Whoop verzamelt een buitengewone hoeveelheid biometrische en persoonlijke gegevens – hartslag, hartslagvariabiliteit, slaappatronen, zuurstofgehalte in het bloed, huidtemperatuur, gegevens over de reproductieve gezondheid, GPS-locatie en meer – terwijl het opereert in een regelgevingsgat dat gebruikers veel minder bescherming biedt dan ze waarschijnlijk verwachten.
Ondanks de belofte van het bedrijf dat het "nooit persoonlijke gegevens verkoopt", beweert een collectieve rechtszaak uit 2025 dat Whoop in het geheim gevoelige gezondheidsinformatie heeft gedeeld met een externe tracker.Milberg, ClassAction.org), en een collegiaal onderzoek plaatste Whoop in de hoogste categorie. privacy-risicocluster onder 17 toonaangevende fabrikanten van wearables (NatuurDe kloof tussen de marketingtaal van Whoop en de daadwerkelijke voorwaarden van het privacybeleid verdient nauwkeurige aandacht van de ongeveer een miljoen gebruikers die het apparaat dagelijks dragen.
Wat Whoop weet over jouw lichaam en jouw leven.
De gegevensverzameling van Whoop behoort tot de meest uitgebreide in de wereld van wearables voor consumenten. Het privacybeleid (laatst bijgewerkt op 9 oktober 2025) somt een uitgebreide lijst met gegevenscategorieën op. De biometrische en wellnessgegevens omvatten onder andere de hartslag in rust, hartslagvariabiliteit, ademhalingsfrequentie, huidtemperatuur, zuurstofsaturatie in het bloed, acceleratie, trainingsmetadata, slaapfasen, inspanningsscores en herstelgegevens.Mozilla Foundation).
Gebruikers die gebruikmaken van de nieuwere functies van Whoop krijgen er nog meer bij: de Advanced Labs-service (gelanceerd in september 2025 via Quest Diagnostics) (Sacra) verzamelt biomarkers, laboratoriummonsters, laboratoriumresultaten en klinische aantekeningen. Het bijhouden van de gezondheid van vrouwen registreert menstruatie- en voortplantingsgegevens (WHOOPDe WHOOP Coach AI-functie bewaart de volledige gespreksgeschiedenis.
Naast fysiologische gegevens verzamelt Whoop persoonlijke identificatiegegevens (naam, e-mailadres, telefoonnummer, postadres, foto's), betalings- en transactiegegevens, apparaatinformatie (type besturingssysteem, IP-adres, schermresolutie, provider) en gedetailleerde logboeken van online activiteiten — bekeken pagina's, bestede tijd, navigatiepaden en toegangsduur (WHOOP). Misschien wel het meest opvallend, Whoop verzamelt nauwkeurige GPS-geolocatiegegevens. wanneer gebruikers toestemming geven voor bepaalde soorten oefeningen, samen met een algemene locatie die is afgeleid van IP-adressen.
De gegevens zijn afkomstig uit meerdere bronnen: de polsband zelf, de mobiele app, de WHOOP Coach AI, cookies en trackingtechnologieën, externe laboratoriumpartners en zelfs externe bronnen zoals werkgevers, verzekeringsmaatschappijen, coaches, marketingpartners en gegevenslicentiehouders. Deze brede aanpak zorgt ervoor dat Whoop een opmerkelijk compleet profiel opbouwt dat fysiologie, gedrag, locatie en digitale activiteit omvat.
De bewering "wij verkopen uw gegevens nooit" en de kleine lettertjes daarin.
De privacyprincipes van Whoop stellen ondubbelzinnig: "Wij verkopen nooit de persoonlijke gegevens van onze leden. Dit is onze belofte." Het officiële privacybeleid bevestigt dit en merkt op dat "in de twaalf maanden voorafgaand aan de datum van dit privacybeleid WHOOP geen persoonsgegevens heeft verkocht".WHOOPHet bedrijf verklaart tevens dat het geen gezondheidsgegevens van consumenten gebruikt voor marketingdoeleinden.
