Что происходит с Вашими медицинскими данными в приложениях для назначений? Руководство по конфиденциальности

Автор: Paul - Консультант по медицинским технологиям, специализирующийся на программном обеспечении для медицинской практики и опыте пациентов.

Вы загружаете приложение для отслеживания назначений. Оно просит разрешения на доступ к Вашему календарю, Вашим фотографиям, Вашему местоположению. Вы соглашаетесь, потому что приложение кажется полезным. Вы загружаете скриншот подтверждения Вашего назначения. Приложение обрабатывает его, извлекает детали, добавляет в Ваш календарь. Удобно.

Но что только что произошло с Вашими медицинскими данными?

Скриншот, содержащий имя Вашего врача, состояние, которое лечится, Вашу информацию о страховании — куда он делся? Хранится ли он на серверах компании? Анализировался ли системами машинного обучения? Будет ли использоваться для таргетинга рекламы? Передан брокерам данных? Вы понятия не имеете.

Большинство людей, использующих медицинские приложения, не понимают, что происходит с их данными. Они предполагают, что политики конфиденциальности их защищают. Они доверяют, что медицинские приложения безопасны. Они верят, что компании ответственно обрабатывают медицинскую информацию.

Эти предположения часто ошибочны. Медицинские приложения часто собирают, хранят и делятся большим количеством информации, чем осознают пользователи, с меньшей защитой, чем предполагают пользователи.

Понимание того, что на самом деле происходит с Вашими медицинскими данными в приложениях для назначений, помогает Вам принимать обоснованные решения о том, какие приложения использовать и как защитить Вашу конфиденциальность.

Какие данные собирают приложения для назначений?

Большинство приложений для назначений собирают гораздо больше, чем просто детали назначения.

Очевидный сбор данных:

• Даты и время назначений
• Имена врачей и специальности
• Местоположение медицинских учреждений
• Инструкции по подготовке
• Медицинская история, которую Вы вводите
• Информация о страховании

Менее очевидный сбор данных:

• Идентификаторы устройств (рекламный ID, ID устройства)
• Данные местоположения (текущее местоположение, история местоположений)
• Списки контактов
• Модели использования в приложении
• Другие приложения на Вашем устройстве
• Метаданные фотографий из скриншотов, которые Вы загружаете
• Информация о сети
• Системная информация о Вашем устройстве

Этот сбор метаданных происходит молча в фоновом режиме. Вы думаете, что просто вводите назначения. Приложение собирает подробный профиль Вас, Вашего устройства и Вашего поведения.

Внимательно просматривайте разрешения приложения. Приложения, запрашивающие доступ к контактам, местоположению или фотографиям, когда их основная функция этого не требует, собирают данные сверх заявленных целей.

Куда идут собранные данные?

После сбора Ваши медицинские данные обычно передаются в несколько пунктов назначения.

Серверы компании: Большинство приложений загружают Ваши данные на серверы, управляемые компанией приложения. Эти серверы хранят Вашу информацию «безопасно» (якобы) и синхронизируют ее на Ваших устройствах.

Поставщики облачных сервисов: Приложения обычно не управляют собственными серверами. Они используют облачный хостинг от AWS, Google Cloud или Microsoft Azure. Ваши данные размещены на инфраструктуре, управляемой этими технологическими гигантами.

Аналитические сервисы: Приложения часто интегрируют аналитические платформы, такие как Google Analytics, Mixpanel или Amplitude, для отслеживания поведения пользователей. Ваши модели назначений и использования приложения передаются этим сторонним сервисам.

Рекламные сети: Бесплатные или поддерживаемые рекламой приложения делятся данными с рекламными платформами для таргетинга. Даже «анонимизированные» данные помогают строить профили, используемые для рекламы.

Агрегаторы данных: Некоторые медицинские приложения продают «деидентифицированные» или «агрегированные» данные фирмам по исследованиям здравоохранения, фармацевтическим компаниям или брокерам данных.

Партнерские сервисы: Приложения с партнерскими интеграциями делятся данными с этими партнерами. Интеграции календаря, верификаторы страхования, платформы телемедицины — каждый партнер получает часть Ваших данных.

Ваша информация не остается только в компании приложения. Она распространяется в экосистеме третьих сторон. Почему Ваши медицинские данные должны оставаться на Вашем устройстве объясняет альтернативный подход.

