Forbrugerråd og Sikkerhedsråd: Data fra sundhedsapps sælges til uvedkommende

Foto: Halvor Solhjem Njerve
Blodtryksmålere, der bruges privat, holder øje med en række sundhedsmæssige data, men der er ingen garanti for, at det kun er dig, der ser dem.

Det halter med sikkerheden i softwaren, der bruges i sundhedsgadgets. Det kan i værste tilfælde betyde, at dine sundhedsdata sælges videre til gud ved hvem.

Det norske Forbrukerrådet har i en undersøgelse testet en række blodtryksmålere. I den forbindelse har de kigget på en lang række præmisser som brugervenlighed, præcision og sikkerhed.

Blandt de undersøgte modeller findes flere, der sælges i Danmark, og det ser ud til, at der ikke umiddelbart er nogen garanti for, at der bliver passet ordentligt på den data, blodtryksmålerne måler, behandler og gemmer.

»Jeg synes, der er klart grund til bekymring. Det er tydeligt, at der er nogen, der ikke gør det ordentligt, og det viser, at brugerne ikke har kontrol med oplysningerne. Sundhedsdata kan jo godt være følsomt. Der kan være tale om en oplysning om, at man har forhøjet blodtryk. Det kan være interessant for forsikringsfirmaer eller virksomheder, der sælger blodtryksnedsættende medicin,« siger Anette Høyrup, seniorjurist hos Forbrugerrådet Tænk, der frygter, at det er et symptom på, at selvhjælpsprodukter måske ikke er godt nok beskyttet sikkerhedsmæssigt.

Vanskeligt at vurdere risikoen

Det er ikke muligt at konkludere, hvorvidt data rent faktisk er solgt videre til tredjeparter, og problematikken kan bl.a. skyldes, at virksomhederne har et større fokus på funktionalitet og brugervenlighed end at beskytte den indsamlede data.

»Analyser viser, at der endnu er lang vej at gå. Der samles flere oplysninger ind, end hvad der er nødvendigt, og data deles også med uvedkommende. Det fremgår dog ikke af oplysningerne i rapporten, hvilke ekstra oplysninger der indsamles, og hvem leverandørerne deler data med. Derfor er det også vanskeligt at vurdere, hvad det er for en risiko, de registrerede står overfor ved at bruge disse produkter,« siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Selvom undersøgelsen som udgangspunkt har fokuseret på blodtryksmålere, så er det nærliggende at forestille sig, at det samme billede gør sig gældende på andre områder, hvor gadgets eller software har adgang til privat sundhedsdata.

»Der er håb forude«

»Jeg tror, at apps i fremtiden vil have en bedre datasikkerhed pga. den nye forordning, så der er håb forude,« siger Anette Høyrup.

Hendes forhåbninger bunder i den kommende EU-persondataforordning, der fra maj 2018 vil kunne ramme virksomheder, der ikke har styr på datasikkerheden, med enorme bøder på op til 4 pct. af virksomhedens omsætning, og hun er ikke alene om sine forventninger til fremtiden.

»Persondataforordningen kommer helt sikkert til at rette op på disse forhold. Der er krav om, at forordningens regler skal understøttes gennem det design der vælges i løsningen. Det betyde,r at der vil komme bøder, for bl.a. at der ikke må indsamles flere oplysninger end nødvendigt, at der ikke må bruges personoplysninger til uforenelige formål, og at data ikke må sendes til uvedkommende uden hjemmel,« mener Henning Mortensen.

Forskellig tolkning af loven

»For så vidt angår designet, har det danske justitsministerium valgt en noget tilbageholdende fortolkning af persondataforordningen. Det norske Datatilsyn har lavet en vejledning, som udstikker en helt anden linje for designet end Danmark,« påpeger Henning Mortensen, der opfordrer folk til at læse den norske vejledning.

Den er baseret på Ann Cavoukians designprincipper med fokus på dataminimering, -begrænsning og -sletning.

»Det er i Rådet for Digital Sikkerheds optik klart at foretrække, at man lægger sig mere op ad den norske linje, da det vil sikre en langt højere grad af tillid til databehandlingen - også på sundhedsdataområdet,« siger Henning Mortensen.

Ansvaret bør ligge hos virksomheden

Man kan undre sig over, at det ikke er ulovligt for virksomhederne ikke at beskytte sundhedsdata bedre, men det kan i nogle tilfælde forklares med, at brugerne selv har accepteret de juridiske betingelser for produktet.

Når brugere af blodtryksmålerne anvender den medfølgende software, så skal de nemlig godkende disse betingelserne for overhovedet at kunne bruge det, men det giver ikke mening at lægge ansvaret fra sig på den måde, mener Forbrugerrådet Tænk.

»Man kan ikke lægge ansvaret over på forbrugeren. Det skal være muligt at kunne gennemskue, hvad der er op og ned, når det gælder dataindsamling. Det har man ikke en kinamands chance for at gennemskue selv. Sikkerheden skal bygges ind i produktet fra starten,« siger Anette Høyrup.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Anne-Marie Krogsbøll

Vi har gentagne gange de senere år herhjemme fra regioner og sundhedsvæsen hørt højtflyvende planer om, at sundhedsvæsnet kan effektiviseres med disse apps, hvor borgerne kan selvrapportere eget helbred direkte ind i diverse journaler og registre - har man taget det i brug nogen steder? Og i givet fald - har man ordentligt tjek på de benyttede apps? Vil man i fremtiden garantere, at man undersøger disse forhold ordentligt, inden man lokker borgerne ind i de data-fælder? Vil borgerne kunne få syn for sagn ved at kunne få aktindsigt i de undersøgelser, man har lavet? Eller skal vi blot tro dem på deres ord, uanset hvor mange gange løfterne har vist sig at være tomme?

"»For så vidt angår designet har det danske justitsministerium valgt en noget tilbageholdende fortolkning af persondataforordningen. Det norske Datatilsyn har lavet en vejledning, som udstikker en helt anden linje for designet end Danmark,« påpeger Henning Mortensen, der opfordrer folk til at læse den norske vejledning."

Ja, i Danmark indgår videregivelse/salg af vore sundhedsdata jo mere eller mindre i nationalregnskabet og i diverse regeringers højtflyvende planer for fremtiden - så man vil da ikke spænde ben for sig selv.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017