De werkelijkheid is echter genuanceerder. Whoop erkent het gebruik van... cookies van derden en technologieën voor het volgen van advertenties Voor op interesses gebaseerde advertenties erkent het bedrijf dat "vanwege de brede definitie van 'verkoop' in de CCPA, we duidelijk willen maken dat we cookies van derden en andere trackingtechnologieën gebruiken." Dit betekent dat browsegedrag en gebruiksgegevens via geautomatiseerde technologieën naar advertentiepartners worden doorgestuurd – een praktijk die technisch gezien als "delen" kan worden beschouwd volgens de Californische wetgeving, zelfs als Whoop het woord "verkoop" vermijdt.“
Het belangrijkste hiaat betreft geanonimiseerde en geaggregeerde gegevens. Het beleid van Whoop staat het delen van "geaggregeerde of geanonimiseerde informatie" met "“elke derde partij, waaronder adverteerders, promotiepartners en sponsors.”"Privacyonderzoekers waarschuwen er steevast voor dat het mogelijk is om dergelijke datasets te de-anonimiseren, vooral wanneer de onderliggende gegevens het soort gedetailleerde fysiologische patronen bevatten dat Whoop verzamelt."Mozilla Foundation).
Een analyse uit 2025 in het tijdschrift van de International Association of Privacy Professionals (IAPP) merkte op dat "ondanks beweringen over anonimisering, sensorgegevens vaak unieke en hardnekkige vingerafdrukken bevatten die echte anonimisering moeilijk, zo niet onmogelijk maken" (IAPP).
Fitness tech reviewer Ray Maker (DCRainmaker) confronteerde de CEO van Whoop in 2020 publiekelijk met dit hiaat en schreef: "Nee, jullie verkopen wel degelijk de gegevens van jullie gebruikers. Sterker nog, in jullie privacybeleid staat niet alleen expliciet dat jullie dat doen, maar er wordt zelfs precies beschreven wat er de afgelopen 12 maanden is verkocht."XToen er verder op werd aangedrongen, zei Maker dat de verduidelijking van Whoop neerkwam op: "ze zeiden eigenlijk dat ze het gewoon gratis weggeven" (X).
Wie krijgt toegang tot jouw Whoop-gegevens?
Het ecosysteem voor gegevensdeling van Whoop omvat een verrassend breed scala aan entiteiten. Tot de dienstverleners behoren betalingsverwerkers, hostingproviders, analysebedrijven, beveiligingsconsultants en de externe LLM-partner die WHOOP Coach mogelijk maakt. Advertentiepartners verzamelen gegevens via cookies die zijn ingebed in de platforms van Whoop.Mozilla Foundation). Externe laboratoriumpartners — specifiek Quest Diagnostics en SteadyMD — ontvang gegevens wanneer gebruikers deelnemen aan geavanceerde labs.
Professionele adviseurs zoals advocaten, accountants, bankiers en verzekeraars ontvangen ook gegevens "indien nodig in het kader van hun professionele dienstverlening". Rechtshandhavingsinstanties en overheidsinstanties kunnen gegevens verkrijgen wanneer Whoop "te goeder trouw" meent dat dit "noodzakelijk of gepast is om te voldoen aan de wet of een juridische procedure". Mozilla's Privacy niet inbegrepen Uit een evaluatie bleek dat deze formulering minder sterk was dan de gangbare praktijken in de sector, en werd opgemerkt dat er geen vereiste was voor een dagvaarding of een toezegging om alleen de minimaal noodzakelijke gegevens te delen.Mozilla Foundation).