Как хранятся данные?

Методы хранения резко отличаются между приложениями и значительно влияют на конфиденциальность.

Зашифровано в покое: Хорошие приложения шифруют сохраненные данные, поэтому если серверы нарушены, данные не являются немедленно читаемыми. Но ключи шифрования контролируются компанией, позволяя им (и любому с доступом к ключам) расшифровывать.

Сквозное шифрование: Лучшие приложения используют сквозное шифрование, где только Вы владеете ключами расшифровки. Компания не может читать Ваши данные, даже если они хотят. Немногие медицинские приложения внедряют истинное сквозное шифрование.

Незашифровано или слабо зашифровано: Некоторые приложения хранят данные со слабым шифрованием или без него. Нарушения раскрывают все немедленно.

Резервные системы: Данные резервируются — иногда в несколько мест, иногда сохраняются годами даже после удаления Вашего аккаунта. Эти резервные копии могут иметь другую безопасность, чем основное хранилище.

Большинство политик конфиденциальности нечеткие относительно точных методов хранения. «Мы используем отраслевое стандартное шифрование» не сообщает Вам, является ли шифрование надежным, правильно внедренным или обеспечивает значимую защиту. Понимание AI на устройстве показывает, как локальная обработка устраняет эти риски хранения.

Как долго хранятся данные?

Многие медицинские приложения хранят Ваши данные бессрочно, если Вы явно не требуете удаления — и даже тогда удаление может быть неполным.

Хранение активного аккаунта: Пока Вы используете приложение, Ваши данные, очевидно, хранятся. Это ожидаемо.

Хранение после удаления: После удаления аккаунта многие приложения хранят данные для «бизнес-целей», «юридического соответствия» или «аналитики». Этот период хранения может составлять месяцы или годы.

Хранение резервных копий: Удаленные данные могут оставаться в резервных системах. Некоторые компании хранят резервные копии за годы назад. Ваши «удаленные» данные могут все еще существовать в архивах.

Хранение агрегированных данных: Даже если индивидуальные данные удалены, агрегированные или анонимизированные данные, полученные из Вашей информации, могут храниться постоянно.

Внимательно читайте политики конфиденциальности относительно языка хранения. Ищите конкретный раздел «Хранение данных» или «Удаление данных» и проверяйте явные обязательства по удалению с временными рамками (например, «удалено в течение 30 дней после закрытия аккаунта»), а не нечеткие обещания вроде «хранится столько, сколько необходимо». Документируйте конкретные разделы политики, которые Вы нашли, для будущей справки.

Кто может получить доступ к Вашим данным?

Несколько сторон могут получить доступ к Вашим медицинским данным, каждая с разными мотивациями и надежностью.

Сотрудники компании приложения: Разработчики, поддержка клиентов, специалисты по данным и руководители могут получать доступ к данным пользователей для различных целей. Компании утверждают, что доступ ограничен и отслеживается, но Вы не можете это проверить.

Поставщики услуг: Облачный хостинг, аналитические сервисы, процессоры платежей и другие поставщики, которые использует приложение, могут иметь доступ к Вашим данным.

Юридические запросы: Правительственные агентства, правоохранительные органы, гражданские иски могут заставить компании предоставлять данные пользователей. Это происходит чаще, чем осознает большинство людей.

Покупатели: Если компания приложения поглощена, Ваши данные передаются новым владельцам с потенциально разными практиками конфиденциальности.

Хакеры: Несмотря на меры безопасности, нарушения происходят регулярно. Когда приложения нарушены, злоумышленники получают доступ ко всему.

Партнеры данных: Компании, с которыми приложение делится или продает данные, могут получать доступ к тому, чем поделились, строя собственные профили и базы данных.

Вы имеете ограниченную видимость того, кто на самом деле получает доступ к Вашим данным или как они используются.

Как данные передаются или продаются?

«Мы не продаем Ваши данные» — это распространенное утверждение в политиках конфиденциальности. Оно часто технически правдиво, но бессмысленно.

