derhalve niet voldoende transparant.

De onrechtmatige verwerking van persoonsgegevens door het ontbreken van het vrijelijk geven van toestemming berust op drie punten. Allereerst maakt Strava gebruik van een misleidende click-flow, welke ervoor zorgt dat gebruikers sneller kiezen voor de ‘toestemming’ optie. Daarnaast manipuleert Strava de gebruikservaring door de rechter button met toestemming rood te maken en de buttons naast elkaar te plaatsen, waardoor gebruikers sneller kiezen voor de rechter optie. Ten slotte staat bij het aanmaken van een gebruikersaccount het delen van je activiteiten ten behoeve van de Heatmap automatisch aan. Doordat er geen actieve handeling is verricht, is er geen sprake van het vrijelijk geven van toestemming.

Strava verwerkt dus persoonsgegevens op een manier die ongezond is voor de privacy. Let daarom goed op bij het gebruik van de app!

Strava verwerkt dus persoonsgegevens op een manier die ongezond is voor de privacy. Let daarom goed op bij het gebruik van de app!