En recept til beskyttelse af privatlivets fred: Vær forsigtig, når du bruger en mobil sundhedsapp

Privatliv

I betragtning af de usunde dataindsamlingsvaner i nogle mHealth-apps, råder du dig til at træde varsomt, når du vælger, hvem du deler nogle af dine mest følsomme data med

Phil Muncaster

Marts 19 2024
 • 
,
5 min. Læs

I nutidens digitale økonomi er der en app til stort set alt. Et område, der blomstrer mere end de fleste, er sundhedsvæsenet. Fra periode- og fertilitetsmålere til mental sundhed og mindfulness er der mobile sundheds- (mHealth)-applikationer tilgængelige til at hjælpe med næsten enhver tilstand. Faktisk er det et marked, der allerede oplever tocifret vækst, og som står til at være værd et anslået 861 milliarder dollars ved 2030.

Men når du bruger disse apps, kan du dele nogle af de mest følsomme data, du besidder. Faktisk GDPR klassificerer medicinsk information som "særlig kategori"-data, hvilket betyder, at det kan "skabe betydelige risici for individets grundlæggende rettigheder og friheder", hvis de afsløres. Det er derfor, regulatorer giver organisationer mandat til at yde ekstra beskyttelse for det.

Desværre er det ikke alle app-udviklere, der har deres brugeres bedste interesser i tankerne, eller de ved altid, hvordan de skal beskytte dem. De kan spare på databeskyttelsesforanstaltninger, eller de kan ikke altid gør det klart om, hvor meget af dine personlige oplysninger de deler med tredjeparter. Med det i tankerne, lad os tage et kig på de vigtigste privatlivs- og sikkerhedsrisici ved at bruge disse apps, og hvordan du kan forblive sikker.

Hvad er de største sundhedsapps privatlivs- og sikkerhedsrisici?

De største risici ved at bruge mHealth-apps falder i tre kategorier: utilstrækkelig datasikkerhed, overdreven datadeling og dårligt formulerede eller bevidst undvigende privatlivspolitikker.

1. Bekymringer om datasikkerhed

Disse skyldes ofte, at udviklere undlader at følge best practice-regler for cybersikkerhed. De kunne omfatte:

• Apps, der ikke længere understøttes eller ikke modtager opdateringer: Leverandører har muligvis ikke et program til afsløring af sårbarhed/administration på plads eller interesserer sig ikke meget for at opdatere deres produkter. Uanset årsagen, hvis software ikke modtager opdateringer, betyder det, at det kan være fyldt med sårbarheder, som angribere kan udnytte til at stjæle dine data.
• Usikre protokoller: Apps, der bruger usikre kommunikationsprotokoller, kan udsætte brugere for risikoen for, at hackere opsnapper deres data under transit fra appen til udbyderens back-end eller cloud-servere, hvor de behandles.
• Ingen multi-faktor autentificering (MFA): De fleste velrenommerede tjenester tilbyder i dag MFA som en måde at styrke sikkerheden på log-in-stadiet. Uden det kunne hackere få din adgangskode via phishing eller et separat brud (hvis du genbruger adgangskoder på tværs af forskellige apps) og logge ind, som om de var dig.
• Dårlig adgangskodeadministration: For eksempel apps, der giver brugerne mulighed for at beholde fabriksstandardadgangskoder eller indstille usikre legitimationsoplysninger såsom "passw0rd" eller "111111." Dette efterlader brugeren udsat for credential stuffing og andre brute force-forsøg på at knække deres konti.
• Virksomhedssikkerhed: App-virksomheder kan også have begrænsede sikkerhedskontroller og -processer på plads i deres eget datalagringsmiljø. Dette kunne omfatte dårlig brugerbevidsthedstræning, begrænset anti-malware og slutpunkt/netværksdetektion, ingen datakryptering, begrænset adgangskontrol og ingen sårbarhedshåndtering eller hændelsesresponsprocesser på plads. Disse øger alle chancerne for, at de kan lide et databrud.

