Moveno
Digitaal slot met Europa-kaart en cloudservers die privacy van voedingsdata in een calorie app symboliseren
Product Updates

Privacy en je calorie app: waarom het uitmaakt waar jouw data staat

Gepubliceerd op Bijgewerkt op 8 min leestijd

Je downloadt een calorie app. Je begint je voeding bij te houden. Je neemt foto's van je eten. Je logt in met je e-mailadres.

En dan? Jouw voedingsgegevens gaan ergens heen. Naar een server. Ergens op de wereld. Waar precies? Daar sta je waarschijnlijk niet bij stil. Maar het maakt wel degelijk uit. Want waar je data staat, bepaalt wie er toegang toe heeft en welke privacywetten van toepassing zijn.

Waarom zijn voedingsgegevens gevoelige data?

Voedingsgegevens lijken op het eerste gezicht onschuldig. Koolhydraten, eiwitten, calorieën. Maar samen vertellen ze een verhaal. Over je eetpatroon. Over je gezondheid. Over mogelijke aandoeningen of dieetbeperkingen.

Binnen de Europese Unie valt dit type informatie onder gezondheidsgegevens. De AVG (Algemene Verordening Gegevensbescherming, internationaal bekend als GDPR) classificeert gezondheidsdata als een bijzondere categorie persoonsgegevens onder Artikel 9 [1]. Dat betekent: extra bescherming, strengere regels voor verwerking en hogere boetes bij overtredingen.

Maar die bescherming geldt alleen als je data op Europese servers staat.

Wat is de AVG (GDPR) en wat betekent het voor jou?

De AVG is Europese wetgeving die sinds 2018 van kracht is. De kern: jouw gegevens zijn van jou, niet van het bedrijf dat ze verzamelt.

Concreet heb je de volgende rechten:

  • Recht op inzage. Je mag opvragen welke gegevens een bedrijf over je heeft.
  • Recht op verwijdering. Je kunt je account laten verwijderen inclusief al je data.
  • Recht op dataportabiliteit. Je mag je gegevens opvragen in een overdraagbaar formaat.
  • Toestemming vereist. Bedrijven mogen je data niet verkopen zonder je uitdrukkelijke toestemming.
  • Meldplicht bij datalekken. Bij een datalek moet het bedrijf je binnen 72 uur informeren.

Dit klinkt vanzelfsprekend. Maar deze rechten gelden alleen volledig onder Europese wetgeving. Als je voedingsgegevens op Amerikaanse servers staan, gelden andere regels.

Waar slaan populaire calorie apps jouw data op?

Niet elke calorie app verwerkt je gegevens op dezelfde plek. Dit overzicht toont waar de grootste apps je data opslaan en welke privacywetgeving van toepassing is.

AppServerlocatiePrivacywetgevingEigenaar
MyFitnessPalVerenigde StatenAmerikaanse wetgevingFrancisco Partners (VS)
CalAIVerenigde StatenAmerikaanse wetgevingCal AI Inc. (VS)
YAZIODuitsland (EU)AVG/GDPRYAZIO GmbH (Duitsland)
Mijn EetmeterNederland (EU)AVG/GDPRVoedingscentrum (NL)
MovenoFrankfurt, Duitsland (EU)AVG/GDPRMoveno (NL)

Het verschil is duidelijk: apps met servers in de EU vallen onder de AVG. Apps met servers in de VS vallen onder Amerikaanse wetgeving, die op het gebied van privacy minder vergaande bescherming biedt.

Wat zijn de risico's van dataopslag buiten de EU?

Als je voedingsgegevens op Amerikaanse servers staan, zijn er twee belangrijke risico's.

1. Overheidstoegang zonder jouw medeweten

Onder FISA Section 702 kunnen Amerikaanse inlichtingendiensten gegevens opvragen bij Amerikaanse techbedrijven, zonder dat het bedrijf verplicht is jou daarover te informeren [3]. Dit programma richt zich op communicatie van niet-Amerikanen buiten de VS, maar raakt in de praktijk ook gegevens van EU-burgers die bij Amerikaanse diensten zijn opgeslagen.

Is dit waarschijnlijk voor jouw voedingsdata? Nee. Maar het is juridisch mogelijk. Onder de AVG zou dit niet zomaar kunnen.

2. Wijzigingen bij eigenaarswissels

Bedrijven veranderen van eigenaar. Beleid verandert mee. MyFitnessPal is hiervan een sprekend voorbeeld.

De geschiedenis van MyFitnessPal:

  • 2015. Under Armour koopt MyFitnessPal voor 475 miljoen dollar.
  • 2018. Een datalek treft 150 miljoen gebruikersaccounts. Gebruikersnamen, e-mailadressen en gehashte wachtwoorden worden gestolen [4]. In 2019 duiken deze gegevens op voor verkoop op het dark web.
  • 2020. Under Armour verkoopt MyFitnessPal aan Francisco Partners, een Amerikaans investeringsfonds, voor 345 miljoen dollar [5].

Drie eigenaren in vijf jaar. Elke eigenaarswisseling betekent een nieuw privacybeleid en nieuwe keuzes over hoe jouw data wordt behandeld.

Bestaat er geen afspraak tussen de EU en de VS over data?

Ja. In juli 2023 heeft de Europese Commissie het EU-VS Data Privacy Framework (DPF) goedgekeurd [6]. Dit raamwerk stelt dat Amerikaanse bedrijven die zich certificeren een "adequaat" niveau van gegevensbescherming bieden.

