A magánélet védelmére vonatkozó recept: Legyen körültekintő, ha egészségügyi mobilalkalmazást használ

Adatvédelem

Tekintettel egyes m-egészségügyi alkalmazások egészségtelen adatgyűjtési szokásaira, azt tanácsoljuk, hogy óvatosan járjon el, amikor kiválasztja, kivel osztja meg a legérzékenyebb adatait.

Phil Muncaster

Március 19 2024
 • 
,
5 perc olvas

A mai digitális gazdaságban szinte mindenre van egy alkalmazás. Az egyik olyan terület, amely a legtöbbnél jobban virágzik, az az egészségügy. Az időszak és a termékenység nyomkövetőitől a mentális egészségig és az éberségig, szinte bármilyen állapot esetén elérhetőek a mobil egészségügyi (mHealth) alkalmazások. Valójában ez egy olyan piac, amely már most is kétszámjegyű növekedést tapasztal, és megéri egy becsült 861 milliárd dollár 2030-re.

De amikor ezeket az alkalmazásokat használja, megoszthatja a birtokában lévő legérzékenyebb adatokat. Valójában a GDPR besorol az orvosi információkat „különleges kategóriájú” adatként kezelik, ami azt jelenti, hogy „jelentős kockázatot jelenthet az egyén alapvető jogaira és szabadságaira nézve”, ha nyilvánosságra kerül. Éppen ezért a szabályozó hatóságok megbízzák a szervezeteket, hogy extra védelmet biztosítsanak számára.

Sajnos nem minden alkalmazásfejlesztő tartja szem előtt felhasználóik érdekeit, vagy nem mindig tudja, hogyan védje meg őket. Előfordulhat, hogy spórolnak az adatvédelmi intézkedésekkel, vagy nem mindig világossá tenni hogy mennyi személyes adatait osztanak meg harmadik felekkel. Ezt szem előtt tartva, vessünk egy pillantást ezen alkalmazások használatának fő adatvédelmi és biztonsági kockázataira, valamint arra, hogy hogyan maradhat biztonságban.

Melyek a legfontosabb egészségügyi alkalmazások adatvédelmi és biztonsági kockázatai?

Az mHealth-alkalmazások használatának fő kockázatai három kategóriába sorolhatók: elégtelen adatbiztonság, túlzott adatmegosztás, valamint rosszul megfogalmazott vagy szándékosan megkerülő adatvédelmi szabályzat.

1. Adatbiztonsági aggályok

Ezek gyakran abból fakadnak, hogy a fejlesztők nem tartják be a legjobb gyakorlatokra vonatkozó kiberbiztonsági szabályokat. Ezek a következők lehetnek:

• Már nem támogatott alkalmazások, vagy nem kapnak frissítéseket: Előfordulhat, hogy a szállítók nem rendelkeznek sebezhetőség-feltáró/-kezelő programmal, vagy nem érdeklődnek termékeik frissítése iránt. Bármi legyen is az oka, ha a szoftver nem kap frissítéseket, az azt jelenti, hogy tele lehet olyan sebezhető pontokkal, amelyeket a támadók kihasználhatnak az Ön adatainak ellopására.
• Nem biztonságos protokollok: A nem biztonságos kommunikációs protokollokat használó alkalmazások annak a kockázatának tehetik ki a felhasználókat, hogy hackerek elkapják adataikat az alkalmazásból a szolgáltató háttér- vagy felhőszerverére, ahol azokat feldolgozzák.
• Nincs többtényezős hitelesítés (MFA): Manapság a legtöbb jó hírű szolgáltatás MFA-t kínál a biztonság megerősítésére a bejelentkezési szakaszban. Enélkül a hackerek adathalászattal vagy külön incidens útján megszerezhetik jelszavát (ha különböző alkalmazásokban újrahasználja a jelszavakat), és úgy jelentkezhet be, mintha Ön lennének.
• Gyenge jelszavak kezelése: Például olyan alkalmazások, amelyek lehetővé teszik a felhasználók számára a gyári alapértelmezett jelszavak megtartását, vagy nem biztonságos hitelesítő adatok, például „passw0rd” vagy „111111” beállítását. Ezáltal a felhasználó ki van téve a hitelesítő adatok kitöltésének és más brutális erőszakos kísérleteknek, amelyek feltörhetik fiókjaikat.
• Vállalati biztonság: Az alkalmazáscégek saját adattárolási környezetükben korlátozott biztonsági ellenőrzéseket és folyamatokat is alkalmazhatnak. Ez magában foglalhatja a rossz felhasználói tudatosság képzést, a rosszindulatú programok és a végpontok/hálózatok felderítésének korlátozott mértékét, az adattitkosítás hiányát, a korlátozott hozzáférés-szabályozást, valamint a sebezhetőség-kezelési vagy incidensre adott válaszfolyamatok hiányát. Mindezek növelik az adatszivárgás esélyét.

