Pas op: “app-vibrator” We-vibe deelt intieme gegevens met fabrikant.

De innovatieve We-vibe vibrator kan via een app op afstand bestuurd worden. Een Amerikaanse vrouw ontdekte tot haar schrik een nieuwe ‘feature’. De vibrator stuurt ook gebruikersdata naar de fabrikant! Met die gegevens weet de fabrikant niet alleen wanneer de vibrator gebruikt wordt, maar ook met welke intensiteit en instellingen. Dat wil niet iedereen delen!

We-vibe is populair, wereldwijd zijn er ongeveer twee miljoen verkocht. Ook in Nederland is de We-vibe te koop (hier, hier en hier). De privacy van veel Nederlanders staat dus op het spel.

Hoe werkt de We-vibe vibrator?

De We-vibe vibrator wordt gekoppeld aan een app. Met die app kan een ander de vibrator besturen. Zo kan een ander de intensiteit en de stand van de vibrator instellen.

Via die app verzamelt de fabrikant ook gebruiksgegevens zoals de intensiteit van het gebruik, de specifieke trilstand enz. Naast deze gebruiksgegevens worden waarschijnlijk gebruikersgegevens verzameld, zoals het IP-adres, type telefoon enz.

Door de gebruiksgegevens en de gebruikersgegevens te koppelen kan de fabrikant bepalen wie de vibrator gebruikt en op welke manier. Daardoor worden de gebruikersgegevens per definitie persoonsgegevens. Persoonsgegevens zijn namelijk alle gegevens die herleidbaar zijn tot een natuurlijk persoon.

Dat de gegevens persoonsgegevens zijn is van belang omdat dan de strenge Europese privacyrichtlijn van toepassing kan zijn.

Verzamelt de We-vibe persoonsgegevens?

De fabrikant geeft in haar blog aan dat zij gebruikersgegevens geanonimiseerd verzamelt. Wanneer de gegevens goed geanonimiseerd worden zijn zij niet meer herleidbaar en is er dus ook geen sprake meer van persoonsgegevens.

Het privacy-recht stelt echter strenge eisen aan het anonimiseren van gegevens. Gegevens zijn herleidbaar zolang zij met alle middelen waarvan redelijkerwijs mag worden verwacht dat deze worden gebruikt, door de fabrikant, of een derde, al dan niet in combinatie met andere gegevens tot een persoon herleidbaar zijn.

Het is maar de vraag of de fabrikant de gegevens voldoende anonimiseert. Er wordt namelijk nogal snel aangenomen dat er sprake is van persoonsgegevens. Bijvoorbeeld in 2013 werd Phillips al door het Cbp op de vingers getikt omdat zij het gebruik van interactieve televisies bijhield met IP-adres. Philips beschikte niet over een naam of adres van de gebruikers. Toch is er sprake van persoonsgegevens omdat, bijvoorbeeld, de politie wél de naam en het adres op kan vragen bij een IP-adres. Het CBP oordeelde bovendien dat ook anonimiseren van de laatste vier cijfers van het IP-adres meestal onvoldoende is.

Zelfs wanneer de gegevens voldoende geanonimiseerd zijn mag dit proces niet omkeerbaar zijn. Bovendien kunnen alle handelingen voorafgaand aan het anonimiseren, waaronder het verzenden van de gegevens, als verwerkingen van persoonsgegevens worden gezien.

Zijn de Europese regels van toepassing op de Canadese fabrikant?

We-vibe wordt gemaakt door een Canadees bedrijf, Standard Innovations. Er zijn twee situatie waarbinnen de Europese privacyrichtlijn van toepassing is:

Allereerst wanneer de fabrikant een vestiging heeft in de Europese Unie. Op haar website geeft de fabrikant wel aan dat zij nog marketeers zoekt in Nederland. Mogelijk is er dus wel sprake van een vestiging.

Daarnaast is de richtlijn van toepassing wanneer de verwerking van persoonsgegevens in de Europese Unie plaatsvindt, tenzij er alleen sprake is van doorgifte. Verdedigbaar is dat de gegevens in Nederland verzameld worden omdat de vibrator en de verwerking dus in Nederland plaatsvindt.

Ook wanneer de richtlijn niet van toepassing is kan er sprake zijn van een onrechtmatige daad. Het bedrijf richt zich immers (ook) op Nederlandse gebruikers en verzameld in strijd met de daar geldende regels zeer gevoelige informatie van haar klanten. Dit, zonder haar klanten daarover duidelijk te informeren.

Mag de fabrikant gegevens verzamelen?

Persoonsgegevens mogen verwerkt worden wanneer daar toestemming voor gegeven is. In de huidige privacyverklaring van de fabrikant wordt niet gerept over het verzamelen van gebruikersgegevens en het doorsturen daarvan.

De fabrikant heeft echter aangekondigd haar privacyverklaring aan te zullen passen. Zelfs dan kan het verzamelen van persoonsgegevens buitenproportioneel zijn. Met andere woorden, heeft de fabrikant zo’n groot belang de gegevens te verkrijgen dat zij alle gebruikers dwingt deze gegevens af te staan. Dat zou opgelost kunnen worden door iedere gebruiker te vragen uitdrukkelijk toe te stemmen met het versturen van gebruikersdata.

De fabrikant heeft ook beloofd een opt-out regeling in te voeren. Dat is onvoldoende. Volgens de Europese privacy-richtlijn is vereist dat met een actieve handeling toestemming wordt gegeven. Wél kan met een opt-out regeling worden voldaan aan het proportionaliteitsbeginsel.

Conclusie.

De Amerikaanse vrouw heeft Standard Innovations aangeklaagd in een class-action procedure. Zij vindt dat in strijd met de Federal Wiretap Act en de Iilinois Eavesdropping Stature gehandeld.

Het is maar de vraag of Canadese bedrijf voldoet aan de Europese privacyregels. Omdat de We-vibe ook in Nederland verkocht wordt zouden wij niet vreemd opkijken wanneer ook in Nederland procedures worden gestart tegen de fabrikant.

Gezien het aanzienlijke privacy-risico zou het passend zijn wanneer de Autoriteit Persoonsgegevens zou onderzoeken of de Nederlandse privacywetgeving overtreden wordt.

Bonus: de We-vibe gehackt?

De We-vibe komt niet voor het eerst in opspraak. Tijdens de Def Con hackersconferentie van 2016 lieten twee Nieuw-Zeelandse hackers zien hoe de verbinding van de vibrator kan worden overgenomen. Dezelfde hackers hebben aangekondigd een tool uit te brengen om de vibrator te kunnen hacken.

Wanneer de controle van een We-Vibe overgenomen wordt kan dat de eerste virtuele verkrachting zijn. Hacker dwingt namelijk door een feitelijkheid een ander tot een seksuele handeling waarbij penetratie betrokken is.

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik