privacy : Veel menstruatie- en zwangerschap-apps verzamelen gevoelige gegevens
Indignatie redactie
7 min. lezen
Uit een onderzoeksproject blijkt dat menstruatie- en zwangerschap-apps soms zeer gevoelige gegevens verzamelen en delen met derden. Mozilla noemt de resultaten “donker”: de gebruikersgegevens bereiken Facebook en mogelijk ook Amerikaanse wetshandhavingsinstanties.
Hoe zwaar je eigen menstruatie is, wanneer je voor het laatst seks hebt gehad en of je anticonceptie hebt gebruikt: voor veel mensen is dit intieme informatie. Maar iedereen die apps gebruikt om dergelijke gevoelige gegevens bij te houden, moet misschien verwachten dat deze derden bereiken.
Een onderzoeksproject van de Mozilla Foundation onthulde onlangs dat menstruatie- en zwangerschapsapps persoonlijke gegevens opslaan en verkopen aan adverteerders en gegevensmakelaars. Gebruikersgegevens bereiken bijvoorbeeld Facebook en mogelijk zelfs Amerikaanse wetshandhavingsinstanties. Mozilla bekritiseert dat het merendeel van de onderzochte apps en gadgets onvoldoende gegevensbescherming biedt. Projectmanager Jen Caltrider vertelt aan netzpolitik.org: “Onze resultaten waren somber.”
“Privacy niet inbegrepen”
Met zijn project “* privacy niet inbegrepen” – vertaald: gegevensbescherming niet inbegrepen – onderzocht Mozilla in hoeverre de apps de gevoelige gezondheidsgegevens van de gebruikers beschermen: binnen. De onderzoekers keken naar het privacybeleid en de openbare informatie van tien menstruatie-apps, tien zwangerschaps-apps en vijf gezondheidsgadgets en controleerden ze op veiligheidsproblemen .
Met dergelijke apps kunnen gebruikers hun bloeding, vruchtbaarheid en zwangerschap volgen en zo hun reproductieve gezondheid bijhouden. De applicaties evalueren de verstrekte gegevens en gebruiken deze om de vruchtbare fase te berekenen en wanneer de volgende menstruatie op handen is. Gebruikers kunnen ook hun gewicht, stemming, pijn en seksuele activiteit registreren. Deze parameters zijn bedoeld om gebruikers te helpen bij het bewaken van gezondheidsveranderingen.
Het kan daarom zinvol zijn om dergelijke gezondheidsapps te gebruiken. De applicaties verzamelen echter uiterst gevoelige gegevens waaruit bijvoorbeeld kan worden opgemaakt of iemand mogelijk zwanger is.
18 van de 25 apps krijgen een waarschuwingslabel
De onderzoekers onderzochten daarom wie deze gegevens kunnen inzien. Een bedrijf scoort slecht als het gebruikersgegevens verkoopt of gegevens verzamelt die niet relevant zijn. Ook is het van belang welke controle gebruikers hebben over hun gegevens, bijvoorbeeld door deze te kunnen verwijderen. Of dat de applicatie aangeeft hoe lang de gegevens worden bewaard.
Mozilla heeft ook gecontroleerd in hoeverre de app gegevens beschermt en heeft vijf minimumnormen vastgesteld waaraan moet worden voldaan: de app moet gegevens versleutelen, automatische beveiligingsupdates ondersteunen, sterke wachtwoorden vereisen, hebben geregeld hoe om te gaan met beveiligingslacunes en hun gegevens te beschermen voorwaarden beschikbaar. Als een toepassing meerdere van deze criteria schendt, geeft Mozilla het een waarschuwingslabel. Uiteindelijk heeft Mozilla een waarschuwing afgegeven aan 18 van de 25 onderzochte producten.
De meeste apps en gadgets op de markt zijn ontworpen om onze persoonlijke informatie te verzamelen en te delen, zei Caltrider. Ze benadrukt: “Mensen die reproductieve gezondheidszorg zoeken, mogen van de overgrote meerderheid van deze apps geen privacy verwachten.”
