Privacy

Date le abitudini malsane di raccolta dati di alcune app di mHealth, ti consigliamo di procedere con cautela quando scegli con chi condividere alcuni dei tuoi dati più sensibili

Phil Muncaster

19 marzo 2024
 · XNUMX€ 
,
5 minuto. leggere

Nell'economia digitale di oggi esiste un'app praticamente per tutto. Un settore in forte espansione più degli altri è quello sanitario. Dai rilevatori di ciclo e fertilità alla salute mentale e alla consapevolezza, sono disponibili applicazioni di salute mobile (mHealth) per aiutare con quasi tutte le condizioni. In effetti, è un mercato già in crescita a due cifre e destinato a valere uno stimato $ 861 miliardi di 2030.

Ma quando usi queste app, potresti condividere alcuni dei dati più sensibili che possiedi. In effetti, il Il GDPR classifica informazioni mediche come dati di “categoria speciale”, nel senso che potrebbero “creare rischi significativi per i diritti e le libertà fondamentali dell'individuo” se divulgati. Ecco perché i regolatori impongono alle organizzazioni di fornire protezioni aggiuntive a riguardo.

Sfortunatamente, non tutti gli sviluppatori di app hanno a cuore gli interessi dei propri utenti o sanno sempre come proteggerli. Potrebbero lesinare sulle misure di protezione dei dati, oppure non sempre chiariscilo quanto delle tue informazioni personali condividono con terze parti. Con questo in mente, diamo un'occhiata ai principali rischi per la privacy e la sicurezza derivanti dall'utilizzo di queste app e come puoi stare al sicuro.

Quali sono i principali rischi per la privacy e la sicurezza delle app sanitarie?

I principali rischi derivanti dall’utilizzo delle app di mHealth rientrano in tre categorie: insufficiente sicurezza dei dati, eccessiva condivisione dei dati e politiche sulla privacy mal formulate o deliberatamente evasive.

1. Problemi di sicurezza dei dati

Questi spesso derivano dal fatto che gli sviluppatori non riescono a seguire le regole delle migliori pratiche in materia di sicurezza informatica. Potrebbero includere:

• App che non sono più supportate o che non ricevono aggiornamenti: i fornitori potrebbero non disporre di un programma di divulgazione/gestione delle vulnerabilità o essere poco interessati ad aggiornare i propri prodotti. Qualunque sia il motivo, se il software non riceve aggiornamenti, significa che potrebbe essere pieno di vulnerabilità che gli aggressori possono sfruttare per rubare i tuoi dati.
• Protocolli non sicuri: le app che utilizzano protocolli di comunicazione non sicuri possono esporre gli utenti al rischio che gli hacker intercettino i loro dati in transito dall'app al back-end o ai server cloud del provider, dove vengono elaborati.
• Nessuna autenticazione a più fattori (MFA): la maggior parte dei servizi affidabili oggi offre l'MFA come un modo per rafforzare la sicurezza nella fase di accesso. Senza di essa, gli hacker potrebbero ottenere la tua password tramite phishing o una violazione separata (se riutilizzi le password su app diverse) e accedere come se fossero te.
• Scarsa gestione delle password: ad esempio, app che consentono agli utenti di mantenere le password predefinite di fabbrica o di impostare credenziali non sicure come "passw0rd" o "111111". Ciò lascia l'utente esposto al credential stuffing e ad altri tentativi di forza bruta di violare i propri account.
• Sicurezza aziendale: le società di app potrebbero anche disporre di controlli e processi di sicurezza limitati nel proprio ambiente di archiviazione dei dati. Ciò potrebbe includere una scarsa formazione sulla consapevolezza degli utenti, un anti-malware limitato e un rilevamento limitato di endpoint/rete, nessuna crittografia dei dati, controlli di accesso limitati e nessuna gestione delle vulnerabilità o processi di risposta agli incidenti in atto. Tutto ciò aumenta le possibilità che possano subire una violazione dei dati.

