Recept za zaščito zasebnosti: Bodite previdni pri uporabi mobilne aplikacije za zdravje

Zasebnost

Glede na nezdrave navade zbiranja podatkov v nekaterih aplikacijah mHealth vam svetujemo, da previdno ravnate pri izbiri, s kom boste delili nekatere svoje najbolj občutljive podatke.

Phil Muncaster

Marec 19 2024
 • 
,
5 min. prebrati

V današnjem digitalnem gospodarstvu obstaja aplikacija za skoraj vse. Eno področje, ki je v razcvetu bolj kot večina, je zdravstvo. Od merilnikov menstruacije in plodnosti do duševnega zdravja in čuječnosti so na voljo aplikacije za mobilno zdravje (mHealth), ki pomagajo pri skoraj vseh stanjih. Pravzaprav gre za trg, ki že doživlja dvomestno rast in bo vreden ocenjeno 861 milijarde do 2030.

Ko pa uporabljate te aplikacije, lahko delite nekatere najbolj občutljive podatke, ki jih imate. Pravzaprav je GDPR razvršča zdravstvene informacije kot podatke »posebne kategorije«, kar pomeni, da bi lahko v primeru razkritja »ustvarili znatna tveganja za temeljne pravice in svoboščine posameznika«. Zato regulatorji organizacijam nalagajo dodatno zaščito.

Na žalost vsi razvijalci aplikacij nimajo v mislih najboljših interesov svojih uporabnikov ali vedno vedo, kako jih zaščititi. Morda varčujejo z ukrepi za varstvo podatkov ali pa ne vedno pojasnite o tem, koliko vaših osebnih podatkov delijo s tretjimi osebami. S tem v mislih si poglejmo glavna tveganja za zasebnost in varnost pri uporabi teh aplikacij ter kako lahko ostanete varni.

Katera so glavna tveganja za zasebnost in varnost aplikacij za zdravje?

Glavna tveganja pri uporabi aplikacij mHealth spadajo v tri kategorije: nezadostna varnost podatkov, prekomerna skupna raba podatkov in slabo ubesedena ali namerno izogibajoča se politikam zasebnosti.

1. Zaskrbljenost glede varnosti podatkov

Te pogosto izhajajo iz tega, da razvijalci ne upoštevajo pravil najboljše prakse o kibernetski varnosti. Vključujejo lahko:

• Aplikacije, ki niso več podprte ali ne prejemajo posodobitev: prodajalci morda nimajo vzpostavljenega programa za razkrivanje/upravljanje ranljivosti ali se malo zanimajo za posodabljanje svojih izdelkov. Ne glede na razlog, če programska oprema ne prejema posodobitev, to pomeni, da je morda prepredena z ranljivostmi, ki jih lahko napadalci izkoristijo za krajo vaših podatkov.
• Nevarni protokoli: aplikacije, ki uporabljajo nezaščitene komunikacijske protokole, lahko uporabnike izpostavijo tveganju, da hekerji prestrežejo njihove podatke med prenosom iz aplikacije v zaledne strežnike ali strežnike v oblaku ponudnika, kjer se obdelujejo.
• Brez večfaktorske avtentikacije (MFA): večina uglednih storitev danes ponuja MFA kot način za izboljšanje varnosti v fazi prijave. Brez tega bi lahko hekerji pridobili vaše geslo z lažnim predstavljanjem ali ločeno kršitvijo (če gesla znova uporabljate v različnih aplikacijah) in se prijavili, kot da bi bili vi.
• Slabo upravljanje gesel: na primer aplikacije, ki uporabnikom omogočajo, da obdržijo tovarniško privzeta gesla, ali nastavijo nevarne poverilnice, kot sta »passw0rd« ali »111111«. To pusti uporabnika izpostavljenega polnjenju s poverilnicami in drugim poskusom vdora v račune na silo.
• Varnost podjetja: podjetja, ki se ukvarjajo z aplikacijami, imajo lahko tudi omejene varnostne kontrole in postopke v lastnem okolju za shranjevanje podatkov. To bi lahko vključevalo slabo usposabljanje za ozaveščanje uporabnikov, omejeno zaščito pred zlonamerno programsko opremo in zaznavanje končne točke/omrežja, brez šifriranja podatkov, omejene kontrole dostopa in brez upravljanja ranljivosti ali postopkov odzivanja na incidente. Vse to povečuje možnosti, da bi utrpeli kršitev podatkov.

