Als men een gezondheidsapp gebruikt, deelt men mogelijk de meest gevoelige data die men bezit. De AVG classificeert deze medische data als een ‘speciale categorie’, die ‘aanzienlijke risico’s voor de fundamentele rechten en vrijheden van het individu zou kunnen hebben’ als ze openbaar worden gemaakt. Daarom verplichten toezichthouders organisaties om hieraan extra bescherming te bieden.
19 maart 2024 – In de digitale economie is gezondheidszorg een sector die het beter doet dan de meeste andere en die door een groei met twee cijfers in 2030 naar schatting 861 miljard dollar zal waard zijn.
Als men een gezondheidsapp gebruikt, deelt men mogelijk de meest gevoelige data die men bezit. De AVG classificeert deze medische data als een ‘speciale categorie’, die ‘aanzienlijke risico’s voor de fundamentele rechten en vrijheden van het individu zou kunnen hebben’ als ze openbaar worden gemaakt. Daarom verplichten toezichthouders organisaties om hieraan extra bescherming te bieden.
Welke zijn de grootste privacy- en beveiligingsrisico’s van gezondheidsapps?
· Zorgen inzake gegevensbeveiliging
Deze komen vaak voor omdat ontwikkelaars de best practice-regels op het gebied van cyberbeveiliging niet volgen, zoals:
· Apps die niet langer ondersteund worden of geen updates ontvangen: leveranciers hebben geen programma’s voor het openbaar maken/beheer van kwetsbaarheden, of hebben geen interesse om hun producten te updaten. Als software geen updates ontvangt, dan kan die vol kwetsbaarheden zitten die aanvallers kunnen misbruiken om gegevens te stelen.
· Onveilige protocollen: apps met onveilige communicatieprotocollen kunnen gebruikers blootstellen aan het risico dat hackers hun gegevens onderscheppen tijdens de overdracht van de app naar de backend- of cloudservers van de provider, waar deze worden verwerkt.
· Geen multi-factorauthenticatie (MFA): de meeste befaamde diensten bieden nu MFA aan als een manier om de beveiliging tijdens de inlogfase te versterken. Was dit er niet, dan zouden hackers wachtwoorden kunnen bemachtigen via phishing of een andere inbreuk (als men wachtwoorden in verschillende apps hergebruikt) en gewoon kunnen inloggen.
· Slecht wachtwoordbeheer: apps waarmee gebruikers de standaardwachtwoorden kunnen behouden of onveilige inloggegevens kunnen instellen, zoals ‘passw0rd’ of ‘111111’. De gebruiker wordt blootgesteld aan ‘credential stuffing’ en andere brute krachtpogingen die zijn accounts willen kraken.
· Bedrijfsbeveiliging: app-bedrijven hebben wellicht ook beperkte beveiligingscontroles en processen in hun eigen gegevensopslagomgeving. Dit kan onder meer te wijten zijn aan een slechte training in gebruikersbewustzijn, beperkte antimalware- en eindpunt-/netwerkdetectie, geen gegevensversleuteling, beperkte toegangscontroles en geen kwetsbaarheidsbeheer of incidentresponsprocessen. Dit alles vergroot de kans op een datalek.
2. Overmatig delen van gegevens De gezondheidsinformatie (PHI) van gebruikers kan gevoelige details bevatten over seksueel overdraagbare aandoeningen, toxicomanie of andere stigmatiserende aandoeningen. Deze kunnen verkocht of met derden gedeeld worden, waaronder aan bedrijven die deze data voor gerichte marketing en advertenties gebruiken. Bij de door Mozilla genoemde voorbeelden zijn mHealth-aanbieders die:
· informatie over gebruikers combineren met gegevens gekocht bij datamakelaars, sociale-mediasites en andere aanbieders om meer complete identiteitsprofielen samen te stellen;
· niet toestaan dat gebruikers om verwijdering van specifieke gegevens vragen;
· gebruik maken van informatie over gebruikers wanneer zij aanmeldingsvragenlijsten invullen met onthullende vragen over seksuele geaardheid, depressie, gender-identiteit en meer;
· sessie-cookies van derden toestaan die gebruikers op andere websites identificeren en volgen om gerichte advertenties te sturen;
· sessie-opnames mogelijk maken die muisbewegingen, scrollen en typen volgen.
3. Onduidelijk privacybeleid
Sommige mHealth-aanbieders bieden mogelijk geen duidelijkheid over bovengenoemde privacy praktijken, gebruiken vage taal of verbergen hun activiteiten in de kleine lettertjes van de algemene voorwaarden. Dit kan gebruikers een vals gevoel van veiligheid/privacy geven.
Wat zegt de wet
· AVG: de Europese wet over gegevensbescherming is eenduidig voor organisaties die met speciale PHI-categorieën omgaan. Ontwikkelaars moeten privacy-impactbeoordelingen uitvoeren, het recht op verwijdering en gegevensminimalisatie volgen, ‘passende technische maatregelen’ nemen om ervoor te zorgen dat de ‘noodzakelijke waarborgen’ om persoonlijke gegevens te beschermen ingebouwd zijn.
· HIPAA (Health Insurance Portability and Accountability Act): mHealth-apps die door commerciële leveranciers worden aangeboden voor gebruik door personen vallen niet onder de HIPAA, omdat leveranciers geen “gedekte entiteit” of “zakenpartner” zijn. Sommige zijn het echter wel en vereisen de juiste administratieve, fysieke en technische veiligheidsmaatregelen, alsook een jaarlijkse risicoanalyse.
· CCPA en CMIA: Californianen hebben twee wetten die hun veiligheid en privacy beschermen in een mHealth-context: de Confidentiality of Medical Information Act (CMIA) en de California Consumer Privacy Act (CCPA). Deze vereisen een hoge standaard van gegevensbescherming en uitdrukkelijke toestemming. Ze zijn echter enkel van toepassing op personen uit Californië.
Maatregelen om de privacy te beschermen
· Onderzoek een app vooraleer deze te downloaden. Kijk wat andere gebruikers zeggen en of er waarschuwingen zijn van betrouwbare reviewers
· Beperk wat je via deze apps deelt en ga ervan uit dat alles wat je zegt, kan gedeeld worden
· Verbind de app niet met uw sociale media-accounts en gebruik deze ook niet om in te loggen. Dit beperkt de gegevens die gedeeld worden.
· Geef de apps geen toegang tot de camera van uw toestel, geen geolocatie, enz.
· Beperk in de privacy-instellingen van uw telefoon het ontvangen van advertenties
· Gebruik altijd MFA waar het aangeboden wordt en creëer sterke, unieke wachtwoorden
· Update altijd de app op de nieuwste (veiligste) versie
VERWANTE LECTUUR: Every breath you take, every move you make: Do fitness trackers pose privacy risks?
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en X.
Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/
Meer lezen