Prywatności

Biorąc pod uwagę niezdrowe nawyki gromadzenia danych w niektórych aplikacjach m-zdrowia, zalecamy ostrożność przy wyborze osoby, której udostępniasz niektóre z najbardziej wrażliwych danych

Phila Muncastera

Marzec 19 2024
 • 
,
5 minuta. czytać

W dzisiejszej gospodarce cyfrowej istnieje aplikacja do niemal wszystkiego. Jednym z obszarów, który rozwija się bardziej niż większość, jest opieka zdrowotna. Od monitorów okresu i płodności po zdrowie psychiczne i uważność – dostępne są mobilne aplikacje zdrowotne (mHealth), które pomagają w niemal każdej chorobie. Tak naprawdę jest to rynek, który już odnotowuje dwucyfrowy wzrost i który będzie wart swojej ceny szacowany 861 miliardów dolarów według 2030.

Jednak korzystając z tych aplikacji, możesz udostępniać najbardziej wrażliwe dane, jakie posiadasz. W rzeczywistości, RODO klasyfikuje informacje medyczne jako dane „kategorii specjalnej”, co oznacza, że ​​w przypadku ich ujawnienia mogą „spowodować znaczne ryzyko dla podstawowych praw i wolności jednostki”. Dlatego też organy regulacyjne zobowiązują organizacje do zapewnienia dodatkowej ochrony.

Niestety nie wszyscy twórcy aplikacji mają na uwadze dobro swoich użytkowników i nie zawsze wiedzą, jak je chronić. Mogą oszczędzać na środkach ochrony danych lub nie zawsze to robią wyjaśnij to co do tego, ile Twoich danych osobowych udostępniają stronom trzecim. Mając to na uwadze, przyjrzyjmy się głównym zagrożeniom dla prywatności i bezpieczeństwa związanym z korzystaniem z tych aplikacji oraz temu, jak możesz zachować bezpieczeństwo.

Jakie są największe zagrożenia dla prywatności i bezpieczeństwa aplikacji zdrowotnych?

Główne zagrożenia związane z korzystaniem z aplikacji m-zdrowia można podzielić na trzy kategorie: niewystarczające bezpieczeństwo danych, nadmierne udostępnianie danych oraz źle sformułowana polityka prywatności lub celowe omijanie jej.

1. Obawy dotyczące bezpieczeństwa danych

Często wynikają one z nieprzestrzegania przez programistów najlepszych praktyk w zakresie cyberbezpieczeństwa. Mogą one obejmować:

• Aplikacje, które nie są już obsługiwane lub nie otrzymują aktualizacji: dostawcy mogą nie posiadać programu ujawniania/zarządzania lukami w zabezpieczeniach lub nie są zainteresowani aktualizacją swoich produktów. Niezależnie od przyczyny, jeśli oprogramowanie nie otrzymuje aktualizacji, może to oznaczać, że może być pełne luk w zabezpieczeniach, które osoby atakujące mogą wykorzystać do kradzieży danych.
• Niebezpieczne protokoły: aplikacje korzystające z niepewnych protokołów komunikacyjnych mogą narazić użytkowników na ryzyko przechwycenia przez hakerów ich danych przesyłanych z aplikacji do serwera zaplecza dostawcy lub serwerów w chmurze, gdzie są przetwarzane.
• Brak uwierzytelniania wieloskładnikowego (MFA): większość renomowanych usług oferuje obecnie usługę MFA jako sposób na zwiększenie bezpieczeństwa na etapie logowania. Bez tego hakerzy mogliby uzyskać Twoje hasło poprzez phishing lub osobne naruszenie (jeśli używasz haseł w różnych aplikacjach) i zalogować się tak, jakbyś to był Ty.
• Słabe zarządzanie hasłami: na przykład aplikacje, które pozwalają użytkownikom zachować fabryczne hasła domyślne lub ustawić niepewne dane uwierzytelniające, takie jak „passw0rd” lub „111111”. Naraża to użytkownika na fałszowanie danych uwierzytelniających i inne próby włamania się na jego konta metodą brutalnej siły.
• Bezpieczeństwo przedsiębiorstwa: firmy tworzące aplikacje mogą również mieć ograniczone mechanizmy kontroli i procesy bezpieczeństwa we własnym środowisku przechowywania danych. Może to obejmować słabe szkolenie w zakresie świadomości użytkowników, ograniczone wykrywanie złośliwego oprogramowania i punktów końcowych/sieci, brak szyfrowania danych, ograniczoną kontrolę dostępu oraz brak procesów zarządzania lukami w zabezpieczeniach i reagowania na incydenty. Wszystko to zwiększa ryzyko naruszenia bezpieczeństwa danych.