Uit het onderzoek blijkt dat veel gezondheidsapps gegevens verzamelen die in eerste instantie niets te maken hebben met het bepalen van de cyclus of zwangerschap. Dit omvat bijvoorbeeld het e-mailadres van de gebruiker, zijn geboortedatum, zijn mobiele telefoonprovider, de apparaat-ID, locatiegegevens en informatie over hoe vaak hij de app gebruikt. De apps delen deze niet-gezondheidsgegevens vaak met derden voor marketing- en reclamedoeleinden, waaronder Google, Facebook en Twitter. In sommige gevallen slaan de applicaties de persoonsgegevens zelfs op voordat de gebruikers ermee hebben ingestemd, aldus de onderzoekers.
Promotiemodel zwangerschap
Mozilla laat ook zien dat gezondheidsapps soms zeer gevoelige gezondheidsgegevens delen met derden. Dat blijkt uit de privacyregelgeving van de zwangerschapsapps The Bump en Ovia Pregnancy . Volgens de voorschriften voor gegevensbescherming verzenden beide apps uitgebreide gegevens naar adverteerders. De handel met dergelijke data is lucratief: de datawaarde van zwangere vrouwen is beduidend hoger dan die van niet-zwangere vrouwen. De reclame-industrie kan het immers gebruiken om nieuwe klanten te werven voor babyproducten.
Gegevens uit menstruatie-apps kunnen ook worden gebruikt om te bepalen of een persoon zwanger is of niet. We hebben eerder gerapporteerd over hoe fiets-apps Flo, Maya en MIA intieme gegevens met Facebook deelden . Met geïntegreerde app-applicaties kunnen ze gebruikersactiviteiten rechtstreeks aan derden doorgeven. De app Flo is in het verleden vooral bekritiseerd vanwege het gebrek aan gegevensbescherming. In juni vorig jaar legde de Amerikaanse mededingingsautoriteit het bedrijf extra verplichtingen op omdat het gevoelige gebruikersgegevens had gedeeld met Facebook en Google.
Ondertussen moet Flo eerst toestemming van de gebruiker verkrijgen voordat hij persoonlijke gezondheidsinformatie deelt. Het verzamelt en bewaart echter nog steeds niet-reproductieve gezondheidsgerelateerde persoonlijke gegevens met toestemming – en deelt deze met derden. Mozilla bekritiseert ook Flo’s huidige richtlijnen voor gegevensbescherming, omdat het bedrijf in staat wordt gesteld om gegevens van datadealers te kopen om een uitgebreid profiel van zijn gebruikers te creëren.
Menstruatiedata in een post-Roe-wereld
Gegevens over menstruatie en zwangerschap zijn niet alleen waardevol in de reclamewereld, ze kunnen ook wijzen op een miskraam of abortus. In landen met strenge abortuswetten kunnen de gegevens dus dienen als bewijslast voor een eventuele abortus. Mozilla deelt deze zorgen ook. De beslissing van het Amerikaanse Hooggerechtshof, Roe v. Het kantelen van Wade was de aanleiding voor het onderzoeksproject, zegt projectleider Caltrider.
Het Hooggerechtshof heeft in juni van dit jaar de federale abortuswetten vernietigd , waardoor elke staat zijn eigen abortuswetten kan handhaven. Abortussen zijn al in tien staten vanaf de dag van de conceptie verboden – en in sommige gevallen zonder uitzondering in het geval van verkrachting of incest. Er zullen nog meer abortusverboden volgen.
Mozilla waarschuwt voor veelbetekenende sporen van gezondheidsapp-gegevens die in handen kunnen komen van Amerikaanse wetshandhavingsinstanties en wijzen op een mogelijke abortus. Caltrider stelt:
Dergelijke informatie kan worden gebruikt om een persoon te stalken, lastig te vallen, te arresteren en zelfs te vervolgen.
Om deze reden raadt Mozilla aan dat Amerikanen die deze apps gebruiken zich bewust zijn van de privacyimplicaties en hoe ze de lokale abortuswetten kunnen verstoren.
