19 maart 2024 - In de digitale economie is gezondheidszorg een
sector die het beter doet dan de meeste andere en die door een groei met twee
cijfers in 2030 naar schatting 861 miljard dollar zal waard zijn.
Als men een gezondheidsapp gebruikt, deelt men mogelijk de meest
gevoelige data die men bezit. De AVG classificeert deze medische data als een
‘speciale categorie’, die ‘aanzienlijke risico’s voor de fundamentele rechten
en vrijheden van het individu zou kunnen hebben’ als ze openbaar worden
gemaakt. Daarom verplichten toezichthouders organisaties om hieraan extra
bescherming te bieden.
Welke zijn de grootste privacy- en
beveiligingsrisico's van gezondheidsapps?
·
Zorgen inzake gegevensbeveiliging
Deze komen vaak voor
omdat ontwikkelaars de best practice-regels op het gebied van cyberbeveiliging
niet volgen, zoals:
· Apps
die niet langer ondersteund worden of geen updates ontvangen: leveranciers hebben geen programma’s voor het
openbaar maken/beheer van kwetsbaarheden, of hebben geen interesse om hun
producten te updaten. Als software geen updates ontvangt, dan kan die vol
kwetsbaarheden zitten die aanvallers kunnen misbruiken om gegevens te stelen.
· Onveilige
protocollen: apps met
onveilige communicatieprotocollen kunnen gebruikers blootstellen aan het risico
dat hackers hun gegevens onderscheppen tijdens de overdracht van de app naar de
backend- of cloudservers van de provider, waar deze worden verwerkt.
· Geen
multi-factorauthenticatie (MFA):
de meeste befaamde diensten bieden nu MFA aan als een manier om de beveiliging
tijdens de inlogfase te versterken. Was dit er niet, dan zouden hackers wachtwoorden
kunnen bemachtigen via phishing of een andere inbreuk (als men wachtwoorden in
verschillende apps hergebruikt) en gewoon kunnen inloggen.
· Slecht
wachtwoordbeheer: apps waarmee
gebruikers de standaardwachtwoorden kunnen behouden of onveilige inloggegevens
kunnen instellen, zoals 'passw0rd' of '111111'. De gebruiker wordt blootgesteld
aan ‘credential stuffing’ en andere brute krachtpogingen die zijn accounts willen
kraken.
· Bedrijfsbeveiliging: app-bedrijven hebben wellicht ook beperkte
beveiligingscontroles en processen in hun eigen gegevensopslagomgeving. Dit kan
onder meer te wijten zijn aan een slechte training in gebruikersbewustzijn,
beperkte antimalware- en eindpunt-/netwerkdetectie, geen gegevensversleuteling,
beperkte toegangscontroles en geen kwetsbaarheidsbeheer of
incidentresponsprocessen. Dit
alles vergroot de kans op een datalek.
2.
Overmatig delen van gegevens
De gezondheidsinformatie
(PHI) van gebruikers kan gevoelige details bevatten over seksueel overdraagbare
aandoeningen, toxicomanie of andere stigmatiserende aandoeningen. Deze kunnen
verkocht of met derden gedeeld worden, waaronder aan bedrijven die deze data voor
gerichte marketing en advertenties gebruiken. Bij de door Mozilla genoemde
voorbeelden zijn mHealth-aanbieders die:
· informatie over
gebruikers combineren met gegevens gekocht bij datamakelaars,
sociale-mediasites en andere aanbieders om meer complete identiteitsprofielen
samen te stellen;
· niet toestaan dat gebruikers om verwijdering
van specifieke gegevens vragen;
· gebruik maken van informatie over gebruikers
wanneer zij aanmeldingsvragenlijsten invullen met onthullende vragen over
seksuele geaardheid, depressie, gender-identiteit en meer;
· sessie-cookies van derden toestaan die
gebruikers op andere websites identificeren en volgen om gerichte advertenties te
sturen;
· sessie-opnames mogelijk maken die
muisbewegingen, scrollen en typen volgen.
3. Onduidelijk privacybeleid
Sommige mHealth-aanbieders bieden mogelijk geen duidelijkheid over
bovengenoemde privacy praktijken, gebruiken vage taal of verbergen hun
activiteiten in de kleine lettertjes van de algemene voorwaarden. Dit kan
gebruikers een vals gevoel van veiligheid/privacy geven.
Wat zegt de wet
· AVG: de Europese wet over gegevensbescherming is
eenduidig voor organisaties die met speciale PHI-categorieën omgaan. Ontwikkelaars
moeten privacy-impactbeoordelingen uitvoeren, het recht op verwijdering en
gegevensminimalisatie volgen, ‘passende technische maatregelen’ nemen om ervoor
te zorgen dat de ‘noodzakelijke waarborgen’ om persoonlijke gegevens te
beschermen ingebouwd zijn.
· HIPAA
(Health Insurance Portability
and Accountability Act):
mHealth-apps die door commerciële leveranciers worden aangeboden voor gebruik
door personen vallen niet onder de HIPAA, omdat leveranciers geen “gedekte
entiteit” of “zakenpartner” zijn. Sommige zijn het echter wel en vereisen de
juiste administratieve, fysieke en technische veiligheidsmaatregelen, alsook
een jaarlijkse risicoanalyse.
· CCPA
en CMIA: Californianen hebben
twee wetten die hun veiligheid en privacy beschermen in een mHealth-context: de
Confidentiality of Medical Information Act (CMIA) en de California Consumer
Privacy Act (CCPA). Deze vereisen een hoge standaard van gegevensbescherming en
uitdrukkelijke toestemming. Ze
zijn echter enkel van toepassing op personen uit Californië.
Maatregelen om de privacy te beschermen
· Onderzoek een app vooraleer deze te downloaden.
Kijk wat andere gebruikers zeggen en of er waarschuwingen zijn van betrouwbare
reviewers
· Beperk wat je via deze apps deelt en ga ervan
uit dat alles wat je zegt, kan gedeeld worden
· Verbind de app niet met uw sociale
media-accounts en gebruik deze ook niet om in te loggen. Dit beperkt de
gegevens die gedeeld worden.
· Geef de apps geen toegang tot de camera van uw
toestel, geen geolocatie, enz.
· Beperk in de privacy-instellingen van uw
telefoon het ontvangen van advertenties
· Gebruik altijd MFA waar het aangeboden wordt en
creëer sterke, unieke wachtwoorden
· Update altijd de app op de nieuwste (veiligste)
versie
