Ubisoft staat onder schot van Europese mensenrechtenactivisten: het bedrijf wordt beschuldigd van het verzamelen van gegevens en de eis van constante online verbinding in singleplayer games

De Europese mensenrechtenorganisatie NOYB (None Of Your Business) heeft een rechtszaak aangespannen tegen gaminggigant Ubisoft, bekend van de Assassin's Creed- en Far Cry-series. De reden zijn ernstige bezorgdheden over het dataverzamelingsbeleid van het bedrijf en de verplichte internetverbinding, zelfs voor singleplayer games.

Wat is er bekend

De Oostenrijkse non-profitorganisatie NOYB heeft het verzoek van een Far Cry-fan in behandeling genomen, die Ubisoft vroeg om informatie over de over hem verzamelde gegevens. Advocaten van NOYB beweren dat Ubisoft de GDPR-regels (Algemene Verordening Gegevensbescherming) ernstig schendt, en nu loopt het bedrijf het risico op een potentiële boete tot 92 miljoen euro.

NOYB, opgericht door de bekende privacyactivist Max Schrems, heeft al ervaring met spraakmakende rechtszaken, waaronder het blootleggen van de overdracht van persoonlijke gegevens van Europeanen naar de VS voor gebruik in het PRISM-massatoezichtsprogramma.

In het geval van Far Cry Primal heeft Ubisoft de gebruiker meegedeeld dat zij standaardgegevens verzamelde: de tijd waarop het spel werd opgestart, de duur van de speelsessie en de tijd waarop het spel werd beëindigd. Echter, volgens NOYB toonde de analyse van de verzamelde gegevens 150 verbindingen met externe servers aan binnen 10 minuten gameplay, iets wat de organisatie omschrijft als "heimelijke gegevensverzameling".

Wat de eis van een constante onlineverbinding betreft, legde Ubisoft aan de gebruiker uit dat dit nodig was om het eigendomsrecht van het spel tijdens het opstarten te bevestigen. NOYB stelt dat, aangezien de kopie van Far Cry Primal via Steam is aangeschaft, de verificatie ook via dit platform zonder extra inloggen op het Ubisoft-account had kunnen plaatsvinden.

In haar klacht merkt NOYB op dat volgens de GDPR gegevensverzameling alleen mag plaatsvinden in geval van "noodzaak", anders is het "onwettig". Interessant genoeg vereist zelfs de door Ubisoft gepromote mogelijkheid om PC-spellen offline te spelen via Ubisoft Connect alsnog een initiële verbinding met het netwerk.

In een gesprek met de klantenservice van Ubisoft werd de gebruiker verteld dat instemming met de EULA (Eindgebruikerslicentieovereenkomst) betekende dat men instemt met het gebruik door Ubisoft van "derde partijen analytische tools om informatie te verzamelen over jouw en andere gebruikers gamegedrag en gebruik van het product". Op zijn beurt betekent instemmen met het privacybeleid van het spel dat men instemt met het verzamelen van "gamegegevens om jouw ervaring te verbeteren en de veiligheid van onze diensten te waarborgen" en "gegevens voor inloggen en weergave om de werking en veiligheid van onze Diensten te waarborgen".

De argumentatie van NOYB is gebaseerd op de vraag of de gebruiker de EULA heeft aanvaard simpelweg door het spel te spelen (de klacht stelt dat dit niet zo is), of de verzamelde gegevens persoonlijk waren (de klacht stelt dat dat wel zo is), en of hun verwerking legaal was (de klacht stelt dat dit niet het geval is).

Daarom eist de mensenrechtenorganisatie dat Ubisoft zijn beleid aanpast in overeenstemming met de GDPR en het bedrijf een aanzienlijke boete oplegt "ervan uitgaande dat miljoenen gebruikers door deze acties geleden hebben".

Bron: Eurogamer