Gezondheidsapps vaak zo lek als een mandje

Volgend artikel: Toezichthouder heeft rol bij mensgericht digitaliseren
Lees meer

Gebruikersdata in medische en gezondheidsapps zijn gevoelig voor misbruik, laten verschillende recente studies zien. Niet alleen liften er ongemerkt tientallen trackingcookies mee op de betreffende apps, ook de beveiliging rammelt aan alle kanten. Bovendien maken veel aanbieders een potje van het privacy-beleid.

Al ruim voor de corona-epidemie zaten gezondheidsgerelateerde apps in de lift. De pandemie heeft deze trend versneld, mede door de groeiende bereidheid van professionals om dergelijke apps in te zetten. Maar voorzichtigheid is geboden, blijkt uit een recente publicatie in British Medical Journal. “Mobiele gezondheidsapps gaan gebukt onder ernstige privacy-problemen en inconsistente privacyregels”, constateren wetenschappers van de Australische Macquarie University in Sydney. “Clinici moeten zich hiervan bewust zijn en de patiënt deelgenoot maken bij het afwegen van voor- en nadelen van zorgapps.”

Voor de studie onderzochten de wetenschappers bijna 21 duizend apps uit de Google Play store, waarvan ruim achtduizend kunnen worden aangemerkt als ‘medisch’ en bijna dertien duizend onder het kopje ‘gezondheid en fitness’ vallen. Bijna negentig procent van deze apps maakt gebruik van tracking cookies, waarmee gebruikersinformatie kan worden opgehaald.

Advertentiebureaus

De Britse consumentenwebsite Which? zocht eerder dit jaar uit hoe dit in de praktijk werkt. Afvallen via de site van WW, voorheen Weight Watchers? Geïnteresseerden krijgen in een paar clicks 225 cookies aangesmeerd, waarvan 87 volg-cookies. Bijna net zo bont maakt fitness-app MyFitnessPal het. Deze toepassing van sportmerk UnderArmour telt 138 cookies, waar er volgens Which? maar zes functioneel nodig zijn. 87 Cookies zijn terug te leiden tot derde partijen, waaronder 25 advertentiebureaus.

Niet transparant

Volgens de Australische onderzoekers zijn aanbieders van gezondheidsapps allesbehalve transparant over het gebruik van cookies als de bovenstaande. Bijna een derde (28 procent) van de aanbieders hanteert geen privacyrichtlijnen of maakt daar in ieder geval geen melding van. Van de aanbieders die dit wel doen, houdt nog niet de helft zich aan de eigen richtlijnen.

Onbewuste uitruil

Bijkomend probleem is volgens technisch directeur Tom Davison van mobiele databeveiliger Lookout dat gebruikers zich nauwelijks realiseren hoe makkelijk ze persoonlijke informatie uitruilen. “De meeste gebruikers zijn toegerust noch bereid om eindeloze privacy-verklaringen door te spitten”, aldus Davis. “Terwijl dat de enige manier is om vast te stellen hoe apps data ontsluiten, opslaan, verzenden en delen.”

API is Achilleshiel

Volgens techneuten schuilt het grootste gevaar echter niet in ondeugdelijke privacyregels, maar in de gebruikte software. Achilleshiel vormen de zogeheten Application programming interfaces (API’s), waarmee digitale toepassingen met elkaar kunnen communiceren. De Amerikaanse hacker Alissa Knight, die eerder in no time zelfrijdende auto’s van de Amerikaanse politie wist te kraken, testte onlangs dertig veelgebruikte gezondheidsapps. Zonder uitzondering vertoonden ze dunne plekken; in zeker de helft van de gevallen wist Knight via API’s toegang te krijgen tot gevoelige patiëntinformatie, zoals medicijngebruik, diagnostische informatie, lab-uitslagen en verzekeringsnummers.

Onveilige protocollen

Knights bevindingen worden ondersteund door het Australische onderzoek. Waar data gedeeld en verzonden worden gebeurt dat in bijna een kwart van de gevallen via onveilige communicatieprotocollen. Met name waar het gevoelige informatie als wachtwoorden en geo-locatie betreft is dit zorgelijk, aldus de onderzoekers.

Geen minimale vereisten

Wie denkt dat apps in Google of Apple store voldoen aan zekere minimale veiligheidsvereisten, komt bedrogen uit. Veel apps blijken het gebruik van boterzachte wachtwoorden toe te staan. Ook dubbele authenticatie is bepaald geen standaard. En dan zijn er nog de aanbieders die verouderde software in hun toepassing verwerken.

Kostbare informatie

Als er nog geruststellend nieuws voor mHealth-gebruikers is, dan is het dat zorgapps minder data verzamelen en delen dan andere apps. Ook is het aantal derde partijen dat is aangehaakt kleiner. Medische apps doen het in dit opzicht beter dan fitness- en lifestyle-apps. Dit laat onverlet dat juist de informatie die via medische apps wordt ontsloten op de belangstelling van kwaadwillenden kan rekenen. Naar verluidt bedraagt de vraagprijs voor een patiëntendossier op het darkweb duizend dollar per stuk, bijna tien keer meer dan creditcard-gegevens.

VERDER LEZEN:

‘Most Critical API Security Risks’, Open Web Application Security Project (OWASP)

Imperfect People, Vulnerable Applications, Osterman Research

Mobile Security Index 2021, Verizon

All That We Let In – mHealth Apps and APIs Are Easy to Hack, Alissa Knight & Approov

Philip van de Poel Auteur
Lees meer

Meer over

Innovatie, mHealth,

Deel

Delen van data draagt bij aan betere hartzorg
Lees meer
KPN kiest voor duurzaam partnerschap met Dutch Health Hub
Lees meer
Joep de Groot: ‘Meer schaal en impact digitale zorg nodig’
Lees meer
Open brief aan CZ: drie suggesties om digitale zorg te versnellen
Lees meer
Toezichthouder heeft rol bij mensgericht digitaliseren

ICT is de ruggengraat van de organisatie. Mensgerichtheid is hierbij nog niet een belangrijke maatstaf, maar zou dat wel moeten zijn.

Ilonka Coenraad Auteur
Lees artikel

Maak een account aan

Om artikelen aan je leeslijst toe te voegen en om artikelen en events met bepaalde thema’s of van specifieke organisaties of auteurs te volgen, dien je ingelogd te zijn met je Mijn Hub account.

Registreer je Of log in