‘Fitness- en gezondheidsapps slordig met privacy’

Fitness- en gezondheidsapps zijn populairder dan ooit. Maar zoals bij de overname van Moves door Facebook bleek: veel mensen realiseren zich ook dat fitnessapps enorm veel persoonlijke data van je verzamelen. Van de locatie waar je hebt gefietst en gewandeld tot de hartslaggegevens waaruit je mate van fitness is af te leiden: apps weten nogal veel. En de makers van apps blijken de gegevens ook behoorlijk vaak te delen met andere partijen. De Amerikaanse FTC (Federal Trade Commission) besprak dit onderwerp afgelopen week tijdens een conferentie. Apps blijken de data met heel veel andere partijen te delen, hebben zelden goed nagedacht over hun privacybeleid en versturen data vaak zonder encryptie.

Jared Ho, werkzaam bij de mobiele technologie-afdeling van de FTC, vertelde tijdens de conferentie dat apps heel veel data over ons lichaam vastleggen, bijvoorbeeld hardlooproutes, eetgewoontes, slaappatronen en zelfs de cadans als iemand over straat loopt. Een van de organisaties die hieronder zoek naar heeft gedaan is Privacy Rights Clearinghouse: zij onderzochten 43 betaald eapps en ontdekten dat privacybeleid vaak ontbreekt. Slechts 13% van de apps zorgde voor versleuteling van data tussen de app en de webstie van de ontwikkelaars. Uit een andere studie werden twintig fitness- en gezondheidsapps bekeken, die data bleken te delen met 70 externe partijen, vooral bedrijven die advertentie-analyse doen.

Zelf voerde de FTC ook een onderzoek uit: ze keken naar een kleine steekproef van 12 gezondheids- en fitness, gericht op sporten, voeding en uitlezen van data van wearables. In de steekproef gaf de proefpersoon toestemming voor elke vorm van data delen, bijvoorbeeld om te kunnen synchroniseren of om met externe diensten te communiceren. Het leidde ertoe dat de 12 apps met 76 externe partijen data uitwisselden. Het ging daarbij om eetgewoontes en uitgevoerde fitnessoefeningen. Ook namen en e-mailadressen werden doorgegeven, of informatie over het toestel zoals typenummer, ingestelde taal en schermresolutie. Van de genoemde 76 partijen bleek dat 14 partijen gebruikersnamen, accountnamen en e-mailadressen binnenslurpen waardoor de informatie herleidbaar wordt tot een bepaalde persoon. Nog eens 22 partijen verzamelden informatie over verrichte activiteiten, zoekopdrachten naar symptomen en meer persoonlijke informatie zoals geslacht, postcode en huidige locatie. Ook werden specifieke trefwoorden doorgegeven die de gebruiker had gebruikt, bijvoorbeeld ‘ovulatie’, ‘zwangerschap’ of ‘baby’.

Om een voorbeeld te geven: één van de bedrijven die data verzamelde, kreeg informatie aangeleverd van vier verschillende apps, die allemaal waren voorzien van dezelfde unieke identifier (bijvoorbeeld een UDID, Mac-adres of IMEI-nummer). Met die gegevens kan het bedrijf een vrij compleet beeld schetsen van de gebruiker. Maar ze zijn niet de enige: maar liefst 18 van de 76 bedrijven bleek informatie te verzamelen op basis van een unieke ID, zoals de UDID. De dataverzamelaars weten in veel gevallen de voornaam, initiaal van de achternaam en een reeks andere persoonlijke data die je liever voor jezelf houdt.

De moraal van het verhaal? Wees bij het installeren van fitness- en gezondheidsapps voorzichtig met het geven van teveel permissies en vul desnoods nep-postcodes en -geboortedata in, om te voorkomen dat reclamebedrijven een wel erg compleet beeld van jouw leven en gewoontes kunnen samenstellen.

De informatie is te lezen in de transcriptie van de conferentie (de tekst is vrij lang en onoverzichtelijk, zoek daarom naar ‘Jared Ho’ om het gedeelte over privacy en fitnessapps te lezen).