hirdetés

Az okostelefonos egészségügyi alkalmazások adatbiztonsága

Világszerte félmilliárdnyian használnak okostelefont, s közülük egyre többen egészségügyi alkalmazásokat is, egészségmegőrzési, vagy akár gyógyítási, diagnosztikus céllal. Vajon visszaélhet-e bárki avval, hogy a fel­használók nemcsak az egészségügyi eredmények feldolgozásában laikusok, hanem érzékeny adataik sorsának követésében sem mérik fel a buktatókat, hiszen céljuk a saját egészségük – és ez így van jól. A jelen közlemény célja viszont az egészségügyi alkalmazások használatakor keletkezett adatok biztonságára való figyelmeztetés.

hirdetés

Dr. Speer GáborAz USA-ban 2014-ben a felnőtt lakosság negyede töltött le legalább egy egész­ségügyi alkalmazást okostelefonjára, és az orvosok egyharmada ajánlott már betegé­nek ilyen alkalmazást. Magyarországon az okostelefon-tulajdonosok 17%-a töltött már le egészségügyi vagy életmódot támogató alkalmazásokat, a krónikus betegek körében 18%, a nem betegek körében pedig 13% ez az arány (a Szinapszis Kft. felmérése szerint). A felmérésben részt vevők 36%-a hallott már egészségügyi vonatkozású mobilalkalmazá­sokról, ami jelentős növekedés (korábban 26% volt). Mind a krónikus betegek (38% vs. 26%), mind az okostelefonnal rendelkezők (49% vs. 36%) tájékozottsága javult ebben a kérdésben. A kutatásból az is kiderült, hogy az egészség­ügyi appok megítélése pozitív, a megkérde­zettek kétharmada tartotta hasznosnak azokat. Akik pedig rendelkeznek letöltött egészség­ügyi vagy életmódi alkalmazással, 44%-ban napi szinten használják is azt. (1)

A felhasználók többségének azonban, pozitív hozzáállása mellett, nincs fogalma arról, hogy az applikáció (app) belső mű­ködése milyen, s nem tudja azt sem, hogy a személyes adatai, amiket felvisz, beír vagy rögzít az alkalmazás használatával – a telefon­ján keresztül –, hol és hogyan tárolódnak. Ez ebben a szektorban jelenleg kizárólag bizal­mi kérdés. A felhasználók bíznak az appon keresztül megvalósuló szolgáltatás etikai alapjaiban, ugyanis jelenleg az egészségügyi alkalmazásokat kínáló applikációk sincsenek akkreditálva adatbiztonsági szempontokból (sem) – bár az adatok biztonságos kezelésére léteznek egészségügyi hatósági ajánlások. (2)

Egy brit felmérés tanulságai

Az egyik online megjelenésű, lektorált orvosi folyóirat, a BMC Medicine 2015. szeptember 7-ei számában publikált közlemény (3) őszintén beszél arról, hogy az Egyesült Királyság egészségügyi hatósága (National Health Service, NHS) által akkreditált mobile health (mhealth, azaz okostelefonon működő egészségügyi) applikációk nem megfelelően kezelik az azo­kat letöltő és alkalmazó emberek személyes és egészségügyi adatait. Bár a szerzők csu­pán 79 mhealth alkalmazást vizsgáltak, ami elenyésző a világon elérhető teljes kínálat­hoz képest, de egyéb közlések is arra utalnak, hogy a kérdés világszerte aktuális. A problé­ma azért gyakori, mert jelenleg mindenki (a betegek és az orvosok is) az alkalmazások hasznát vagy éppen hibáit tesztelik, mintegy ismerkednek a használatukkal, s nem az esz­közök által tárolt és továbbított egészségügyi adatok biztonságával vannak elfoglalva. Még.

