Gizliliğin korunması için bir reçete: Mobil sağlık uygulamasını kullanırken dikkatli olun

Gizlilik

Bazı mSağlık uygulamalarının sağlıksız veri toplama alışkanlıkları göz önüne alındığında, en hassas verilerinizi kiminle paylaşacağınızı seçerken dikkatli olmanız tavsiye edilir.

Phil Muncaster

Mart 19 2024
 • 
,
5 dk. okuman

Günümüzün dijital ekonomisinde hemen hemen her şey için bir uygulama var. Çoğundan daha fazla patlama yaşayan alanlardan biri sağlıktır. Regl dönemi ve doğurganlık takipçilerinden zihinsel sağlık ve farkındalığa kadar hemen hemen her duruma yardımcı olabilecek mobil sağlık (mSağlık) uygulamaları mevcuttur. Aslında bu, hâlihazırda çift haneli büyüme yaşayan ve değerlenmeye hazır bir pazar. tahminen 861 yılına kadar 2030 milyar dolar.

Ancak bu uygulamaları kullanırken sahip olduğunuz en hassas verilerden bazılarını paylaşıyor olabilirsiniz. Aslında, GDPR sınıflandırmaları Tıbbi bilgilerin “özel kategori” verisi olarak kabul edilmesi, açıklanması halinde “bireyin temel hak ve özgürlükleri açısından önemli riskler oluşturabileceği” anlamına geliyor. Bu nedenle düzenleyiciler kuruluşların bunun için ekstra koruma sağlamasını zorunlu kılar.

Ne yazık ki, tüm uygulama geliştiricileri kullanıcılarının çıkarlarını göz önünde bulundurmuyor veya onları nasıl koruyacaklarını her zaman bilmiyor. Veri koruma önlemlerinde eksik kalabilirler veya her zaman olmayabilirler açıklığa kavuşturmak kişisel bilgilerinizin ne kadarını üçüncü taraflarla paylaştıkları. Bunu aklımızda tutarak, bu uygulamaları kullanmanın temel gizlilik ve güvenlik risklerine ve nasıl güvende kalabileceğinize bir göz atalım.

Sağlık uygulamalarının en önemli gizlilik ve güvenlik riskleri nelerdir?

mSağlık uygulamalarını kullanmanın ana riskleri üç kategoriye ayrılır: yetersiz veri güvenliği, aşırı veri paylaşımı ve kötü ifade edilmiş veya kasıtlı olarak kaçamak gizlilik politikaları.

1. Veri güvenliği endişeleri

Bunlar genellikle geliştiricilerin siber güvenlikle ilgili en iyi uygulama kurallarına uymamasından kaynaklanmaktadır. Bunlar şunları içerebilir:

• Artık desteklenmeyen veya güncelleme almayan uygulamalar: Satıcıların bir güvenlik açığı açıklama/yönetim programı olmayabilir veya ürünlerini güncellemeyle pek ilgilenmeyebilirler. Sebep ne olursa olsun, yazılım güncelleme almıyorsa bu, saldırganların verilerinizi çalmak için kullanabileceği güvenlik açıklarıyla dolu olabileceği anlamına gelir.
• Güvenli olmayan protokoller: Güvenli olmayan iletişim protokolleri kullanan uygulamalar, kullanıcıları, uygulamadan işlendiği yer olan sağlayıcının arka uç veya bulut sunucularına aktarılan verilerinin bilgisayar korsanlarının eline geçmesi riskine maruz bırakabilir.
• Çok faktörlü kimlik doğrulama (MFA) yok: Günümüzde çoğu saygın hizmet, oturum açma aşamasında güvenliği artırmanın bir yolu olarak MFA'yı sunuyor. Bu olmadan, bilgisayar korsanları kimlik avı yoluyla veya ayrı bir ihlal yoluyla (parolaları farklı uygulamalarda yeniden kullanırsanız) parolanızı ele geçirebilir ve sizmişsiniz gibi oturum açabilirler.
• Kötü şifre yönetimi: Örneğin, kullanıcıların fabrika varsayılan şifrelerini korumasına veya "passw0rd" veya "111111" gibi güvenli olmayan kimlik bilgileri ayarlamasına olanak tanıyan uygulamalar. Bu, kullanıcıyı kimlik bilgileri doldurmaya ve hesaplarını kırmaya yönelik diğer kaba kuvvet girişimlerine maruz bırakır.
• Kurumsal güvenlik: Uygulama şirketlerinin kendi veri depolama ortamlarında da sınırlı güvenlik kontrolleri ve süreçleri olabilir. Bu, zayıf kullanıcı farkındalığı eğitimi, sınırlı kötü amaçlı yazılım önleme ve uç nokta/ağ tespiti, veri şifrelemenin olmaması, sınırlı erişim kontrolleri ve güvenlik açığı yönetimi veya olay müdahale süreçlerinin uygulanmamasını içerebilir. Bunların hepsi veri ihlaline maruz kalma olasılığını artırır.

