En resept for personvern: Vær forsiktig når du bruker en mobil helseapp

Privatliv

Gitt de usunne datainnsamlingsvanene til enkelte mHealth-apper, anbefaler vi at du går forsiktig når du velger hvem du deler noen av de mest sensitive dataene dine med.

Phil Muncaster

Mars 19 2024
 • 
,
5 min. lese

I dagens digitale økonomi er det en app for omtrent alt. Et område som blomstrer mer enn de fleste er helsevesenet. Fra periode- og fertilitetssporere til mental helse og oppmerksomhet, det er mobile helse (mHealth)-applikasjoner tilgjengelig for å hjelpe med nesten alle tilstander. Faktisk er det et marked som allerede opplever tosifret vekst, og som kommer til å være verdt en estimert 861 milliarder dollar innen 2030.

Men når du bruker disse appene, kan du dele noen av de mest sensitive dataene du har. Faktisk GDPR klassifiserer medisinsk informasjon som "spesiell kategori"-data, noe som betyr at den kan "skape betydelig risiko for individets grunnleggende rettigheter og friheter" hvis den avsløres. Det er derfor regulatorer gir organisasjoner mandat gir ekstra beskyttelse for det.

Dessverre er det ikke alle apputviklere som har brukernes beste i tankene, eller vet alltid hvordan de skal beskytte dem. De kan spare på databeskyttelsestiltak, eller de kan ikke alltid gjør det klart om hvor mye av din personlige informasjon de deler med tredjeparter. Med det i tankene, la oss ta en titt på de viktigste personvern- og sikkerhetsrisikoene ved bruk av disse appene, og hvordan du kan holde deg trygg.

Hva er de viktigste personvern- og sikkerhetsrisikoene for helseapper?

De viktigste risikoene ved bruk av mHealth-apper faller inn i tre kategorier: utilstrekkelig datasikkerhet, overdreven datadeling og dårlig formulerte eller bevisst unnvikende personvernregler.

1. Bekymringer om datasikkerhet

Disse stammer ofte fra utviklere som ikke følger beste praksis-regler for nettsikkerhet. De kan inkludere:

• Apper som ikke lenger støttes eller ikke mottar oppdateringer: Leverandører har kanskje ikke et program for avsløring/administrasjon av sårbarheter på plass, eller er lite interessert i å oppdatere produktene sine. Uansett årsak, hvis programvare ikke mottar oppdateringer, betyr det at den kan være full av sårbarheter som angripere kan utnytte for å stjele dataene dine.
• Usikre protokoller: Apper som bruker usikre kommunikasjonsprotokoller kan utsette brukere for risikoen for at hackere fanger opp dataene deres under overføring fra appen til leverandørens back-end eller skyservere, hvor de behandles.
• Ingen multi-faktor autentisering (MFA): De fleste anerkjente tjenester i dag tilbyr MFA som en måte å styrke sikkerheten på påloggingsstadiet. Uten det kan hackere få passordet ditt via phishing eller et separat brudd (hvis du gjenbruker passord på tvers av forskjellige apper) og logge på som om de var deg.
• Dårlig passordadministrasjon: For eksempel apper som lar brukere beholde fabrikkstandardpassord, eller angi usikre påloggingsinformasjon som "passw0rd" eller "111111." Dette etterlater brukeren utsatt for legitimasjonsfylling og andre brute force-forsøk på å knekke kontoene deres.
• Bedriftssikkerhet: Appselskaper kan også ha begrensede sikkerhetskontroller og prosesser på plass i sitt eget datalagringsmiljø. Dette kan inkludere dårlig opplæring i brukerbevissthet, begrenset anti-malware og endepunkt-/nettverksdeteksjon, ingen datakryptering, begrenset tilgangskontroll og ingen sårbarhetshåndtering eller hendelsesresponsprosesser på plass. Disse øker alle sjansene for at de kan bli utsatt for et datainnbrudd.

