Privacyvriendelijke menstruatie-app na Roe: waar je in 2026 op moet letten
Waar moet ik op letten bij een menstruatie-app in de VS na de Dobbs-uitspraak?
Let op envelope-encryptie in rust, een recht op verwijdering dat de encryptiesleutel binnen 24 uur vernietigt, geen medische claims, geen menstruatie-inhoud in pushmeldingen, jurisdictiebewuste teksten en een optie voor anonieme modus. Dit zijn productcriteria, geen juridisch advies.
- AES-256-GCM envelope-encryptie met sleutels per gebruiker
- Recht op vergetelheid vernietigt de encryptiesleutel, niet alleen de rij
- Geen medische of gezinsplanningsclaims, geen "RODE dag"-teksten
- Jurisdictiebewuste teksten voor Amerikaanse gebruikers (geen menstruatiespecifieke vergrendelschermteksten)
Privacyvriendelijke menstruatie-app na de Roe-uitspraak
Vóór 2022, lazen de meeste Amerikaanse gebruikers het privacybeleid van hun cyclus-app niet. Na de Dobbs-uitspraak deden velen dat wél, vaak voor het eerst. De vraag was opeens niet meer abstract: wat slaat deze app eigenlijk op, en wat zou er met die gegevens kunnen gebeuren?
Dit is een productgids, geen juridisch advies. Het is een overzicht van waar je op let als je een menstruatie-app onder de loep neemt. Het beschrijft niet wat wel of niet beschermd is tegen een specifieke juridische procedure. Heb je juridische zorgen? Praat dan met een advocaat die bevoegd is in jouw woonplaats.
Met dat kader op zak: dit is waar je op moet letten.
In het kort
- Na de 2022 Dobbs-uitspraak begonnen gebruikers in de VS voor het eerst het privacybeleid van cyclustrackers te lezen.
- Deze gids somt zeven productcriteria op om elke menstruatietracker te beoordelen: AES-256-GCM envelope-encryptie met sleutels per gebruiker, recht op verwijdering dat de encryptiesleutel binnen 24 uur vernietigt, geen medische claims of claims over gezinsplanning, geen menstruatie-inhoud in pushmeldingen, teksten die rekening houden met je rechtsgebied (gebruikers in de VS zien "lichaamsdag" in plaats van "menstruatie"), een optie voor een anonieme modus, en uitdrukkelijke toestemming volgens artikel 9 van de AVG.
- Het artikel is er duidelijk over dat het om productcriteria gaat, niet om juridisch advies - het beschrijft niet wat wel of niet beschermd is tegen een specifieke juridische procedure.
Wat veranderde in de framing, niet in de wiskunde
De cryptografische en softwarepraktijken hieronder bestaan al jaren. Wat na Dobbs veranderde, is de zichtbaarheid. Praktijken die vroeger details achter in de specificatie waren, zijn nu beloften voor in de app. Apps die privacy serieus nemen, praten er open over; apps die dat niet doen, vaak niet.
De zeven criteria in deze gids zijn wat een privacygerichte tracker bereid zou moeten zijn om in gewone mensentaal te benoemen.
Zeven criteria die het controleren waard zijn
Een praktische checklist voordat je een cyclustracker installeert. De strengste apps halen alle zeven.
- AES-256-GCM envelope-encryptie. Elke gebruiker heeft een unieke data encryption key (DEK), verpakt in een masterkey binnen een key-managementservice. Data op de schijf is versleutelde tekst; bij een serverlek lekt versleutelde tekst, geen leesbare cyclusgegevens.
- Het recht op vergetelheid vernietigt de sleutel. Wanneer je je account verwijdert, vernietigt de aanbieder de DEK, niet alleen de databaseregel. Zonder de sleutel is de onderliggende versleutelde tekst voorgoed onleesbaar, ook in elke back-up die hem bevatte.
- Verwijdertermijn van 24 uur. De aanbieder legt schriftelijk vast dat hij de verwijdering binnen 24 uur na je verzoek voltooit, inclusief de vector-embeddings die AI-functies gebruiken.
- Geen medische claims. Geen voorspellingen voor gezinsplanning, geen enkele klinische claim, geen "RED day"-teksten. Een consumententracker die buiten elk medisch kader blijft, heeft een veel kleiner risico op regelgeving en openbaarmaking.
