Integritetspolicy

Med tanke på de ohälsosamma datainsamlingsvanorna hos vissa mHealth-appar, rekommenderar vi att du är försiktig när du väljer vem du delar några av dina mest känsliga uppgifter med.

Phil Muncaster

Mars 19 2024
 • 
,
5 min. läsa

I dagens digitala ekonomi finns det en app för nästan allt. Ett område som blomstrar mer än de flesta är sjukvården. Från period- och fertilitetsspårare till mental hälsa och mindfulness, det finns mobila hälsoapplikationer (mHealth) tillgängliga för att hjälpa till med nästan alla tillstånd. Faktum är att det är en marknad som redan upplever tvåsiffrig tillväxt och som kommer att vara värd en uppskattad 861 miljarder dollar år 2030.

Men när du använder dessa appar kan du dela några av de mest känsliga uppgifterna du har. Faktum är att GDPR klassificerar medicinsk information som "särskild kategori", vilket betyder att den kan "skapa betydande risker för individens grundläggande rättigheter och friheter" om den avslöjas. Det är därför tillsynsmyndigheter mandat organisationer ger extra skydd för det.

Tyvärr har inte alla apputvecklare användarnas bästa i åtanke, eller vet alltid hur man skyddar dem. De kanske snålar med dataskyddsåtgärder, eller så kanske de inte alltid göra det klart om hur mycket av din personliga information de delar med tredje part. Med det i åtanke, låt oss ta en titt på de viktigaste integritets- och säkerhetsriskerna med att använda dessa appar, och hur du kan vara säker.

Vilka är de största riskerna för integritets- och säkerhetsriskerna för hälsoappar?

De största riskerna med att använda mHealth-appar delas in i tre kategorier: otillräcklig datasäkerhet, överdriven datadelning och dåligt formulerade eller medvetet undvikande sekretesspolicyer.

1. Datasäkerhetsproblem

Dessa beror ofta på att utvecklare inte följer bästa praxis-regler för cybersäkerhet. De kan inkludera:

• Appar som inte längre stöds eller som inte får uppdateringar: Leverantörer kanske inte har ett program för avslöjande/hantering av sårbarheter på plats, eller är lite intresserade av att uppdatera sina produkter. Oavsett orsaken, om programvaran inte får uppdateringar, betyder det att den kan vara full av sårbarheter som angripare kan utnyttja för att stjäla dina data.
• Osäkra protokoll: Appar som använder osäkra kommunikationsprotokoll kan utsätta användare för risken att hackare fångar upp deras data under överföring från appen till leverantörens back-end eller molnservrar, där den bearbetas.
• Ingen multifaktorautentisering (MFA): De flesta välrenommerade tjänster idag erbjuder MFA som ett sätt att stärka säkerheten vid inloggningsstadiet. Utan det kan hackare få ditt lösenord via nätfiske eller ett separat intrång (om du återanvänder lösenord i olika appar) och logga in som om de vore du.
• Dålig lösenordshantering: Till exempel appar som tillåter användare att behålla fabriksstandardlösenord, eller ställa in osäkra autentiseringsuppgifter som "passw0rd" eller "111111." Detta gör att användaren utsätts för inloggningsfyllning och andra brute force-försök att knäcka sina konton.
• Företagssäkerhet: Appföretag kan också ha begränsade säkerhetskontroller och processer på plats i sin egen datalagringsmiljö. Detta kan inkludera dålig utbildning för användarmedvetenhet, begränsad anti-skadlig programvara och slutpunkts-/nätverksdetektering, ingen datakryptering, begränsade åtkomstkontroller och ingen sårbarhetshantering eller incidentresponsprocesser på plats. Dessa ökar alla chanserna att de kan drabbas av ett dataintrång.

2. Överdriven datadelning

Användarnas hälsoinformation (PHI) kan innehålla mycket känsliga uppgifter om sexuellt överförbara sjukdomar, tillsats av substanser eller andra stigmatiserade tillstånd. Dessa kan säljas eller delas till tredje part, inklusive annonsörer för marknadsföring och riktade annonser. Bland exemplen noterat av Mozilla är mHealth-leverantörer som:

• kombinera information om användare med data köpt från datamäklare, sociala medier och andra leverantörer för att bygga mer kompletta identitetsprofiler,
• inte tillåta användare att begära radering av specifik data,
• använda slutsatser gjorda om användare när de svarar på frågeformulär som ställer avslöjande frågor om sexuell läggning, depression, könsidentitet och mer,
• tillåta sessionscookies från tredje part som identifierar och spårar användare på andra webbplatser för att visa relevanta annonser,
• tillåter sessionsinspelning, som övervakar användarens musrörelser, rullning och skrivning.

3. Otydliga integritetspolicyer

Vissa mHealth-leverantörer kanske inte är på förhand om vissa av ovanstående sekretesspraxis, använder vaga språk eller gömmer sina aktiviteter i det finstilta i allmänna villkor. Detta kan ge användarna en falsk känsla av säkerhet/integritet.

Vad lagen säger

• BRP: Europas flaggskeppsdataskyddslagstiftning är ganska otvetydig när det gäller organisationer som hanterar specialkategori PHI. Utvecklare måste genomföra integritetskonsekvensbedömningar, följa principerna för rätten till radering och dataminimering och vidta "lämpliga tekniska åtgärder" för att säkerställa att "nödvändiga skyddsåtgärder" är inbakade, för att skydda personuppgifter.
• HIPAA: mHealth-appar som erbjuds av kommersiella leverantörer för användning av privatpersoner omfattas inte av HIPAA, eftersom leverantörer inte är en "omfattas enhet" eller "Affärspartner.” Vissa är dock – och kräver lämpliga administrativa, fysiska och tekniska skyddsåtgärder på plats, samt en årlig Riskanalys.
• CCPA och CMIA: Kaliforniska invånare har två lagar som skyddar deras säkerhet och integritet i ett mHealth-sammanhang: lagen om konfidentialitet för medicinsk information (CMIA) och lagen om konsumentskydd i Kalifornien (CCPA). Dessa kräver en hög standard för dataskydd och uttryckligt samtycke. De gäller dock bara för kalifornier.

Vidta åtgärder för att skydda din integritet

Alla kommer att ha olika riskaptit. Vissa kommer att finna avvägningen mellan personliga tjänster/reklam och sekretess som de är villiga att göra. Andra kanske inte bryr sig om vissa medicinska data bryts eller säljs till tredje part. Det handlar om att hitta rätt balans. Om du är orolig, överväg följande:

• Gör din forskning innan du laddar ner. Se vad andra användare säger och om det finns några röda flaggor från betrodda granskare
• Begränsa vad du delar via dessa appar och anta att allt du säger kan delas
• Anslut inte appen till dina sociala mediekonton eller använd dem för att logga in. Detta begränsar vilken data som kan delas med dessa företag
• Ge inte apparna tillåtelse för att komma åt enhetens kamera, plats osv.
• Begränsa annonsspårning i telefonens sekretessinställningar
• Använd alltid MFA där det erbjuds och skapa starka, unika lösenord
• Håll appen på den senaste (säkraste) versionen

Sedan Roe vs Wade störtades har debatten om mHealths integritet tagit en oroande vändning. Några har slagit larm att data från periodspårare skulle kunna användas i åtal mot kvinnor som vill avsluta sina graviditeter. För ett växande antal människor som letar efter integritetsrespekterande mHealth-appar, kunde insatserna inte vara högre.