Bedrijfswelzijnsprogramma's vormen een ander kanaal voor het delen van gegevens. In het beleid van Whoop staat dat het "uw informatie kan delen" met werkgevers of organisaties, mits u daarvoor toestemming geeft, meestal in de vorm van geaggregeerde gegevens. Mozilla schetste een verontrustend scenario: "Het is niet vergezocht om te denken dat een werkgever u zou kunnen verplichten een van deze bandjes te dragen om u te controleren op COVID-symptomen. Maar ze gaan veel verder dan dat en kijken ook welke werknemers in het weekend alcohol drinken."“
Voor zijn AI-functies deelt Whoop geanonimiseerde gegevens met zijn LLM-partner (vermoedelijk OpenAI) onder een "Zero-Retention/Zero Training Policy", wat betekent dat de partner geen Whoop-gegevens mag opslaan of gebruiken voor training. De standaard bedrijfsoverdrachtsclausule staat toe dat alle gegevens worden overgedragen aan overnemende partijen bij fusies, overnames of faillissementen – een bijzonder relevante bepaling gezien de opmerkingen van CEO Will Ahmed in november 2025 over het overwegen van een beursgang "binnen twee jaar".Toegang tot beursintroducties (IPO's)).
De rechtszaak rond Segment Tracker en wat die aan het licht bracht.
De meest significante privacycontroverse ontstond in augustus 2025, toen Lomeli tegen Whoop, Inc. werd ingediend bij de rechtbank van het Noordelijk District van Californië (Topklasse-rechtszakenDe collectieve rechtszaak beweert dat Whoop een tracker van een derde partij genaamd [naam van de tracker] heeft ingebouwd. Segment (eigendom van Twilio, overgenomen voor $3,2 miljard in 2020) in zijn mobiele app, die gevoelige persoonlijke gegevens verzamelde en verstuurde zonder medeweten of toestemming van de gebruiker (Milberg).
De vermeende gegevens die via Segment werden gedeeld, omvatten volledige namen, e-mailadressen, lengtes, gewichten, geboortedata, geslachten, woonplaatsen, gebruikersnamen en details van mobiele apparaten (ClassAction.org), hartslaggegevens, zuurstofgehalte in het bloed, inzicht in de bloeddruk, stressniveaus, slaappatronen en titels van video's die in de app worden bekeken (NextpitDe rechtszaak betreft vorderingen op grond van de Wet ter bescherming van de privacy van video's (VPPA) — voor het delen van de kijkgeschiedenis van video's — en de Californische wet inzake de vertrouwelijkheid van medische informatie (CMIA) — voor het zonder toestemming openbaar maken van medische informatie (De5KRunner, BronpuntDe geëiste schadevergoeding bedraagt $2.500 per VPPA-schending en $1.000 per CMIA-schending, plus een punitieve schadevergoeding.
Dit is niet de enige actieve juridische procedure van Whoop. Er loopt nog een aparte collectieve rechtszaak., Sanderson versus Whoop (ingediend in oktober 2023), beweert schendingen van de Californische wetgeving inzake automatische verlenging door middel van misleidende inschrijvingspraktijken. Die zaak werd in maart 2025 als collectieve rechtszaak toegelaten.De5KRunner), wat betekent dat het proces doorgaat. Een derde rechtszaak, Rowe versus Whoop (ingediend in november 2025) richt zich op vermeende misleidende reclame voor “medische” bloeddrukmetingen (ClassAction.org) naar aanleiding van een waarschuwingsbrief van de FDA.
Beveiligingsmaatregelen en de afwezigheid van bekende inbreuken
Whoop slaat alle gegevens op in de Amazon Web Services (AWS) West-regio in de Verenigde Staten. De gegevens zijn versleuteld in rust met 256-bits versleuteling (AWS RDS- en S3-services) en versleuteld tijdens de overdracht (ArizonaDe Whoop-band communiceert via Bluetooth Low Energy 5.0 met behulp van beveiligingsprotocollen volgens specificaties 4.2 en hoger. Het bedrijf hanteert toegangscontroles met logboekregistratie: medewerkers hebben geen toegang tot persoonlijke gegevens zonder een legitieme zakelijke reden, en de logboeken voor gegevenstoegang worden actief gecontroleerd op afwijkingen.WHOOP).
