Wat zijn wearables?
Wearables zijn apparaten zoals een activity tracker of smartwatch die mensen de hele dag door op hun lichaam kunnen dragen. Gebruikers kunnen ze dragen als accessoire, als integraal onderdeel van hun kleding of zelfs als implantaat in hun lichaam. Wearables zijn uitgerust met sensoren die de gebruikers volgen en monitoren, hen helpen om doelen te behalen, zoals actief blijven, afvallen, lichamelijke of geestelijke gezondheid volgen, of hen gewoon helpen gestructureerder te leven. De term wearable wordt steeds gangbaarder als korte term voor draagbaar technologisch apparaat.
De laatste paar jaar zijn wearables steeds populairder geworden, als onderdeel van het Internet of Things. Tegenwoordig is de jaaromzet van de wereldwijde markt van wearables meer dan USD 20 miljard. Dit wordt gestimuleerd door de groei van mobiele netwerken, ultrasnelle gegevensoverdracht en microprocessoren van miniatuurformaat. Deze groeiende populariteit heeft echter ook vragen opgeworpen over de veiligheid van wearables en activity trackers.
Het kan hackers niets schelen dat je vanochtend je eigen record hebt verbroken met 5 km hardlopen. Het is de andere informatie die een activity tracker kan bevatten, zoals je locatie, je gezondheidsgegevens of je bankgegevens, die problemen kan veroorzaken als deze in de verkeerde handen valt.
Zijn activity trackers veilig?
Activity trackers vormen een potentieel gevaar voor je privacy. Dat komt omdat de meeste trackers zijn ontworpen om te synchroniseren met andere hardware, zoals laptops of smartphones. Wanneer je ergens hardloopt of fietst, houdt de tracker je locatie precies bij. Deze gegevens gaan door de cloud en zijn te hacken. Als gevolg hiervan houden de veelgebruikte activity trackers een risico op privacyschending in, zoals:
Gegevens van activity trackers zijn heel persoonlijk
De gegevens die worden vastgelegd door activity trackers zijn heel persoonlijk, bijvoorbeeld je gewicht, bloeddruk, de afstanden die je loopt of rent, je hart- of longgegevens, je menstruatiecyclus, je slaappatroon. Dit is in feite het soort informatie dat je eerder in vertrouwen aan je arts zou meedelen, zodat deze een diagnose kan stellen bij eventuele gezondheidsklachten. Het idee dat dit soort gegevens zonder toestemming met anderen wordt gedeeld, staat veel gebruikers tegen. De gegevens die door een wearable worden gevolgd, omvatten mogelijk ook je woonadres, realtime locatie en gedetailleerde kaarten van trainingsroutesdie mogelijk vrij beschikbaar zijn voor andere gebruikers.
Gegevens kunnen worden gedeeld met of verkocht aan derde partijen
Het privacybeleid van sommige populaire activity trackers kan op meerdere manieren worden uitgelegd en kan worden gewijzigd. Dit werpt legitieme vragen op over de wijze waarop gegevens zijn opgeslagen, of deze versleuteld zijn, met wie deze worden gedeeld, en hoe toegang wordt gevolgd of gecontroleerd. Zo legt Fitbit bijvoorbeeld uit dat het je gegevens verzamelt om deze te verkopen aan externe partijen, nadat eerst weliswaar de persoonlijk te herleiden identificatiegegevens zijn verwijderd. Je gezondheidsgegevens zijn waardevol voor adverteerders en verzekeringsmaatschappijen, die graag betalen voor toegang daartoe. Leveranciers van activity trackers kunnen ook gedwongen worden om je gezondheidsgegevens te onthullen als ze hiertoe wettelijk worden verplicht, bijvoorbeeld in het kader van een strafrechtelijk onderzoek. Daarnaast geldt de Amerikaanse wet op de gezondheidsprivacy, de HIPAA (de Health Insurance Portability and Accountability Act) niet voor informatie die gebruikers verzamelen voor eigen gebruik. Dit betekent dat deze privacywet niet geldt voor activity trackers.
Hoe veilig zijn de gegevens?
Fabrikanten van wearables kunnen kwetsbaar zijn voor gegevenslekken. Een berucht voorbeeld hiervan is het gegevenslek uit 2018 bij Under Armour MyFitnessPal, waarbij de gebruikersnamen, wachtwoorden en e-mailadressen van meer dan 150 miljoen gebruikers op straat kwamen te liggen. Een ander voorbeeld uit 2018 was toen een Australische student tijdens zijn zomervakantie een beveiligingslek ontdekte in de fitnessapp Strava, waardoor uitgebreide gebruikersgegevens werden blootgesteld, waaronder de locaties van Amerikaanse legerbases in oorlogsgebieden wereldwijd.
