Mobiele apps om je gezondheid bij te houden worden steedspopulairder en het commercieel laten analyseren van je DNA kost nog maar 100euro. Maar de gegevens die je daarbij achterlaat, zijn niet in veilige handen.
Het kost me een kwartier om genoeg speeksel te verzamelenvoor een vol buisje. Met een droge mond doe ik het dopje erop, stop het buisjein een envelop en stuur het op naar Amerika. Daar haalt het bedrijfje 23andmemijn DNA uit mijn speekselcellen om het te onderzoeken op allerhandeeigenschappen. Zes weken later krijg ik een mail: uw DNA-analyse is klaar om tebekijken. Licht gespannen open ik de link in de mail en scroll door een langelijst met rode en groene pijltjes, die staan voor een verhoogd of verlaagdrisico op een bepaalde aandoening. Vooral mijn kans op longkanker lijktverhoogd, net als de kans dat ik reuma krijg, al gaat het maar om een paarprocent verhoging. Op staar of Alzheimer hoef ik gelukkig niet zo snel terekenen.
Zo’n genetische analyse is niet de enige manier waarop ikinzicht probeer te krijgen in mijn gezondheid en mijn levensstijl. Zo heb ik opmijn telefoon de app Moves geïnstalleerd die via GPS al mijn bewegingenbijhoudt. Gisteren liep ik 4,6 kilometer en fietste ik er 21, meldde de app mijvanochtend. En dan ben ik nog bescheiden als het gaat om het aantal gedownloadegezondheidsapps. In mijn sociale omgeving is het helemaal niet ongewoon om ‘sochtends met de Sleep-Cycle-app te kijken hoe lang en hoe diep je geslapenhebt. En mijn Facebooktijdlijn loopt dagelijks vol met vrienden die laten ziendat ze een rondje hebben hardgelopen, inclusief het aantal gelopen kilometers,de verbrandde calorieën en soms zelfs de gemiddelde hartslag. Sterker nog, ikheb vrienden die ’s avonds voor het naar bed gaan even de LoveCycles-appchecken om te zien of hun vriendin in haar vruchtbare dagen zit en zo beslissenof ze wel of niet voor het zingen de kerk uit moeten.
Gezondheidsapps voor de mobiele telefoons zijn niet alleenpopulair bij mijn vrienden. In 2013 had 1 op de 5 smartphonebezitters een appdie op de een of andere manier helpt de gezondheid bij te houden of teverbeteren. En al die mensen kunnen op dit moment kiezen uit meer dan 100.000gezondheidsapps. Een van de populairste apps, Fitbit, is wereldwijd zelfs meerdan 5 miljoen keer gedownload. Ook het laten analyseren van je DNA wint aanpopulariteit. Omdat dit 100 euro per analyse kost, is het nog niet zogebruikelijk als de apps, maar toch heeft het bedrijf 23andme al van bijna eenmiljoen wereldburgers het DNA in handen. In Nederland hebben naar schattingenkele duizenden mensen de inhoud van hun speekselcellen vertrouwd aan hetAmerikaanse bedrijf.
Maar wat gebeurt er met al die gegevens die je achterlaat ofweggeeft? Zijn die wel in betrouwbare handen? Dat ze niet helemaal veiligopgeborgen zijn, bleek in 2011, toen de seksuele activiteit vanFitbit-gebruikers simpelweg te Googlen was: tien minuten ‘kussen en knuffelen’,gevolgd door 15 minuten ‘krachtige activiteit’, het was allemaal open en blootop het net te zien inclusief de naam van de gebruiker. Hacks van apps zijnbovendien eerder gemeengoed dan uitzondering, zo liet het digitaalbeveiligingsbedrijf Arxan afgelopen november zien.  Zij ontdekten dat meer dan driekwart van allemeest gedownloade apps ooit gehackt was. 
Toch kunnen zulke hacks en lekken nog als incident wordenafgedaan, als illegale gebeurtenissen die te voorkomen zijn, als appbouwers hunvergrendeling wat beter op orde maken. Maar zelfs áls ze dat doen, dan zijn jegegevens niet veilig. Integendeel, want voor app-ontwikkelaars zijn jouwgegevens niet een soort bijvangst, nee, daar is het ze om te doen. Die zijnjuist de goudmijn voor hun bedrijf. “De meeste apps mogen dan kosteloos tedownloaden zijn, gratis zijn ze niet. Een gebruiker betaalt onzichtbaar metzijn persoonsgegevens,” zegt Jacob Kohnstamm, directeur van het CollegeBescherming Persoonsgegevens (CBP), de Nederlandse privacywaakhond. De gegevensuit gezondheidsapps zijn doorgaans erg persoonlijk, gedetailleerd en gevoeligen daardoor zeer waardevol.