Whoop heeft een formeel programma voor het melden van beveiligingslekken via HackerOne, met een deadline van 90 dagen.WHOOPHet bedrijf sluit overeenkomsten inzake gegevensbescherming af met externe leveranciers.
Er zijn geen publiekelijk bekende datalekken specifiek bij Whoop gemeld. vanaf februari 2026, hoewel beveiligingsexperts waarschuwen dat afhankelijkheden van derden kwetsbaarheden introduceren — de academische studie uit 2025 in NPJ Digitale Geneeskunde merkte op dat “98% organisaties een relatie hebben met ten minste één leverancier die een datalek heeft meegemaakt” (PubMed Centraal).
De algehele beveiliging lijkt redelijk volgens de industrienormen, hoewel de IAPP heeft gewezen op algemene kwetsbaarheden in wearables, waaronder "zwakke encryptie, onveilige Bluetooth-protocollen en beperkte mogelijkheden voor regelmatige beveiligingsupdates".IAPPDe fundamentele zorg betreft minder de technische beveiliging van Whoop en meer wat er met de verzamelde gegevens gebeurt – de beleidsrechten in plaats van de cryptografische bescherming.
Waarom HIPAA uw Whoop-gegevens niet beschermt
Whoop stelt expliciet in haar privacyverklaring voor consumentengezondheidsgegevens: “WHOOP is geen ‘gedekte entiteit’ of ‘zakelijke partner’ onder HIPAA. Dit betekent dat WHOOP niet onderworpen is aan de privacy- of beveiligingsregels van HIPAA.”WHOOPDit is juridisch correct. HIPAA is alleen van toepassing op zorgverleners die elektronische transacties uitvoeren, zorgverzekeraars en clearinghouses voor de gezondheidszorg. — niet aan bedrijven die consumententechnologie rechtstreeks aan gebruikers verkopen (Franklin County Law Library, Tech Policy Press).
De praktische consequentie is ingrijpend: dezelfde biometrische gegevens die onder strenge federale bescherming zouden vallen als ze door een dokterspraktijk zouden worden verzameld, genieten in feite geen enkele federale bescherming op het gebied van privacybescherming wanneer ze door Whoop worden verzameld. Zoals een analyse in het UC Law Science & Technology Journal concludeerde: "Uiteindelijk dekt HIPAA, op enkele kleine uitzonderingen na, geen wearables."Milberg, UclawsfSuzanne Bernstein van het Electronic Privacy Information Center (EPIC) heeft benadrukt dat gezondheidsgegevens van draagbare apparaten simpelweg "niet onder de HIPAA-regelgeving vallen".Overheidstechnologie).
Verschillende staatswetten vullen deze leemte gedeeltelijk op. De wet van Washington Mijn gezondheid, mijn gegevenswet (van kracht vanaf maart 2024) definieert "gezondheidsgegevens van consumenten" breed als omvattende fitness- en welzijnsgegevens, waarvoor geïnformeerde toestemming vereist is (Vereniging van advocaten in Californië, UpGuard) en het publiceren van een afzonderlijk privacybeleid voor consumentengezondheidsgegevens — wat Whoop nu aanbiedt (Procureur-generaal van de staat WashingtonDe Californische CCPA/CPRA classificeert biometrische gegevens als gevoelige persoonsgegevens. Het privacybeleid van Whoop is gericht op inwoners van meer dan 15 Amerikaanse staten met specifieke privacyrechten.
Een potentieel baanbrekende ontwikkeling deed zich voor in november 2025 toen senator Bill Cassidy het volgende introduceerde: Wet ter hervorming van de privacy van gezondheidsinformatie (HIPRA), wat de privacy-, beveiligings- en meldingsnormen van datalekken, vergelijkbaar met die van HIPAA, zou uitbreiden naar wearables, gezondheidsapps en wellnessplatforms (Binnen privacy, Athletech Nieuws, AlstonprivacyHet wetsvoorstel bevindt zich nog in een vroeg stadium bij de Senaatscommissie HELP, maar duidt op een groeiende aandacht van het parlement voor de lacune in de regelgeving.
