Privacy

Gezien de ongezonde gewoonten bij het verzamelen van gegevens van sommige mHealth-apps, wordt u geadviseerd voorzichtig te zijn bij het kiezen met wie u uw meest gevoelige gegevens deelt

Phil Muncaster

Maart 19 2024
 • 
,
5 minuut. lezen

In de huidige digitale economie is er voor vrijwel alles een app. Eén gebied dat het meest floreert is de gezondheidszorg. Van menstruatie- en vruchtbaarheidstrackers tot geestelijke gezondheid en mindfulness, er zijn mobiele gezondheidstoepassingen (mHealth) beschikbaar die u bij vrijwel elke aandoening kunnen helpen. In feite is het een markt die al een groei met dubbele cijfers doormaakt, en die zeker de moeite waard zal zijn een geschatte $ 861 miljard tegen 2030.

Maar wanneer u deze apps gebruikt, deelt u mogelijk enkele van de meest gevoelige gegevens die u bezit. In feite is de AVG classificeert medische informatie als gegevens van een “speciale categorie”, wat betekent dat deze “aanzienlijke risico’s voor de fundamentele rechten en vrijheden van het individu” zou kunnen vormen als deze openbaar wordt gemaakt. Dat is de reden waarom toezichthouders organisaties opdracht geven om er extra bescherming voor te bieden.

Helaas hebben niet alle app-ontwikkelaars de belangen van hun gebruikers voor ogen, of weten ze niet altijd hoe ze deze moeten beschermen. Het kan zijn dat ze bezuinigen op gegevensbeschermingsmaatregelen, maar dat is ook niet altijd het geval Maak het duidelijk over hoeveel van uw persoonlijke gegevens zij met derden delen. Laten we, met dat in gedachten, eens kijken naar de belangrijkste privacy- en veiligheidsrisico's van het gebruik van deze apps, en hoe u veilig kunt blijven.

Wat zijn de grootste privacy- en beveiligingsrisico's van gezondheidsapps?

De belangrijkste risico’s van het gebruik van mHealth-apps vallen in drie categorieën: onvoldoende gegevensbeveiliging, overmatig delen van gegevens en slecht geformuleerd of opzettelijk ontwijkend privacybeleid.

1. Zorgen over gegevensbeveiliging

Deze zijn vaak het gevolg van het feit dat ontwikkelaars de best practice-regels op het gebied van cyberbeveiliging niet volgen. Ze kunnen het volgende omvatten:

• Apps die niet langer worden ondersteund of geen updates ontvangen: Leveranciers beschikken mogelijk niet over een programma voor het openbaar maken/beheer van kwetsbaarheden, of hebben weinig interesse in het updaten van hun producten. Wat de reden ook is, als software geen updates ontvangt, betekent dit dat deze vol kwetsbaarheden kan zitten die aanvallers kunnen misbruiken om uw gegevens te stelen.
• Onveilige protocollen: Apps die onveilige communicatieprotocollen gebruiken, kunnen gebruikers blootstellen aan het risico dat hackers hun gegevens onderscheppen tijdens de overdracht van de app naar de back-end- of cloudservers van de provider, waar deze worden verwerkt.
• Geen multifactorauthenticatie (MFA): De meeste gerenommeerde services bieden tegenwoordig MFA als een manier om de beveiliging tijdens de inlogfase te versterken. Zonder dit zouden hackers uw wachtwoord kunnen bemachtigen via phishing of een afzonderlijke inbreuk (als u wachtwoorden in verschillende apps hergebruikt) en inloggen alsof zij u waren.
• Slecht wachtwoordbeheer: bijvoorbeeld apps waarmee gebruikers de standaardwachtwoorden kunnen behouden of onveilige inloggegevens kunnen instellen, zoals 'passw0rd' of '111111'. Hierdoor wordt de gebruiker blootgesteld aan het opvullen van inloggegevens en andere brute krachtpogingen om zijn accounts te kraken.
• Bedrijfsbeveiliging: App-bedrijven hebben mogelijk ook beperkte beveiligingscontroles en -processen in hun eigen gegevensopslagomgeving. Dit kan onder meer een slechte training in gebruikersbewustzijn, beperkte anti-malware- en eindpunt-/netwerkdetectie, geen gegevensversleuteling, beperkte toegangscontroles en geen kwetsbaarheidsbeheer of incidentresponsprocessen omvatten. Dit vergroot allemaal de kans op een datalek.

