Gister was ik te gast in het BNR-radioprogramma Ask me Anything over sport-apps, privacy en data. De aanleiding van deze radio-uitzending was een publicatie van De Correspondent over de fitness-app Polar. Twee journalisten van het digitale platform hadden woonplaatsen en namen van militairen, medewerkers van kerncentrales en veiligheidsdiensten weten te achterhalen. Simpelweg door het analyseren van hun wekelijkse hardlooprondes en informatie die op Internet staat.
“Dit zijn mensen die getraind zijn om verborgen te blijven, maar die blijkbaar niet in staat zijn om met zulke apps om te gaan”, zei journalist Maurits Martijn bij Nieuwsuur naar aanleiding van het Polar-schandaal. De ‘schuld’ blijkt op het eerste gezicht inderdaad bij de gebruikers zelf te liggen. Je kiest als Polar gebruiker namelijk zelf met wie wil je welke data deelt. Polar laat je in de privacy-instellingen kiezen of je jouw profiel, hardloopsessies en activiteiten op privé (alleen voor jezelf), volgers (alleen zichtbaar voor volgers) of openbaar (voor iedereen - dus ook een paar journalisten - zichtbaar) wilt zetten.
Jouw privacy instellingen in de Polar Flow app
Let wel: ‘privé’ is hierbij de door Polar ingestelde default-setting. Als je je data op openbaar zet, dan doe je dit dus zelf. De vraag die ons op de SmartHealth redactievergadering maandagochtend het meest bezig hield: waarom zet je je profiel - tegen de default van Polar’s app in - op openbaar? Een mogelijke verklaring is dat je gebruik wilt maken van de Polar Flow Explore. Het concept daarvan is leuk: op een interactieve kaart kun je in Explore waar dan ook ter wereld de routes van andere lopers terugvinden.
Stel, je gaat op vakantie en wil daar ook een rondje hardlopen, dan kun je zien wat de locals voor rondje rennen, welke hoogte ze daarbij afleggen en hoe lang ze daarover doen. Die routes kun je als favoriet opslaan en synchroniseren met jouw Polar account, zodat je eenmaal ter plaatse die route kunt lopen met ondersteuning van Polar’s sporthorloges.
Data combineren
Een combinatie van die Polar Flow Explore data, een openbaar profiel en andere publieke databronnen was genoeg voor de Correspondent-journalisten om huisadressen en foto’s van kinderen te achterhalen. Dat maakt die leuke fitness app ineens een stuk minder onschuldig.
Sterker nog: mogelijk levensgevaarlijk. Want als het De Correspondent lukt, dan kunnen andere kwaadwillenden ook door het gebruik van deze data achterhalen wat het wekelijkse trainingsrondje op de militaire basis in Mali is, of waar je een medewerker van een Nederlandse kerncentrale of veiligheidsdienst kunt onderscheppen terwijl hij of zij nietsvermoedend buiten sport.
Geen datalek
Polar zette de Polar Flow kaart op zwart dit weekend, en kwam met dit statement dat het inderdaad makkelijk was om potentially sensitive locations te achterhalen. Polar benadrukt dat er geen data zijn gelekt en dat het om vrijwillig gedeelde data gaat. Inmiddels heeft het ministerie van Defensie naar aanleiding van het verhaal van De Correspondent het ‘technisch onmogelijk gemaakt’ om dergelijke sport-apps op werktelefoons te gebruiken, meldt De Volkskrant. Militairen die de apps toch gebruiken zijn mogelijk zelfs strafbaar, zegt minister Bijleveld in Nieuwsuur.
Minister #Bijleveld van #Defensie verbiedt het gebruik van sport- en fitness-apps door #militairen, omdat via de apps privégegevens simpel te achterhalen zijn. Militairen die de apps toch installeren zijn strafbaar, zegt Bijleveld. pic.twitter.com/hSSCNrlQnu
— Nieuwsuur (@Nieuwsuur) July 8, 2018
Huisadres
En wat betekent dit voor ons, de ‘normale’ gebruiker? Moeten wij ons ook zorgen maken over ons gebruik van fitness apps als Runkeeper, Strava of Polar? In de praktijk zal dit meevallen. Inmiddels weten we: bij alle bedrijven die data van je verzamelen - of het nou om Polar of de Albert Heijn bonuskaart of je Tripadvisor-account gaat - loop je altijd een (klein) risico op datalekken.
Daarnaast kun en moet je als gebruiker natuurlijk zelf ook alert zijn op de privacy-instellingen van een app en de keuzes die je daarin maakt. Als jij ervoor kiest om je hardlooprondje met Runkeeper te delen op Facebook, dan kun je begrijpen dat je potentieel gevoelige informatie - jouw vaste hardlooprondje door het park of zelfs jouw huis (de plek waar je start en stopt met tracken) - deelt. Tegelijkertijd is natuurlijk de vraag wie wat met die data moet. Het gaat dan niet om risico’s op het niveau van een staatsgeheim of militaire operatie, maar bijvoorbeeld wel op inbraak, stalken of identiteitsfraude, om maar wat ‘lichte’ issues te noemen.
Hoe dan ook is het goed om te zien hoe het onderzoek van De Correspondent de boel weer even op scherp zet en ons aan het denken zet. Check jij vanavond ook eventjes de vinkjes bij de apps die jij gebruikt?
wellicht ook interessant
Wat doe je als je vindt dat mensen niet verantwoordelijk om kunnen gaan met nieuwe technologie? Dan maar helemaal verbieden, denkt de minister van Defensie. Maar moet er niet veel meer worden gedaan aan bewustwording? Snappen mensen wat ze delen in sport/fitness apps, kijkt men naar instellingen van Facebook/Strava/Runkeeper/Polar? Ik denk dat een cursus digitaal vaardig/bewust worden in plaats van een verbod veel slimmer is. Cursus digi-vaardigheden is niet alleen handig voor verpleegkundigen en eHealth, maar ook voor militairen in Mali.