Fitnessapp Strava heeft zijn voorwaarden rondom zijn API aangepast, waardoor apps van derde partijen minder data kunnen tonen en geen data mogen gebruiken voor het trainen van AI-modellen. Dat meldde Tweakers. Volgens DC Rainmaker het einde van de third-party apps rond Strava. Denk aan coachingplatforms, die nu ineens geen Strava-data meer kunnen gebruiken. Dus: mag dat van de AVG of een andere DLA?
De reden dat vele tipgevers (dank) aan de AVG dachten, is omdat in de AVG een specifiek artikel staat over dataportabiliteit (art. 22.1 AVG):
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt (…)
Het recht is wat beperkt: het geldt alleen om gegevens die je zelf verstrekt hebt, niet om gegevens die “gededuceerd en afgeleid” zijn. Ook moet de grondslag toestemming dan wel overeenkomst zijn. Beiden gaan goed bij de Strava-dienst.
Je hebt bij Strava de mogelijkheid een zipfile te downloaden, die zou je dan weer kunnen uploaden bij zo’n coachingplatform. Maar dat kon dus volautomatisch en direct via de API, en nu mag dat ineens niet meer. Dat voelt als een vorm van “hinder”.
De Strava API overeenkomst vermeldt inderdaad een forse beperking:
If your Developer Applications log into Strava on behalf of a Strava user, then you are permitted to access and display data or functionality only for that Strava user, and you may not disclose such data to, or use it for, another user nor any other third party.
Een app die data ophaalt bij Strava (ook via de API) mag die vervolgens alleen tonen aan de gebruiker om wie het gaat. Dus niet de coach of andere gebruikers, zoals bij een leaderboard of competitie.
Artikel 22 AVG spreekt dat niet tegen: dat gaat alleen over toegang tot je eigen persoonsgegevens.
De Richtsnoeren van de AVG-toezichthouders hierover merken op dat het hele punt van dataportabiliteit is “the right to receive personal data and to process them, according
to the data subject’s wishes”. Als een hardloper dus wél wil dat de coach meekijkt, dan moet dat kunnen – ook als de hardloopdata uit Strava komt via de API.
Strava zou kunnen zeggen dat deze bepaling uit zorg is over vertrouwelijkheid van persoonsgegevens. Maar dat is nadrukkelijk niet nodig, aldus diezelfde Richtsnoeren:
In this respect, the data controller is not responsible for compliance of the receiving data controller with data protection law, considering that it is not the sending data controller that chooses the recipient.
Als het jouw keuze is dat je coach je hardloopprestaties mag zien, dan heeft Strava daar niets meer van te vinden. Ze mogen dan weer wel een adequate authenticatie uitvoeren, om zeker te weten dat dit nog steeds jouw wens is.
De andere grote DLA om voor uit te kijken is de DMA, de Digital Markets Act. Deze sjagrijnige broer van de Digital Services Act is bedoeld om een eerlijke digitale market te creëren, en bevat stevige bepalingen tegen machtsmisbruik dat voortvloeit uit een digitale koppositie, wat de DMA “poortwachterschap” noemt.
Een poortwachter moet bijvoorbeeld haar communicatiedienst interoperabel maken (art. 7), iets waar WhatsApp nu mee worstelt. Appstores van poortwachters moeten te passeren zijn, de reden dat Apple zo boos is dat ze haar AI-speelgoed de EU markt niet op wil brengen (dus niet de AI Act).
Dataportabiliteit algemeen staat er ook in, en dan vanuit het perspectief van de concurrent:
De poortwachter zorgt ervoor dat zakelijke gebruikers en door een zakelijke gebruiker gemachtigde derden op hun verzoek kosteloos effectieve, kwaliteitsvolle en continue realtimetoegang hebben tot en gebruik kunnen maken van geaggregeerde en niet-geaggregeerde gegevens, persoonsgegevens inbegrepen, die door die zakelijke gebruikers en door de eindgebruikers die betrokken zijn bij de door die zakelijke gebruikers geleverde producten of diensten worden verstrekt voor of gegenereerd in het kader van het gebruik van de betrokken kernplatformdiensten of diensten die samen met of ter ondersteuning van de betrokken kernplatformdiensten worden aangeboden.
Met die bepaling is Strava’s API bepaling triviaal ongeldig. Alleen: daarvoor moet Strava een poortwachter zijn, en daar kom je pas aan als je
- een aanzienlijke impact hebt op de interne markt;
- een kernplatformdienst aanbiedt die voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en
- met betrekking tot haar activiteiten een stevig verankerde en duurzame positie inneemt of naar verwachting in de nabije toekomst een dergelijke positie zal innemen.
De DMA vermeldt enkele getallen die een vermoeden opleveren dat hiervan sprake is (jaaromzet van ten minste 7,5 miljard EUR, actief in drie lidstaten, minstens 45 miljoen maandelijks actieve eindgebruikers, zo nog wat en dat drie jaar lang). Maar daar komt Strava niet aan.
Terug naar de AVG dus. Hier lijkt er ruimte zijn voor handhaving, maar mijn vermoeden is dat er weinig prioriteit voor zal zijn bij de toezichthouders. Immers, de belangen van betrokkenen worden niet direct geraakt, Strava is eerder té beschermend dan te weinig.
Er is echter hoop: in de zaak Linden Apotheker heeft het Hof van Justitie bepaald dat ook concurrenten een verwerkingsverantwoordelijke mogen aanklagen wegens een AVG-schending. Dus niet alleen betrokkenen of hun massaclaimorganisaties. Een coachingplatform dat zich nu geblokkeerd ziet, mag Strava in Europa dus juridisch aanpakken onder de AVG.
Arnoud