Waarom je calorietracker je e-mailadres niet nodig heeft
MyFitnessPal, Cronometer, MacroFactor, Lose It!. Ze willen allemaal je e-mail, wachtwoord en soms je geboortedatum en geslacht, voordat je ook maar één kipfilet kunt registreren.
Wij hebben Onyx Tenet gebouwd zonder die eis. Downloaden, openen, loggen. Geen server tussen jou en je voedingsdagboek.
Dat was de eerste architectuurkeuze die we maakten, en die bepaalde alles wat volgde.
Waarom ze erom vragen
Er zijn drie redenen waarom een calorie tracker een account vereist, en geen daarvan is om de app te laten werken.
1. Advertentietargeting
MyFitnessPal en Lose It! bieden gratis tiers met advertenties. Een e-mailadres koppelt je gebruiksdata aan een identiteit waarop advertentienetwerken kunnen targeten. Je voedingslog wordt een gedragsignaal. Wat je eet, wanneer je eet, hoe consequent je trackt. Dat signaal heeft waarde.
MyFitnessPal erkent in hun eigen privacybeleid dat ze gebruikersinformatie delen met "marketing- en advertentiepartners" en stelt dat bepaald gebruik van trackingcookies onder toepasselijke privacywetgeving "verkoop of delen van persoonlijke informatie" kan vormen. Dit is geen speculatie. Het is hun verklaring.
2. Lock-in
Zodra je voedingslog op andermans server achter hun inlog leeft, betekent weggaan dat je je data verliest. Jaren aan maaltijden, gewichtsgeschiedenis, aangepaste voedingsmiddelen, recepten. Het account is geen functie. Het is een gracht.
MyFitnessPal maakt dit structureel: CSV-export zit achter Premium voor $80/jaar. Gratis gebruikers kunnen hun eigen data niet exporteren. Je kunt data invoeren, maar niet weer meenemen zonder te betalen.
3. Engagementmetrics
DAU/MAU-ratio's, retentiecohorten, funnel-conversieratio's. Dat zijn de cijfers die tellen voor investeerders en adverteerders, en ze vereisen allemaal geïdentificeerde gebruikers. Een anonieme gebruiker die de app dagelijks opent is onzichtbaar voor deze metrics. Een account maakt van die persoon een datapunt.
MacroFactor biedt niet eens een gratis tier. Cronometer toont advertenties in de gratis tier. Elke grote tracker heeft zijn businessmodel gebouwd op de aanname dat gebruikers accounts zullen aanmaken. Het account dient het bedrijf. De app zou ook prima werken zonder.
Wat er gebeurt als het misgaat
Dit zou minder uitmaken als de data veilig bleef. Dat gebeurt niet.
In februari 2018 maakte MyFitnessPal bekend dat een onbevoegde partij toegang had gekregen tot 150 miljoen gebruikersaccounts: gebruikersnamen, e-mailadressen en gehashte wachtwoorden. Op dat moment was het een van de grootste datalekken ooit.
In maart 2026 kreeg Cal AI, dat MyFitnessPal had overgenomen, te maken met een tweede lek. Beveiligingsonderzoekers vonden een niet-geauthenticeerde Firebase-backend die zonder inloggegevens leesbaar was. De blootgestelde data omvatte namen, e-mails, geboortedata, geslacht, lengte, gewicht, gezondheidsdoelen, macrodoelen en maaltijdlogs met tijdstempels. 3,2 miljoen gebruikersrecords verspreid over 14,59 GB aan data. Een record behoorde toe aan een kind geboren in 2014.
Dit zijn geen losse incidenten. In 2021 liet een fitness-data-aggregator genaamd GetHealth een onbeveiligde database achter met 61 miljoen records afkomstig van Fitbit, Strava en Google Fit. De data stond op een server zonder wachtwoord.
Je voedingslog, gewichtsgeschiedenis en e-mail staan nu in datalekdatabases. Er was vanaf het begin geen architectonische reden waarom ze op andermans server moesten staan.
Hoe een architectuur zonder account eruitziet
Dit is wat wij in plaats daarvan bouwden.
Local-first database. Je voedingslog, gewichtsgeschiedenis en aangepaste voedingsmiddelen staan in een lokale database op je apparaat (SwiftData op iOS, Room op Android). Niets wordt standaard geüpload. Geen internetverbinding nodig. De app werkt volledig offline.
Geen serverafhankelijkheid voor kernfunctionaliteit. Een maaltijd loggen, een barcode scannen, je geschiedenis bekijken, je adaptieve TDEE controleren: geen van deze functies vereist een netwerkverbinding of gebruikersaccount. De server zit niet in het kritieke pad.