A munkacsoport tehát 79 egészségügyi, okostelefonra letölthető alkalmazást vizsgált. A vizsgált alkalmazások wellness vagy fitness alkalmazások voltak, illetve krónikus beteg­ségek gondozásának támogatására voltak alkalmasak. Ezek közül 70 alkalmazás (89%) online szervizen keresztül továbbította a fel­használó által bevitt adatokat. Egyetlen app sem tárolta a személyes adatokat a felhasz­náló okostelefonjára (megjegyzésem: jóval biztonságosabb, ha nem a telefonon táro­lódnak az adatok, feltéve hogy megfelelők az adatvédelemi feltételek). Az olyan alkal­mazások kétharmada, amelyek az interneten keresztül küldenek személyes adatokat (pl. egy adatbázisba), nem használt titkosítást adatvédelmi célból, sőt az egészségügyi appok 20%-a semmilyen, a felhasználó ada­tait védeni hivatott titoktartási szabályzattal (privacy policy) nem rendelkezett. Volt négy olyan mobilalkalmazás is, amely titkosítási vé­delem nélkül használt a felhasználó azonosí­tására egyértelműen alkalmas adatokat. Bár egyetlen, titoktartási szabályzattal rendelkező app sem gyűjtött (tárolt) és továbbított olyan személyes adatot, amelyet a leírt szabályza­ta tiltott volna, de ezek közül 38 app (48%) nem tartalmazta titoktartási szabályzatában azoknak a személyes adatoknak a felsorolá­sát, amelyeket használat során az adatbázisba küldenek, tárolnak. Érdekes, hogy az ingyenes appok háromnegyede, míg a fizetőseknek csak a 43%-a tüntetett fel titoktartási szabályzatot. Azok az appok, amelyek esetében a felhasználó adatait továbbították, csak 70%- ban közöltek titoktartási szabályzatot. Több androidos alkalmazás, mint ahány iOS app tartalmazott titoktartási szabályzatot.

A regisztrációhoz, vagyis az alkalmazás letöltéséhez az appok kétharmada a haszná­ló személy azonosítását könnyen lehetővé tevő információkat kért, pl. e-mail címet, vagy akár a teljes nevet. Az alkalmazások kisebb része volt olyan, melynek használóját nehe­zen lehetett azonosítani más által, mert csak a felhasználó nemét, életkorát vagy hollétét (pl. csak irányítószám) kérte. Az alkalmazá­sok háromötöde érzékeny információt köz­vetített, tárolt: olyan információkat, mint az egészségügyi adatok, illetve a beteg által vezetett egészségügyi napló. A programok ötöde alkoholfogyasztással, dohányzással és szerfüggőséggel kapcsolatos információkra is rákérdezett, tárolta azokat, és néhányuk az etnikai hovatartozást, a képzettséget és a szexuális szokásokat is firtatta.

Az alkalmazások többsége egy vagy több ún. harmadik partner cégen keresztül is kommunikált, leginkább akkor, amikor pl. a fel­használót olyan egészségügyi információs oldalakra navigálta, melyekre a felhasználó igényt tartott. Az alkalmazások ötöde hirde­téseket is közvetített a felhasználónak. Ugyan egyetlen alkalmazás sem adta ki hirdetőknek vagy marketingcégnek a felhasználó adatait, de egyes hirdetők ún. sütiket (cookies) gene­rálva ezekhez elvben hozzájuthattak. Tehát, az app használóiról a hirdetők számára azo­nosíthatatlanul kerültek csak ki információk, de egyéb technikai trükkökkel azonosítani lehetett a felhasználót, illetve az eszközét (mobiltelefonját). Ezért lehetséges az, hogy a felhasználó személyre szabott hirdetést kaphatott. Az emberek nagyon érzékenyek az egészségükkel kapcsolatos információk iránt, ezért a felhasználó keresése alapján cél­zott hirdetés gyakran talál célba (vevőre). Az appok 24%-a küldött másnak statisztikát a felhasználó szokásairól, beírt adatairól, anélkül hogy ezt közölte volna a felhasználóval vagy megkérdezte volna tőle a regisztrációkor (az alkalmazás letöltésekor).