De meeste activity trackers maken verbinding met je telefoon via Bluetooth. Dit betekent dat potentiële beveiligingslekken hackers de gelegenheid bieden om toegang te krijgen tot je gegevens. Zelfs zonder je apparaat te hacken, kan iemand het Bluetooth-signaal dat naar je smartphone wordt teruggezonden 'ruiken', om zo je pincode te raden. Zodra hackers over je pincode beschikken, kunnen ze toegang krijgen tot je gezondheidsgegevens.
Als kwaadwillende partijen erin slagen om de servers te hacken van een fitnesstrackingbedrijf, kunnen ze deze gestolen informatie verkopen of proberen er losgeld voor te vragen voordat het fitnesstrackingbedrijf de informatie weer terugkrijgt. Als je persoonlijke gezondheidsinformatie openbaar toegankelijk wordt, kan je zorgverzekeraar de informatie legaal gebruiken om de premie van je zorgverzekering te verhogen. Als uit de gegevens van de activity tracker bijvoorbeeld blijkt dat je een meer zittende levensstijl hebt dan je bij je huisarts hebt aangegeven, kan een zorgverzekeraar de premie van je zorgverzekering verhogen.
Gegevens van wearables kunnen standaard openbaar toegankelijk zijn
Vaak hebben activity trackers een functie voor sociale netwerken en kunnen gebruikers ervoor kiezen om hun informatie openbaar met anderen te delen. Het is echter niet ongebruikelijk dat de instelling voor privacy standaard is ingesteld op openbaar, waardoor profielen kunnen worden gevonden in zoekresultaten. Als je niet wilt dat je persoonlijke fitnessgegevens online vindbaar zijn, controleer dan de privacyinstellingen en zorg ervoor dat de gegevens die worden gedeeld aanvaardbaar zijn.
Wie is de eigenaar van de gegevens die je genereert?
Het is belangrijk dat je begrijpt wie de eigenaar is van de persoonsgegevens die je genereert met je wearable. Zijn deze van jezelf of van het fitnesstrackingbedrijf? Het antwoord zal afhangen van het merk wearable. Vaak is echter niet de gebruiker de eigenaar van de gegevens van de wearable. Controleer het relevante privacybeleid en de relevante gebruikersovereenkomst.
Het fitnesstrackingbedrijf kan worden verkocht
Zelfs als je het eens bent met het privacybeleid en de gebruikersovereenkomst van je activity tracker, kan het bedrijf worden verkocht aan een externe partij. Zo werd Fitbit in 2019 overgenomen door Google, wat leidde tot een discussie in de media over de privacygevolgen doordat Google toegang kreeg tot de gegevens van miljoenen gebruikers. Telkens wanneer een bedrijf wordt verkocht, is een van zijn waardevolste activa de klantgegevens. Elke nieuwe eigenaar kan een ander gegevensbeleid voeren en proberen om gebruikersgegevens te exploiteren door informatie over je gezondheid te verkopen aan adverteerders, verzekeringsmaatschappijen en anderen.
Privacytips voor activity trackers
De Europese Algemene Verordening Gegevensbescherming (AVG) en de Consumer Privacy Act van Californië (CCPA) bieden enige bescherming aan gebruikers van wearables. Maar er is nog steeds geen samenhangend wereldwijd juridisch kader ingevoerd dat regelgeving biedt voor de veiligheid van de gegevens van wearables en activity trackers. Dit onderstreept het belang van zelf voorzorgsmaatregelen treffen voor een maximale privacy. Je kunt onder meer de volgende stappen ondernemen:
Het privacybeleid van je activity tracker lezen
Door het privacybeleid te lezen, krijg je een idee van de zorgvuldigheid waarmee het bedrijf omgaat met je privacy en van de maatregelen die zijn genomen om je privacy te beschermen. Als je het privacybeleid leest, kom je te weten hoe je gegevens worden gebruikt, opgeslagen en geopend. Als het beleid vaag klinkt, kan dit erop duiden dat gegevens klakkeloos worden gedeeld met derden. Als er in het privacybeleid iets staat waar je geen goed gevoel over hebt, overweeg dan om voor een andere provider te kiezen.