Компании могут не продавать данные напрямую, но:

• Делятся данными с партнерами для взаимной выгоды
• Лицензируют данные исследовательским организациям
• Предоставляют данные рекламодателям для таргетинга (без прямой оплаты)
• Используют данные внутренне для новых продуктов или услуг
• Агрегируют данные и продают агрегированный анализ

Политики конфиденциальности используют осторожный язык для сокрытия обмена данными. Ищите фразы, такие как:

• «Делиться с партнерами»
• «Сторонние поставщики услуг»
• «Агрегированные данные для исследований»
• «Улучшение наших услуг»
• «Законные бизнес-цели»

Эти нечеткие фразы охватывают обширный обмен данными, которого пользователи не ожидают или не понимают.

Некоторые медицинские приложения более прозрачны, явно перечисляя каждую третью сторону, которая получает данные. Эти приложения редки, но их стоит искать.

Миф о «деидентифицированных» данных

Многие приложения утверждают, что делятся только «деидентифицированными» или «анонимизированными» данными, подразумевая, что это защищает конфиденциальность. Это в значительной степени ложное успокоение.

Деидентификация обычно включает удаление очевидных идентификаторов, таких как имена и ID. Но исследования неоднократно демонстрируют, что «анонимизированные» медицинские данные могут быть повторно идентифицированы путем перекрестной ссылки с другими наборами данных.

Ваш паттерн назначений — каких специалистов Вы посещаете, как часто, в каких учреждениях — часто достаточно уникален, чтобы идентифицировать Вас, даже без имени. В сочетании с публичной информацией, такой как почтовый индекс или возраст, деидентификация обеспечивает минимальную защиту.

Некоторые сложные методы анонимизации могут защитить конфиденциальность. Но большинство приложений используют базовую деидентификацию, которая обеспечивает ложное чувство безопасности без значимой защиты.

Не доверяйте утверждениям о «анонимизированном» обмене данными. Это часто не так анонимно, как заявлено.

Что происходит во время обновлений приложения?

Обновления приложений изменяют функциональность — но они также изменяют практики конфиденциальности.

Обновления могут:

• Добавлять новые сторонние интеграции, делящиеся большим количеством данных
• Изменять поставщиков аналитики
• Изменять политики хранения данных
• Внедрять новые функции, требующие дополнительных разрешений
• Изменять условия обслуживания с разными последствиями для конфиденциальности

Большинство пользователей принимают обновления автоматически без просмотра изменений. Политики конфиденциальности могут обновляться одновременно, уменьшая защиту без замечания пользователей.

Включите ручные обновления приложений, если возможно. Просматривайте, что меняется перед обновлением, особенно для приложений, обрабатывающих конфиденциальную медицинскую информацию.

Когда компании поглощают или закрывают

Компании приложений покупаются, объединяются или выходят из бизнеса. Что происходит с Вашими данными в этих переходах?

Поглощения: Ваши данные обычно передаются компании, которая поглощает. Их практики конфиденциальности — которые могут быть хуже — теперь применяются к данным, собранным при предыдущих политиках.

Слияния: Данные из нескольких приложений могут быть объединены, создавая более всесторонние профили, чем имело любое отдельное приложение.

Закрытия: Когда компании закрываются, данные пользователей часто продаются как актив или передаются покупателям. Вас могут не уведомить.

Политики конфиденциальности обычно сохраняют права на эти сценарии. Вы согласились, что Ваши данные могут передаваться новым владельцам с разными практиками.

Оценка практик конфиденциальности приложения

Как Вы можете оценить, что на самом деле происходит с Вашими медицинскими данными в конкретных приложениях?

Критически читайте политики конфиденциальности: Ищите конкретные обязательства, а не нечеткие обещания. Отмечайте все упомянутые третьи стороны. Проверяйте периоды хранения данных.

Просматривайте разрешения приложения: Приложения, запрашивающие разрешения сверх их основной функции, вероятно, собирают дополнительные данные. Спрашивайте, почему приложение для назначений нуждается в доступе к местоположению, контактам или микрофону.

Проверяйте репутацию компании: Исследуйте историю компании. Были ли у них нарушения? Изменяли ли политики негативно? Расследовались ли за проблемы конфиденциальности?

Ищите прозрачность: Лучшие компании четко объясняют, какие данные они собирают, куда они идут, как долго хранятся и кто может получить доступ.

Предпочитайте открытый код: Приложения с открытым кодом позволяют исследователям безопасности проверять утверждения о конфиденциальности. Приложения с закрытым кодом требуют доверия.

Рассматривайте бизнес-модель: Бесплатные приложения монетизируются как-то — часто через данные. Платные приложения имеют меньший стимул эксплуатировать данные пользователей.

