Privasi

Mengingat kebiasaan pengumpulan data yang tidak sehat pada beberapa aplikasi mHealth, Anda disarankan untuk berhati-hati saat memilih dengan siapa Anda berbagi beberapa data paling sensitif Anda.

Maret 19 2024
 • 
,
5 menit Baca

Dalam perekonomian digital saat ini, terdapat aplikasi untuk hampir semua hal. Salah satu bidang yang berkembang pesat adalah bidang kesehatan. Dari pelacak menstruasi dan kesuburan hingga kesehatan mental dan kewaspadaan, ada aplikasi kesehatan seluler (mHealth) yang tersedia untuk membantu hampir semua kondisi. Faktanya, pasar ini telah mengalami pertumbuhan dua digit dan akan bernilai sebuah perkiraan $ 861 miliar pada tahun 2030.

Namun saat menggunakan aplikasi ini, Anda mungkin membagikan beberapa data paling sensitif yang Anda miliki. Faktanya, itu Klasifikasi GDPR informasi medis sebagai data “kategori khusus”, yang berarti data tersebut dapat “menimbulkan risiko signifikan terhadap hak-hak dasar dan kebebasan individu” jika diungkapkan. Itu sebabnya regulator mengamanatkan organisasi untuk memberikan perlindungan ekstra terhadapnya.

Sayangnya, tidak semua pengembang aplikasi memikirkan kepentingan terbaik penggunanya, atau selalu tahu cara melindungi mereka. Mereka mungkin berhemat dalam upaya perlindungan data, atau mungkin tidak selalu membuatnya jelas mengenai seberapa banyak informasi pribadi Anda yang mereka bagikan dengan pihak ketiga. Dengan mengingat hal tersebut, mari kita lihat risiko privasi dan keamanan utama dari penggunaan aplikasi ini, dan bagaimana Anda bisa tetap aman.

Apa saja risiko utama privasi dan keamanan aplikasi kesehatan?

Risiko utama penggunaan aplikasi mHealth terbagi dalam tiga kategori: keamanan data yang tidak memadai, pembagian data yang berlebihan, dan kebijakan privasi yang disusun dengan buruk atau sengaja dihindarkan.

1. Masalah keamanan data

Hal ini sering kali disebabkan oleh kegagalan pengembang dalam mengikuti aturan praktik terbaik dalam keamanan siber. Ini dapat mencakup:

• Aplikasi yang tidak lagi didukung atau tidak menerima pembaruan: Vendor mungkin tidak memiliki program pengungkapan/manajemen kerentanan, atau kurang tertarik untuk memperbarui produk mereka. Apa pun alasannya, jika perangkat lunak tidak menerima pembaruan, itu berarti perangkat lunak tersebut mungkin penuh dengan kerentanan yang dapat dieksploitasi oleh penyerang untuk mencuri data Anda.
• Protokol tidak aman: Aplikasi yang menggunakan protokol komunikasi tidak aman dapat memaparkan pengguna pada risiko peretas yang menyadap data mereka saat transit dari aplikasi ke back-end atau server cloud penyedia, tempat data tersebut diproses.
• Tidak ada otentikasi multi-faktor (MFA): Sebagian besar layanan terkemuka saat ini menawarkan MFA sebagai cara untuk meningkatkan keamanan pada tahap masuk. Tanpanya, peretas dapat memperoleh kata sandi Anda melalui phishing atau pelanggaran terpisah (jika Anda menggunakan kembali kata sandi di aplikasi yang berbeda) dan masuk seolah-olah mereka adalah Anda.
• Manajemen kata sandi yang buruk: Misalnya, aplikasi yang memungkinkan pengguna menyimpan kata sandi default pabrik, atau menyetel kredensial yang tidak aman seperti “passw0rd” atau “111111.” Hal ini membuat pengguna terkena isian kredensial dan upaya kekerasan lainnya untuk memecahkan akun mereka.
• Keamanan perusahaan: Perusahaan aplikasi mungkin juga memiliki kontrol dan proses keamanan terbatas di lingkungan penyimpanan data mereka sendiri. Hal ini dapat mencakup pelatihan kesadaran pengguna yang buruk, terbatasnya anti-malware dan deteksi titik akhir/jaringan, tidak ada enkripsi data, kontrol akses terbatas, dan tidak adanya manajemen kerentanan atau proses respons insiden. Ini semua meningkatkan kemungkinan mereka mengalami pelanggaran data.