Zo stelt de menstruatie-app Flo in zijn richtlijnen voor gegevensbescherming dat hij persoonsgegevens zal doorgeven naar aanleiding van verzoeken van wetshandhavingsinstanties. Ook zij zijn hiertoe verplicht volgens de Amerikaanse wet, maar Mozilla bekritiseert het feit dat de app niet uitdrukkelijk vermeldt dat hij deze gegevens pas vrijgeeft als hij daartoe wordt bevolen. De Duitse app Clue daarentegen is vanuit dit oogpunt veiliger. De onderzoekers stellen dat dit komt door de strengere Europese wetgeving inzake gegevensbescherming. In een e-mail aan Mozilla wees Clue er zelf op dat overheidsinstanties minder toegang zouden hebben tot hun gebruikersgegevens. Clue schrijft :
In het theoretische scenario dat een Duitse rechtbank zou proberen een buitenlands verzoek af te dwingen, zouden we ons tegen een dergelijke poging verzetten met alle middelen die nodig zijn om de privacy van onze gebruikers te beschermen.
Toch geeft Mozilla de Duitse app een waarschuwingslabel. De reden hiervoor is dat Clue geen sterk wachtwoord nodig heeft om gevoelige gegevens te beveiligen.
Euki en drip: privacyvriendelijke alternatieven
De gezondheidsapp Euki is een van de weinige apps die Mozilla als veilig classificeert . Met Euki kunnen gebruikers niet alleen hun menstruatie volgen, het geeft ook informatie over seksualiteit, abortus, miskraam, anticonceptie, geslachtsziekten en meer. Een woordvoerster van Euki zegt tegen netzpolitik.org: “We wilden dat de app het hele spectrum van reproductieve gezondheid bestrijkt.” De app wordt beheerd door de non-profitorganisatie ” Women Help Women “, die zich inzet voor reproductieve zelfbeschikking – en met het voor de mogelijkheid van een veilige abortus.
Euki verzamelt geen persoonlijke informatie over de gebruikers en slaat alle relevante gezondheidsgegevens uitsluitend op het eindapparaat op. Alleen de gebruikers zelf hebben toegang tot hun gegevens. Euki biedt ook aan om de gegevens regelmatig te verwijderen om de privacy te vergroten. De app kan ook een nepscherm met nepgegevens weergeven, waardoor persoonlijke informatie wordt verborgen. Om dit te doen, moeten gebruikers het wachtwoord “0000” invoeren.
Drip is een andere privacyvriendelijke app, maar wordt niet vermeld in de Mozilla-studie. Een groep feministische programmeurs uit Berlijn ontwikkelde de menstruatie-app. Net als Euki slaat drip alleen data op het eindapparaat op en niet in de cloud. De app streeft geen commerciële belangen na, zegt Marie van drip netzpolitk.org. Ze stelt: “Omdat transparantie en participatie zo belangrijk voor ons zijn, hebben we drip vanaf het begin met open source software gebouwd.” De ontwikkelaars streven naar een feministische claim. Ten slotte wordt het recht op privacy en gegevensbescherming ook weerspiegeld in het feministische onderwerp zelfbeschikking.
“Zwangerschapsregister” in Polen
Niet alleen in de VS, maar ook in Polen maken pro-choice-activisten zich zorgen over datasporen die kunnen wijzen op abortus. In Polen is abortus alleen in uitzonderlijke gevallen toegestaan en is de zorgsituatie voor ongewenste zwangere vrouwen precair. De Poolse regering wil nu vanaf oktober van dit jaar zwangerschapsgegevens laten opslaan in een zogenaamd registratieregister.
De Poolse minister van Volksgezondheid Niedzielski heeft afgelopen juni een verordening ondertekend waarin staat dat gegevens over zwangerschap nu ook tot patiëntgegevens behoren. Het gevolg: Artsen zouden binnenkort verplicht moeten worden om informatie over een mogelijke zwangerschap op te vragen.
Oppositionisten en pro-choice activisten bekritiseren deze verordening en verwijzen naar de gegevensopslag als “zwangerschapsregisters” . Ze waarschuwen dat aanklagers de gegevens zouden kunnen gebruiken om mensen te onderzoeken die niet langer zwanger zijn – of het nu gaat om een miskraam of een abortus.
De Poolse gezinsminister, Marlena Maląg, ontkent dit. Ze vertelt de Tagesschau: “Alleen de artsen kennen deze medische documentatie, alleen zij hebben toegang tot deze gevoelige gegevens.”