Hoe Whoop zich verhoudt tot Apple Watch, Oura en Fitbit.
Een peer-reviewed studie uit 2025 in NPJ Digitale Geneeskunde evalueerde het privacybeleid van 17 fabrikanten van wearables aan de hand van een beoordelingsschema met 24 criteria (Natuur, PubMed Centraal). Whoop werd ingedeeld in de hoogste risicogroep (Cluster 3). naast Xiaomi, Huawei en Wyze, terwijl Appel en Google (Fitbit) werd op basis van schriftelijke beleidsanalyses ingedeeld in de clusters met het laagste risico (Nieuws van het Gezondheidsplatform).
Apple Watch Het vertegenwoordigt de gouden standaard op het gebied van privacy in wearables. De architectuur maximaliseert de verwerking op het apparaat zelf: gezondheidsgegevens worden volledig op de iPhone of Watch berekend en komen nooit in aanraking met de servers van Apple, tenzij de gebruiker expliciet kiest voor iCloud-synchronisatie met end-to-end-encryptie.9to5MacApple's HealthKit stelt strenge eisen: apps van derden die toegang hebben tot gezondheidsgegevens mogen deze niet gebruiken voor reclame of verkopen aan datahandelaren. Apple heeft geen op advertenties gebaseerd bedrijfsmodel om inkomsten te genereren met gezondheidsgegevens.
Oura voert lokaal op de ring en telefoon veel algoritmes uit ("edge inference"), weigert expliciet gevoelige gegevens zonder toestemming te delen en gebruikt geen gezondheidsgegevens voor reclame (Oura). Na Roe v. Wade, Oura heeft zich publiekelijk uitgesproken tegen verzoeken van wetshandhavingsinstanties om gegevens over reproductieve gezondheid (Belle) — een standpunt dat opvallend genoeg ontbreekt in het beleid van Whoop.
Fitbit (Google) schetst een complex beeld. Het schriftelijke beleid scoorde academisch goed (Natuur), maar het fundamentele bedrijfsmodel van Google als 's werelds grootste advertentiebedrijf creëert inherente spanning. De EU legde een Tien jaar lang is het gebruik van Fitbit-gezondheidsgegevens voor Google Ads verboden. als voorwaarde voor de overname in 2020 (Android Authority) — een wettelijke beperking, geen ontwerpfilosofie. Nieuwe Fitbit-gebruikers moeten nu een Google-account aanmaken, waardoor de data-integratie met een advertentie-ecosysteem verder wordt versterkt (Mozilla Foundation).
Het cruciale structurele verschil zit hem in het bedrijfsmodel. Apple verkoopt hardware. Oura verkoopt hardware plus abonnementen. Whoop verkoopt abonnementen.MilbergGoogle verkoopt advertenties. Alleen Whoop en Google hebben aanzienlijke economische prikkels om naast de directe dienstverlening ook andere waarde uit gebruikersgegevens te halen, hoewel het abonnementsmodel van Whoop wellicht beter aansluit bij de interesses van gebruikers dan het advertentiemodel van Google. Het doorslaggevende voordeel van Apple is architectonisch van aard: Gezondheidsgegevens die op een apparaat worden verwerkt, kunnen niet worden gedeeld, opgevraagd via een gerechtelijk bevel of gelekt vanaf een server die deze gegevens nooit heeft opgeslagen.
Gebruikerscontrole: exporteren, verwijderen en de gegevens die achterblijven.
