De deelfietsdienst Mobike stuurt onwettig locatiegegevens en telefoonnummers van Nederlandse en andere Europese gebruikers naar China en Singapore. Dat blijkt uit onderzoek van NU.nl.
Mobike is een van oorsprong Chinese dienst waarmee fietsliefhebbers via een app een deelfiets kunnen gebruiken. De zilver-oranje fietsen zijn in Nederland te vinden in Rotterdam en Delft. Het bedrijf heeft plannen om begin 2019 uit te breiden naar Den Haag. Hoeveel Nederlanders de dienst gebruiken, wil het bedrijf niet zeggen.
Nieuwe gebruikers die de iOS- of Android-app van Mobike downloaden, worden na installatie direct gevraagd om hun locatie te delen. Gebruikers die weigeren, kunnen de app verder niet gebruiken en zich dus ook niet aanmelden voor een deelfiets.
De app vraagt eveneens om een telefoonnummer om het toestel te verifiëren. Pas nadat gebruikers een sms hebben ontvangen, kunnen zij verder gaan met het aanmeldproces door daadwerkelijk een account aan te maken.
Gegevens verzameld voordat gebruikers worden ingelicht
Het verzamelen van de gegevens is op zichzelf niet in strijd met de Algemene Verordening Gegevensbescherming, de Europese privacywet die eerder dit jaar van kracht is gegaan. Maar gebeurt wel vóór gebruikers goed worden geïnformeerd. De handeling is daarmee in strijd met de AVG, zeggen deskundigen tegen NU.nl.
“Installatie van de app betekent niet noodzakelijk dat de downloader Mobike gaat gebruiken”, zegt Bo Zhao, expert van de Universiteit Tilburg op het gebied van grensoverschrijdende databescherming tussen de Europese Unie en China. “Ze kunnen er voor kiezen om geen account te maken, maar na installatie wordt hun locatie al verzameld en verwerkt voordat zij uit vrije wil toestemming kunnen geven en weten wat er met de data gebeurt.”
Bovendien worden de locatiegegevens en telefoonnummers verstuurd naar servers in China en Singapore voordat gebruikers daarvan op de hoogte worden gesteld. Ook daarmee overtreedt Mobike de AVG. “Bedrijven die gegevens buiten Europa opslaan, moeten dat aan hun gebruikers duidelijk maken voordat zij daarmee instemmen”, zegt internetjurist Arnoud Engelfriet.
Mobike spreekt van een standaardpraktijk
“We zijn ervan overtuigd dat we voldoen aan de GDPR (de Europese naam voor AVG, red.)”, laat Mobike-woordvoerder Steve Milton weten als NU.nl de bevinden aan hem voorlegt. “Onze werkwijze is vergelijkbaar met die van andere bedrijven die in deze sector actief zijn.”
Zhao spreekt dat tegen. “Dit is geen standaardpraktijk van andere apps, in ieder geval op de Nederlandse markt, zoals de apps van NS en ANWB”, laat hij weten.
Mobike zegt dat het bedrijf de locatiegegevens moet verzamelen om gebruikers te vertellen waar de deelfietsen te vinden zijn, laat woordvoerder Milton weten. De telefoonnummers zijn volgens hem nodig om te achterhalen welke regionale Mobike-dienst het bedrijf moet aanbieden. De bevestiging via sms zou ook fraude tegengaan.
Zhao wijst op het feit dat Mobike ook op andere manieren kan bepalen in welke regio een gebruiker zich bevindt, bijvoorbeeld door gebruikers hun land handmatig te laten invullen. Mobike zou vervolgens op een later moment alsnog om de locatie kunnen vragen om zijn dienst aan te bieden.
Nederlanders hebben weinig controle over data
Volgens Zhao hebben Nederlandse gebruikers van Mobike maar weinig controle over wat er met hun data gebeurt. “En ze hebben geen middelen als deze data in China worden misbruikt of buiten China worden verkocht”, vertelt hij.
Getroffen klanten kunnen volgens de expert hooguit een klacht indienen bij de Autoriteit Persoonsgegevens. Dat is de waakhond die zich in Nederland bezighoudt met de privacywet.
De Nederlandse privacywaakhond laat in een reactie weten niet specifiek op de situatie van Mobike in te kunnen gaan, maar stelt dat het verzamelen van de locatie- en telefoongegevens aan strenge eisen moet voldoen.
“Mensen moeten die keuze vrij, goed geïnformeerd en uitdrukkelijk kunnen maken, en dat voordat de verwerking van persoonsgegevens start”, bevestigt Martijn Pols, woordvoerder van de Autoriteit Persoonsgegevens.
https://www.nu.nl/internet/5624618/deelfietsdienst-mobike-stuurt-onwettig-persoonsgegevens-naar-china.html