De apps lekken gebruikersdata, waaronder gevoelige informatie zoals medische geschiedenis en demografische gegevens, aan derde partijen, zo schrijven de onderzoekers. Voor het rapport bekeken ze 24 van de hoogst scorende Android gezondheids-apps voor gezondheid in de VS, het Verenigd Koninkrijk, Canada en Australië. In die lijst zitten verschillende soorten apps, waaronder Ada, dat probeert diagnoses te stellen op basis van hoe je je voelt of Medicinewise, een app die de verschillende medicijnen die je neemt beheert.

Uit het onderzoek moet blijken dat 19 van de 24 geteste apps gebruikersdata delen met derde partijen, zoals Amazon Web Services, Facebook, Google, AT&T. Sommigen stuurden data ook door naar het Amerikaanse ministerie voor Gezondheid. Volgens de gebruikersovereenkomst zouden die partijen de data ook kunnen doorverkopen aan bijvoorbeeld adverteerders. Bij zo'n 33 procent van de derde partijen die gegevens konden inkijken, zo stelt het onderzoek, gaat het om bedrijven die de infrastructuur leveren voor de app. Cloudleveranciers, bijvoorbeeld. De overige 67 procent zijn bedrijven die diensten leveren rond het verzamelen en analyseren van gebruikers data. Bij de bedrijven die het hoogste volume van gebruikersdata kregen, zijn Amazon en Google, op de derde plaats staat Microsoft.

"Het delen van gebruikersdata is routineus, maar verre van transparant", zo stelt het rapport. Ze voegen er aan toe dat deze apps waarschijnlijk op juridisch vlak in orde zijn. De grote lap legalees in de gebruikersovereenkomst betekent echter wel dat gebruikers amper weten wat er met hun data gebeurt. De onderzoekers zelf konden bijvoorbeeld niet echt uitvissen welke data naar waar werd versluisd. Dat moet transparanter, zo stellen ze, zeker gezien de gevoeligheid van de gegevens en de strengere wetgeving die daarvoor geldt.