AP: Nike overtreedt privacywet niet langer met hardloop-app

di 8 november 2016 - 16:23
Nieuws

Nike overtreedt met de Nike+ Running app (tegenwoordig Nike+ Running Club) niet langer de Wet bescherming persoonsgegevens. Dat laat de privacytoezichthouder Autoriteit Persoonsgegevens weten.

De AP stelde tijdens eerder onderzoek eind 2015 vast dat Nike de gebruikers van deze hardloop-app onvoldoende informeerde over de verwerking van hun gezondheidsgegevens. Nike verkreeg niet de vereiste uitdrukkelijke toestemming van de app-gebruikers. Verder waren er geen bewaartermijnen voor deze gegevens vastgesteld.  Nike heeft al tijdens en na het onderzoek maatregelen getroffen en daarmee de overtredingen beëindigd, constateert de AP.

Nike berekent via de app loopafstanden, -snelheden en -tijden. Hiervoor maakt de app onder meer gebruik van de locatiegegevens uit de smartphone van de gebruiker. De app berekent ook verbrande calorieën en paslengte op basis van het geslacht, de lichaamslengte en het gewicht. Daarnaast berekent Nike op basis van de meetgegevens uit de app zogenaamde 'Fuel-punten', een eigen maatstaf van Nike voor de mate van geleverde inspanning. Gebruikers kunnen er in de nieuwe appversies voor kiezen om een algemene waarde te gebruiken voor lengte en gewicht, om de gegevens minder specifiek te maken.

Nike gebruikt de sportieve prestaties van de app-gebruikers gedurende 13 maanden voor eigen onderzoeks- en analysedoeleinden en toont bijvoorbeeld vergelijkingen met de prestaties van andere sporters van hetzelfde geslacht in dezelfde leeftijdscategorie. Nike kan hieruit onder meer opmaken of je conditie voor- of achteruitgaat. Dit zijn gevoelige persoonsgegevens die iets zeggen over de gezondheid. Hoe vaak en intensief je sport heeft een relatie met je levensverwachting.

Nike mag deze bijzondere persoonsgegevens alleen verwerken met uitdrukkelijke toestemming van de gebruikers, aldus de AP. Nike informeert de app-gebruikers voortaan via de nieuwe appversies en in het aangepaste privacybeleid over de manier waarop via de app gezondheidsgegevens worden verwerkt.

Diverse bewaartermijnen

De noodzakelijke bewaartermijnen zijn afhankelijk van het doel waarvoor de gegevens worden gebruikt. Nike mag de gezondheidsgegevens gedurende 13 maanden bewaren en gebruiken voor de onderzochte, legitieme eigen onderzoeks- en analysedoeleinden. Dit is noodzakelijk omdat bij hardloopwedstrijden vaak sprake is van jaarlijkse evenementen.

Nike mag de gegevens nog langer bewaren voor het inzien van de gegevens door de gebruikers zelf. Nike heeft na publicatie van het onderzoeksrapport van de AP kwantitatief en kwalitatief onderzoek gedaan onder gebruikers van de app. Gebruikers bleken het belangrijk te vinden om ook na jaren inactiviteit nog een overzicht te kunnen krijgen van hun eerdere hardloopprestaties. Nike heeft daarom een technische scheiding aangebracht tussen de logingegevens en de hardloopgegevens.

Na 13 maanden inactiviteit gaan de hardloopgegevens in versleutelde quarantaine. Alleen de gebruiker zelf heeft dan nog toegang tot zijn of haar historische hardloopgegevens. Nike bewaart deze versleutelde gegevens daarna nog bijna vier jaar.

Versleuteling hardloopgegevens

Nike heeft ten slotte naar aanleiding van het onderzoek alle hardloopgegevens van inactieve gebruikers in Nederland van oudere appversies versleuteld. Op deze manier sluit Nike uit dat deze gegevens gebruikt worden voor analyse- en onderzoeksdoeleinden. Nike stuurt tot slot voor het eind van het jaar een e-mail aan alle app-gebruikers in Nederland die nog wel actief zijn, maar niet de nieuwe appversie hebben geïnstalleerd. Nike waarschuwt hen dat zij een nieuwe appversie moeten gebruiken.

Groeiend gebruik gezondheidsapps

Driekwart van de Nederlanders had volgens de AP eind 2015 een smartphone, en die wordt steeds vaker gebruikt om gezondheid en lifestyle te monitoren. De verwachting is dat in 2017 5 miljoen Nederlanders een of meerdere gezondheids- of fitnessapps gebruiken. Hardlopen is in Nederland een populaire sport. Bijna twee miljoen Nederlanders beoefenen deze sport. De Nike+ Running app is wereldwijd 10 tot 50 miljoen keer gedownload op Android-apparaten. De versie voor Apple iPhones staat op de twaalfde plaats van in Nederland meest gedownloade fitness-apps.

Privacy van health apps

De Europese Commissie (EC) heeft in juni 2016 formeel richtlijnen uitgebracht die de privacy van gebruikers van mobilee health apps moet waarborgen. Wanneer deze richtlijnen door een onafhankelijke werkgroep worden goedgekeurd, zullen ze in praktijk worden gebracht. App developers kunnen de richtlijnen volgen op basis van vrijwilligheid. De EC verklaarde destijds dat de Code of Conduct is ontwikkeld in lijn met de wensen van alle betrokken partijen waaronder het mkb en individuele developers die geen toegang hebben tot juridische expertise. Volgens de EC moeten de richtlijnen zorgen voor meer bewustzijn omtrent privacy en databescherming.

Privacy lastig

Veel health-apps registeren meer gegevens dan nodig is, zo blijkt vaker. In februari kwam naar buiten dat de health-apps Endomondo, Lifesum, MyFitnessPal, Runkeeper en Strava persoonlijke gegevens met derden delen, zonder duidelijk te maken wie dat zijn. Dit bleek uit een onderzoek van de Noorse consumentenorganisatie ‘Forbrukerradet’. De Nederlandse Consumentenbond waarschuwde op basis van dit onderzoek de Nederlandse gebruikers. De Consumentenbond meent dat deze app-aanbieders hun privacyvoorwaarden consumentvriendelijker moeten maken.

De Noorse consumentenorganisatie Forbrukerrådet diende in mei bij de Autoriteit Persoonsgegevens een klacht in over fitness-app Runkeeper. NOS Nieuwsuur meldde eerder dit jaar dat de app gebruikers voortdurend volgt, ook als hij niet gebruikt wordt. De verkregen gegevens worden verkocht aan derde partijen.