Jouw menstruatiedata verdwijnt stiekem naar derden en 57% van de gebruikers weet dat niet
Amsterdam, donderdag, 28 mei 2026.
Cyclusapp Flo deelt intieme gezondheidsdata van 200.000 Nederlandse gebruikers zonder dat die het doorhebben. Bits of Freedom klaagt de app vandaag aan.
Amsterdam, 28 mei 2026: Bits of Freedom trekt aan de bel
Vandaag, op Wereld Menstruatiedag, dient Amsterdamse privacyorganisatie Bits of Freedom een officiële AVG-klacht in bij de Autoriteit Persoonsgegevens tegen cyclusapp Flo [1][2]. De app heeft in Nederland ruim 200.000 gebruikers [1]. Die voeren dagelijks uiterst gevoelige gegevens in: van menstruatiecycli tot miskramen en medische symptomen [2]. Het probleem? Maar liefst 57% van die gebruikers weet niet dat hun data met derden wordt gedeeld [1]. Dat is geen klein misverstand. Dat is een privacylek in je digitale onderbroek.
Drie overtredingen, één app
Bits of Freedom baseert de klacht op drie concrete AVG-overtredingen [2]. Flo informeert gebruikers onvoldoende over wat er met hun data gebeurt. De app vraagt niet op de juiste manier of niet tijdig om toestemming. En Flo verwerkt meer persoonsgegevens dan strikt noodzakelijk is [2]. Dat laatste heet in juridisch jargon een schending van dataminimalisatie — een principe dat sinds de invoering van de AVG in 2018 gewoon verplicht is [3]. Privacyjurist Nadia Benaissa van Bits of Freedom legt uit hoe het verdienmodel werkt: ‘Er wordt regelmatig aan die data verdiend, door die met anderen te delen, of er zelf allerlei analyses op los te laten’ [3]. Flo is geen onbekende op dit gebied: het bedrijf heeft een internationale geschiedenis van privacyschendingen [2]. Ondertussen gebruikt bijna een kwart van alle Nederlandse vrouwen een cyclusapp — in totaal gaat het om 1,3 miljoen gebruikers in Nederland [2].
Wat kun jij er nu aan doen?
Bits of Freedom vraagt het publiek de klacht mee te ondertekenen, om zo de druk op Flo en haar investeerders te vergroten [2]. Wie liever meteen overschakelt, krijgt ook concrete alternatieven aangereikt: Drip en Euki slaan data lokaal op je telefoon op en sturen niets door naar derden [2]. De bredere context maakt dit extra urgent. In de eerste drie maanden van 2026 registreerde het Centraal Meldpunt Identiteitsfraude al 3.607 meldingen van identiteitsfraude [3]. Ter vergelijking: heel 2025 telde 8.841 meldingen [3]. Dat betekent dat het tempo in 2026 fors hoger ligt: 14428 meldingen op jaarbasis als het huidige tempo aanhoudt. De Autoriteit Persoonsgegevens handhaaft de AVG, maar staat bekend om een voorzichtige aanpak. Benaissa omschrijft dat diplomatiek: ‘De AP begint vaak met we gaan eens koffiedrinken of we gaan eens vragen stellen’ [3]. Of die koffie ditmaal sterk genoeg is, moet blijken.