Whoop biedt verschillende mechanismen voor gebruikerscontrole. Gebruikers kunnen hun gegevens inzien en beheren via het WHOOP Privacy Center (privacy.whoop.com) of door een e-mail te sturen naar WHOOP (WHOOPHet bedrijf verklaart dat het "uw persoonlijke gegevens zal verwijderen als u daarom vraagt, bijvoorbeeld wanneer u uw lidmaatschap opzegt". Gegevensexport is mogelijk na beëindiging van het lidmaatschap.
Gebruikers kunnen ervoor kiezen om bepaalde gegevensverzameling uit te schakelen: het uitschakelen van locatieservices stopt de GPS-verzameling, het ontkoppelen van de band stopt de overdracht van gezondheidsgegevens en standaard browsertools beheren cookies en advertentietracking.WHOOPVoor inwoners van Californië omvatten de CCPA-rechten toegang, verwijdering, correctie en het recht om zich af te melden voor verkoop/deling. Inwoners van Europa genieten volledige GDPR-rechten, waaronder gegevensportabiliteit en het recht om klachten in te dienen bij toezichthoudende autoriteiten.WHOOP).
Er is echter een belangrijke beperking: Zelfs na verwijdering bewaart Whoop "geaggregeerde gegevens of geanonimiseerde gegevens die zijn afgeleid van of waarin uw persoonsgegevens zijn opgenomen."“ Het bedrijf geeft geen specifieke bewaartermijn op, maar stelt alleen dat gegevens worden bewaard "zolang als redelijkerwijs noodzakelijk is".WHOOPDe brede contentlicentie die gebruikers verlenen — "eeuwigdurend, wereldwijd, niet-exclusief, royaltyvrij, volledig betaald, sublicentieerbaar en overdraagbaar" — blijft van kracht na beëindiging van het account en staat expliciet het gebruik van geaggregeerde, geanonimiseerde content toe om AI-modellen trainen (WHOOPGebruikers die zich niet binnen 30 dagen na aanmelding afmelden voor de verplichte arbitrageclausule, doen definitief afstand van hun recht op collectieve rechtszaken en juryrechtspraak.Voorwaarden).
Conclusie
Whoop bevindt zich in een ongemakkelijke positie in het privacylandschap: het verzamelt fysiologische gegevens van klinische kwaliteit met wettelijke bescherming die vergelijkbaar is met die van consumenten. De door het bedrijf uitgesproken intentie om geen persoonlijke gegevens te verkopen is oprecht in de strikte, letterlijke zin van het woord (WHOOP) — maar de kleine lettertjes staan uitgebreide uitwisseling van geanonimiseerde gegevens met "iedere derde partij" toe, vage samenwerking met wetshandhavingsinstanties, brede licentieverlening van content en het soort tracking door derden dat volgens een rechtszaak uit 2025 neerkwam op heimelijke uitwisseling van gezondheidsgegevens (ClassAction.org, MilbergHet ontbreken van dekking door HIPAA betekent dat de meest intieme biologische signalen van gebruikers – hun hartritme tijdens de slaap, hun stressreacties, hun voortplantingspatronen – niet meer federale bescherming genieten dan hun browsegeschiedenis.Mozilla Foundation, Binnen privacy).
De voorgestelde HIPRA-wetgeving en de My Health My Data Act van Washington (Alstonprivacy, Vereniging van advocaten in Californië) vertegenwoordigen vroege pogingen om deze kloof te dichten, maar het regelgevingskader blijft gebrekkig. Gebruikers die Whoop overwegen, moeten de daadwerkelijke prestatie-inzichten die het apparaat biedt afwegen tegen het feit dat zodra biometrische gegevens hun pols verlaten, hun controle erover aanzienlijk afneemt. Bovendien betekent een permanente contentlicentie dat een afgeleide van die gegevens voor onbepaalde tijd kan blijven bestaan, ongeacht of ze hun lidmaatschap ooit opzeggen.
Laatst bijgewerkt op 23 februari 2026
Nederlands 
English 
Deutsch 
Français 
Español 
Italiano 
Svenska