Политика

Учитывая нездоровые привычки сбора данных в некоторых приложениях мобильного здравоохранения, вам рекомендуется действовать осторожно при выборе того, с кем вы поделитесь некоторыми из своих наиболее конфиденциальных данных.

Фил Манкастер

Март 19 2024
 • 
,
5 минута. читать

В современной цифровой экономике практически для всего есть приложение. Одна из областей, которая процветает больше остальных, — это здравоохранение. От трекеров менструации и фертильности до психического здоровья и осознанности — существуют мобильные приложения для здоровья (mHealth), которые помогут практически при любом заболевании. Фактически, этот рынок уже демонстрирует двузначный рост и, по всей видимости, будет стоить примерно $ 861 млрд. 2030.

Но при использовании этих приложений вы можете поделиться некоторыми из наиболее конфиденциальных данных, которыми вы владеете. Фактически, GDPR классифицирует медицинская информация отнесена к данным «особой категории», что означает, что в случае ее раскрытия она может «создать значительный риск для основных прав и свобод человека». Вот почему регулирующие органы обязывают организации обеспечивать дополнительную защиту.

К сожалению, не все разработчики приложений учитывают интересы своих пользователей и не всегда знают, как их защитить. Они могут экономить на мерах по защите данных или не всегда могут уточни относительно того, какую часть вашей личной информации они передают третьим лицам. Имея это в виду, давайте посмотрим на основные риски конфиденциальности и безопасности, связанные с использованием этих приложений, а также на то, как вы можете оставаться в безопасности.

Каковы основные риски конфиденциальности и безопасности приложений для здоровья?

Основные риски использования приложений мобильного здравоохранения делятся на три категории: недостаточная безопасность данных, чрезмерный обмен данными и плохо сформулированные или намеренно уклончивые политики конфиденциальности.

1. Проблемы безопасности данных

Они часто возникают из-за того, что разработчики не следуют лучшим практикам в области кибербезопасности. Они могут включать:

• Приложения, которые больше не поддерживаются или не получают обновлений. Поставщики могут не иметь программы раскрытия/управления уязвимостями или мало интересоваться обновлением своих продуктов. Какой бы ни была причина, если программное обеспечение не получает обновлений, это означает, что оно может быть пронизано уязвимостями, которые злоумышленники могут использовать для кражи ваших данных.
• Небезопасные протоколы. Приложения, использующие небезопасные протоколы связи, могут подвергнуть пользователей риску перехвата хакерами их данных при передаче из приложения на серверные или облачные серверы провайдера, где они обрабатываются.
• Никакой многофакторной аутентификации (MFA). Сегодня большинство авторитетных сервисов предлагают MFA как способ повысить безопасность на этапе входа в систему. Без него хакеры могли бы получить ваш пароль посредством фишинга или отдельного взлома (если вы повторно используете пароли в разных приложениях) и войти в систему, как если бы они были вами.
• Плохое управление паролями. Например, приложения, которые позволяют пользователям сохранять заводские пароли по умолчанию или устанавливать небезопасные учетные данные, такие как «passw0rd» или «111111». Это делает пользователя уязвимым для подброса учетных данных и других попыток грубого взлома его учетных записей.
• Корпоративная безопасность. Компании, производящие приложения, также могут иметь ограниченные средства контроля и процессов безопасности в своей собственной среде хранения данных. Это может включать плохую подготовку пользователей, ограниченную защиту от вредоносных программ и обнаружение конечных точек/сетей, отсутствие шифрования данных, ограниченный контроль доступа, а также отсутствие процессов управления уязвимостями или реагирования на инциденты. Все это увеличивает вероятность утечки данных.

