Voeding en gezondheid onder de loep van logo TA
Nieuws

Voedings- en gezondheidsapps respecteren de privacy niet

23 januari 2020
Voedings- en gezondheidsapps respecteren de privacy niet

Uit onze privacy-analyse van 14 populaire gezondheids- en voedingsapps blijkt dat alle geteste apps, op één na, gegevens naar derde partijen versturen. Drie gezondheidsapps en één voedingsapp scoren het minst goed op vlak van privacy omdat zij persoonlijke en soms gevoelige gezondheidsgegevens met derde partijen delen. Het gaat om de apps Migraine Buddy, Sleep Cycle, SkinVision en Lifesum. 

De meeste apps zijn te weinig transparant over de partijen met wie zij gegevens delen, noch geven ze duidelijk aan waarom ze dat doen. Als gebruiker kan je het delen van je gegevens met derden ook maar zelden weigeren.

We hebben klacht ingediend bij de Gegevensbeschermingsautoriteit zodat deze flagrante inbreuken worden aangepakt.

Privacy-analyse van 14 apps

Steeds vaker maken mensen gebruik van apps die hen moeten helpen om gezonder te leven of beter te eten. Omdat bij dergelijke apps behoorlijk wat persoonlijke gegevens aan te pas komen, onderwierpen we 14 gezondheids- en voedingsapps (7 in elke categorie) aan een uitvoerige privacyscan: welke persoonlijke gegevens verzamelen de apps, met welke partijen worden die eventueel gedeeld, worden de gegevens over een versleutelde verbinding verstuurd en zijn de privacyverklaringen transparant genoeg over de datatransmissies die wij konden vaststellen?

Enkel Apple Health deelt geen gegevens

Positief is dat de datatransmissies in bijna alle gevallen goed beveiligd verzonden werden en dat kwaadwillenden de inhoud van de communicatie niet zomaar kunnen inkijken. Een aantal keer stelden we vast dat een deel van de data onversleuteld verstuurd werden, maar daarbij ging het nooit om persoonlijke of gevoelige data. Tot daar het goede nieuws. Minder positief is dat slechts één enkele app, de gezondheidsapp van Apple, geen enkele gegevens naar derde partijen stuurt. Alle andere geteste apps doen dat wél en op de apps van Apple en Yazio, de Android app van SmartWithFood en de iOS app van SkinVision na is er geen enkele waarvan de privacyverklaring volledig in lijn is met de datatransmissies die wij konden vaststellen.

Migraine Buddy en Sleep Cycle het meest intrusief

Migraine Buddy, een app waarmee je een migrainedagboek kan bijhouden, en Sleep Cycle, een app waarmee je de kwaliteit van je slaap kan meten, sturen niet enkel persoonlijke gegevens zoals je e-mailadres, naam of geslacht naar derden, maar ook gevoelige gezondheidsgegevens gelinkt aan je app-gebruik. Bij Migraine Buddy gaat het bv. om de start en het einde van een migraine-aanval; bij Sleep Cycle om gegevens over je slaapactiviteit zoals hoe lang je geslapen hebt, hoe goed de kwaliteit ervan was, op welke momenten je gesnurkt hebt of wanneer je wakker werd. Dat de apps zelf dergelijke gegevens bijhouden, tot daar aan toe. Maar Sleep Cycle verzamelt ze niet eens zelf, maar stuurt ze direct naar derde partijen. Geen van beide apps is transparant over welke derde partij gegevens ontvangt en waarom, noch vragen ze toestemming voor het delen van data of geven ze gebruikers de keuze om dat laatste te weigeren. Lifesum, een dieetplanner en calorieteller, deelt je gewicht, lengte, leeftijd, geslacht en voornaam met derden, opnieuw zonder hiervoor expliciete toestemming te vragen of zonder de mogelijkheid om dit te weigeren. SkinVision, tenslotte, deelt persoonlijke gegevens als je naam, e-mailadres en geboortedatum met derden, maar is daar op zijn minst wel transparant over in de privacyverklaring. 

Advertentie-ID

Op de app Apple Health na sturen alle apps uit de test technische informatie over het toestel waarop je de app gebruikt (besturingssysteem, model, versie, …) of soms informatie over je telecomprovider naar derden – opnieuw meestal zonder duidelijk aan te geven aan de gebruiker dat dit gebeurt. Bovendien sturen zij allemaal – op OpenFoodFacts na – zogenaamde “unique identifiers” – vooral dan een advertentie-ID –  naar derde partijen die die informatie kunnen gebruiken om te volgen wat je doet in verschillende apps en zo bv. advertenties in apps op jouw profiel en voorkeuren af te stemmen. 

Klacht ingediend bij de Gegevensbeschermingsautoriteit

In mei 2018 ging de Europese algemene verordening inzake gegevensbescherming van kracht (beter bekend als de GDPR). Die legde het delen van persoonlijke gegevens door particuliere bedrijven en overheidsinstanties aan banden. Onze test maakt duidelijk dat een aantal apps de GDPR-richtlijnen met de voeten treden. We hebben de Gegevensbeschermingsautoriteit dan ook ingelicht en gevraagd de zaak nader te onderzoeken.