De privacyrisico’s van je fitness tracker

Fitness attributen op grote smartphone
Samenvatting: De privacyrisico's van je fitness tracker
In het kort: De privacyrisico's van je fitness tracker

Fitness trackers zijn uitgerust met meer dan alleen een stappenteller. Je kan het dan ook een activity tracker noemen. Activity trackers zijn handig, maar brengen de nodige privacyrisico’s met zich mee.

De activity trackers kunnen de volgende risico’s met zich meebrengen:

  • Je smartwatch stuurt je gegevens naar een ander toestel dan het jouwe.
  • Je kan gevolgd worden. Niet alleen via GPS, zoals je verwacht. Een activity tracker kan ook een digitaal spoor achterlaten.
  • De organisatie achter de activity tracker, zoals Fitbit, kan al je gegevens bijhouden en soms zelfs doorverkopen.
  • Anderen kunnen toegang hebben tot jouw data.

Het gebruik van een activity tracker kan dus erg risicovol zijn. Je hoeft nu niet meteen je smartwatch van je pols te halen, maar ga wel bewust om met je horloge. Wees alert op alle data die van jou wordt bijgehouden.

Als je meer details wil over de verschillende risico’s die een activity tracker met zich mee brengt, lees dan het artikel hieronder.

Stappentellers, smartwatches en Google glasses, ook wel wearables genoemd: handige accessoires die je tegenwoordig steeds vaker in het nieuws voorbij ziet komen. Bedrijven als Fitbit, Xiaomi en Jawbone drijven de markt enthousiast aan met nieuwe ontwikkelingen en slimme technologieën om het de consument nog gemakkelijker te maken, zoals met stijlvolle sporthorloges. Dit type horloges meet je dagelijkse beweging. Hoewel sommige mensen activity trackers, zoals ze ook wel genoemd worden, zien als luxe stappentellers, doet dit apparaatje net iets meer dan dat. Wat is een fitness tracker nu eigenlijk, welke data verzamelt het, en welke privacyrisico’s brengt dit met zich mee? We zijn voor je op onderzoek uitgegaan. In dit artikel lees je wat we hebben gevonden.

De functionaliteiten van de fitness tracker

Aan de basis van een simpel sporthorloge staat een stappenteller. Veel trackers zijn echter uitgerust met meer verschillende functies. Zo wordt er vaak gebruik gemaakt van een hartslagmeter en een gyroscoop om de intensiteit van een activiteit te meten. Daarnaast zijn alle goede fitness trackers gelinkt aan een app die de verzamelde data direct omzet in begrijpelijke grafieken en overzichten. Deze overzichten kan je dan in real-time zien op het display van je telefoon. Door een ingebouwde GPS kan je bovendien de route zien die je hebt gelopen.

Balsport icoon op smartphone

In de app zie je dagelijks terug hoeveel stappen je hebt gezet, hoeveel kilometer je hebt gelopen en hoeveel calorieën je hebt verbrand. Sommige horloges kunnen zelfs je slaap bijhouden en vertellen je zo hoe gezond je slaapritme is. Aan de hand van deze verzamelde gegevens geeft de tracker je vervolgens tips en adviezen om een gezonde en actieve levensstijl te onderhouden.

De gegevens die zo’n tracker bijhoudt zijn erg persoonlijk natuurlijk. Je wil dan ook niet dat ze in de verkeerde handen vallen. Toch loop je het risico dat je persoonlijke gegevens op straat komen te liggen. Zo zitten er namelijk privacyrisico’s aan bluetooth verbindingen. Bovendien zal je moeten opletten wat het bedrijf achter de app met je gegevens doet.

Het risico van de bluetooth verbinding

Iedere activity tracker zendt een bluetooth signaal uit naar een gekoppeld apparaat. De gegevens worden zo van de polsband naar je telefoon verzonden. Dit apparaat analyseert vervolgens deze gegevens en vat ze samen in handige grafieken. Jij kan op het display weer zien wat bijvoorbeeld de hartslagsensor meet of hoeveel calorieën je hebt gebruikt.  Dit is allemaal leuk en aardig, maar er zit wel een groot nadeel aan dit systeem.

Wanneer een activity tracker namelijk niet gesynchroniseerd is met je apparaat, of als de verbinding even wegvalt, bevindt je data zich ineens in een grijs gebied. De activity tracker blijft constant een signaal afgeven, wachtend op een smart device in de omgeving om dit signaal op te pikken. Je polsband kan dan ineens een ander smart device vinden waarmee het koppeltZo’n bluetooth signaal brengt dus ook risico’s met zich mee.

Te volgen via een digitaal spoor

Hardloper met smartwatch illustratieDe data van je band kan dus naar het verkeerde apparaat gestuurd worden. Het gaat hier niet alleen om hoeveel stappen, ook je locatie, hartslag en persoonsgegevens kunnen meegestuurd worden. Met dit lek in je persoonlijke data komt je privacy natuurlijk al in gevaar.

Daarnaast gebeurt er nog iets anders. Wanneer jouw tracking device zoekende is naar een nieuw apparaat, laat deze een continu digitaal spoor achter.  Dit spoor wordt ook wel je bluetooth adres of MAC-adres genoemd. Iedere wearable device heeft een uniek en geheel eigen MAC-adres. Zolang jouw fitness tracker ontkoppeld is van je telefoon, zou iedereen die jouw Bluetooth MAC kent je activiteiten en routes kunnen bijhouden.

Gelukkig hebben merken als Apple iOS een aantal stappen genomen om dit soort risico’s te verkleinen. Zo verandert Apple regelmatig de unieke Bluetooth MAC codes van ieder apparaat, waardoor het haast onmogelijk wordt om deze te tracken.