2. Overdreven datadeling

Brukernes helseinformasjon (PHI) kan omfatte svært sensitive detaljer om seksuelt overførbare sykdommer, tillegg av stoffer eller andre stigmatiserte tilstander. Disse kan selges eller deles til tredjeparter, inkludert annonsører for markedsføring og målrettede annonser. Blant eksemplene bemerket av Mozilla er mHealth-leverandører som:

• kombinere informasjon om brukere med data kjøpt fra datameglere, sosiale medier og andre leverandører for å bygge mer komplette identitetsprofiler,
• ikke tillate brukere å be om sletting av spesifikke data,
• bruke slutninger om brukere når de tar påmeldingsskjemaer som stiller avslørende spørsmål om seksuell legning, depresjon, kjønnsidentitet og mer,
• tillate tredjeparts øktinformasjonskapsler som identifiserer og sporer brukere på tvers av andre nettsteder for å vise relevante annonser,
• tillate øktopptak, som overvåker brukerens musebevegelser, rulling og skriving.

3. Uklare retningslinjer for personvern

Noen mHealth-leverandører er kanskje ikke på forhånd med hensyn til noen av personvernpraksisene ovenfor, bruker vagt språk eller skjuler aktivitetene sine i den lille skriften i T&Cs. Dette kan gi brukerne en falsk følelse av sikkerhet/personvern.

Hva loven sier

• GDPR: Europas flaggskip lov om databeskyttelse er ganske utvetydig når det gjelder organisasjoner som håndterer spesialkategori PHI. Utviklere må gjennomføre vurderinger av personvernkonsekvenser, følge prinsippene for rett til sletting og dataminimering, og ta "passende tekniske tiltak" for å sikre at "de nødvendige sikkerhetstiltakene" er innebygd, for å beskytte personopplysninger.
• HIPAA: mHealth-apper som tilbys av kommersielle leverandører for bruk av enkeltpersoner er ikke dekket av HIPAA, fordi leverandører ikke er en "dekket enhet" eller "forretningsforbindelse." Noen er imidlertid – og krever passende administrative, fysiske og tekniske sikkerhetstiltak på plass, samt en årlig Risikoanalyse.
• CCPA og CMIA: Innbyggere i California har to lover som beskytter deres sikkerhet og personvern i en mHealth-kontekst: Confidentiality of Medical Information Act (CMIA) og California Consumer Privacy Act (CCPA). Disse krever en høy standard for databeskyttelse og eksplisitt samtykke. De gjelder imidlertid bare for Californians.

Ta skritt for å beskytte personvernet ditt

Alle vil ha en annen risikoappetitt. Noen vil finne avveiningen mellom personlig tilpassede tjenester/reklame og personvern som de er villige til å gjøre. Andre vil kanskje ikke bry seg hvis noen medisinske data blir brutt eller solgt til tredjeparter. Det handler om å finne den rette balansen. Hvis du er bekymret, bør du vurdere følgende:

• Gjør research før du laster ned. Se hva andre brukere sier og om det er noen røde flagg fra pålitelige anmeldere
• Begrens hva du deler via disse appene og anta at alt du sier kan deles
• Ikke koble appen til dine sosiale mediekontoer eller bruk dem til å logge på. Dette vil begrense hvilke data som kan deles med disse selskapene
• Ikke gi appene tillatelse for å få tilgang til enhetens kamera, plassering osv.
• Begrens annonsesporing i telefonens personverninnstillinger
• Bruk alltid MFA der det tilbys og lag sterke, unike passord
• Hold appen på den nyeste (sikreste) versjonen

Siden Roe vs Wade ble veltet, har debatten om mHealth-personvernet tatt en bekymringsfull vending. Noen har slått alarm at data fra periodesporere kan brukes i rettsforfølgelser mot kvinner som ønsker å avbryte svangerskapet. For et økende antall mennesker som leter etter mHealth-apper som respekterer personvernet, kunne ikke innsatsen vært høyere.