Рецепт для захисту конфіденційності: будьте обережні, користуючись мобільним додатком для здоров’я

Конфіденційність

Враховуючи нездорові звички збору даних у деяких додатках mHealth, вам радимо бути обережними, вибираючи, з ким ви ділитеся деякими своїми найбільш конфіденційними даними

Філ Манкастер

Березня 19 2024
 • 
,
5 хв. читати

У сучасній цифровій економіці є додатки майже для всього. Одна сфера, яка розвивається більше, ніж інші, – це охорона здоров’я. Від місячних і відстеження фертильності до психічного здоров’я та уважності – доступні програми для мобільного здоров’я (mHealth), які допоможуть практично з будь-яким станом. Фактично, це ринок, який уже переживає двозначне зростання, і має бути того вартий кошторисна 861 мільярди доларів до 2030 року.

Але використовуючи ці програми, ви можете ділитися деякими з найбільш конфіденційних даних, якими володієте. Фактично, GDPR класифікує медичну інформацію як дані «особливої ​​категорії», тобто вона може «створити значні ризики для основних прав і свобод особи» у разі розкриття. Ось чому регулятори зобов’язують організації забезпечити додатковий захист для цього.

На жаль, не всі розробники програм дбають про інтереси своїх користувачів або завжди знають, як їх захистити. Вони можуть економити на заходах захисту даних або не завжди пояснити щодо того, скільки вашої особистої інформації вони передають третім особам. Пам’ятаючи про це, давайте розглянемо основні ризики для конфіденційності та безпеки, пов’язані з використанням цих програм, і те, як ви можете бути в безпеці.

Які найбільші ризики для конфіденційності та безпеки програми охорони здоров’я?

Основні ризики використання додатків mHealth поділяються на три категорії: недостатня безпека даних, надмірний обмін даними та погано сформульована або навмисно обхідна політика конфіденційності.

1. Питання безпеки даних

Вони часто виникають через те, що розробники не дотримуються правил передової практики щодо кібербезпеки. Вони можуть включати:

• Програми, які більше не підтримуються або не отримують оновлення: постачальники можуть не мати програми розкриття чи керування вразливими місцями або мало зацікавлені в оновленні своїх продуктів. Якою б не була причина, якщо програмне забезпечення не отримує оновлення, це означає, що воно може мати вразливості, якими зловмисники можуть скористатися для викрадення ваших даних.
• Незахищені протоколи. Програми, які використовують незахищені протоколи зв’язку, можуть наражати користувачів на ризик перехоплення хакерами їхніх даних під час передачі з програми на внутрішні або хмарні сервери постачальника, де вони обробляються.
• Відсутність багатофакторної автентифікації (MFA): більшість авторитетних служб сьогодні пропонують MFA як спосіб підвищити безпеку на етапі входу. Без нього хакери могли б отримати ваш пароль за допомогою фішингу або окремого злому (якщо ви повторно використовуєте паролі в різних програмах) і увійти, ніби вони були вами.
• Погане керування паролями: наприклад, програми, які дозволяють користувачам зберігати заводські паролі за замовчуванням або встановлювати небезпечні облікові дані, такі як «passw0rd» або «111111». Це робить користувача підданим підміні облікових даних та іншим спробам грубої сили зламати їхні облікові записи.
• Корпоративна безпека. Компанії, які займаються додатками, також можуть мати обмежені засоби контролю та процеси безпеки у власному середовищі зберігання даних. Це може включати погане навчання користувачів, обмежене виявлення зловмисного програмного забезпечення та кінцевої точки/мережі, відсутність шифрування даних, обмежений контроль доступу та відсутність процесів керування вразливістю чи реагування на інциденти. Усе це збільшує ймовірність витоку даних.

