Sfaturi pentru protecția vieții private: precauții de aplicat atunci când utilizați o aplicație mobilă de sănătate


Având în vedere practicile lipsite de transparență pentru colectarea datelor în cazul unor aplicații de tip mHealth, vă recomandăm să analizați cu atenție atunci când alegeți să partajați unele dintre cele mai sensibile date.

În economia digitală actuală, există o aplicație mobilă pentru aproape orice. Un domeniu care este în plină expansiune mai mult decât majoritatea este asistența medicală. De la instrumente de urmărire a menstruației și a fertilității până la sănătate mintală și mindfulness, există aplicații mobile de sănătate (mHealth) disponibile pentru aproape orice afecțiune. De fapt, este o piață care înregistrează deja o creștere de două cifre și se preconizează că va atinge o valoare estimată la 861 de miliarde de dolari până în 2030.

Dar atunci când utilizați aceste aplicații, ați putea partaja unele dintre cele mai sensibile date pe care le dețineți. De fapt, GDPR clasifică informațiile medicale ca date de „categorie specială”, ceea ce înseamnă că ar putea „crea riscuri semnificative pentru drepturile și libertățile fundamentale ale individului” dacă sunt divulgate. De aceea, autoritățile de reglementare impun organizațiilor să ofere protecție suplimentară pentru acestea.

Din păcate, nu toți dezvoltatorii de aplicații au în vedere interesul utilizatorilor lor sau nu știu întotdeauna cum să-i protejeze. Aceștia ar putea implementa măsuri insuficiente de protecție a datelor sau s-ar putea să nu clarifice întotdeauna cât de mult din informațiile dvs. personale le partajează terților. Având în vedere acest lucru, haideți să aruncăm o privire la principalele riscuri de confidențialitate și securitate ale utilizării acestor aplicații și cum puteți rămâne în siguranță.

Care sunt cele mai importante riscuri pentru confidențialitatea și securitatea în cadrul unei aplicații de sănătate?

Principalele riscuri ale utilizării aplicațiilor mHealth se împart în trei categorii: securitate insuficientă a datelor, partajare excesivă a datelor și politici de confidențialitate prost formulate sau evazive în mod deliberat.

1. Preocupări privind securitatea datelor

Acestea provin adesea din faptul că dezvoltatorii nu respectă regulile de bune practici privind securitatea cibernetică. Acestea ar putea include:

  • Aplicații care nu mai beneficiază de suport sau care nu primesc actualizări: este posibil ca furnizorii să nu aibă un program de dezvăluire/gestionare a vulnerabilităților sau să fie puțin interesați de actualizarea produselor lor. Indiferent de motiv, dacă software-ul nu primește actualizări, înseamnă că poate fi plin de vulnerabilități pe care atacatorii le pot exploata pentru a vă fura datele.
  • Protocoale nesigure: aplicațiile care folosesc protocoale de comunicații nesigure pot expune utilizatorii la riscul ca hackerii să le intercepteze datele aflate în tranzit de la aplicație către serverele de back-end ale furnizorului sau serverele cloud, unde sunt procesate.
  • Lipsa autentificării multi-factor (MFA): cele mai multe servicii de renume oferă MFA ca o modalitate de a consolida securitatea în etapa de conectare. Fără aceasta, hackerii ar putea să vă obțină parola prin phishing sau printr-o breșă de date separată (dacă reutilizați aceleași parole în diferite aplicații) și să se conecteze în cont ca și cum ar fi dvs.
  • Gestionare slabă a parolelor: de exemplu, aplicațiile care permit utilizatorilor să păstreze parolele implicite din fabrică sau să stabilească date de conectare vulnerabile, cum ar fi „passw0rd” sau „111111”. Acest lucru lasă utilizatorii expuși la atacuri de tip credential stuffing și atacuri de tip forță brută ale hackerilor care doresc să le spargă conturile.
  • Securitatea de nivel enterprise: companiile de aplicații pot avea, de asemenea, controale și procese de securitate limitate în propriul mediu de stocare a datelor. Aceasta ar putea include o pregătire slabă în ceea ce privește conștientizarea riscurilor din partea utilizatorilor, detectare anti-malware și endpoint limitate, lipsa de criptare a datelor, controale limitate de acces și lipsa proceselor de gestionare a vulnerabilităților sau de răspuns la incidente. Toate acestea cresc șansele de a suferi o breșă de date.

