Що відбувається з Вашими медичними даними в додатках для призначень? Посібник з конфіденційності
Дізнайтеся, що додатки для призначень роблять з Вашими медичними даними. Всебічний посібник з конфіденційності щодо збору, зберігання та обміну даними з третіми сторонами.
Автор: Paul - Консультант з медичних технологій, що спеціалізується на програмному забезпеченні для медичної практики та досвіді пацієнтів.
Ви завантажуєте додаток для відстеження призначень. Він просить дозволу на доступ до Вашого календаря, Ваших фотографій, Вашого місцезнаходження. Ви погоджуєтеся, бо додаток здається корисним. Ви завантажуєте скріншот підтвердження Вашого призначення. Додаток обробляє його, вилучає деталі, додає до Вашого календаря. Зручно.
Але що щойно сталося з Вашими медичними даними?
Скріншот, що містить ім'я Вашого лікаря, стан, що лікується, Вашу інформацію про страхування — куди він подівся? Чи зберігається він на серверах компанії? Чи аналізувався системами машинного навчання? Чи буде використовуватися для таргетингу реклами? Поділений з брокерами даних? Ви поняття не маєте.
Більшість людей, що використовують медичні додатки, не розуміють, що відбувається з їхніми даними. Вони припускають, що політики конфіденційності їх захищають. Вони довіряють, що медичні додатки безпечні. Вони вірять, що компанії відповідально обробляють медичну інформацію.
Ці припущення часто хибні. Медичні додатки часто збирають, зберігають і діляться більшою кількістю інформації, ніж усвідомлюють користувачі, з меншим захистом, ніж припускають користувачі.
Розуміння того, що насправді відбувається з Вашими медичними даними в додатках для призначень, допомагає Вам приймати обґрунтовані рішення про те, які додатки використовувати та як захистити Вашу конфіденційність.
Які дані збирають додатки для призначень?
Більшість додатків для призначень збирають набагато більше, ніж просто деталі призначення.
Очевидний збір даних:
- Дати та час призначень
- Імена лікарів та спеціальності
- Місцезнаходження медичних закладів
- Інструкції з підготовки
- Медична історія, яку Ви вводите
- Інформація про страхування
Менш очевидний збір даних:
- Ідентифікатори пристроїв (рекламний ID, ID пристрою)
- Дані місцезнаходження (поточне місцезнаходження, історія місцезнаходжень)
- Списки контактів
- Моделі використання в додатку
- Інші додатки на Вашому пристрої
- Метадані фотографій зі скріншотів, які Ви завантажуєте
- Інформація про мережу
- Системна інформація про Ваш пристрій
Цей збір метаданих відбувається мовчки у фоновому режимі. Ви думаєте, що просто вводите призначення. Додаток збирає детальний профіль Вас, Вашого пристрою та Вашої поведінки.
Уважно переглядайте дозволи додатка. Додатки, що запитують доступ до контактів, місцезнаходження або фотографій, коли їхня основна функція цього не вимагає, збирають дані понад заявлені цілі.
Куди йдуть зібрані дані?
Після збору Ваші медичні дані зазвичай передаються до кількох пунктів призначення.
Сервери компанії: Більшість додатків завантажують Ваші дані на сервери, що керуються компанією додатка. Ці сервери зберігають Вашу інформацію «безпечно» (нібито) і синхронізують її на Ваших пристроях.
Постачальники хмарних сервісів: Додатки зазвичай не керують власними серверами. Вони використовують хмарний хостинг від AWS, Google Cloud або Microsoft Azure. Ваші дані розміщені на інфраструктурі, якою керують ці технологічні гіганти.
Аналітичні сервіси: Додатки часто інтегрують аналітичні платформи, такі як Google Analytics, Mixpanel або Amplitude, для відстеження поведінки користувачів. Ваші моделі призначень та використання додатка передаються цим стороннім сервісам.
Рекламні мережі: Безкоштовні або підтримувані рекламою додатки діляться даними з рекламними платформами для таргетингу. Навіть «анонімізовані» дані допомагають будувати профілі, що використовуються для реклами.
Агрегатори даних: Деякі медичні додатки продають «деідентифіковані» або «агреговані» дані фірмам досліджень охорони здоров'я, фармацевтичним компаніям або брокерам даних.
Партнерські сервіси: Додатки з партнерськими інтеграціями діляться даними з цими партнерами. Інтеграції календаря, верифікатори страхування, платформи телемедицини — кожен партнер отримує частину Ваших даних.