Begrijpen welke gegevens worden verzameld en dit waar nodig beperken
De bewakingsfuncties van een wearable lopen qua complexiteit uiteen. Ze kunnen simpelweg stappen tellen en basisactiviteiten meten, maar ook complexere gegevens zoals je zuurstofopname en hoeveel je hebt doorgebracht in een specifiek hartslagbereik. Hoe meer sensoren je wearable heeft, des te meer gegevens er worden gegenereerd, wat inhoudt dat er ook meer gevoelige informatie moet worden beschermd. Zo kan een wearable die je hardloop- of fietsroutes bijhoudt ook informatie verschaffen aan potentiële stalkers. Bij een gegevenslek, zoals van de menstruatiecyclus, kan dit een grote inbreuk op je privacy zijn.
Vaak kunnen apps en apparaten meer gegevens verzamelen dan nodig is. Waar mogelijk zou je apps alleen toestemming moeten geven voor het verzamelen en opslaan van de gegevens van de activity tracker die nodig zijn voor de door jou gewenste gezondheidsfeedback. Als je bijvoorbeeld wilt dat een tracker alleen je stappen telt, hoeft de tracker daarnaast geen gegevens over je hartslag te verzamelen. Doorloop de verschillende gegevenscategorieën en pas de instellingen van je apparaat aan op basis van je behoeften.
Begrijpen waar gegevens worden opgeslagen
In oudere, eenvoudigere apparaten, zoals stappentellers of hartslagmeters, blijven de gegevens opgeslagen op de wearable zelf. Daarmee is beveiliging eenvoudig: je hoeft alleen maar te weten waar je tracker is en te zorgen dat je deze niet kwijtraakt. Voor modernere activity trackers en smartwatches ligt dat anders: deze maken meestal verbinding met externe apps om de activiteiten te volgen, te delen en te analyseren. Zodra de gegevens worden verzonden, wordt het concept vertrouwen belangrijker.
Dubbele verificatie instellen
Dubbele verificatie (2FA) is een goede manier om al je accounts te beveiligen, inclusief je activity trackers. De dubbele verificatie houdt in dat een code wordt gegenereerd en verzonden naar een vertrouwd apparaat, zoals je telefoon. Je voert de code vervolgens in om toegang te krijgen tot je activity tracker.
Locatietracering uitschakelen
Locatietraceringsgegevens kunnen veel informatie over jou onthullen, zoals waar je woont, waar je werkt, waar je winkelt enzovoorts. Op je apparaat en in de instellingen van je apparaat kan je locatietracering uitschakelen om je privacy te verhogen. Sta er bovendien eens bij stil waar en wanneer je je activity tracker draagt. Drukke gebieden bieden hackers meer kansen om gegevens te skimmen.
Je apparaat up-to-date houden als dit wordt gevraagd
Net als bij elk ander apparaat, bevatten software-updates vaak belangrijke beveiligingsoplossingen. Door ervoor te zorgen dat je activity tracker up-to-date is, beschik je over de nieuwste beschikbare beveiligingsfuncties en bugfixes.
Het gebruik van onbeveiligde netwerken vermijden
Gezien de persoonlijke aard van de gegevens die activity trackers kunnen verzamelen, is het raadzaam om geen openbare wifinetwerken te gebruiken omdat deze je gegevens kunnen blootstellen aan gevaren.
Je anonimiteit beschermen met een VPN
Een manier waarop je je anonimiteit kunt bewaken op al je apparaten, is door een VPN te gebruiken. Een VPN beschermt je privacy door je gegevens eerst te versleutelen en vervolgens om te leiden langs meerdere VPN-servers. Kaspersky Secure Connection maakt bijvoorbeeld een versleutelde tunnel tussen je apparaten en de internetservers van Kaspersky, zodat niemand je online gegevens kan lezen.
Draagbare technologie zoals activity trackers hebben vele voordelen. In de toekomst kunnen hiermee mogelijk levens worden gered door de verspreiding van ernstige infecties zoals Covid-19 op te sporen en te vertragen. Gebruikers moeten niet alleen de technologische voordelen van activity trackers toejuichen, maar ook de privacyrisico's ervan kennen en weten hoe je deze kunt afwenden.
Gerelateerde artikelen:
- Beveiliging van berichten-apps: wat zijn de beste apps voor privacy?
- Veiligheid op internet: Een checklist voor gezinnen
- Je online privacy beschermen als zakelijk- en privégebruik door elkaar lopen
- Wat is een VPN? Hoe werkt een VPN en welke typen zijn er?
- Beveiligings- en privacyrisico's van AR en VR