2. Надмірний обмін даними

Інформація про здоров’я користувачів (PHI) може включати дуже конфіденційну інформацію про захворювання, що передаються статевим шляхом, додавання психоактивних речовин або інші стигматизовані стани. Вони можуть бути продані або передані третім сторонам, включаючи рекламодавців для маркетингової та цільової реклами. Серед прикладів зазначає Mozilla є постачальниками мобільного здоров’я, які:

• поєднувати інформацію про користувачів із даними, отриманими від брокерів даних, сайтів соціальних мереж та інших постачальників, щоб створити більш повні профілі ідентифікації,
• не дозволяти користувачам вимагати видалення певних даних,
• використовувати висновки, зроблені про користувачів, коли вони заповнюють анкети для реєстрації, які ставлять розкриваючі запитання про сексуальну орієнтацію, депресію, гендерну ідентичність тощо,
• дозволити сеансові файли cookie третіх сторін, які ідентифікують і відстежують користувачів на інших веб-сайтах для показу релевантної реклами,
• дозволити запис сеансу, який відстежує рухи миші користувача, прокручування та введення тексту.

3. Нечітка політика конфіденційності

Деякі постачальники мобільного здоров’я можуть не повідомляти прямо про деякі з вищенаведених методів забезпечення конфіденційності, використовуючи розпливчасті формулювання або приховуючи свою діяльність у дрібному шрифті T&Cs. Це може створити у користувачів помилкове відчуття безпеки/конфіденційності.

Що говорить закон

• GDPR: Головний європейський закон про захист даних досить однозначно говорить про організації, які працюють із спеціальною категорією PHI. Розробники повинні провести оцінку впливу на конфіденційність, дотримуватися принципів права на видалення та мінімізації даних, а також вжити «відповідних технічних заходів», щоб забезпечити «необхідні гарантії» для захисту персональних даних.
• HIPAA: Програми mHealth, які пропонуються комерційними постачальниками для використання окремими особами, не підпадають під дію HIPAA, оскільки постачальники не є “суб'єкт, що охоплюється» або «партнер.” Однак деякі є – і вимагають відповідних адміністративних, фізичних і технічних заходів захисту, а також щорічного Аналіз ризиків.
• CCPA та CMIA: Жителі Каліфорнії мають дві законодавчі акти, які захищають їх безпеку та конфіденційність у контексті mHealth: Закон про конфіденційність медичної інформації (CMIA) і Закон Каліфорнії про конфіденційність споживачів (CCPA). Ці вимоги високий стандарт захисту даних і чітка згода. Однак вони стосуються лише каліфорнійців.

Вживання заходів для захисту вашої конфіденційності

У кожного буде різний апетит до ризику. Деякі знайдуть компроміс між персоналізованими послугами/рекламою та конфіденційністю, яким вони готові піти. Інші можуть не хвилюватися, якщо деякі медичні дані буде порушено або продано третім особам. Йдеться про пошук правильного балансу. Якщо ви стурбовані, зверніть увагу на наступне:

• Перед завантаженням проведіть дослідження. Подивіться, що говорять інші користувачі та чи є якісь попередження від довірених рецензентів
• Обмежте те, чим ви ділитеся через ці програми, і припускайте, що все, що ви говорите, може бути передано
• Не підключайте програму до своїх облікових записів у соціальних мережах і не використовуйте їх для входу. Це обмежить доступ до даних, які можна надавати цим компаніям.
• Не надавайте додаткам дозвіл для доступу до камери пристрою, розташування тощо.
• Обмежте відстеження реклами в налаштуваннях конфіденційності телефону
• Завжди використовуйте MFA, де це пропонується, і створюйте надійні унікальні паролі
• Зберігайте останню (найбезпечнішу) версію програми

Відтоді, як Роу проти Вейда було скасовано, дебати щодо конфіденційності mHealth набули тривожного повороту. Дещо підняли тривогу що дані з приладів для відстеження менструального циклу можуть бути використані для судового переслідування жінок, які прагнуть перервати свою вагітність. Для все більшої кількості людей, які шукають додатки mHealth, які поважають конфіденційність, ставки не можуть бути вищими.