Ваша інформація не залишається лише в компанії додатка. Вона розповсюджується в екосистемі третіх сторін. Чому Ваші медичні дані повинні залишатися на Вашому пристрої пояснює альтернативний підхід.
Як зберігаються дані?
Методи зберігання різко відрізняються між додатками і значно впливають на конфіденційність.
Зашифровано у спокої: Хороші додатки шифрують збережені дані, тому якщо сервери порушені, дані не є негайно читабельними. Але ключі шифрування контролюються компанією, дозволяючи їм (і будь-кому з доступом до ключів) розшифровувати.
Наскрізне шифрування: Кращі додатки використовують наскрізне шифрування, де лише Ви володієте ключами розшифрування. Компанія не може читати Ваші дані, навіть якщо вони хочуть. Небагато медичних додатків впроваджують справжнє наскрізне шифрування.
Незашифровано або слабко зашифровано: Деякі додатки зберігають дані зі слабким шифруванням або без нього. Порушення розкривають все негайно.
Резервні системи: Дані резервуються — іноді в кілька місць, іноді зберігаються роками навіть після видалення Вашого облікового запису. Ці резервні копії можуть мати іншу безпеку, ніж основне сховище.
Більшість політик конфіденційності нечіткі щодо точних методів зберігання. «Ми використовуємо галузеве стандартне шифрування» не повідомляє Вам, чи шифрування надійне, правильно впроваджене або забезпечує значимий захист. Розуміння AI на пристрої показує, як локальна обробка усуває ці ризики зберігання.
Як довго зберігаються дані?
Багато медичних додатків зберігають Ваші дані безстроково, якщо Ви явно не вимагаєте видалення — і навіть тоді видалення може бути неповним.
Зберігання активного облікового запису: Поки Ви використовуєте додаток, Ваші дані, очевидно, зберігаються. Це очікувано.
Зберігання після видалення: Після видалення облікового запису багато додатків зберігають дані для «бізнес-цілей», «юридичної відповідності» або «аналітики». Цей період зберігання може становити місяці або роки.
Зберігання резервних копій: Видалені дані можуть залишатися в резервних системах. Деякі компанії зберігають резервні копії за роки назад. Ваші «видалені» дані можуть все ще існувати в архівах.
Зберігання агрегованих даних: Навіть якщо індивідуальні дані видалені, агреговані або анонімізовані дані, отримані з Вашої інформації, можуть зберігатися постійно.
Уважно читайте політики конфіденційності щодо мови зберігання. Шукайте конкретний розділ «Зберігання даних» або «Видалення даних» і перевіряйте явні зобов'язання щодо видалення з часовими рамками (наприклад, «видалено протягом 30 днів після закриття облікового запису»), а не нечіткі обіцянки на кшталт «зберігається стільки, скільки необхідно». Документуйте конкретні розділи політики, які Ви знайшли, для майбутнього посилання.
Хто може отримати доступ до Ваших даних?
Кілька сторін можуть отримати доступ до Ваших медичних даних, кожна з різними мотиваціями та надійністю.
Співробітники компанії додатка: Розробники, підтримка клієнтів, спеціалісти з даних та керівники можуть отримувати доступ до даних користувачів для різних цілей. Компанії стверджують, що доступ обмежений і відстежується, але Ви не можете це перевірити.
Постачальники послуг: Хмарний хостинг, аналітичні сервіси, процесори платежів та інші постачальники, які використовує додаток, можуть мати доступ до Ваших даних.
Юридичні запити: Урядові агенції, правоохоронні органи, цивільні позови можуть змусити компанії надавати дані користувачів. Це відбувається частіше, ніж усвідомлює більшість людей.
Покупці: Якщо компанія додатка поглинута, Ваші дані передаються новим власникам з потенційно різними практиками конфіденційності.
Хакери: Незважаючи на заходи безпеки, порушення відбуваються регулярно. Коли додатки порушені, зловмисники отримують доступ до всього.
Партнери даних: Компанії, з якими додаток ділиться або продає дані, можуть отримувати доступ до того, чим поділилися, будуючи власні профілі та бази даних.
Ви маєте обмежену видимість того, хто насправді отримує доступ до Ваших даних або як вони використовуються.
Як діляться або продаються дані?
«Ми не продаємо Ваші дані» — це поширене твердження в політиках конфіденційності. Воно часто технічно правдиве, але беззмістовне.