2. Túlzott adatmegosztás

A felhasználók egészségügyi információi (PHI) rendkívül kényes adatokat tartalmazhatnak a szexuális úton terjedő betegségekről, az anyagok hozzáadásával vagy más megbélyegzett állapotokkal kapcsolatban. Ezeket el lehet adni vagy megosztani harmadik feleknek, beleértve a hirdetőket marketing és célzott hirdetések céljából. A példák között jegyezte meg a Mozilla olyan m-egészségügyi szolgáltatók, amelyek:

• kombinálja a felhasználókkal kapcsolatos információkat az adatbrókerektől, közösségi oldalaktól és más szolgáltatóktól vásárolt adatokkal, hogy teljesebb identitásprofilokat hozzon létre,
• nem teszi lehetővé a felhasználók számára, hogy kérjék bizonyos adatok törlését,
• felhasználni a felhasználókra vonatkozó következtetéseket, amikor olyan regisztrációs kérdőíveket töltenek ki, amelyek leleplező kérdéseket tesznek fel a szexuális irányultságról, a depresszióról, a nemi identitásról és egyebekről,
• harmadik féltől származó munkamenet-cookie-k engedélyezése, amelyek azonosítják és nyomon követik a felhasználókat más webhelyeken, hogy releváns hirdetéseket jelenítsenek meg,
• lehetővé teszi a munkamenet rögzítését, amely figyeli a felhasználó egérmozgását, görgetést és gépelést.

3. Nem egyértelmű adatvédelmi szabályzat

Előfordulhat, hogy egyes m-egészségügyi szolgáltatók nem ismerik előre a fenti adatvédelmi gyakorlatokat, homályos nyelvezetet használnak, vagy tevékenységeiket az Általános Szerződési Feltételek apró betűs részébe rejtik. Ez hamis biztonság-/magánélet-érzetet kelthet a felhasználókban.

Amit a törvény mond

• GDPR: Európa zászlóshajója az adatvédelmi törvény meglehetősen egyértelmű a speciális kategóriájú PHI-t kezelő szervezetekkel kapcsolatban. A fejlesztőknek adatvédelmi hatásvizsgálatokat kell végezniük, követniük kell a törléshez való jog és az adatminimalizálás elveit, és meg kell tenniük a „megfelelő technikai intézkedéseket” a „szükséges biztosítékok” beépítése és a személyes adatok védelme érdekében.
• HIPAA: A kereskedelmi szolgáltatók által magánszemélyek számára kínált m-egészségügyi alkalmazások nem tartoznak a HIPAA hatálya alá, mivel a szolgáltatók nemfedezett entitás” vagy „üzlettársa.” Vannak azonban – és megkövetelik a megfelelő adminisztratív, fizikai és műszaki biztosítékokat, valamint egy éves Kockázatelemzés.
• CCPA és CMIA: A kaliforniai lakosoknak két jogszabály védi biztonságukat és magánéletüket az m-egészségügyi összefüggésben: a Confidential of Medical Information Act (CMIA) és a California Consumer Privacy Act (CCPA). Ezek követelik magas szintű adatvédelem és kifejezett hozzájárulás. Ezek azonban csak a kaliforniaiakra vonatkoznak.

Lépések megtétele személyes adatainak védelme érdekében

Mindenkinek más lesz a kockázati étvágya. Egyesek megtalálják a kompromisszumot a személyre szabott szolgáltatások/hirdetések és az adatvédelem között, amelyet hajlandóak megtenni. Másokat nem zavarhat, ha egyes egészségügyi adatokat megsértenek vagy harmadik félnek adnak el. A megfelelő egyensúly megtalálásáról van szó. Ha aggódik, vegye figyelembe a következőket:

• A letöltés előtt végezzen kutatást. Nézze meg, mit mondanak mások, és hogy vannak-e piros zászlók a megbízható véleményezőktől
• Korlátozza, hogy mit oszt meg ezeken az alkalmazásokon keresztül, és feltételezze, hogy bármi, amit mond, megosztható
• Ne csatlakoztassa az alkalmazást közösségi média fiókjaihoz, és ne használja őket bejelentkezésre. Ez korlátozza, hogy milyen adatok oszthatók meg ezekkel a cégekkel
• Ne adjon engedélyt az alkalmazásoknak hogy hozzáférjen az eszköz kamerájához, helyéhez stb.
• Korlátozza a hirdetések követését telefonja adatvédelmi beállításaiban
• Mindig használja az MFA-t, ahol kínálják, és hozzon létre erős, egyedi jelszavakat
• Tartsa az alkalmazást a legújabb (legbiztonságosabb) verzión

Mióta a Roe vs Wade megdőlt, az mHealth adatvédelmi vita aggasztó fordulatot vett. Néhány riasztották hogy az időszakkövetők adatai felhasználhatók a terhességük megszakítására törekvő nők elleni vádemeléseknél. Egyre több ember számára, akik a magánélet védelmét tiszteletben tartó m-egészségügyi alkalmazásokat keresnek, a tét nem is lehetne nagyobb.