Menstruatie-apps delen erg intieme informatie van miljoenen vrouwen met Facebook

Vrouwen gebruiken menstruatiekalenders om hun cyclus op te volgen. Zo kunnen ze uitrekenen wanneer hun volgende menstruatie eraan komt, maar bijvoorbeeld ook wanneer ze het vruchtbaarst zijn. In de apps kunnen gebruikers ook zelf informatie invoeren, zoals welke ongemakken er met hun cyclus gepaard gaan, wanneer ze het laatst seks hadden, welk voorbehoedsmiddel ze hebben gebruikt en hun gemoedstoestand.

Uit onderzoek van Privacy International blijkt nu dat die erg gevoelige informatie doorgespeeld werd aan Facebook. De app Maya, eigendom van het Indiase bedrijf Plackal Tech, en de menstruatiekalender MIA Fem, eigendom van het Cypriotische Mobapp Development Limited, hebben miljoenen gebruikers over de hele wereld.

De informatie wordt met het sociale netwerk gedeeld via de Facebook Software Development Kit (SDK). Die helpt appontwikkelaars om bepaalde functies in te bouwen en gegevens van gebruikers te verzamelen, zodat Facebook gerichte advertenties kan tonen. Wanneer een gebruiker persoonlijke informatie opslaat in een app, kan die informatie eveneens via de SDK naar Facebook verstuurd worden.

Privacy International ontdekte dat Maya en MIA informatie deelden met Facebook vanaf het ogenblik dat een gebruiker de app op haar telefoon installeerde en opende, zelfs voor ze had ingestemd met het privacybeleid. “Wanneer Maya je vraagt om in te geven hoe je je voelt en suggesties aanbiedt voor symptomen waarmee je te kampen kan hebben - zoals bloeddruk, zwelling of acne - dan zou men hopen dat die informatie met bijzondere zorg behandeld wordt. Maar nee, die informatie wordt gedeeld met Facebook”, stelt het rapport. 

Bovendien bracht het rapport aan het licht dat Maya en MIA Fem dezelfde informatie deelden met andere onlinemarketingbedrijven.

De bevindingen van de privacywaakhond zijn bijzonder verontrustend. Werkgevers, verzekeringsmaatschappijen en adverteerders zouden de verworven informatie immers kunnen gebruiken om bepaalde groepen mensen te viseren of te discrimineren. 

Voor adverteerders is het vaak handig om te weten in welke stemming mensen zijn, omdat het hen in staat stelt om advertenties te tonen wanneer de kans groter is dat gebruikers geld gaan uitgeven. 

“Inzicht in de gemoedstoestand van mensen biedt een opening om hen te manipuleren. En dat is des te zorgwekkender in een tijdperk waarin Facebook zo een enorme impact heeft op onze democratieën, zoals werd aangetoond met het Cambridge Analytica-schandaal. Het zijn inderdaad niet alleen adverteerders die willen weten hoe we ons voelen; naarmate de verkiezingen naderen, willen politieke partijen misschien weten of we ons angstig, gestresseerd of opgewonden voelen, zodat ze hun verhalen daaraan kunnen aanpassen”, luidt het in het rapport van Privacy International.

“Het kan gênant zijn of je zelfvertrouwen naar beneden halen als je overstelpt wordt met gerichte advertenties voor acnemedicatie, maar hoe laat Facebook adverteerders mensen targeten op basis van informatie die deze apps verzamelen over hun anticonceptie?”, zegt Lindsey Barrett, docent aan de universiteit van Georgetown. “Met wie deelt Facebook die informatie nog? Het gaat hier om waardigheid, maar ook om discriminatie en dat speelt allemaal mee wanneer we het hebben over de reden waarom individuele privacyrechten belangrijk zijn.”

De makers van Maya hebben ondertussen aan Privacy International laten weten dat ze voortaan niet meer werken met de SDK van Facebook.

Facebook deelde aan BuzzFeed News mee dat het contact heeft opgenomen met de apps die worden aangehaald in het rapport van Privacy International om de mogelijke inbreuken op de servicevoorwaarden, zoals het verzenden van verboden types van gevoelige informatie, te bespreken.

Volgens een woordvoerder van het sociale netwerk moeten appontwikkelaars duidelijke informatie verschaffen aan de gebruiker over de informatie die ze delen met Facebook en moeten ze over een “wettelijke basis” beschikken om die data te mogen gebruiken en delen. 

Apps zijn verplicht om hun privacybeleid te delen met gebruikers, die er voor gebruik mee moeten instemmen, maar die teksten worden zelden gelezen, vaak omdat ze erg omslachtig en onduidelijk zijn.