Privacy Review: Fitbit Flex

fitbit-flex

Fitbit Flex: wat is het?

De Fitbit Flex is een “activity tracker” in de vorm van een armband. De Flex tracked het aantal calorien dat je verbrandt, hoeveel stappen je hebt genomen, wanneer je actief bent geweest etc. De standaard tracking van een typische fitness tracker zoals je die ook hebt van Nike, Jawbone, Mio etc. met als verschil dat de Fitbit Flex aanzienlijk goedkoper is, de mijne kostte €99,-.

Nog een paar extra features zijn slaap tracking, afstandsmeter en mijn persoonlijke favoriet: het trilalarm. Ik sta graag vroeg op maar wil daarbij mijn vrouw niet wakker maken, zo’n trilalarm is daarvoor perfect. Daarnaast is het verbazend hoe effectief dat werkt zonder dat er een telefoon of wekker in mijn oor ligt te toeteren.

Privacy aspecten

De hoofdreden voor mij om deze tracker te kopen is om eens te kijken wat voor privacy implicaties zo’n tracker met zich meebrengt. De Fitbit Flex (en alle andere Fitbit producten) zijn wat dat betreft extra interessant: alles moet online gebeuren. De Flex zelf is immers maar een armbandje, om de info eruit te halen moet je syncen met je PC of smartphone middels de Fitbit App. Via de smartphone kan dit via Bluetooth 4.0 (beperkt aantal modellen!) en via de PC gebruik je een meegeleverde dongle voor wireless sync.

Om te beginnen is Fitbit een Amerikaans bedrijf, met alle implicaties die dat met zich meebrengt naar de NSA, FISA, symbolische privacywetten e.d.. Kortom, de kans is reëel dat alle data sowieso al geindexeerd en wel in een datacenter van de Amerikaanse regering staat zodra je een account aanmaakt. Als we dat aspect even loslaten is het interessant om te weten hoe een en ander opgevraagd, verzameld en verwerkt wordt door Fitbit.

De App en Website

Fitbit Login

Wanneer je de Fitbit voor het eerst configureert met de software van Fitbit (desktop of App) word je meteen gevraagd om een account aan te maken, je kunt ook koppelen aan Google of Facebook. Wanneer je één van die laatste twee opties kiest, houdt er dan rekening mee dat deze gegevens gegarandeerd geindexeerd worden door beide bedrijven (zoals Facebook ook private messages indexeert, profileert en doorverkoopt).

Zonder een account aan te maken is de Fitbit slechts een hipster armbandje en kan de informatie niet ingelezen worden.  Ik heb zelf een account aangemaakt als Lorica en niet mijn eigen naam, mijn geboortedatum heb ik wat aangepast. Wellicht maar cosmetische ingrepen, zeker wat betreft de naam aangezien die snel genoeg via lorica.be te achterhalen is. Hoe dan ook, mijn naam en mijn geboortedatum staan niet in de Fitbit database, for what it’s worth.

Tot slot gebruikte ik ook een wachtwoord dat ik specifiek gebruik voor accounts die mij weinig interesseren, mocht de database ooit op straat komen te liggen zijn er geen belangrijke gegevens gecompromitteerd (niet slechts een theoretische mogelijkheid).

Fitbit-sharing-settings

Historisch heeft Fitbit geen al te sterke reputatie op privacy gebied. In 2011 kreeg het bedrijf kritiek te verduren omdat default instellingen allerlei getrackte info van de gebruikers deelde met het grote publiek. Dit hield onder meer sexuele activiteit in die via Google resultaten was terug te vinden. Au.

Wat dat betreft heeft men een paar lessen getrokken, toen ik mijn account settings doorliep bleken echter nog steeds een aantal gegevens default gedeeld te worden met “Friends” of “Anyone”, al zie ik sexuele activiteit niet terug komen. Ik kan mijn viriliteit dus niet aan de wereld tentoonspreiden. Ik heb hoe dan ook alles gelimiteerd tot mezelf qua weergave.

De Privacy Policy

Deze is online terug te vinden en vliegt er meteen in met de details rond logging.  Fitbit logt onder andere:

  • de IPs waarmee je inlogt,
  • het IP van je smartphone,
  • de gegevens van de personen met wie je informatie deelt,
  • locatie informatie van je smartphone (default aan!)
  • welke pagina’s je op de website/je dashboard bezoekt
  • en uiteraard alle andere data die je op je dashboard ziet

Waar men die gegevens voor gebruikt lijkt in eerste instantie mee te vallen (kortgezegd: de Fitbit services aanbieden) tot ik het kopje over doorgifte aan derden bereik. Doorgiftes vinden sowieso plaats aan partners die via je dashboard gekoppeld worden (bijvoorbeeld voedingsadviezen), dit zijn overigens wel keuzes van de gebruiker.

Daarna komt men op dreef, data mag gedeeld worden met bedrijven die diensten verlenen in het kader van:

  • informatieverwerking
  • order fullfilment
  • leveringen
  • klantenonderzoek en dergelijke (sic)
  • en dit op alle locaties waar Fitbit zaken doet
  • in geval van fusie, samenvoeging of reorganisatie of verkoop mag Fitbit ook alle data doorgeven

Kortom, houd er rekening mee dat alle data die bij Fitbit bekend is kan worden doorgegeven aan iedere partij die er voor wenst te betalen. Uiteraard staat nergens dat doorgiftes nog specifiek gemeld worden aan de gebruiker of dat je er voor kunt kiezen om hier geen toestemming voor te geven, iets wat specifiek wel moet volgens de Belgische Privacywet (art. 9).

Ik had overigens even de hoop dat er aangepaste privacy policies mogelijk waren als je op de site de setting “Country” aanpastte, dat leidde er echter enkel toe dat de site vertaald werd. De privacy policy zelf blijft identiek en is zelfs niet vertaald. Met uitzondering van de links naar contactformulieren, dat dan weer wel.

Conclusie

De Fitbit Flex is een leuk tooltje, ik denk dat ik in de praktijk echter weinig gebruik ga maken van alle tracking functionaliteiten en voornamelijk plezier zal hebben van de trilalarm functie.  Aangezien ik graag vroeg aan de slag ga een nuttige feature die ook nog eens verrassend effectief is.

Naar privacy toe is de conclusie, voor mij in ieder geval, weinig verrassend: je persoonsgegevens zijn vogelvrij. Ik wil niet overdreven cynisch doen, maar van een Amerikaans bedrijf had ik niet anders verwacht. Niet iedereen hoeft daar net zoveel moeite mee te hebben als ik, maar ik ben toch blij dat ik er niet mijn volledige naam en geboortedatum meteen bij heb gezet. Dat er ergens in diverse databases staat dat “Lorica” om 06.00 opstaat, 3000 calorien per dag wil verbranden en vele kilometers per dag loopt kan ik mee leven.