2. Aşırı veri paylaşımı

Kullanıcıların sağlık bilgileri (PHI), cinsel yolla bulaşan hastalıklar, madde kullanımı veya diğer damgalanmış durumlar hakkında son derece hassas ayrıntılar içerebilir. Bunlar, pazarlama ve hedefli reklamlar için reklam verenler de dahil olmak üzere üçüncü taraflara satılabilir veya paylaşılabilir. Örnekler arasında Mozilla'nın kaydettiği mSağlık sağlayıcıları şunlardır:

• Daha eksiksiz kimlik profilleri oluşturmak için kullanıcılara ilişkin bilgileri veri aracılarından, sosyal medya sitelerinden ve diğer sağlayıcılardan satın alınan verilerle birleştirin,
• Kullanıcıların belirli verilerin silinmesini talep etmesine izin vermeyin,
• Kullanıcılar cinsel yönelim, depresyon, cinsiyet kimliği ve daha fazlası hakkında açıklayıcı sorular soran kayıt anketlerini doldururken onlar hakkında yapılan çıkarımları kullanmak,
• alakalı reklamlar sunmak için diğer web sitelerindeki kullanıcıları tanımlayan ve izleyen üçüncü taraf oturum çerezlerine izin verin,
• Kullanıcının fare hareketlerini, kaydırma ve yazmayı izleyen oturum kaydına izin verir.

3. Açık olmayan gizlilik politikaları

Bazı mSağlık sağlayıcıları, belirsiz bir dil kullanarak veya faaliyetlerini Şartlar ve Koşulların küçük baskısında gizleyerek yukarıdaki gizlilik uygulamalarından bazıları konusunda açık sözlü olmayabilir. Bu, kullanıcılara yanlış bir güvenlik/gizlilik duygusu verebilir.

Yasa ne diyor

• GDPR: Avrupa'nın en önemli veri koruma yasası, özel kategori PHI ile ilgilenen kuruluşlar konusunda oldukça nettir. Geliştiricilerin gizlilik etki değerlendirmeleri yapması, silme hakkı ve veri minimizasyonu ilkelerini izlemesi ve kişisel verileri korumak için "gerekli önlemlerin" alındığından emin olmak için "uygun teknik önlemleri" alması gerekir.
• HIPAA: Ticari satıcılar tarafından bireylerin kullanımına sunulan mSağlık uygulamaları HIPAA kapsamında değildir çünkü satıcılar "kapalı varlık" veya "iş ortağı.” Bununla birlikte, bazıları uygun idari, fiziksel ve teknik önlemlerin yanı sıra yıllık koruma önlemlerinin de alınmasını gerektirir ve gerektirir. Risk analizi.
• CCPA ve CMIA: Kaliforniya'da ikamet edenlerin mSağlık bağlamında güvenliklerini ve mahremiyetlerini koruyan iki mevzuatı vardır: Tıbbi Bilgilerin Gizliliği Yasası (CMIA) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA). Bunlar talep yüksek standartta veri koruma ve açık rıza. Ancak bunlar yalnızca Kaliforniyalılar için geçerlidir.

Gizliliğinizi korumak için adımlar atmak

Herkesin risk iştahı farklı olacaktır. Bazıları kişiselleştirilmiş hizmetler/reklam ile gizlilik arasındaki dengeyi bulmaya istekli olacaklardır. Bazı tıbbi verilerin ihlal edilmesi veya üçüncü şahıslara satılması başkalarını rahatsız etmeyebilir. Doğru dengeyi bulmakla ilgili. Endişeleniyorsanız aşağıdakileri göz önünde bulundurun:

• İndirmeden önce araştırmanızı yapın. Diğer kullanıcıların ne söylediğini ve güvenilir incelemecilerden herhangi bir tehlike işareti gelip gelmediğini görün
• Bu uygulamalar aracılığıyla paylaştıklarınızı sınırlayın ve söylediğiniz her şeyin paylaşılabileceğini varsayın
• Uygulamayı sosyal medya hesaplarınıza bağlamayın veya oturum açmak için bu hesapları kullanmayın. Bu, bu şirketlerle paylaşılabilecek verileri sınırlayacaktır.
• Uygulamalara izin vermeyin Cihazınızın kamerasına, konumuna vb. erişmek için
• Telefonunuzun gizlilik ayarlarında reklam izlemeyi sınırlayın
• Her zaman MFA'yı teklif edildiği yerde kullanın ve güçlü, benzersiz şifreler oluşturun
• Uygulamayı en son (en güvenli) sürümde tutun

Roe vs Wade'in reddedilmesinden bu yana mSağlık gizliliği konusundaki tartışma endişe verici bir hal aldı. Bazı alarmı çalıştırdım adet takip cihazlarından elde edilen verilerin, hamileliğini sonlandırmak isteyen kadınlara karşı açılan davalarda kullanılabileceğini söyledi. Gizliliğe saygı duyan mSağlık uygulamaları arayan giderek artan sayıda insan için riskler bundan daha yüksek olamazdı.