2. Berbagi data secara berlebihan

Informasi kesehatan pengguna (PHI) mungkin mencakup rincian yang sangat sensitif tentang penyakit menular seksual, penambahan zat, atau kondisi yang distigmatisasi lainnya. Ini dapat dijual atau dibagikan kepada pihak ketiga, termasuk pengiklan untuk pemasaran dan iklan bertarget. Diantara contohnya dicatat oleh Mozilla adalah penyedia mHealth yang:

• menggabungkan informasi pengguna dengan data yang dibeli dari pialang data, situs media sosial, dan penyedia lainnya untuk membangun profil identitas yang lebih lengkap,
• tidak mengizinkan pengguna untuk meminta penghapusan data tertentu,
• menggunakan kesimpulan yang dibuat tentang pengguna ketika mereka mengisi kuesioner pendaftaran yang menanyakan pertanyaan terbuka tentang orientasi seksual, depresi, identitas gender, dan banyak lagi,
• mengizinkan cookie sesi pihak ketiga yang mengidentifikasi dan melacak pengguna di situs web lain untuk menayangkan iklan yang relevan,
• memungkinkan perekaman sesi, yang memantau pergerakan mouse pengguna, menggulir dan mengetik.

3. Kebijakan privasi yang tidak jelas

Beberapa penyedia mHealth mungkin tidak berterus terang tentang beberapa praktik privasi di atas, menggunakan bahasa yang tidak jelas atau menyembunyikan aktivitas mereka dalam cetakan kecil S&K. Hal ini dapat memberikan rasa aman/privasi yang salah kepada pengguna.

Apa hukum mengatakan

• GDPR: Undang-undang perlindungan data andalan Eropa cukup tegas mengenai organisasi yang menangani PHI kategori khusus. Pengembang perlu melakukan penilaian dampak privasi, mengikuti prinsip hak atas penghapusan dan minimalisasi data, dan mengambil “langkah teknis yang sesuai” untuk memastikan “perlindungan yang diperlukan” diterapkan, untuk melindungi data pribadi.
• HIPA: Aplikasi mHealth yang ditawarkan oleh vendor komersial untuk digunakan oleh individu tidak tercakup dalam HIPAA, karena vendor bukanlah “entitas tertutup" atau "rekan bisnis.” Namun, ada pula yang – dan memerlukan pengamanan administratif, fisik dan teknis yang sesuai, serta tindakan tahunan Analisis resiko.
• CCPA dan CMIA: Penduduk California memiliki dua undang-undang yang melindungi keamanan dan privasi mereka dalam konteks mHealth: Undang-Undang Kerahasiaan Informasi Medis (CMIA) dan Undang-Undang Privasi Konsumen California (CCPA). Permintaan ini standar tinggi perlindungan data dan persetujuan eksplisit. Namun, peraturan tersebut hanya berlaku untuk warga California.

Mengambil langkah-langkah untuk melindungi privasi Anda

Setiap orang akan memiliki selera risiko yang berbeda. Beberapa orang akan menemukan trade off antara layanan/iklan yang dipersonalisasi dan privasi yang ingin mereka lakukan. Orang lain mungkin tidak merasa terganggu jika beberapa data medis dibobol atau dijual kepada pihak ketiga. Ini tentang menemukan keseimbangan yang tepat. Jika Anda khawatir, pertimbangkan hal berikut:

• Lakukan riset sebelum mengunduh. Lihat apa yang dikatakan pengguna lain dan apakah ada tanda bahaya dari pengulas tepercaya
• Batasi apa yang Anda bagikan melalui aplikasi ini dan anggap apa pun yang Anda katakan mungkin dibagikan
• Jangan menghubungkan aplikasi ke akun media sosial Anda atau menggunakannya untuk masuk. Ini akan membatasi data apa yang dapat dibagikan dengan perusahaan-perusahaan ini
• Jangan berikan izin pada aplikasi untuk mengakses kamera perangkat Anda, lokasi, dll.
• Batasi pelacakan iklan di pengaturan privasi ponsel Anda
• Selalu gunakan MFA jika ditawarkan dan buat kata sandi yang kuat dan unik
• Simpan aplikasi pada versi terbaru (paling aman).

Sejak Roe vs Wade dibatalkan, perdebatan mengenai privasi mHealth berubah menjadi mengkhawatirkan. Beberapa telah membunyikan alarm bahwa data dari pelacak menstruasi dapat digunakan dalam penuntutan terhadap perempuan yang ingin mengakhiri kehamilannya. Bagi semakin banyak orang yang mencari aplikasi mHealth yang menghargai privasi, taruhannya sangat besar.