Bluetooth verbindingen als marketing onderzoek

De kans is natuurlijk klein dat iemand jouw Bluetooth MAC code ontdekt en je activiteiten die dag de héle dag volgt. Dit betekent niet dat het gebruik van je fitnesstracker geheel zonder risico is. Het continu zoekende bluetooth signaal is namelijk ook zichtbaar voor anderen in de omgeving.

Zo kunnen winkels bluetooth activiteit monitoren om hun reclame-uitingen op de juiste manier in te kunnen zetten. Ga jij bijvoorbeeld elke week dezelfde route hardlopen, dan kan een café waar je voorbij komt specifieke reclame naar jouw device sturen. Bovendien kunnen hackers zo’n open bluetooth connectie gebruiken om toegang te verkrijgen tot je smartphone.

Het gebruik en de verspreiding van jouw data

Veel van de problemen die bluetooth veroorzaakt, zijn dus te wijten aan verbindingsproblemen. Als je sporthorloge geen verbinding maakt met jouw apparaat, kan deze verbinding maken met andere apparaten. Nu kun je zeggen dat deze problemen zijn opgelost als je zorgt dat je fitness tracker continu synchroniseert met je telefoon.  Dit is ook grotendeels waar. Op de eerste plaats kan de verbinding echter zonder jouw toedoen verbreken. Daarnaast zijn er nog verschillende andere risico’s die zo’n activity tracker met zich mee brengt.

Lees de algemene voorwaarden goed door

Laptop met oog

De naam zegt het immers al, een activity tracker houdt je gegevens bij. Het is op de hoogte van je persoonlijke gegevens en meet nog extra data met behulp van de GPS en hartslagmeter. Als je de app downloadt, moet je algemene voorwaarden accepteren om deze daadwerkelijk te gebruiken. Door de acceptatie ga je akkoord met de manier waarop die organisatie jouw data gebruikt. Wanneer je de algemene voorwaarden niet goed leest, kan het dus zomaar zijn dat je bijvoorbeeld akkoord gaat met de verkoop van jouw persoonlijke data in geval van faillissement van de fabrikant.

Ook kan het zijn dat het bedrijf wordt overgenomen, zoals het geval is geweest bij Fitbit. Je trackers’ activity ligt dan ineens in handen van de opvolger, in dit geval Google.

Dat een bedrijf niet failliet is, houdt niet in dat je data veilig is. Je gegevens kunnen nog steeds op onverwachte plekken terechtkomen. Wellicht heeft de fabrikant bijvoorbeeld contracten met andere instellingen. Een reclamebureau is immers erg blij met zoveel gegevens van potentiële klanten, zodat deze zijn producten effectief kan aanbevelen.

Versleutelde gegevens naar de cloud

Een oplossing is om je gegevens eerst te versleutelen. Dit betekent dus dat je gegevens niet te lezen zijn, zelfs al hebben mensen er toegang tot op de cloud.  Enkel Apple iOS heeft een duidelijke clausule waarin staat dat je data eerst versleuteld wordt op je toestel voordat het naar de cloud gaat. Elke andere fabrikant zou ergens in de voorwaarden kunnen hebben geschreven dat ze jouw data mogen delen met bijvoorbeeld zorgverzekeraars.

Je gezondheidsgegevens: een goudmijn voor zorgverzekeringen

Creditcards op Laptop

En hoe zou jouw zorgverzekeringspremie eruit komen te zien wanneer je zorgverzekeraar al jouw fitness activiteiten op een rijtje heeft gezet? Zou je volgens je app meer moeten bewegen, zou je zorgverzekeraar je daarvoor bestraffen door bepaalde behandelingen niet te vergoeden? Of slaap je misschien veel te weinig, krijg je dan ineens mails waarin melatonine wordt aanbevolen? Zoals ook staat omschreven in ons smartwatch artikel, kan dit ontzettend veel risico’s met zich meebrengen.

Het is niet voor niks dat apps die je gezondheid bijhouden, zoals dieetapps en de Corona-app, veel aandacht krijgen. Dit soort apps verzamelen namelijk persoonlijke gegevens en je wil niet dat deze in de verkeerde handen komen. Hetzelfde geldt natuurlijk voor de gegevens van je activity tracker. Het beste lees je dus de algemene voorwaarden goed door in plaats van ze zomaar te accepteren. Ook wanneer het “slechts” gaat om sporthorloges.

Conclusie: Moet je stoppen met activity trackers?

Het is dus wel duidelijk dat het gebruik van een activity tracker erg risicovol kan zijn. Dit is niet direct een reden om de wearable van je pols te halen en nooit meer te gebruiken. Zolang je bewust omgaat met het apparaat en de data die het verzamelt, kun je gewoon lekker van de voordelen van de tracker blijven genieten.

Zorg er bijvoorbeeld voor dat je tracker vrijwel constant verbonden is met je smartphone. Let ook goed op bij het lezen van de voorwaarden: zijn er clausules die de fabrikant toestemming geven je data te verkopen? Worden er specifieke partners genoemd die je gegevens mogelijk in handen krijgen? De trackers van Apple, bijvoorbeeld, hebben goede bescherming tegen deze mogelijke privacyrisico’s. Deze kan je hierdoor zonder al te veel zorgen gebruiken.

Auteur
Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Co-auteur
Tech redacteur
Tamara is al jaren bezig met taal en communicatie. De steeds vernieuwde kennis over tech en cybersecurity weet ze zo goed over te brengen op het grote publiek. Tamara is geïnteresseerd in kwesties rondom (overheids)censuur en de balans tussen privacy en vrijheid online.
Plaats een reactie
Een reactie plaatsen