2. Condivisione eccessiva dei dati

Le informazioni sanitarie degli utenti (PHI) possono includere dettagli altamente sensibili su malattie sessualmente trasmissibili, aggiunta di sostanze o altre condizioni stigmatizzate. Questi possono essere venduti o condivisi con terze parti, inclusi inserzionisti per marketing e annunci mirati. Tra gli esempi notato da Mozilla sono fornitori di mHealth che:

• combinare le informazioni sugli utenti con i dati acquistati da broker di dati, siti di social media e altri fornitori per creare profili di identità più completi,
• non consentire agli utenti di richiedere la cancellazione di dati specifici,
• utilizzare le inferenze fatte sugli utenti quando rispondono a questionari di iscrizione che pongono domande rivelatrici sull'orientamento sessuale, la depressione, l'identità di genere e altro ancora,
• consentire cookie di sessione di terze parti che identificano e tracciano gli utenti su altri siti Web per pubblicare annunci pertinenti,
• consentire la registrazione della sessione, che monitora i movimenti, lo scorrimento e la digitazione del mouse dell'utente.

3. Politiche sulla privacy poco chiare

Alcuni fornitori di servizi di mHealth potrebbero non essere sinceri riguardo ad alcune delle pratiche sulla privacy di cui sopra, utilizzando un linguaggio vago o nascondendo le loro attività in caratteri piccoli nei Termini e condizioni. Ciò può dare agli utenti un falso senso di sicurezza/privacy.

Cosa dice la legge

• GDPR: La principale legge europea sulla protezione dei dati è piuttosto inequivocabile riguardo alle organizzazioni che gestiscono le categorie speciali PHI. Gli sviluppatori devono condurre valutazioni dell’impatto sulla privacy, seguire i principi del diritto alla cancellazione e della minimizzazione dei dati e adottare “misure tecniche adeguate” per garantire che siano integrate “le garanzie necessarie” per proteggere i dati personali.
• HIPAA: Le app di mHealth offerte da fornitori commerciali per l'utilizzo da parte di privati ​​non sono coperte dall'HIPAA, perché i fornitori non sono un "entità coperta" O "socio d'affari.” Tuttavia, alcuni lo sono e richiedono l'adozione di adeguate misure di salvaguardia amministrativa, fisica e tecnica, nonché un controllo annuale Analisi del rischio.
• CCPA e CMIA: I residenti in California hanno due atti legislativi che proteggono la loro sicurezza e privacy in un contesto di mHealth: il Confidentiality of Medical Information Act (CMIA) e il California Consumer Privacy Act (CCPA). Queste richiedono un elevato standard di protezione dei dati e un consenso esplicito. Tuttavia, si applicano solo ai californiani.

Adottare misure per proteggere la tua privacy

Ognuno avrà una diversa propensione al rischio. Alcuni troveranno il compromesso tra servizi/pubblicità personalizzati e privacy quello che sono disposti a fare. Altri potrebbero non preoccuparsi se alcuni dati medici vengono violati o venduti a terzi. Si tratta di trovare il giusto equilibrio. Se sei preoccupato, considera quanto segue:

• Fai le tue ricerche prima di scaricare. Scopri cosa dicono gli altri utenti e se ci sono segnali di allarme da parte di revisori fidati
• Limita ciò che condividi tramite queste app e presumi che tutto ciò che dici possa essere condiviso
• Non collegare l'app ai tuoi account di social media né utilizzarli per accedere. Ciò limiterà i dati che possono essere condivisi con queste aziende
• Non concedere l'autorizzazione alle app per accedere alla fotocamera, alla posizione, ecc. del tuo dispositivo.
• Limita il monitoraggio degli annunci nelle impostazioni sulla privacy del tuo telefono
• Utilizza sempre l'MFA laddove offerto e crea password complesse e univoche
• Mantieni l'app sulla versione più recente (più sicura).

Da quando la causa Roe vs Wade è stata ribaltata, il dibattito sulla privacy nel settore mHealth ha preso una piega preoccupante. Alcuni hanno lanciato l'allarme che i dati dei contatori del ciclo potrebbero essere utilizzati nei procedimenti giudiziari contro le donne che cercano di interrompere la gravidanza. Per un numero crescente di persone alla ricerca di app di mHealth rispettose della privacy, la posta in gioco non potrebbe essere più alta.