Sport-apps niet gezond voor je privacy

Heb jij wel eens de privacyvoorwaarden bij een app gelezen? De Noorse consumentenorganisatie 'Forbrukerradet' heeft dat bij een vijftal sport- en dieet-apps voor Android en iOS gedaan. De onderzoekers zijn flink geschrokken. De appmakers melden verstopt in hun breedsprakige privacyvoorwaarden (gemiddeld 7.000 woorden) dat ze allerlei persoonlijke gegevens met derden zullen delen.

Runkeeper en Endomondo

Neem de sport-apps Runkeeper en Endomondo. Uit een analyse van de nogal 'juridische' voorwaarden blijkt dat de app-aanbieders jouw gegevens (waaronder je prestaties) delen met onbekende partijen, bij Endomondo zijn dat ook partijen die niet voor de toepassing nodig zijn.

Runkeeper deelt alleen de GPS-positie, bij Endomondo gaat het ook om de leeftijd, het geslacht en de sportprestaties. De app deelt die data met Google en andere 'advertentiepartners'. Opmerkelijk is dat je deze overdracht van jouw gegevens kunt stoppen door de betaalde versie van Endomodo te nemen. Dit 'aanbod' staat in de privacyvoorwaarden maar niet in de app store of in de app zelf.

Strava wat beter

Alleen een derde onderzochte sport-app, Strava, lijkt wat beter om te gaan met de privacy van de gebruiker: de app vraagt als enige bij de installatie geen overdreven toegangsrechten tot de diverse gegevens op de telefoon en de prestaties worden niet naar onbekende derde partijen doorgestuurd. Althans, dat belooft Strava. Hoewel de privacyvoorwaarden wel 7386 woorden tellen (al een aardige scriptie), heeft Strava moeite gedaan de tekst leesbaar te maken met heldere taal en een goede indeling.

Locatie

De Noorse onderzoekers ontdekten dat Runkeeper evenals de dieet-app MyFitnessPal je locatie continu doorgeven aan derde partijen, óók als je de apps niet gebruikt. De voorwaarden melden dit niet;  het blijkt uit een technische analyse van het internetverkeer (met de Androidversies van de apps).

Tip: In iOS en in de recente Android versies kan via het instellingenmenu van de telefoon worden bepaald welke apps toegang hebben tot de GPS-functie; zie het stappenplan voor betere privacy-instellingen op een smartphone.

Dieet-apps

Ook de dieet-apps (calorieëntellers) Lifesum en MyFinessPal kwamen beroerd uit de privacyscan van de Noren. Ook deze apps spelen allerlei gegevens door aan derde partijen die niets met de app te maken hebben. Welke gegevens het precies zijn (de appmakers gebruiken begrippen als 'user generated content') en welke partijen staat niet helder in de privacyvoorwaarden.

MyFitnessPal meldt in zijn 'boekwerk' van 9076 woorden (een record) dat ze na installatie van de app de naam van de gebruiker willen kunnen 'publiceren' (in advertenties bijvoorbeeld). Bij een afslank-app is dat misschien geen reclame voor de persoon in kwestie…

Bij installatie vragen beide dieet-apps meer rechten tot gegevens op de telefoon dan de onderzoekers logisch kunnen verklaren als je kijkt naar de functie van de apps.

Voorwaardenwissel

De onderzoekers van 'Forbrukerradet' merken op dat alle vijf de app-aanbieders niet van tevoren waarschuwen als de privacyvoorwaarden wijzigen. RunKeeper en Strava waarschuwen zelfs helemaal niet.

Op één onderdeel scoren 4 van de 5 apps wel goed: je kunt in de app zelf je gebruikersaccount en daarmee je gegevens makkelijk verwijderen; alleen in MyFitnessPal kan dit niet. Of je zeker bent dat dan werkelijk alle gegevens weg zijn, konden de onderzoekers bij Runkeeper en Strava niet achterhalen. Alleen bij Endomondo is weg waarschijnlijk ook echt weg.

Lees ook:

• App Fail campagne van Forbrukerradet (en het app-onderzoek)
• Betere privacy-instellingen in je smartphone