Bazı mobil sağlık uygulamalarının veri toplama alışkanlıkları göz önüne alındığında, en hassas verilerinizi kiminle paylaşacağınızı seçerken dikkatli olmanız önerilir
Günümüzün dijital ekonomisinde hemen hemen her şey için bir uygulama var. En çok gelişen alanlardan biri de sağlık hizmetleri. Regl ve doğurganlık takibinden ruh sağlığı ve farkındalığa kadar hemen her duruma yardımcı olacak mobil sağlık (mHealth) uygulamaları mevcut. Aslında bu pazar halihazırda çift haneli büyüme gösteriyor ve 2030 yılına kadar 861 milyar dolar değerinde olacağı tahmin ediliyor.
Ancak bu uygulamaları kullanırken, sahip olduğunuz en hassas verilerden bazılarını paylaşıyor olabilirsiniz. Aslında, GDPR tıbbi bilgileri “özel kategori” verileri olarak sınıflandırır, yani ifşa edilmesi halinde “bireyin temel hak ve özgürlükleri için önemli riskler yaratabilir”. Bu nedenle düzenleyiciler, kuruluşların bu veriler için ekstra koruma sağlamasını zorunlu kılıyor.
Ne yazık ki tüm uygulama geliştiricileri kullanıcılarının çıkarlarını detaylıca düşünmüyor veya onları nasıl koruyacaklarını her zaman bilmiyor. Veri koruma önlemlerini göz ardı edebilirler ya da kişisel bilgilerinizin ne kadarını üçüncü taraflarla paylaştıklarını her zaman açıkça belirtmeyebilirler. Bunu akılda tutarak, bu uygulamaları kullanmanın temel gizlilik ve güvenlik risklerine ve nasıl güvende kalabileceğinize bir göz atalım.
En önemli sağlık uygulaması gizlilik ve güvenlik riskleri nelerdir?
Mobil sağlık uygulamalarını kullanmanın temel riskleri üç kategoriye ayrılır: yetersiz veri güvenliği, aşırı veri paylaşımı ve kötü veya kasıtlı olarak kaçamak ifade edilmiş gizlilik politikaları.
1. Veri güvenliği endişeleri
Genellikle geliştiricilerin siber güvenlik konusunda en iyi uygulama kurallarına uymamasından kaynaklanmaktadır. Bunlar şunları içerebilir:
- Artık desteklenmeyen veya güncelleme almayan uygulamalar: Satıcıların bir güvenlik açığı ifşa/yönetim programı olmayabilir veya ürünlerini güncellemeye çok az ilgi gösterebilirler. Sebep ne olursa olsun, yazılım güncelleme almıyorsa, saldırganların verilerinizi çalmak için yararlanabileceği güvenlik açıklarıyla dolu olabilir.
- Güvensiz protokoller: Güvensiz iletişim protokolleri kullanan uygulamalar, kullanıcıları, uygulamadan sağlayıcının arka uç veya bulut sunucularına aktarılan ve burada işlenen verilerinin bilgisayar korsanları tarafından ele geçirilmesi riskine maruz bırakabilir.
- Çok faktörlü kimlik doğrulama (MFA) olmaması: Günümüzde çoğu saygın hizmet, oturum açma aşamasında güvenliği artırmanın bir yolu olarak MFA sunmaktadır. Bu olmadan, bilgisayar korsanları kimlik avı veya ayrı bir ihlal yoluyla parolanızı ele geçirebilir (farklı uygulamalarda parolaları tekrar kullanırsanız) ve sizmişsiniz gibi oturum açabilirler.
- Kötü parola yönetimi: Örneğin, kullanıcıların fabrika varsayılan parolalarını korumalarına izin veren veya “passw0rd” veya “111111” gibi güvenli olmayan kimlik bilgileri belirleyen uygulamalar. Bu, kullanıcıyı kimlik bilgisi doldurma ve hesaplarını kırmaya yönelik diğer kaba kuvvet girişimlerine maruz bırakır.
- Kurumsal güvenlik: Uygulama şirketlerinin kendi veri depolama ortamlarında da sınırlı güvenlik kontrolleri ve süreçleri olabilir. Bunlar arasında kullanıcı farkındalığı eğitiminin zayıf olması, sınırlı kötü amaçlı yazılımdan koruma ve uç nokta/ağ tespiti, veri şifreleme olmaması, sınırlı erişim kontrolleri ve güvenlik açığı yönetimi ya da olay müdahale süreçlerinin olmaması sayılabilir. Tüm bunlar bir veri ihlaline maruz kalma olasılıklarını artırır.
İLGİLİ MAKALE: Aldığınız her nefes, yaptığınız her hareket: Fitness takip cihazları gizlilik riski taşıyor mu?