Компанії можуть не продавати дані безпосередньо, але:
- Діляться даними з партнерами для взаємної вигоди
- Ліцензують дані дослідницьким організаціям
- Надають дані рекламодавцям для таргетингу (без прямої оплати)
- Використовують дані внутрішньо для нових продуктів або послуг
- Агрегують дані та продають агрегований аналіз
Політики конфіденційності використовують обережну мову для приховування обміну даними. Шукайте фрази, такі як:
- «Діляться з партнерами»
- «Сторонні постачальники послуг»
- «Агреговані дані для досліджень»
- «Покращення наших послуг»
- «Законні бізнес-цілі»
Ці нечіткі фрази охоплюють великий обмін даними, якого користувачі не очікують або не розуміють.
Деякі медичні додатки більш прозорі, явно перелічуючи кожну третю сторону, що отримує дані. Ці додатки рідкісні, але їх варто шукати.
Міф про «деідентифіковані» дані
Багато додатків стверджують, що діляться лише «деідентифікованими» або «анонімізованими» даними, маючи на увазі, що це захищає конфіденційність. Це переважно хибне заспокоєння.
Деідентифікація зазвичай включає видалення очевидних ідентифікаторів, таких як імена та ID. Але дослідження неодноразово демонструють, що «анонімізовані» медичні дані можуть бути повторно ідентифіковані шляхом перехресного посилання з іншими наборами даних.
Ваш патерн призначень — яких спеціалістів Ви відвідуєте, як часто, в яких закладах — часто достатньо унікальний, щоб ідентифікувати Вас, навіть без імені. У поєднанні з публічною інформацією, такою як поштовий індекс або вік, деідентифікація забезпечує мінімальний захист.
Деякі складні методи анонімізації можуть захистити конфіденційність. Але більшість додатків використовують базову деідентифікацію, що забезпечує хибне відчуття безпеки без значимого захисту.
Не довіряйте твердженням про «анонімізований» обмін даними. Це часто не так анонімно, як заявлено.
Що відбувається під час оновлень додатка?
Оновлення додатків змінюють функціональність — але вони також змінюють практики конфіденційності.
Оновлення можуть:
- Додавати нові сторонні інтеграції, що діляться більше даних
- Змінювати постачальників аналітики
- Змінювати політики зберігання даних
- Впроваджувати нові функції, що вимагають додаткових дозволів
- Змінювати умови обслуговування з різними наслідками для конфіденційності
Більшість користувачів приймають оновлення автоматично без перегляду змін. Політики конфіденційності можуть оновлюватися одночасно, зменшуючи захист без помітки користувачів.
Увімкніть ручні оновлення додатків, якщо можливо. Переглядайте, що змінюється перед оновленням, особливо для додатків, що обробляють конфіденційну медичну інформацію.
Коли компанії поглинають або закривають
Компанії додатків купуються, об'єднуються або виходять з бізнесу. Що відбувається з Вашими даними в цих переходах?
Поглинання: Ваші дані зазвичай передаються компанії, що поглинає. Їхні практики конфіденційності — які можуть бути гіршими — тепер застосовуються до даних, зібраних за попередніми політиками.
Злиття: Дані з кількох додатків можуть бути об'єднані, створюючи більш всебічні профілі, ніж мав будь-який окремий додаток.
Закриття: Коли компанії закриваються, дані користувачів часто продаються як актив або передаються покупцям. Вас можуть не повідомити.
Політики конфіденційності зазвичай зберігають права на ці сценарії. Ви погодилися, що Ваші дані можуть передаватися новим власникам з різними практиками.
Оцінка практик конфіденційності додатка
Як Ви можете оцінити, що насправді відбувається з Вашими медичними даними в конкретних додатках?
Критично читайте політики конфіденційності: Шукайте конкретні зобов'язання, а не нечіткі обіцянки. Зазначайте всі згадані треті сторони. Перевіряйте періоди зберігання даних.
Переглядайте дозволи додатка: Додатки, що запитують дозволи понад їхню основну функцію, ймовірно, збирають додаткові дані. Запитуйте, чому додаток для призначень потребує доступ до місцезнаходження, контактів або мікрофона.
Перевіряйте репутацію компанії: Дослідіть історію компанії. Чи були в них порушення? Чи змінювали політики негативно? Чи розслідувалися за проблеми конфіденційності?
Шукайте прозорість: Кращі компанії чітко пояснюють, які дані вони збирають, куди вони йдуть, як довго зберігаються та хто може отримати доступ.
Віддавайте перевагу відкритому коду: Додатки з відкритим кодом дозволяють дослідникам безпеки перевіряти твердження про конфіденційність. Додатки з закритим кодом вимагають довіри.