Maar er zijn belangrijke kanttekeningen:

  • Vrijwillige certificering. Bedrijven moeten zich actief aanmelden. Niet elk Amerikaans bedrijf is gecertificeerd.
  • Juridische onzekerheid. De twee voorgangers van dit raamwerk (Safe Harbor en Privacy Shield) werden beide door het Europees Hof van Justitie ongeldig verklaard. Privacy-organisaties hebben ook tegen het huidige raamwerk bezwaar aangetekend.
  • Beperkte reikwijdte. Het raamwerk legt beperkingen op aan Amerikaanse inlichtingendiensten, maar heft FISA Section 702 niet op.

Het raamwerk is een stap in de goede richting. Maar het biedt niet hetzelfde niveau van bescherming als wanneer je data gewoon in de EU blijft.

Wat kun je zelf controleren?

Voordat je een calorie app gaat gebruiken, zijn er drie vragen die je jezelf kunt stellen:

1. Waar staan de servers?

Controleer het privacybeleid van de app. Zoek naar termen als "data processing location", "server location" of "gegevensverwerking". Europese servers betekenen AVG-bescherming.

2. Wie is de eigenaar?

Een Europees bedrijf is gebonden aan de AVG. Een Amerikaans bedrijf valt onder Amerikaanse wetgeving, tenzij het zich vrijwillig heeft gecertificeerd onder het EU-VS Data Privacy Framework.

3. Wat gebeurt er als je je account verwijdert?

Onder de AVG moet een bedrijf je data volledig wissen als je dat vraagt. Niet alle apps buiten de EU bieden die garantie.

Hoe gaat Moveno om met je privacy?

Bij Moveno slaan we je voedingsgegevens op in Frankfurt, Duitsland. Dat is een bewuste keuze. Je data valt daarmee volledig onder de AVG.

Concreet betekent dit:

  • Europese servers. Je gegevens verlaten de EU niet.
  • Geen verkoop van data. We verkopen je voedingsgegevens niet aan derden.
  • Recht op inzage en verwijdering. Je kunt altijd opvragen welke data we hebben en alles laten wissen.
  • Transparant privacybeleid. We communiceren helder over hoe je data wordt verwerkt.

Dit maakt ons niet uniek in Europa. YAZIO en Mijn Eetmeter bieden vergelijkbare bescherming. Maar het onderscheidt ons wel van de meeste AI-gestuurde calorie apps die op Amerikaanse servers draaien.

Veelgestelde vragen

Valt voedingsdata echt onder de AVG als gezondheidsgegevens?

Ja. De AVG classificeert gegevens over iemands gezondheid, waaronder voedingspatronen en dieetinformatie, als bijzondere persoonsgegevens onder Artikel 9 [1]. Dit betekent dat bedrijven extra voorzorgsmaatregelen moeten nemen bij het verwerken van deze data.

Is MyFitnessPal veilig om te gebruiken?

MyFitnessPal is een functionele app met een grote voedingsdatabase. Maar je gegevens staan op Amerikaanse servers en het bedrijf heeft in 2018 een groot datalek gehad dat 150 miljoen accounts trof [4]. Of je daar comfortabel mee bent, is een persoonlijke afweging.

Wat is het EU-VS Data Privacy Framework?

Het is een overeenkomst uit 2023 tussen de EU en de VS die regels stelt voor de overdracht van persoonsgegevens naar gecertificeerde Amerikaanse bedrijven [6]. Het biedt meer bescherming dan voorheen, maar is juridisch nog niet zo robuust als directe AVG-bescherming binnen de EU.

Kan ik mijn data laten verwijderen bij een calorie app?

Onder de AVG heb je het recht om al je gegevens te laten wissen (het "recht op vergetelheid"). Dit geldt voor bedrijven die onder de AVG vallen, zoals apps met Europese servers. Bij Amerikaanse apps hangt het af van hun privacybeleid en de staat waar ze gevestigd zijn.

Waarom slaat Moveno data op in Duitsland en niet in Nederland?

Frankfurt is een van de grootste datacenterhubs van Europa. Het biedt uitstekende infrastructuur, redundantie en connectiviteit. Duitsland heeft bovendien een van de strengste interpretaties van de AVG in de EU, via de Bundesdatenschutzgesetz (BDSG).

Samenvatting

Je voedingsgegevens zijn van jou. Waar ze worden opgeslagen, bepaalt welke wetten je beschermen. Europese servers betekenen AVG-bescherming met sterke rechten op inzage, verwijdering en transparantie. Amerikaanse servers betekenen minder vergaande wettelijke waarborgen.

Dit is geen reden voor paniek. Wel een reden om bewust te kiezen. Wanneer je je volgende calorie app kiest, stel jezelf dan de vraag: waar staan mijn gegevens? In onze gids over voeding apps vergelijken we de belangrijkste apps op functies, nauwkeurigheid en privacy.

Wil je een calorie app die je voedingsdata in Europa houdt? Bij Moveno slaan we alles op in Frankfurt, volledig onder de AVG. Meld je aan voor de wachtlijst en krijg als eerste toegang.

Bronnen

  1. Europese Unie. Verordening (EU) 2016/679, Artikel 9 -- Verwerking van bijzondere categorieën van persoonsgegevens. AVG Artikel 9
  2. Europese Commissie. Algemene Verordening Gegevensbescherming (AVG) -- Rechten van betrokkenen. Europese Commissie GDPR
  3. U.S. Department of Justice. Foreign Intelligence Surveillance Act. FISA
  4. Engadget (2018). Under Armour data breach affects 150 million MyFitnessPal users. Engadget
  5. PR Newswire (2020). Under Armour Completes Sale Of The MyFitnessPal Platform To Francisco Partners. PR Newswire
  6. Europese Commissie (2023). Adequacy decision for safe and trusted EU-US data flows. Europese Commissie DPF

Deel dit artikel

Gerelateerde artikelen