Van igény az adatbiztonságra

Az alkalmazások jó része tehát érzékeny infor­mációt tárolt, de a tárolás nem volt titkosított. Fontos tudni, hogy a felhasználókat az nyug­tatja meg, hogy username/password kettőst vagy PIN kódot is kér az app, de ez önmagában egyáltalán nem jelenti azt, hogy a bevitt és tá­rolt adatokat nem lehet azonosítani a felhasz­nálóval. Ez leginkább arra jó, hogy a telefonon keresztül más nem láthatja a beírt adatokat. Az appok nagy része online eszközzel kommunikált (és itt tárolta a felhasználó adatait), ezek harmada az alkalmazás fejlesztői/működtetői által kontrollált szerverrel. Azok az alkalmazá­sok a legsérülékenyebbek, amelyek „felhő ala­pú” tárolással őrzik az adatokat, és a fejlesztés nem terjedt ki az adatvédelmi biztonságos­ságra. A szerzők arra jutottak, hogy a legtöbb alkalmazás nem is tett lépéseket a felhasználó személyes információinak megfelelően biz­tonságos tárolására.

Egyelőre ugyan nem tudunk arról, hogy a mobil health adatokkal akár az Európai Unióban, akár az USA-ban visszaéltek volna, de is­merve a korábbi és a jelenlegi közlések ered­ményeit, nem kizárható az adatok „hackelése”, mert a lehetőség megvan rá. (4) A közlemén­nyel arra szeretném felhívni a figyelmet, hogy a probléma nem megoldhatatlan, hiszen a „bankolás” az interneten keresztül egyértel­műen biztonságos, és hogy igény van az adat­biztonságra, az is evidencia. Ennek garanciáit az mhealth szektorban is meg kell teremteni. Addig azonban a felhasználóknak is ügyelniük kell erre, és fontosnak tartom ezt a szempontot a megfelelő alkalmazások kiválasztásában.

Levelezési cím: This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

Irodalom:
1. http://www.szinapszis.hu/kutatasi_eredmenyek/122
2. Cortez NG, Cohen IG, Kesselheim AS. FDA regulation of mobile health technologies. N Engl J Med 2014;371(4): 372-9.
3. Huckvale K, Prieto JT, Tilney M, Benghozi PJ, Car J. Un­addressed privacy risks in accredited health and wellness apps: a cross-sectional systematic assessment. BMC Med 2015;13:214.
4. Huckvale K, Car J. Implementation of mobile health tools. JAMA 2014;311(14):1447-8.

Dr. Speer Gábor
a szerző cikkei

hirdetés

cimkék

Kapcsolódó fájlok

Olvasói vélemény: 0,0 / 10
Értékelés:
A cikk értékeléséhez, kérjük először jelentkezzen be!
Ha hozzá kíván szólni, jelentkezzen be!
 

blog

Egy 57 éves, frissen kezelni kezdett hypertoniás, dohányzó férfibetegnél korábban, hegymenetben jelentkezett már anginaszerű panasza, ami miatt kardiológushoz előjegyezték. Most favágás közben jelentkezett retrosternalis szorító-markoló fájdalom.

Amennyiben a képalkotó szakemberek számára rendelkezésre áll egy iPhone vagy egy iPad készülék, rengeteg minőségi radiológia-orientált alkalmazás közül választhatnak. A más operációs rendszert használók számára jelenleg sokkal korlátozottabbak a lehetőségek.

Úgy látszik, a fül- orr- gégészetet egyre szorosabb szálak fűzik össze a babasamponnal. Most kiderült, hogy alkalmas nasenendoscopia, azaz orrtükrözés során páramentesítésre is, legalábbis thaiföldi kollégák szerint.

Azok számára, akik tudják, mik a gyógyszer hatóanyagai, a mélyvénás trombózis miatti halálesetekről szóló hír nem annyira meglepő. A Diane kombinációban tartalmaz ciproteron-acetátot és az etinil-ösztradiolt.