2. Pretirano deljenje podatkov

Podatki o zdravju uporabnikov (PHI) lahko vključujejo zelo občutljive podrobnosti o spolno prenosljivih boleznih, dodajanju snovi ali drugih stigmatiziranih stanjih. Ti se lahko prodajo ali delijo s tretjimi osebami, vključno z oglaševalci za trženje in ciljane oglase. Med primeri ugotavlja Mozilla so ponudniki mHealth, ki:

• združite informacije o uporabnikih s podatki, kupljenimi od posrednikov podatkov, spletnih mest družbenih medijev in drugih ponudnikov, da ustvarite popolnejše profile identitete,
• ne dovoli uporabnikom, da zahtevajo izbris določenih podatkov,
• uporabiti sklepe o uporabnikih, ko izpolnijo vprašalnike za prijavo, ki postavljajo razkrita vprašanja o spolni usmerjenosti, depresiji, spolni identiteti in drugem,
• omogočiti sejne piškotke tretjih oseb, ki identificirajo in sledijo uporabnikom na drugih spletnih mestih za prikazovanje ustreznih oglasov,
• omogoča snemanje seje, ki spremlja premike uporabnika z miško, drsenje in tipkanje.

3. Nejasna politika zasebnosti

Nekateri ponudniki mHealth morda ne bodo odkriti glede nekaterih zgoraj navedenih praks zasebnosti, uporabljajo nejasen jezik ali skrivajo svoje dejavnosti v drobnem tisku T&Cs. To lahko uporabnikom daje lažen občutek varnosti/zasebnosti.

Kaj pravi zakon

• GDPR: Glavni evropski zakon o varstvu podatkov je precej nedvoumen glede organizacij, ki obravnavajo posebne kategorije PHI. Razvijalci morajo izvesti ocene vpliva na zasebnost, upoštevati načela pravice do izbrisa in minimizacije podatkov ter sprejeti "ustrezne tehnične ukrepe", da zagotovijo "potrebne zaščitne ukrepe" za zaščito osebnih podatkov.
• HIPAA: Aplikacije mHealth, ki jih ponujajo komercialni prodajalci za uporabo posameznikom, niso zajete v HIPAA, ker prodajalci nisozajeti subjekt« ali »poslovni sodelavec.” Vendar pa nekateri so – in zahtevajo ustrezne upravne, fizične in tehnične zaščitne ukrepe, pa tudi letno Analiza tveganja.
• CCPA in CMIA: Prebivalci Kalifornije imajo dva dela zakonodaje, ki ščitita njihovo varnost in zasebnost v kontekstu mHealth: Zakon o zaupnosti medicinskih informacij (CMIA) in Kalifornijski zakon o zasebnosti potrošnikov (CCPA). Te zahteve visok standard varstva podatkov in izrecno privolitev. Vendar veljajo le za Kalifornijce.

Sprejemanje ukrepov za zaščito vaše zasebnosti

Vsak bo imel drugačno nagnjenost k tveganju. Nekateri bodo našli kompromis med prilagojenimi storitvami/oglaševanjem in zasebnostjo, ki so ga pripravljeni narediti. Drugih morda ne bo motilo, če so nekateri zdravstveni podatki kršeni ali prodani tretjim osebam. Gre za iskanje pravega ravnovesja. Če ste zaskrbljeni, upoštevajte naslednje:

• Pred prenosom opravite raziskavo. Oglejte si, kaj pravijo drugi uporabniki in ali obstajajo kakšne rdeče zastavice zaupanja vrednih pregledovalcev
• Omejite, kar delite prek teh aplikacij, in domnevajte, da se lahko deli vse, kar rečete
• Ne povezujte aplikacije s svojimi računi v družabnih omrežjih in jih ne uporabljajte za prijavo. To bo omejilo, kateri podatki se lahko delijo s temi podjetji
• Aplikacijam ne dajte dovoljenja za dostop do kamere naprave, lokacije itd.
• V nastavitvah zasebnosti telefona omejite sledenje oglasom
• Vedno uporabite MFA, kjer je na voljo, in ustvarite močna, edinstvena gesla
• Naj bo aplikacija najnovejša (najvarnejša) različica

Odkar je bila sodba Roe proti Wadu razveljavljena, se je razprava o zasebnosti mHealtha zaskrbljujoče obrnila. nekaj so sprožili alarm da bi podatke iz sledilcev menstruacije lahko uporabili pri pregonu žensk, ki želijo prekiniti nosečnost. Za vedno večje število ljudi, ki iščejo aplikacije mHealth, ki spoštujejo zasebnost, vložki ne morejo biti višji.