2. Чрезмерный обмен данными

Медицинская информация пользователей (PHI) может включать весьма конфиденциальную информацию о заболеваниях, передающихся половым путем, употреблении психоактивных веществ или других стигматизированных состояниях. Они могут быть проданы или переданы третьим лицам, включая рекламодателей, для маркетинговой и целевой рекламы. Среди примеров отмечено Mozilla являются поставщиками мобильного здравоохранения, которые:

• объединить информацию о пользователях с данными, приобретенными у брокеров данных, сайтов социальных сетей и других поставщиков, для создания более полных профилей личности,
• не разрешать пользователям запрашивать удаление определенных данных,
• использовать выводы, сделанные о пользователях, когда они заполняют регистрационные анкеты, в которых задаются показательные вопросы о сексуальной ориентации, депрессии, гендерной идентичности и многом другом,
• разрешить сторонним сеансовым файлам cookie, которые идентифицируют и отслеживают пользователей на других веб-сайтах для показа релевантной рекламы,
• разрешить запись сеанса, которая отслеживает движения мыши, прокрутку и ввод текста пользователя.

3. Неясная политика конфиденциальности

Некоторые поставщики услуг мобильного здравоохранения могут не заявлять заранее о некоторых из вышеперечисленных мер конфиденциальности, используя расплывчатые формулировки или скрывая свою деятельность мелким шрифтом в Условиях и положениях. Это может дать пользователям ложное ощущение безопасности/конфиденциальности.

Что говорит закон

• GDPR: Флагманский европейский закон о защите данных довольно недвусмысленен в отношении организаций, обрабатывающих специальную категорию PHI. Разработчикам необходимо провести оценку воздействия на конфиденциальность, следовать принципам права на удаление и минимизации данных, а также принять «соответствующие технические меры», чтобы обеспечить «необходимые меры защиты» для защиты личных данных.
• ЗИПАА: Приложения мобильного здравоохранения, предлагаемые коммерческими поставщиками для использования частными лицами, не подпадают под действие HIPAA, поскольку поставщики не являются «покрытая организация" или "деловой партнер». Тем не менее, некоторые из них требуют наличия соответствующих административных, физических и технических мер безопасности, а также ежегодного Анализ рисков.
• CCPA и CMIA: У жителей Калифорнии есть два законодательных акта, защищающих их безопасность и конфиденциальность в контексте мобильного здравоохранения: Закон о конфиденциальности медицинской информации (CMIA) и Закон Калифорнии о конфиденциальности потребителей (CCPA). Эти требования высокие стандарты защиты данных и явное согласие. Однако они касаются только жителей Калифорнии.

Принятие мер для защиты вашей конфиденциальности

У каждого будет разный склонность к риску. Некоторые найдут компромисс между персонализированными услугами/рекламой и конфиденциальностью, на который они готовы пойти. Других может не беспокоить, если некоторые медицинские данные будут взломаны или проданы третьим лицам. Речь идет о поиске правильного баланса. Если вы обеспокоены, подумайте о следующем:

• Проведите исследование перед загрузкой. Посмотрите, что говорят другие пользователи, и есть ли какие-либо тревожные сигналы от доверенных рецензентов.
• Ограничьте то, чем вы делитесь через эти приложения, и предполагайте, что все, что вы говорите, может быть передано.
• Не подключайте приложение к своим учетным записям в социальных сетях и не используйте их для входа. Это ограничит объем данных, которые могут быть переданы этим компаниям.
• Не давайте разрешения приложениям для доступа к камере вашего устройства, местоположению и т. д.
• Ограничьте отслеживание рекламы в настройках конфиденциальности вашего телефона.
• Всегда используйте MFA там, где это предлагается, и создавайте надежные и уникальные пароли.
• Поддерживайте последнюю (наиболее безопасную) версию приложения.

После того как дело Роу против Уэйда было отменено, дебаты по поводу конфиденциальности мобильного здравоохранения приняли тревожный оборот. Некоторый подняли тревогу что данные трекеров менструации могут быть использованы при судебном преследовании женщин, пытающихся прервать беременность. Для растущего числа людей, которые ищут приложения мобильного здравоохранения, уважающие конфиденциальность, ставки не могут быть выше.