2. Nadmierne udostępnianie danych

Informacje zdrowotne użytkowników (PHI) mogą zawierać bardzo wrażliwe dane na temat chorób przenoszonych drogą płciową, zażywania substancji psychoaktywnych lub innych napiętnowanych schorzeń. Mogą one być sprzedawane lub udostępniane stronom trzecim, w tym reklamodawcom w celach marketingowych i reklam ukierunkowanych. Wśród przykładów odnotowane przez Mozillę to dostawcy usług m-zdrowia, którzy:

• łączenia informacji o użytkownikach z danymi zakupionymi od brokerów danych, serwisów społecznościowych i innych dostawców w celu budowania pełniejszych profili tożsamości,
• nie pozwalać użytkownikom na żądanie usunięcia określonych danych,
• wykorzystuj wnioski wyciągnięte na temat użytkowników podczas wypełniania kwestionariuszy rejestracyjnych, które zadają odkrywcze pytania dotyczące orientacji seksualnej, depresji, tożsamości płciowej i nie tylko,
• zezwalaj na sesyjne pliki cookie stron trzecich, które identyfikują i śledzą użytkowników w innych witrynach internetowych w celu wyświetlania odpowiednich reklam,
• umożliwiają nagrywanie sesji, które monitoruje ruchy myszy użytkownika, przewijanie i pisanie.

3. Niejasna polityka prywatności

Niektórzy dostawcy usług m-zdrowia mogą nie informować otwarcie o niektórych z powyższych praktyk dotyczących prywatności, używać niejasnego języka lub ukrywać swoją działalność drobnym drukiem w Regulaminie. Może to dawać użytkownikom fałszywe poczucie bezpieczeństwa/prywatności.

Co mówi prawo

• RODO: Sztandarowe europejskie prawo o ochronie danych jest dość jednoznaczne w odniesieniu do organizacji obsługujących PHI specjalnej kategorii. Programiści muszą przeprowadzić oceny wpływu na prywatność, przestrzegać zasad prawa do usunięcia i minimalizacji danych oraz podjąć „odpowiednie środki techniczne”, aby zapewnić „niezbędne zabezpieczenia” w celu ochrony danych osobowych.
• HIPAA: Aplikacje m-zdrowia oferowane przez dostawców komercyjnych do użytku osobom fizycznym nie są objęte ustawą HIPAA, ponieważ dostawcy nie są „objęty podmiotem" Lub "wspólnik biznesowy.” Jednak niektóre są – i wymagają odpowiednich zabezpieczeń administracyjnych, fizycznych i technicznych, a także rocznych Analiza ryzyka.
• CCPA i CMIA: Mieszkańcy Kalifornii mają dwa akty prawne chroniące ich bezpieczeństwo i prywatność w kontekście m-zdrowia: ustawa o poufności informacji medycznych (CMIA) i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA). Te wymagają wysoki standard ochrony danych i wyraźna zgoda. Dotyczą one jednak wyłącznie Kalifornijczyków.

Podejmowanie kroków w celu ochrony Twojej prywatności

Każdy będzie miał inny apetyt na ryzyko. Niektórzy uznają kompromis między spersonalizowanymi usługami/reklamami a prywatnością jako taki, na jaki chcą się zdecydować. Inni mogą nie przejmować się naruszeniem niektórych danych medycznych lub ich sprzedażą osobom trzecim. Chodzi o znalezienie właściwej równowagi. Jeśli się martwisz, rozważ następujące kwestie:

• Przed pobraniem wykonaj badania. Zobacz, co mówią inni użytkownicy i czy są jakieś sygnały ostrzegawcze od zaufanych recenzentów
• Ogranicz to, co udostępniasz za pośrednictwem tych aplikacji i załóż, że wszystko, co powiesz, może zostać udostępnione
• Nie łącz aplikacji ze swoimi kontami w mediach społecznościowych ani nie używaj ich do logowania się. Ograniczy to zakres danych, które można udostępniać tym firmom
• Nie udzielaj aplikacjom uprawnień aby uzyskać dostęp do kamery urządzenia, lokalizacji itp.
• Ogranicz śledzenie reklam w ustawieniach prywatności telefonu
• Zawsze korzystaj z usługi MFA, jeśli jest to oferowane, i twórz silne, unikalne hasła
• Trzymaj aplikację w najnowszej (najbezpieczniejszej) wersji

Od czasu unieważnienia wyroku w sprawie Roe vs Wade debata na temat prywatności w m-zdrowiu przybrała niepokojący obrót. Niektóre podnieśli alarm że dane z urządzeń monitorujących okres można wykorzystać w ściganiu kobiet chcących przerwać ciążę. Dla rosnącej liczby osób poszukujących aplikacji m-zdrowia szanujących prywatność stawka nie może być wyższa.