Fitnessapp Strava heeft zijn voorwaarden rondom zijn API aangepast, waardoor apps van derde partijen minder data kunnen tonen en geen data mogen gebruiken voor het trainen van AI-modellen. Dat meldde Tweakers. Volgens DC Rainmaker het einde van de third-party apps rond Strava. Denk aan coachingplatforms, die nu ineens geen Strava-data meer kunnen gebruiken. Dus: mag dat van de AVG of een andere DLA?
De reden dat vele tipgevers (dank) aan de AVG dachten, is omdat in de AVG een specifiek artikel staat over dataportabiliteit (art. 22.1 AVG):
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt (…)Het recht is wat beperkt: het geldt alleen om gegevens die je zelf verstrekt hebt, niet om gegevens die “gededuceerd en afgeleid” zijn. Ook moet de grondslag toestemming dan wel overeenkomst zijn. Beiden gaan goed bij de Strava-dienst.
Je hebt bij Strava de mogelijkheid een zipfile te downloaden, die zou je dan weer kunnen uploaden bij zo’n coachingplatform. Maar dat kon dus volautomatisch en direct via de API, en nu mag dat ineens niet meer. Dat voelt als een vorm van “hinder”.
De Strava API overeenkomst vermeldt inderdaad een forse beperking:
If your Developer Applications log into Strava on behalf of a Strava user, then you are permitted to access and display data or functionality only for that Strava user, and you may not disclose such data to, or use it for, another user nor any other third party.Een app die data ophaalt bij Strava (ook via de API) mag die vervolgens alleen tonen aan de gebruiker om wie het gaat. Dus niet de coach of andere gebruikers, zoals bij een leaderboard of competitie.
Artikel 22 AVG spreekt dat niet tegen: dat gaat alleen over toegang tot je eigen persoonsgegevens.
De Richtsnoeren van de AVG-toezichthouders hierover merken op dat het hele punt van dataportabiliteit is “the right to receive personal data and to process them, according to the data subject’s wishes”. Als een hardloper dus wél wil dat de coach meekijkt, dan moet dat kunnen – ook als de hardloopdata uit Strava komt via de API.
Strava zou kunnen zeggen dat deze bepaling uit zorg is over vertrouwelijkheid van persoonsgegevens. Maar dat is nadrukkelijk niet nodig, aldus diezelfde Richtsnoeren:
In this respect, the data controller is not responsible for compliance of the receiving data controller with data protection law, considering that it is not the sending data controller that chooses the recipient.Als het jouw keuze is dat je coach je hardloopprestaties mag zien, dan heeft Strava daar niets meer van te vinden. Ze mogen dan weer wel een adequate authenticatie uitvoeren, om zeker te weten dat dit nog steeds jouw wens is.
De andere grote DLA om voor uit te kijken is de DMA, de Digital Markets Act. Deze sjagrijnige broer van de Digital Services Act is bedoeld om een eerlijke digitale market te creëren, en bevat stevige bepalingen tegen machtsmisbruik dat voortvloeit uit een digitale koppositie, wat de DMA “poortwachterschap” noemt.
Een poortwachter moet bijvoorbeeld haar communicatiedienst interoperabel maken (art. 7), iets waar WhatsApp nu mee worstelt. Appstores van poortwachters moeten te passeren zijn, de reden dat Apple zo boos is dat ze haar AI-speelgoed de EU markt niet op wil brengen (dus niet de AI Act).
Dataportabiliteit algemeen staat er ook in, en dan vanuit het perspectief van de concurrent:
De poortwachter zorgt ervoor dat zakelijke gebruikers en door een zakelijke gebruiker gemachtigde derden op hun verzoek kosteloos effectieve, kwaliteitsvolle en continue realtimetoegang hebben tot en gebruik kunnen maken van geaggregeerde en niet-geaggregeerde gegevens, persoonsgegevens inbegrepen, die door die zakelijke gebruikers en door de eindgebruikers die betrokken zijn bij de door die zakelijke gebruikers geleverde producten of diensten worden verstrekt voor of gegenereerd in het kader van het gebruik van de betrokken kernplatformdiensten of diensten die samen met of ter ondersteuning van de betrokken kernplatformdiensten worden aangeboden.Met die bepaling is Strava’s API bepaling triviaal ongeldig. Alleen: daarvoor moet Strava een poortwachter zijn, en daar kom je pas aan als je
- een aanzienlijke impact hebt op de interne markt;
- een kernplatformdienst aanbiedt die voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en
- met betrekking tot haar activiteiten een stevig verankerde en duurzame positie inneemt of naar verwachting in de nabije toekomst een dergelijke positie zal innemen.