 

CITEȘTE ȘI: Monitorizează fiecare mișcare a noastră: trackerele de fitness ridică însă riscuri de confidențialitate?

2. Partajarea excesivă a datelor

Informațiile de sănătate ale utilizatorilor (PHI) pot include detalii extrem de sensibile despre boli, scheme de tratament sau alte chestiuni confidențiale. Acestea pot fi vândute sau partajate unor terți, inclusiv agențiilor de publicitate pentru marketing și reclame direcționate. Printre exemplele observate de browserul Mozilla se numără furnizorii de mHealth care:

  • combină informațiile despre utilizatori cu datele cumpărate de la brokerii de date, site-urile de social media și alți furnizori pentru a construi profiluri de identitate mai complete;
  • nu permit utilizatorilor să solicite ștergerea anumitor date;
  • folosesc formulări prin care solicită utilizatorilor, în cadrul chestionarelor de sign-up, să răspundă la întrebări revelatoare despre orientarea sexuală, depresie, identitatea de gen și multe altele;
  • permit folosirea cookie-urilor de tip third-party care identifică și urmăresc utilizatorii pe alte site-uri web pentru a le difuza reclame relevante;
  • permit înregistrarea sesiunii, care monitorizează mișcările mouse-ului utilizatorului, scrolling-ul acestuia și ce taste folosește cel mai des.

 

3. Politici de confidențialitate neclare

Este posibil ca unii furnizori de mHealth să nu fie sinceri cu privire la unele dintre practicile de confidențialitate de mai sus, folosind un limbaj vag sau ascunzând termeni și condiții în paragrafele cu litere mici ale T&C. Acest lucru poate oferi utilizatorilor un fals sentiment de securitate/confidențialitate.

Ce spune legea

GDPR: Legea emblematică a Europei privind protecția datelor este destul de clară în ceea ce privește organizațiile care gestionează PHI de categorie specială. Dezvoltatorii trebuie să efectueze evaluări ale impactului asupra confidențialității, să urmeze principiile privind dreptul la ștergere și minimizare a datelor și să ia „măsuri tehnice adecvate” pentru a se asigura că sunt incluse „garanțiile necesare” pentru a proteja datele personale.

HIPAA: aplicațiile mHealth oferite de furnizorii comerciali pentru utilizarea de către persoane fizice nu sunt acoperite de HIPAA, deoarece vânzătorii nu sunt o „entitate inclusă” sau un „asociat de afaceri”. Cu toate acestea, cele care sunt acoperite, necesită garanții administrative, fizice și tehnice adecvate, precum și o analiză anuală a riscurilor.

CCPA și CMIA: Rezidenții din California, SUA, au două acte legislative care le protejează securitatea și confidențialitatea într-un context de mHealth: Legea privind confidențialitatea informațiilor medicale (CMIA) și Legea privind confidențialitatea consumatorilor din California (CCPA). Acestea impun un standard ridicat de protecție a datelor și consimțământ explicit. Cu toate acestea, ele se aplică numai locuitorilor din California.

Luați măsuri pentru a vă proteja confidențialitatea

Fiecare utilizator are cerințe și așteptări diferite. Unii vor găsi compromisul dintre serviciile/publicitatea personalizate și confidențialitate unul pe care sunt dispuși să îl facă. Alții ar putea să nu fie deranjați dacă unele date medicale sunt compromise sau vândute către terți. Este vorba despre găsirea echilibrului potrivit. Dacă sunteți îngrijorat, luați în considerare următoarele:

  • Analizați aplicațiile înainte de descărcare: vedeți ce spun alți utilizatori și dacă există semnale de îngrijorare din partea recenziilor.
  • Limitați ceea ce distribuiți prin aceste aplicații și presupuneți că orice informație transmisă poate fi distribuită mai departe. 
  • Nu conectați aplicația la conturile de rețele sociale și nu le folosiți pentru a vă conecta la respectiva aplicație. Acest lucru va limita datele care pot fi partajate cu astfel de companii.
  • Nu acordați aplicațiilor permisiunea de a accesa camera dispozitivului, locația etc.
  • Limitați urmărirea anunțurilor în setările de confidențialitate ale telefonului dvs.
  • Folosiți întotdeauna MFA acolo această opțiune este oferită și creați parole puternice și unice.
  • Păstrați aplicația actualizată cu cea mai recentă versiune (cea mai sigură).

 

Phil Muncaster April 5, 2024

Lasa un comentariu