2. Aşırı veri paylaşımı
Kullanıcıların sağlık bilgileri (PHI) cinsel yolla bulaşan hastalıklar, madde bağımlılığı veya diğer tanı konulmuş durumlar hakkında son derece hassas ayrıntılar içerebilir. Bunlar, pazarlama ve hedefli reklamlar için reklamcılar da dahil olmak üzere üçüncü taraflara satılabilir veya paylaşılabilir. Mozilla tarafından belirtilen örnekler arasında mobil sağlık sağlayıcıları da bulunmaktadır:
- Daha eksiksiz kimlik profilleri oluşturmak için kullanıcılar hakkındaki bilgileri veri aracılarından, sosyal medya sitelerinden ve diğer sağlayıcılardan satın alınan verilerle birleştirir,
- Kullanıcıların belirli verilerin silinmesini talep etmesine izin vermez,
- Cinsel yönelim, depresyon, cinsiyet kimliği ve daha fazlası hakkında açıklayıcı sorular soran kayıt anketlerini aldıklarında kullanıcılar hakkında yapılan çıkarımları kullanır,
- Alakalı reklamlar sunmak için diğer web sitelerindeki kullanıcıları tanımlayan ve izleyen üçüncü taraf oturum çerezlerine izin verir,
- Kullanıcı fare hareketlerini, kaydırma ve yazmayı izleyen oturum kaydına izin verir.
3. Belirsiz gizlilik politikaları
Bazı mobil sağlık sağlayıcıları, muğlak bir dil kullanarak veya faaliyetlerini şartlar ve koşullar kısmının küçük yazılarında gizleyerek yukarıdaki gizlilik uygulamalarının bazıları hakkında açık olmayabilir. Bu durum kullanıcılara yanlış bir güvenlik/gizlilik hissi verebilir.
Kanun ne diyor?
- GDPR: Avrupa’nın en önemli veri koruma yasası, özel kategori PHI ile çalışan kuruluşlar konusunda oldukça nettir. Geliştiricilerin gizlilik etki değerlendirmeleri yapmaları, silme hakkı ve veri minimizasyonu ilkelerine uymaları ve kişisel verileri korumak için “gerekli önlemlerin” alındığından emin olmak için “uygun teknik önlemleri” almaları gerekir.
- HIPAA: Ticari satıcılar tarafından bireylerin kullanımı üzere sunulan mobil sağlık uygulamaları HIPAA kapsamında değildir, çünkü satıcılar “kapsam dahilindeki kuruluş” veya “iş ortağı” değildir. Ancak bazıları kapsamdadır ve uygun idari, fiziksel ve teknik koruma önlemlerinin alınmasının yanı sıra yıllık Risk Analizi yapılmasını gerektirir.
- CCPA ve CMIA: Kaliforniya’da ikamet edenlerin mobil sağlık uygulamaları bağlamında güvenlik ve gizliliklerini koruyan iki mevzuat vardır: Tıbbi Bilgilerin Gizliliği Yasası (CMIA) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA). Bunlar yüksek standartta veri koruması ve açık rıza talep etmektedir. Ancak bunlar yalnızca Kaliforniyalılar için geçerlidir.
Gizliliğinizi korumak için adımlar atın
Herkesin farklı bir risk iştahı olacaktır. Bazıları kişiselleştirilmiş hizmetler/reklamcılık ile gizlilik arasında bir denge kurmaya istekli olacaktır. Diğerleri ise bazı tıbbi verilerin ihlal edilmesinden veya üçüncü taraflara satılmasından rahatsız olmayabilir. Bu, doğru dengeyi bulmakla ilgilidir. Endişeleriniz varsa aşağıdakileri göz önünde bulundurun:
- İndirmeden önce araştırmanızı yapın. Diğer kullanıcıların ne dediğini ve güvenilir yorumculardan gelen herhangi bir kırmızı bayrak olup olmadığını görün
- Bu uygulamalar aracılığıyla paylaştıklarınızı sınırlandırın ve söylediğiniz her şeyin paylaşılabileceğini varsayın
- Uygulamayı sosyal medya hesaplarınıza bağlamayın veya oturum açmak için bunları kullanmayın. Bu, diğer şirketlerle hangi verilerin paylaşılabileceğini sınırlayacaktır
- Uygulamalara cihazınızın kamerasına, konumuna vb. erişim izni vermeyin.
- Telefonunuzun gizlilik ayarlarında reklam takibini sınırlayın
- Sunulan yerlerde her zaman MFA kullanın ve güçlü, benzersiz parolalar oluşturun
- Uygulamayı en son (en güvenli) sürümde tutun
Roe vs Wade kararının bozulmasından bu yana, mobil sağlık gizliliği konusundaki tartışmalar endişe verici bir hal aldı. Bazıları, regl takip cihazlarından elde edilen verilerin, hamileliklerini sonlandırmak isteyen kadınlara karşı açılan davalarda kullanılabileceği alarmını verdi. Gizliliğe önem veren mobil sağlık uygulamaları arayan ve sayıları giderek artan insanlar için riskler bundan daha yüksek olamazdı.