Оценивайте шифрование: Использует ли приложение сквозное шифрование? Кто владеет ключами шифрования? Правильно ли внедрено шифрование?

Вопросы, которые следует задать о приложениях для назначений

Перед использованием приложения для медицинских данных спросите:

• Где хранятся мои данные? (Их серверы, мое устройство или оба?)
• Кто может получить доступ к моим сохраненным данным?
• Как долго хранятся данные после удаления моего аккаунта?
• Передаются ли или продаются мои данные третьим сторонам?
• Что происходит с моими данными, если компания продана?
• Зашифрованы ли данные, и кто владеет ключами шифрования?
• Работает ли приложение без интернет-соединения? (Если да, это предполагает локальную обработку)
• Есть ли сертификаты или аудиты конфиденциальности?
• Могу ли я экспортировать свои данные?
• Могу ли я удалить свои данные навсегда?

Если компания приложения не может или не хочет ответить на эти вопросы четко, это красный флаг. Проблемы конфиденциальности портала показывают, что происходит, когда конфиденциальность не является приоритетом.

Альтернатива на устройстве

Наиболее конфиденциальным вариантом являются приложения, которые обрабатывают все локально на Вашем устройстве без облачного хранилища.

Приложения на устройстве:

• Хранят данные только на Вашем устройстве
• Обрабатывают информацию локально
• Никогда ничего не загружают на серверы
• Остаются конфиденциальными, даже если компания нарушена
• Позволяют Вам удалять простым удалением
• Не создают данные для обмена или продажи

Обработка на устройстве устраняет большинство проблем конфиденциальности. Ваши данные никогда не покидают Ваш контроль. Нет серверов для нарушения. Нет сотрудников для доступа к Вашей информации. Нет обмена данными с партнерами.

Этот подход жертвует некоторым удобством (нет автоматической синхронизации между устройствами) для существенного усиления конфиденциальности.

Защита себя

При использовании медицинских приложений принимайте меры для ограничения раскрытия данных:

• Минимизируйте введенную информацию — только то, что необходимо
• Используйте приложения, которые обрабатывают локально, когда возможно
• Регулярно просматривайте и ограничивайте разрешения приложения
• Используйте ложную информацию для необязательных полей
• Удаляйте аккаунты, когда заканчиваете использование приложений
• Требуйте удаления данных после закрытия аккаунта
• Избегайте связывания медицинских приложений с аккаунтами социальных сетей
• Используйте VPN, когда приложения должны передавать данные

Помните, что полная защита конфиденциальности может означать неиспользование определенных приложений. Иногда оптимальный для конфиденциальности выбор — это использование более простых, менее удобных инструментов, которые не собирают данные. Почему инструменты здравоохранения, ориентированные на конфиденциальность, имеют значение объясняет эту философию.

Регуляторная защита (ограниченная)

Конфиденциальность медицинских приложений плохо регулируется в большинстве юрисдикций.

HIPAA в США применяется только к поставщикам медицинских услуг и их деловым партнерам — не напрямую к потребительским медицинским приложениям. Некоторые медицинские приложения утверждают о соответствии HIPAA, но это часто ограничивается тем, как они обрабатывают информацию, полученную от охваченных организаций, а не тем, как они обрабатывают данные, предоставленные пользователями.

GDPR в Европе обеспечивает более сильную защиту относительно согласия, доступа к данным и прав на удаление. Но даже при GDPR определить точно, что происходит с Вашими медицинскими данными в приложениях, остается сложно.

Не предполагайте, что регуляции Вас защищают. Они обеспечивают минимальные требования, которые компании должны выполнять — не всестороннюю защиту.

Итог

Что происходит с Вашими медицинскими данными в приложениях для назначений? Обычно больше, чем Вы хотели бы, и меньше, чем Вам говорят.

Данные собираются широко, хранятся централизованно, хранятся долгосрочно, к ним получают доступ несколько сторон, делятся с партнерами и потенциально продаются или анализируются способами, которые Вы не ожидаете и не можете контролировать.

Политики конфиденциальности используют нечеткий язык, который скрывает эти практики. Компании позиционируют сбор данных как необходимый для функциональности, когда он часто служит их бизнес-интересам.

Ваша лучшая защита — это осторожный выбор приложений, понимание их практик и предпочтение решений на устройстве, которые не собирают данные вообще.