2. Overmatig delen van gegevens

De gezondheidsinformatie (PHI) van gebruikers kan zeer gevoelige details bevatten over seksueel overdraagbare aandoeningen, toevoeging van middelen of andere gestigmatiseerde aandoeningen. Deze kunnen worden verkocht of gedeeld met derden, waaronder adverteerders voor marketing en gerichte advertenties. Onder de voorbeelden opgemerkt door Mozilla zijn mHealth-aanbieders die:

• informatie over gebruikers combineren met gegevens gekocht bij datamakelaars, sociale-mediasites en andere aanbieders om completere identiteitsprofielen samen te stellen,
• sta niet toe dat gebruikers verzoeken om verwijdering van specifieke gegevens,
• gebruik maken van gevolgtrekkingen over gebruikers wanneer zij aanmeldingsvragenlijsten invullen die onthullende vragen stellen over seksuele geaardheid, depressie, genderidentiteit en meer,
• sessiecookies van derden toestaan ​​die gebruikers op andere websites identificeren en volgen om relevante advertenties weer te geven,
• maakt sessie-opname mogelijk, waarbij muisbewegingen, scrollen en typen van gebruikers worden gecontroleerd.

3. Onduidelijk privacybeleid

Sommige mHealth-aanbieders zijn mogelijk niet openhartig over sommige van de bovengenoemde privacypraktijken, gebruiken vage taal of verbergen hun activiteiten in de kleine lettertjes van de Algemene Voorwaarden. Dit kan gebruikers een vals gevoel van veiligheid/privacy geven.

Wat de wet zegt

• GDPR: De vlaggenschipwetgeving op het gebied van gegevensbescherming in Europa is vrij eenduidig ​​over organisaties die omgaan met PHI in speciale categorieën. Ontwikkelaars moeten privacy-impactbeoordelingen uitvoeren, de principes van het recht op verwijdering en gegevensminimalisatie volgen en ‘passende technische maatregelen’ nemen om ervoor te zorgen dat ‘de noodzakelijke waarborgen’ zijn ingebouwd om persoonlijke gegevens te beschermen.
• HIPAA: mHealth-apps die door commerciële leveranciers worden aangeboden voor gebruik door individuen vallen niet onder de HIPAA, omdat leveranciers geen “gedekte entiteit" of "zakenpartner.” Sommige zijn echter wel – en vereisen de juiste administratieve, fysieke en technische veiligheidsmaatregelen, evenals een jaarlijkse controle Risico analyse.
• CCPA en CMIA: Inwoners van Californië hebben twee stukken wetgeving die hun veiligheid en privacy beschermen in een m-gezondheidscontext: de Confidentiality of Medical Information Act (CMIA) en de California Consumer Privacy Act (CCPA). Deze eisen een hoog niveau van gegevensbescherming en uitdrukkelijke toestemming. Ze zijn echter alleen van toepassing op Californiërs.

Het ondernemen van stappen om uw privacy te beschermen

Iedereen zal een andere risicobereidheid hebben. Sommigen zullen de afweging tussen gepersonaliseerde diensten/reclame en privacy een afweging vinden die ze graag willen maken. Anderen vinden het misschien niet erg als bepaalde medische gegevens worden geschonden of aan derden worden verkocht. Het gaat om het vinden van de juiste balans. Als u zich zorgen maakt, overweeg dan het volgende:

• Doe je onderzoek voordat je gaat downloaden. Kijk wat andere gebruikers zeggen en of er waarschuwingen zijn van vertrouwde reviewers
• Beperk wat je deelt via deze apps en ga ervan uit dat alles wat je zegt gedeeld mag worden
• Verbind de app niet met uw sociale media-accounts en gebruik deze niet om in te loggen. Dit beperkt de gegevens die met deze bedrijven kunnen worden gedeeld.
• Geef de apps geen toestemming om toegang te krijgen tot de camera, locatie, enz. van uw apparaat.
• Beperk het volgen van advertenties in de privacy-instellingen van uw telefoon
• Gebruik altijd MFA waar aangeboden en maak sterke, unieke wachtwoorden
• Houd de app op de nieuwste (veiligste) versie

Sinds Roe vs Wade werd vernietigd, heeft het debat over de privacy van m-gezondheidszorg een zorgwekkende wending genomen. Sommige hebben alarm geslagen dat gegevens van menstruatietrackers kunnen worden gebruikt bij de vervolging van vrouwen die hun zwangerschap willen beëindigen. Voor een groeiend aantal mensen dat op zoek is naar mHealth-apps die de privacy respecteren, kan de inzet niet hoger zijn.