Розглядайте бізнес-модель: Безкоштовні додатки монетизуються якось — часто через дані. Платні додатки мають менший стимул експлуатувати дані користувачів.
Оцінюйте шифрування: Чи використовує додаток наскрізне шифрування? Хто володіє ключами шифрування? Чи правильно впроваджено шифрування?
Запитання, які слід поставити про додатки для призначень
Перед використанням додатка для медичних даних запитайте:
- Де зберігаються мої дані? (Їхні сервери, мій пристрій або обидва?)
- Хто може отримати доступ до моїх збережених даних?
- Як довго зберігаються дані після видалення мого облікового запису?
- Чи діляться або продаються мої дані третім сторонам?
- Що відбувається з моїми даними, якщо компанія продана?
- Чи зашифровано дані, і хто володіє ключами шифрування?
- Чи працює додаток без інтернет-з'єднання? (Якщо так, це припускає локальну обробку)
- Чи є сертифікати або аудити конфіденційності?
- Чи можу я експортувати свої дані?
- Чи можу я видалити свої дані назовсім?
Якщо компанія додатка не може або не хоче відповісти на ці запитання чітко, це червоний прапор. Проблеми конфіденційності порталу показують, що відбувається, коли конфіденційність не є пріоритетом.
Альтернатива на пристрої
Найбільш конфіденційним варіантом є додатки, що обробляють все локально на Вашому пристрої без хмарного зберігання.
Додатки на пристрої:
- Зберігають дані лише на Вашому пристрої
- Обробляють інформацію локально
- Ніколи нічого не завантажують на сервери
- Залишаються конфіденційними, навіть якщо компанія порушена
- Дозволяють Вам видаляти простим видаленням
- Не створюють дані для обміну або продажу
Обробка на пристрої усуває більшість проблем конфіденційності. Ваші дані ніколи не залишають Ваш контроль. Немає серверів для порушення. Немає співробітників для доступу до Вашої інформації. Немає обміну даними з партнерами.
Цей підхід жертвує деякою зручністю (немає автоматичної синхронізації між пристроями) для значного посилення конфіденційності.
Захист себе
При використанні медичних додатків вживайте заходів для обмеження розкриття даних:
- Мінімізуйте введену інформацію — лише те, що необхідно
- Використовуйте додатки, що обробляють локально, коли можливо
- Регулярно переглядайте та обмежуйте дозволи додатка
- Використовуйте фальшиву інформацію для необов'язкових полів
- Видаляйте облікові записи, коли закінчуєте використання додатків
- Вимагайте видалення даних після закриття облікового запису
- Уникайте пов'язування медичних додатків з обліковими записами соціальних мереж
- Використовуйте VPN, коли додатки повинні передавати дані
Пам'ятайте, що повний захист конфіденційності може означати невикористання певних додатків. Іноді оптимальний для конфіденційності вибір — це використання простіших, менш зручних інструментів, що не збирають дані. Чому інструменти охорони здоров'я, орієнтовані на конфіденційність, мають значення пояснює цю філософію.
Регуляторний захист (обмежений)
Конфіденційність медичних додатків погано регулюється в більшості юрисдикцій.
HIPAA у США застосовується лише до постачальників медичних послуг та їхніх ділових партнерів — не безпосередньо до споживчих медичних додатків. Деякі медичні додатки стверджують про відповідність HIPAA, але це часто обмежується тим, як вони обробляють інформацію, отриману від охоплених організацій, а не тим, як вони обробляють дані, надані користувачами.
GDPR у Європі забезпечує сильніший захист щодо згоди, доступу до даних та прав на видалення. Але навіть за GDPR визначити точно, що відбувається з Вашими медичними даними в додатках, залишається складно.
Не припускайте, що регуляції Вас захищають. Вони забезпечують мінімальні вимоги, які компанії повинні виконувати — не всебічний захист.
Підсумок
Що відбувається з Вашими медичними даними в додатках для призначень? Зазвичай більше, ніж Ви хотіли б, і менше, ніж Вам кажуть.
Дані збираються широко, зберігаються централізовано, зберігаються довгостроково, до них отримують доступ кілька сторін, діляться з партнерами та потенційно продаються або аналізуються способами, які Ви не очікуєте і не можете контролювати.
Політики конфіденційності використовують нечітку мову, що приховує ці практики. Компанії позиціонують збір даних як необхідний для функціональності, коли він часто служить їхнім бізнес-інтересам.
Ваш найкращий захист — це обережний вибір додатків, розуміння їхніх практик та перевага рішень на пристрої, що не збирають дані взагалі.