- Geen menstruatie-inhoud in pushmeldingen. Pushtitels en -teksten bevatten nooit inhoud over je cyclus, menstruatie of gezinsplanning. De preview op je vergrendelscherm is veilig.
- Teksten die rekening houden met je rechtsgebied. Amerikaanse gebruikers zien standaard neutrale termen ("body day", "log this"); de app gaat er niet vanuit dat je het woord "period" in beeld wilt.
- Expliciete, apart vastgelegde toestemming. GDPR-artikel 9 doet dit al jaren; na Dobbs vroegen ook Amerikaanse gebruikers hierom. Gebundelde of impliciete toestemming volstaat niet.
Waarom de details over versleuteling écht uitmaken
Een paar van de criteria hierboven klinken technisch. Ze doen ertoe omdat ze bepalen wat er terug te halen valt.
Als een aanbieder cyclusgegevens in platte tekst opslaat, kan elke back-up, elke replica en elke analysepijplijn ze lezen. Een verwijderverzoek kan de regel wissen, maar de gegevens kunnen nog maanden of jaren in back-ups blijven bestaan.
Als de aanbieder envelopversleuteling met sleutels per gebruiker gebruikt, zijn de gegevens op schijf onleesbaar zonder de DEK van de gebruiker. Wordt die DEK bij het verwijderen vernietigd, dan is ook de overgebleven cijfertekst in back-ups onleesbaar, zelfs als een back-up wordt teruggezet. De verwijdering is wiskundig echt, niet alleen zichtbaar in de interface.
Dit is niet "onhackbaar". Cryptografie heeft grenzen, en elke aanbieder die absolute veiligheid belooft, is óf verkeerd geïnformeerd óf liegt. Wat sterke versleuteling met goed sleutelbeheer wél doet, is een helder faalscenario vastleggen: de gegevens zijn onleesbaar zolang de sleutels beschermd zijn, en voorgoed onleesbaar zodra de sleutels vernietigd zijn.
Wat "geen menstruatie-inhoud in pushberichten" echt betekent
Het voorbeeld op je vergrendelscherm is een stille lekplek. Apps die "Je menstruatie begint morgen" als pushbericht versturen, hebben je cyclusgegevens prijsgegeven aan iedereen die even op je telefoon kijkt.
Een serieuze tracker bewaakt de afwezigheid van menstruatie-inhoud in pushmeldingen via CI. De build-pijplijn van Soulwise scant de titel- en bodyteksten van pushberichten tegen een lijst met verboden woorden; elke build met menstruatie- of gezinsplanning-inhoud in een pushbericht valt uit voordat hij wordt uitgebracht. Jij krijgt dagelijkse ritueeltips die dingen zeggen als "Zachte start. Wat staat er vandaag op je bordje?" - geen cyclusfase, geen verwijzing naar je menstruatie, geen medische insteek.
Alleen lokaal versus versleutelde cloud: kies je afweging
Twee legitieme architecturen, verschillende dreigingsmodellen.
Trackers die alleen lokaal werken (Drip, Euki). Je data staat op je apparaat. Er is geen kopie in de cloud die gedagvaard kan worden, maar ook geen synchronisatie tussen apparaten en beperkte AI-functies. De back-up is jouw probleem; net als diefstal van je apparaat en back-ups van het besturingssysteem (die op OS-niveau wel of niet versleuteld kunnen zijn).
Versleutelde cloudtrackers (Soulwise, Clue, en andere). Data synchroniseert tussen apparaten en voedt de AI-functies. Privacy hangt af van hoe de aanbieder versleutelt en data wist. Het dreigingsmodel gaat uit van een competente aanbieder en een sterke aanpak van sleutelbeheer.
Geen van beide is universeel "veiliger". Het juiste antwoord hangt af van waar jij je zorgen om maakt. Alleen lokaal is de lastigere keuze qua gebruikservaring en de eenvoudigere keuze qua dataoppervlak. Bij de versleutelde cloud is het precies andersom.
Wat we bewust niet beloven
Dit is een lijst van zaken waar je in elke marketingtekst argwanend over zou moeten zijn:
- "Onhackbaar." Geen enkel systeem is onhackbaar. Wie dit beweert, probeert je iets te verkopen.