2. Overdreven datadeling

Brugernes helbredsoplysninger (PHI) kan omfatte meget følsomme detaljer om seksuelt overførte sygdomme, tilsætning af stof eller andre stigmatiserede tilstande. Disse kan sælges eller deles til tredjeparter, herunder annoncører til markedsføring og målrettede annoncer. Blandt eksemplerne noteret af Mozilla er mHealth-udbydere, der:

• kombinere oplysninger om brugere med data købt fra datamæglere, sociale medier og andre udbydere for at opbygge mere komplette identitetsprofiler,
• tillad ikke brugere at anmode om sletning af specifikke data,
• bruge konklusioner om brugere, når de tager tilmeldingsspørgeskemaer, som stiller afslørende spørgsmål om seksuel orientering, depression, kønsidentitet og mere,
• tillade tredjeparts sessionscookies, som identificerer og sporer brugere på tværs af andre websteder for at vise relevante annoncer,
• tillade sessionsoptagelse, som overvåger brugerens musebevægelser, rulning og skrivning.

3. Uklare privatlivspolitikker

Nogle mHealth-udbydere er muligvis ikke på forhånd med hensyn til nogle af ovenstående privatlivspraksis, bruger et vagt sprog eller skjuler deres aktiviteter med småt i T&C'er. Dette kan give brugerne en falsk følelse af sikkerhed/privatliv.

Hvad loven siger

• BNPR: Europas flagskibslov om databeskyttelse er ret utvetydig med hensyn til organisationer, der håndterer særlig kategori PHI. Udviklere skal udføre vurderinger af indvirkning på privatlivets fred, følge principperne om ret til sletning og dataminimering og tage "passende tekniske foranstaltninger" for at sikre, at "de nødvendige sikkerhedsforanstaltninger" er indbygget for at beskytte personlige data.
• HIPAA: mHealth apps, der tilbydes af kommercielle leverandører til brug af enkeltpersoner, er ikke dækket af HIPAA, fordi leverandører ikke er en "omfattet enhed" eller "forretningsforbindelse." Men nogle er – og kræver de passende administrative, fysiske og tekniske sikkerhedsforanstaltninger på plads, samt en årlig Risikoanalyse.
• CCPA og CMIA: Californiske indbyggere har to stykker lovgivning, der beskytter deres sikkerhed og privatliv i en mHealth-sammenhæng: loven om fortrolighed af medicinsk information (CMIA) og den californiske lov om forbrugerbeskyttelse (CCPA). Disse efterspørger en høj standard for databeskyttelse og eksplicit samtykke. De gælder dog kun for californiere.

At tage skridt til at beskytte dit privatliv

Alle vil have en anden risikoappetit. Nogle vil finde den afvejning mellem personlige tjenester/reklamer og privatliv, som de er villige til at foretage. Andre bliver måske ikke generet, hvis nogle medicinske data bliver brudt eller solgt til tredjepart. Det handler om at finde den rette balance. Hvis du er bekymret, så overvej følgende:

• Lav din research før du downloader. Se, hvad andre brugere siger, og om der er nogle røde flag fra betroede anmeldere
• Begræns, hvad du deler via disse apps, og antag, at alt, hvad du siger, kan blive delt
• Forbind ikke appen til dine sociale mediekonti eller brug dem til at logge ind. Dette vil begrænse, hvilke data der kan deles med disse virksomheder
• Giv ikke apps tilladelse for at få adgang til din enheds kamera, placering osv.
• Begræns annoncesporing i din telefons privatlivsindstillinger
• Brug altid MFA, hvor det tilbydes, og opret stærke, unikke adgangskoder
• Hold appen på den nyeste (mest sikre) version

Siden Roe vs Wade blev væltet, har debatten om mHealth-privatliv taget en bekymrende drejning. Nogle har slået alarm at data fra periodesporere kunne bruges i retsforfølgning mod kvinder, der søger at afbryde deres graviditet. For et stigende antal mennesker, der leder efter mHealth-apps, der respekterer privatlivets fred, kunne indsatsen ikke være højere.