Ваша медична інформація занадто конфіденційна, щоб довіряти безтурботно. Знайте, що відбувається з Вашими даними, перш ніж додатки відбуваються з Вашими даними.
Часті запитання
Чи повинні додатки для медичних призначень дотримуватися правил конфіденційності HIPAA? Зазвичай ні. HIPAA застосовується до постачальників медичних послуг, страховиків та їхніх ділових партнерів — не безпосередньо до споживчих медичних додатків. Додаток, що з'єднується з Вашим порталом пацієнта, може бути «діловим партнером», що підпадає під дію HIPAA, але більшість самостійних додатків для призначень не охоплені. Додатки можуть стверджувати про «відповідність HIPAA» як маркетинговий термін без значного юридичного зобов'язання. Це означає, що додатки для призначень часто мають менше захисту конфіденційності, ніж Ви припускаєте.
Якщо я видаляю свій обліковий запис, чи дійсно видаляються мої медичні дані з серверів додатка? Не обов'язково. Багато додатків зберігають дані після видалення облікового запису для «бізнес-цілей», «аналітики» або «юридичної відповідності». Резервні системи можуть зберігати копії місяцями або роками. «Агреговані» або «анонімізовані» дані, отримані з Вашої інформації, можуть зберігатися постійно. Уважно читайте розділ політики конфіденційності про зберігання даних. Кращі додатки надають явні зобов'язання щодо видалення; нечіткі додатки ймовірно зберігають дані безстроково.
Чи можуть додатки для призначень продавати мою медичну інформацію рекламодавцям або брокерам даних? Потенційно так, незважаючи на твердження, що вони «не продають дані». Додатки можуть ділитися даними з рекламними партнерами для таргетингу, ліцензувати «деідентифіковані» дані дослідницьким фірмам або фармацевтичним компаніям або надавати агрегований аналіз брокерам даних. Політики конфіденційності використовують обережну мову: «ділитися з партнерами» або «агреговані дані для досліджень» часто означає, що дані йдуть третім сторонам, які можуть їх монетизувати. Споживчі медичні додатки мають набагато менше обмежень, ніж організації, охоплені HIPAA.
Як я можу визначити, чи обробляє додаток для призначень дані локально або надсилає на сервери? Переведіть свій телефон у режим «В літаку» і протестуйте додаток. Якщо основні функції працюють офлайн, обробка ймовірно локальна. Примітка: виконуйте цей тест після завершення будь-яких завантажень першого запуску та майте на увазі, що деякі операційні системи можуть дозволяти обмежене з'єднання через винятки — цей тест є орієнтовним, але не остаточним доказом. Перевіряйте політику конфіденційності на фрази на кшталт «обробка на пристрої» або «дані обробляються локально на Вашому телефоні». Замість того, щоб покладатися на списки дозволів, перевірте, чи працює додаток у режимі «В літаку», і перевірте декларації розробника щодо обробки даних, оскільки і iOS, і Android зазвичай дозволяють доступ до мережі після встановлення додатка. Великий розмір додатка (20МБ+) припускає моделі AI на пристрої. Малі додатки, що вимагають постійного інтернету, ймовірно, використовують хмарну обробку.
Що відбувається з моїми даними про призначення, якщо компанія додатка продається або виходить з бізнесу? Ваші дані зазвичай передаються компанії, що поглинає, або новим власникам, які можуть мати зовсім інші практики конфіденційності. Політики конфіденційності зазвичай зберігають це право: Ваші дані розглядаються як актив компанії, що передається під час поглинань або банкрутств. Вас можуть не повідомити. З додатками на пристрої Ваші дані залишаються на Вашому пристрої незалежно від того, що відбувається з компанією — ще одна основна перевага локальної обробки.
Пов'язані статті
- Чому Ваші медичні дані повинні залишатися на Вашому пристрої
- Розуміння AI на пристрої для конфіденційності медичних даних
- Проблема конфіденційності порталів пацієнтів (і кращі альтернативи)
- Чому інструменти охорони здоров'я, орієнтовані на конфіденційність, мають значення
- Як безпечно ділитися інформацією про медичні призначення
Цікавитеся, що відбувається з Вашими даними про призначення? З майбутньою обробкою на пристрої Appointment Adder Ваші дані ніколи не залишають Ваш телефон — взагалі. Немає серверів, немає обміну, немає розкриття. Спробуйте безкоштовно на appointmentadder.com
Готові спростити ваші записи на медичне обслуговування?
Спробуйте Appointment Adder безкоштовно сьогодні та візьміть контроль над вашим розкладом.
Почати