Terug naar de AVG dus. Hier lijkt er ruimte zijn voor handhaving, maar mijn vermoeden is dat er weinig prioriteit voor zal zijn bij de toezichthouders. Immers, de belangen van betrokkenen worden niet direct geraakt, Strava is eerder té beschermend dan te weinig.
Er is echter hoop: in de zaak Linden Apotheker heeft het Hof van Justitie bepaald dat ook concurrenten een verwerkingsverantwoordelijke mogen aanklagen wegens een AVG-schending. Dus niet alleen betrokkenen of hun massaclaimorganisaties. Een coachingplatform dat zich nu geblokkeerd ziet, mag Strava in Europa dus juridisch aanpakken onder de AVG.
Arnoud
“or use it for, another user nor any other third party.” Ik als coach doe dit dan toch niet? Ik coach de gebruiker dus ik gebruik die data voor die gebruiken, niet voor mezelf en niet voor een andere 3rd party.
Als je die data anoniem maakt en op een hoop gooit kun je dan zeggen die 100 gebruikers die ik coach (die al dan niet Strava gebruiken) lopen gemiddeld 1.30 en jij 1.32 dus ….. of zit je dan aan de third party use?
Een dienstverlener die via de API gegevens van persoon X binnenhaalt, mag die alleen laten zien aan persoon X. De coach is “another user” in deze terminologie. Onder de AVG moet dit geen probleem zijn, geanonimiseerd of niet – zet een “share my data with persons I designate” vinkje in gebruikersprofielen en je bent good to go. Maar deze contractuele taal kent die nuances niet. Je kunt zelfs beredeneren dat geanonimiseerde data óók niet mag worden gedeeld.
Strava krabbelt inmiddels alweer terug. “Coachen” mag toch weer wel. De redenering is dat je misschien kan vergeten dat je toestemming hebt gegeven om data te tonen aan een derde en dan onbedoeld je data deelt, maar omdat je met een coach heel nauw samenwerkt is het niet waarschijnlijk dat het datadelen onbewust gaat en dan mag het wel.
Een andere, forse beperking in de API-voorwaarden van Strava was (en blijft) dat je de API überhaupt niet mag gebruiken als je een met Strava concurrerende dienst bent.
Dat het mogelijk is om je gegevens alsnog via een zipfile over te dragen is niet voldoende. De AVG is daar heel specifiek over (artikel 20.2):
Het zou technisch mogelijk zijn om je gegevens direct naar een Strava-concurrent over te dragen via de API, maar Strava blokkeert die toegang. Als ik het goed begrijp zou een Strava-concurrent dus met de Linden-uitspraak API-toegang kunnen afdwingen?
Ha Arnoud, leuk artikel! Persoonlijk denk ik: is dit niet bij uitstek een zaak waar de Dataverordening (volgend jaar pas, dat dan weer wel) een stokje voor zou moeten steken? Art. 5 lid 1 is hier volgens mij duidelijk over en de scope van deze bepaling is veel breder dan die van de AVG. Ik was daarom verbaasd dat ik deze wet niet terug zag in jouw artikel. Ben benieuwd naar je mening hierover!
Terecht punt. Allereerst niet genoemd omdat de Data Act inderdaad nog niet in werking is getreden, dus om nú wat van Strava te eisen kan niet met die wet. Ten tweede is Strava niet een met een “verbonden product” “gerelateeerde dienst”, want Strava is niet een dienst van de smartwatches waar die gegevens mee verzameld worden. Strava is al een “derde” zoals bedoeld in artikel 5 lid 1 DA. En ten derde moet ik artikel 5 lid 7 nog eens grondig lezen over de verhouding tot artikel 20 AVG.