Barcodes scannen via een openbare API. Barcode-opzoekingen gebruiken OpenFoodFacts, een open database die door de community wordt onderhouden. Geen account nodig, noch bij hen noch bij ons.
Volledige datadraagbaarheid. Je data kan op elk moment als JSON-bestand worden geëxporteerd, vanaf elk scherm in Instellingen. Dit is geen beperkte wekelijkse CSV of een premium-only functie. Het is jouw data. Het is een bestand. Jij hebt de controle.
Anonieme analytics. We gebruiken PostHog voor gebruiksanalyses met een strikt beleid: geen PII, geen voedingslogdata, geen gewichtdata. Met de analytics-schakelaar in Instellingen kun je alles uitschakelen. Voor gebruikers die cloud-back-up inschakelen, gebruiken we een pseudonieme Firebase UID voor analytische continuïteit. Niet je e-mail. Niet je naam.
Maar wat als ik mijn telefoon verlies?
Dat is het eerlijke tegenargument, en we nemen het serieus. Als je data alleen op je apparaat staat, betekent verlies van het apparaat verlies van de data.
Drie verdedigingslagen:
JSON-export. Exporteer je data naar Bestanden, iCloud Drive, Google Drive of waar je je bestanden ook bewaart. Het is één tik in Instellingen. De export is een volledig momentopname: voedingslog, gewichtsgeschiedenis, aangepaste voedingsmiddelen, recepten, instellingen.
Platformback-up. Zowel iOS als Android maken automatisch back-ups van appdata naar respectievelijk iCloud en Google, tenzij je dat hebt uitgeschakeld. Voor de meeste gebruikers is hun data dus al geback-upt zonder dat ze iets hoeven te doen.
Optionele cloud-back-up. Als je expliciete cloud-back-up wilt met herstel op elk apparaat, biedt Onyx Tenet dat. Je meldt je aan met een e-maillink. We gebruiken dat e-mailadres voor één ding: zodat jij bij je eigen back-ups kunt. Geen wachtwoord. Geen profiel. Geen traditioneel account. Als we in de toekomst volledige accounts bouwen, zullen die opt-in zijn, en er alleen zijn om redenen die jou helpen, niet ons.
Het punt is niet dat back-ups onnodig zijn. Het punt is dat back-up een bewuste keuze moet zijn, geen verplichte accountaanmaak die tegelijk een mechanisme voor dataverzameling is.
Hoe het landschap zich verhoudt
| MyFitnessPal | Cronometer | MacroFactor | Lose It! | Onyx Tenet | |
|---|---|---|---|---|---|
| Account vereist | Ja | Ja | Ja | Ja | Nee |
| Voedingslog opgeslagen | Hun servers | Hun servers | Hun servers | Hun servers | Je apparaat |
| Advertenties in gratis tier | Ja | Ja | Geen gratis tier | Ja | Geen advertenties. Nooit. |
| Delen met advertentienetwerken | Ja | Ja (gratis tier) | Nee | Advertentie-ID's | Nee |
| Data-export | CSV (alleen Premium) | CSV (alle tiers) | Spreadsheet (abonnees) | CSV (wekelijks, alleen web) | JSON (volledig, altijd) |
| Jaarprijs | $80/jaar Premium | Gold (betaald) | $72/jaar | $40/jaar | Kern gratis |
Bronnen: het actuele privacybeleid en de App Store-vermelding van elk bedrijf. Alle claims zijn publiek verifieerbaar.
De afwegingen
Local-first betekent echte afwegingen. We gaan niet doen alsof dat niet zo is.
Geen automatische synchronisatie tussen apparaten standaard. Je data staat op het apparaat waarop je die hebt gelogd. Cloud-back-up (opt-in) maakt herstel op elk apparaat mogelijk, maar geen realtime sync over meerdere apparaten. Dat is een functie die we later kunnen toevoegen, en die zal optioneel en versleuteld zijn.
Geen wachtwoordherstel voor lokale data. Als je de app verwijdert zonder te exporteren of back-uppen, is je data weg. JSON-export is je verzekeringspolis.
Je bent zelf verantwoordelijk voor je back-ups. Wij geven je de tools (export, platformback-up, cloud-back-up), maar standaard blijft je data lokaal. Dat is precies het idee.
Dit zijn bewuste ontwerpkeuzes, geen slordigheden. Het alternatief is wat elke andere tracker doet: vanaf dag één een account vereisen, je data op hun server zetten en dat een functie noemen.
Onyx Tenet heeft je e-mail niet nodig. Downloaden, openen, loggen. Je data blijft op je apparaat, tenzij je expliciet iets anders kiest.
Onyx Tenet is gratis. Geen account vereist.