- "Je gegevens zijn veilig voor opsporingsdiensten." Dit is een juridische claim, geen technische. De technische claim luidt: "je gegevens zijn versleuteld in rust en de sleutel wordt bij verwijdering vernietigd." De juridische gevolgen van een specifiek proces kan alleen een advocaat beoordelen.
- "100% veilig." Zie hierboven. Veiligheid is een eigenschap van dreigingsmodellen, geen absoluut gegeven.
- "Gegarandeerde privacy." Privacy is een praktijk, geen garantie.
De privacytoezeggingen van Soulwise zijn concreet en toetsbaar. AES-256-GCM in rust. Per gebruiker een DEK, omhuld door een KMS-hoofdsleutel. Verwijdering binnen 24 uur, inclusief vector-embeddings. Geen menstruatie-inhoud in pushmeldingen. Uitdrukkelijke toestemming volgens AVG-artikel 9. De Soulwise-privacypagina somt elk punt op met verwijzing naar de onderliggende specificatie.
Waarom dit verder gaat dan het ergste scenario
Sinds Dobbs denken mensen bij privacy van cyclus-apps vooral aan extreme situaties. Maar dezelfde criteria tellen ook in veel alledaagsere gevallen: een telefoon die je deelt met een huisgenoot, een gewelddadige partner die het toestel leent, een nieuwsgierige werkgever die een melding ziet, een back-up die in een gedeeld iCloud-account van de familie belandt.
Sterke privacy als standaard is niet alleen voor het ergste scenario. Het is voor elke dag.
Korter samengevat: de juiste tracker is die waarvan de privacybeloften concreet zijn, toetsbaar en in begrijpelijke taal opgeschreven. Leg elke app de zeven criteria hierboven voor. Kan een aanbieder daar niet helder op antwoorden, dan is dat het antwoord. Voor een directe vergelijking met de populairste gevestigde naam, lees je de privacygerichte gids over alternatieven voor Flo; voor de inclusieve standaarden die uit diezelfde principes volgen, zie Cyclustracker voor non-binaire gebruikers.
Veelgestelde vragen
Is dit artikel juridisch advies?
Nee. Dit zijn productcriteria om consumenten-apps te beoordelen. Heb je specifieke juridische zorgen over cyclusgegevens, raadpleeg dan een advocaat die in jouw rechtsgebied bevoegd is. Niets in dit artikel beschrijft wat wel of niet beschermd is tegen een specifiek juridisch proces.
Waarom veranderde de kijk op privacy na Dobbs?
De 2022 Dobbs-uitspraak verschoof de regulering van abortus terug naar de afzonderlijke Amerikaanse staten, waarvan er nu meerdere abortus in sommige gevallen beperken of strafbaar stellen. Dat veranderde hoe mensen denken over elk digitaal spoor van menstruatie- of zwangerschapsgegevens, en maakte de privacy van cyclus-trackers voor veel gebruikers voor het eerst een bewust aankoopcriterium.
Wat is "envelope-encryptie" en waarom is het belangrijk?
Bij envelope-encryptie wordt de gegevensversleutelingssleutel (DEK) van elke gebruiker verpakt in een hoofdsleutel die door een sleutelbeheerdienst wordt bewaard. De gegevens van de gebruiker op schijf worden versleuteld met hun DEK; bij een serverlek komt versleutelde tekst naar buiten, geen leesbare cyclusgegevens. Door de DEK bij verwijdering te vernietigen, wordt de versleutelde tekst permanent onleesbaar.
Zijn lokale trackers veiliger dan versleutelde cloud-trackers?
Andere afwegingen. Lokale trackers (Drip, Euki) bewaren gegevens op je apparaat, wat blootstelling via de cloud beperkt maar het apparaat zelf niet beschermt. Versleutelde cloud-trackers (Soulwise) maken synchronisatie en AI-functies mogelijk, maar daarvoor moet je de encryptie- en verwijderingspraktijken van de aanbieder vertrouwen. Geen van beide is per definitie "veiliger" - de vraag is welke dreiging je het meest zorgen baart.
Veelgestelde vragen
Probeer onze gratis tools
Ontvang persoonlijke inzichten op basis van je geboortehoroscoop
Deel dit artikel
Bereken Je Geboortehoroscoop
Ontvang een complete, persoonlijke astrologische analyse gebaseerd op uw geboortedetails.