Ваша медицинская информация слишком конфиденциальна, чтобы доверять беззаботно. Знайте, что происходит с Вашими данными, прежде чем приложения происходят с Вашими данными.

Часто задаваемые вопросы

Должны ли приложения для медицинских назначений следовать правилам конфиденциальности HIPAA? Обычно нет. HIPAA применяется к поставщикам медицинских услуг, страховщикам и их деловым партнерам — не напрямую к потребительским медицинским приложениям. Приложение, подключающееся к Вашему порталу пациента, может быть «деловым партнером», подпадающим под действие HIPAA, но большинство самостоятельных приложений для назначений не охвачены. Приложения могут утверждать о «соответствии HIPAA» как маркетинговый термин без значительного юридического обязательства. Это означает, что приложения для назначений часто имеют меньше защиты конфиденциальности, чем Вы предполагаете.

Если я удаляю свой аккаунт, действительно ли удаляются мои медицинские данные с серверов приложения? Не обязательно. Многие приложения хранят данные после удаления аккаунта для «бизнес-целей», «аналитики» или «юридического соответствия». Резервные системы могут хранить копии месяцами или годами. «Агрегированные» или «анонимизированные» данные, полученные из Вашей информации, могут храниться постоянно. Внимательно читайте раздел политики конфиденциальности о хранении данных. Лучшие приложения предоставляют явные обязательства по удалению; нечеткие приложения вероятно хранят данные бессрочно.

Могут ли приложения для назначений продавать мою медицинскую информацию рекламодателям или брокерам данных? Потенциально да, несмотря на утверждения, что они «не продают данные». Приложения могут делиться данными с рекламными партнерами для таргетинга, лицензировать «деидентифицированные» данные исследовательским фирмам или фармацевтическим компаниям или предоставлять агрегированный анализ брокерам данных. Политики конфиденциальности используют осторожный язык: «делиться с партнерами» или «агрегированные данные для исследований» часто означает, что данные идут третьим сторонам, которые могут их монетизировать. Потребительские медицинские приложения имеют гораздо меньше ограничений, чем организации, охваченные HIPAA.

Как я могу определить, обрабатывает ли приложение для назначений данные локально или отправляет на серверы? Переведите свой телефон в режим «В самолете» и протестируйте приложение. Если основные функции работают офлайн, обработка вероятно локальная. Примечание: выполняйте этот тест после завершения любых загрузок первого запуска и имейте в виду, что некоторые операционные системы могут разрешать ограниченное соединение через исключения — этот тест является ориентировочным, но не окончательным доказательством. Проверяйте политику конфиденциальности на фразы вроде «обработка на устройстве» или «данные обрабатываются локально на Вашем телефоне». Вместо того, чтобы полагаться на списки разрешений, проверьте, работает ли приложение в режиме «В самолете», и проверьте декларации разработчика относительно обработки данных, потому что и iOS, и Android обычно разрешают доступ к сети после установки приложения. Большой размер приложения (20МБ+) предполагает модели AI на устройстве. Малые приложения, требующие постоянного интернета, вероятно, используют облачную обработку.

Что происходит с моими данными о назначении, если компания приложения продается или выходит из бизнеса? Ваши данные обычно передаются компании, которая поглощает, или новым владельцам, которые могут иметь совершенно другие практики конфиденциальности. Политики конфиденциальности обычно сохраняют это право: Ваши данные рассматриваются как актив компании, который передается во время поглощений или банкротств. Вас могут не уведомить. С приложениями на устройстве Ваши данные остаются на Вашем устройстве независимо от того, что происходит с компанией — еще одно основное преимущество локальной обработки.

Связанные статьи

• Почему Ваши медицинские данные должны оставаться на Вашем устройстве
• Понимание AI на устройстве для конфиденциальности медицинских данных
• Проблема конфиденциальности порталов пациентов (и лучшие альтернативы)
• Почему инструменты здравоохранения, ориентированные на конфиденциальность, имеют значение
• Как безопасно делиться информацией о медицинских назначениях

---

Интересуетесь, что происходит с Вашими данными о назначении? С будущей обработкой на устройстве Appointment Adder Ваши данные никогда не покидают Ваш телефон — вообще. Нет серверов, нет обмена, нет раскрытия. Попробуйте бесплатно на appointmentadder.com