Gezondheidsgegevens worden al verhandeld, meestal zonder datde gebruiker dat door heeft. In mei vorig jaar analyseerde de Amerikaanseconsumentenwaakhond, de Federal Trade Commission (FTC), twaalf gezondheidsappsen ontdekte dat deze data verzonden naar 76 verschillende derden. Het ging hieronder andere om sportgegevens en medische zoektermen, naast naam, mailadres engeslacht. Welke apps dit waren, hield de FTC geheim. Het Amerikaanse Ghostery,een bedrijf dat privacybeschermende software ontwikkelt, ontdekte in 2013 ietssoortgelijks en nagelde wel een aantal apps aan de schandpaal. Het bedrijf kwamerachter dat niet alleen Runkeeper en MapMyRun, beide populaireGPS-trackingsapps voor hardlopers, hun gegevens deelden, maar dat ook MyPregnancy Today en de app van Weight Watchers er zich schuldig aan maakten.
Een deel van de verzamelde gegevens wordt directdoorverkocht aan Facebook, Google en Twitter, die het omzetten in gerichteadvertenties. Andere belangrijke opkopers zijn de zogenaamde data brokers. Datzijn bedrijven die online gegevens combineren met offline informatie, zoalsburgerlijke staat en autobezit, en dat weer doorverkopen aan bedrijven die hetweer gebruiken voor marketingsdoeleinden. Een van de grootste data brokers, Acxiom,zegt gegevens te hebben van 10 procent van de wereldbevolking en dat diegegevens gemiddeld bestaan uit 1500 individuele feiten. Hoeveel zulke bedrijvener voor betalen is schimmig, maar per persoon gaat het om kleine bedragen, diepas interessant worden in bulk. Een rekentool van de Financial Times berekendedat mijn offlinedata ongeveer 13 dollarcent waard was voor data brokers. Onlinegaat het om de zelfde soort bedragen.      
De nog veel persoonlijker en verstrekkendere genetischegegevens die 23andme in handen heeft, worden rechtstreekser verhandeld. Injanuari beklonk het bedrijf een deal met Pfizer waarin het afsprak om degegevens van 650.000 klanten te delen. Een week daarvoor betaalde een anderefarmaceutisch bedrijf, Genentech, 10 miljoen dollar voor DNA-gegevens, eenbedrag dat oploopt tot 60 miljoen als Genentech eruit haalt wat ze hopen:nieuwe inzichten om medicijnen mee te kunnen ontwikkelen. Ook mijn gegevenszitten daarbij. Toen ik mij vier jaar geleden aanmeldde bij 23andMe, gaf ik aandat mijn genetische informatie gebruikt mocht worden voor wetenschappelijkonderzoek. Dit valt daar volgens het bedrijf onder. 23andMe is erg open overhun ambities: “Uiteindelijk gaat het niet om geld verdienen met het verkopenDNA-analysekits. Dat is alleen de basis. Met de gegevens die het oplevert,worden we de Google op het gebied van persoonlijke gezondheidszorg,” zeidirectielid Patrick Chung ooit in een interview in het blad FastCompany.
Vooralsnog beweert 23andMe dat het alle gegevens die hetdeelt anonimiseert, waardoor een DNA-volgorde niet meer terug te leiden is naareen individuele gebruiker. Sommige van de meest populaire fitnessapps als Nike+en Fitbit zeggen hetzelfde te doen met hun gegevens. Het is echter maar zeer devraag of zulke beloftes garanties zijn voor de toekomst. Google begon vijftienjaar geleden ook als simpel zoekprogramma, dat beloofde nooit gegevens zondertoestemming door te verkopen, en kijk waar het nu staat: het heeft hetverzamelen en verkopen van persoonlijke gegevens tot haar core businessgemaakt. Hoe snel het kan gaan, bleek onlangs bij de trackingsapp Moves (meerdan 500.000 downloads). Toen zij in april 2014 werden overgenomen doorFacebook, zweerden de ontwikkelaars op Twitter dat er geen gegevens zoudenworden gedeeld. Elf dagen later bleken de privacyvoorwaarden van Movesveranderd en kreeg Facebook wel toegang tot alle gegevens.
Bovendien is anonimisering geen garantie dat de gegevensniet terug te leiden zijn. In 2013 lukte het een onderzoeker van het WhiteheadInstitute in Cambridge, Massachusetts om geanonimiseerd DNA terug te voerennaar een individueel persoon. Hij had daar nog wel extra informatie bij nodigover de leeftijd van diegene van wie dat DNA was en de staat waar hij woonde.Maar hoe verder de technologie voortschrijdt, hoe makkelijker dit zal worden,is de verwachting. Zo’n genetische heridentificatie betekent niet alleen datjouw privacy in gevaar komt, maar ook dat van je familieleden, die immers eengroot deel van hun DNA met jou overeenkomstig hebben. Volgens de vooraanstaandeHarvard-geneticus George Church moeten mensen beseffen dat het eerder‘waarschijnlijk’ dan ‘onwaarschijnlijk’ is, dat hun privacy wordt aangetastzodra ze beslissen hun DNA ergens af te geven, zo stelt hij in de New YorkTimes. Floris Kreiken, onderzoeker bij de digitale burgerrechtenorganisatieBits of Freedom is het daarmee eens: “Ook geanonimiseerde gegevens van appsblijken makkelijk terug te voeren op individuele gebruikers,” zegt hij.“Volledige anonimisering van persoonlijke data is uiteindelijk waarschijnlijkonmogelijk. Gebruikers moeten daar rekening mee houden.” 
