Gebruikersdata in medische- en gezondheidsapps zijn gevoelig voor misbruik. Dat stelt de Dutch Health Hub die een analyse maakte van een aantal internationale studies.
Volgens de Dutch Health Hub liften er ongemerkt tientallen trackingcookies mee op de apps. Verder rammelt de beveiliging en maken veel aanbieders een potje van het privacybeleid.
Al ruim voor corona zaten gezondheidsgerelateerde apps in de lift. De pandemie heeft deze trend versneld, vooral door de groeiende bereidheid van professionals om dergelijke apps in te zetten. Maar voorzichtigheid is geboden, blijkt uit een recente publicatie in British Medical Journal. “Mobiele gezondheidsapps gaan gebukt onder ernstige privacyproblemen en inconsistente privacyregels”, constateren wetenschappers van de Australische Macquarie University in Sydney. “Clinici moeten zich hiervan bewust zijn en de patiënt deelgenoot maken bij het afwegen van voor- en nadelen van zorgapps.”
Voor de studie onderzochten de wetenschappers bijna 21 duizend apps uit de Google Play store. Ruim achtduizend kunnen worden aangemerkt als ‘medisch’ en bijna dertien duizend vallen onder het kopje ‘gezondheid en fitness’. Bijna negentig procent van deze apps maakt gebruik van tracking cookies. Ze kunnen dus gebruikersinformatie ophalen.
Praktijk
De Britse consumentenwebsite Which? zocht eerder dit jaar uit hoe dit in de praktijk werkt. Afvallen via de site van WW, voorheen Weight Watchers. Geïnteresseerden krijgen in een paar klikken 225 cookies aangesmeerd, waarvan 87 volg-cookies.
Bijna net zo bont maakt fitness-app MyFitnessPal het. Deze toepassing van sportmerk UnderArmour telt 138 cookies, waar er volgens Which? maar zes functioneel nodig zijn. 87 Cookies zijn terug te leiden tot derde partijen, waaronder 25 advertentiebureaus.
Volgens de Australische onderzoekers zijn aanbieders van gezondheidsapps allesbehalve transparant over het gebruik van cookies als de bovenstaande. Bijna een derde (28 procent) van de aanbieders hanteert geen privacyrichtlijnen of maakt daar in ieder geval geen melding van. Van de aanbieders die dit wel doen, houdt nog niet de helft zich aan de eigen richtlijnen.
Persoonlijke informatie
Bijkomend probleem is volgens technisch directeur Tom Davison van mobiele databeveiliger Lookout dat gebruikers zich nauwelijks realiseren hoe makkelijk ze persoonlijke informatie uitruilen. “De meeste gebruikers zijn toegerust noch bereid om eindeloze privacyverklaringen door te spitten”, aldus Davis. “Terwijl dat de enige manier is om vast te stellen hoe apps data ontsluiten, opslaan, verzenden en delen.”
Volgens techneuten schuilt het grootste gevaar echter niet in ondeugdelijke privacyregels, maar in de gebruikte software. Achilleshiel vormen de zogeheten Application programming interfaces (API’s), waarmee digitale toepassingen met elkaar kunnen communiceren. De Amerikaanse hacker Alissa Knight, die eerder in no time zelfrijdende auto’s van de Amerikaanse politie wist te kraken, testte onlangs dertig veelgebruikte gezondheidsapps. Zonder uitzondering vertoonden ze dunne plekken. In zeker de helft van de gevallen wist Knight via API’s toegang te krijgen tot gevoelige patiëntinformatie, zoals medicijngebruik, diagnostische informatie, lab-uitslagen en verzekeringsnummers.
Knights bevindingen worden ondersteund door het Australische onderzoek. Waar data gedeeld en verzonden worden gebeurt dat in bijna een kwart van de gevallen via onveilige communicatieprotocollen. Met name waar het gevoelige informatie als wachtwoorden en geo-locatie betreft is dit zorgelijk, aldus de onderzoekers.
Veiligheidseisen
Wie denkt dat apps in Google of Apple store voldoen aan zekere minimale veiligheidsvereisten, komt bedrogen uit. Veel apps blijken het gebruik van boterzachte wachtwoorden toe te staan. Ook dubbele authenticatie is bepaald geen standaard. En dan zijn er nog de aanbieders die verouderde software in hun toepassing verwerken.
Als er nog geruststellend nieuws voor mHealth-gebruikers is, dan is het dat zorgapps minder data verzamelen en delen dan andere apps. Ook is het aantal derde partijen dat is aangehaakt kleiner. Medische apps doen het in dit opzicht beter dan fitness- en lifestyle-apps.
Dit laat onverlet dat juist de informatie die via medische apps wordt ontsloten op de belangstelling van kwaadwillenden kan rekenen. Naar verluidt bedraagt de vraagprijs voor een patiëntendossier op het darkweb duizend dollar per stuk. Dit is bijna tien keer meer dan creditcard-gegevens.
Lees ook:
- Verlaag de drempel om incidenten te melden – 3 tips
- Implementatie videoconsulten in epd onmisbaar