Maar welke risico’s loop je nog meer als je gegevens als handelswaarworden inzet, naast dat ze gebruikt worden voor advertentie- enmarketingsdoeleinden? Ze kunnen bijvoorbeeld in handen komen vanzorgverzekeraars. Die zouden je premie kunnen verhogen op basis van gedrag.Bijvoorbeeld door er achter te komen dat je pogingen om te stoppen met rokensteeds falen, of door uit je eetgewoontes te achterhalen dat je een te hogebloeddruk hebt. Differentiatie in premies is nog geen gemeengoed in Nederland,maar het is niet ondenkbaar dat dat verandert. In 2013 stelde de Raad voor deVolksgezondheid en Zorg in het rapport ‘Het belang van wederkerigheid’bijvoorbeeld al voor dat mensen met een gezonde levensstijl korting zoudenmoeten krijgen op hun premie.
 “Daarnaast is er hetgevaar van digitale predestinatie,” zegt Kohnstamm. “Door gegevens uitverschillende databases te combineren en daar met wiskundige algoritmes nieuwecorrelaties uit te destilleren, ontstaat er digitaal profiel van je. Zo’nprofiel zou er toe kunnen leiden dat je anders wordt behandeld door de overheidof door bedrijven, zonder dat je dat zelf door hebt. Dat ontneemt jepersoonlijke vrijheid. ” Kreiken voegt er aan toe dat ook de gelijkheid in eensamenleving wordt aangetast. “Mensen met een sociaal achtergestelde positiehebben vaak minder toegang tot gezond voedsel. Als zij op basis van hun digitalegegevens beoordeeld worden op hun levensstijl, zullen zij uiteindelijk duurderuit zijn bij verzekeringen. Of hebben ze geen toegang tot bepaalde diensten. Degelijke kansen nemen hierdoor af, waar de kloof tussen arm en rijk toeneemt.”Daar komt bij dat je zelf geen inzicht hebt in hoe dat profiel tot stand isgekomen en kun je het ook niet veranderen. Dat leidt tot machtsverschil tussengebruikers aan de ene kant en overheden en bedrijven aan de andere kant.
Om dit moment ligt het nog meer voor de hand om op basis vanmobiele gezondheidsapps beoordeeld te worden, dan op basis van je genetischegegevens. Dat komt omdat het voor apps veel geaccepteerder is om de verkoop vanpersoonsgegevens als businessmodel te hebben. Bovendien is de markt voor genetischegegevens nog onontgonnen, omdat er nog maar een relatief kleine groep mensenhun DNA hebben laten analyseren. Maar mocht 23andMe-data wel vrijkomen, danzijn de gevolgen verstrekkender. Het bedrijf checkt bijvoorbeeld ook opmutaties die de kans op borstkanker of de ziekte van Alzheimer verhogen totmeer dan 60 procent, gegevens die heel interessant zijn voor een potentiëlewerkgever of hypotheekverstrekker.    
Om niet zo afhankelijk te zijn van de grillen van de test-of appaanbieders zouden keuzes op het gebied van privacy veel meer moet liggenbij de gebruiker, vindt Kohnstamm. “Dat begint bijvoorbeeld bij het invoerenvan ‘explicit consent’, waarbij gebruikers heel specifiek toestemming moetengeven wat er met hun gegevens gebeurt. Dus geen privacyvoorwaarden met delengte van een toneelstuk van Shakespeare, maar simpelweg een lijstje met eenaantal mogelijkheden om aan te vinken.” Ook zou privacy een integraal onderdeelmoeten worden het bouwen van een app. 
Zulke veranderingen zijn niet af te dwingen zonder dat daarjuridische consequenties aan verbonden kunnen worden. Daar worden stappen voorgezet. Zo ligt er op dit moment een wetswijziging in de Tweede Kamer die hetmogelijk maakt voor het CBP om meer boetes uit te schrijven voor bedrijven diezich niet houden aan de privacyregels. Tegelijkertijd beslist het EuropeseParlement binnenkort over een verordening waarmee het mogelijk wordt ombedrijven privacyboetes op te leggen tot 5 procent van hun omzet.
Maar mensen doen er zelf niet veel aan. Uit een recentonderzoek van kennisplatform ECP mag dan blijken dat 60 procent van deNederlanders zich druk maakt over de verwerking van persoonsgegevens doorbedrijven en overheden, slechts 1 op de 5 let op de rechten die hij weggeeftbij het downloaden van apps op de mobiele telefoon.