Pracują z bardziej wrażliwymi danymi użytkownika niż jakikolwiek inny program. Niemniej jednak aplikacje zdrowotne często zaniedbują ochronę danych. Wabią też darmowymi programami, które potajemnie zbierają i sprzedają dane użytkowników. Ujawniło to badanie przeprowadzone przez AV-TES T Institute, które t-online.de otrzymało wcześniej.

Aplikacje zdrowotne są bardzo popularne. Ale wielu z nich to tajni zbieracze danych. (Źródło: obrazy imago)

Liczą przejechane kilometry, spalone kalorie i dni płodne. Rejestrują nadciśnienie, depresję i niedożywienie. Wysyłają telefony alarmowe, udzielają porad zdrowotnych, pomagają w znalezieniu lekarza i leków, a nawet przypominają o zażyciu leków na czas. Aplikacje zdrowotne na smartfony z systemem Android obiecują wsparcie zarówno chorym, jak i osobom, które chcą żyć zdrowiej. W rzeczywistości ponad 100 000 takich aplikacji pomaga milionom ludzi ćwiczyć więcej, lepiej się odżywiać, rejestrować i interpretować wartości i sygnały ciała oraz optymalizować własne zachowanie. Skutkuje to ogromnym rosnącym rynkiem dla twórców aplikacji, branży sportowej, medycznej i urządzeń, ale także dla reklamodawców, firm ubezpieczeniowych i innych firm, które prowadzą interesy z danymi użytkowników.

Kontrowersyjne dane użytkownika – nagrane samemu

Takie aplikacje zbierają istotne dane o swoich użytkownikach za pomocą wielu czujników wbudowanych w smartfony. To samo dotyczy szybko rosnącej liczby urządzeń peryferyjnych, takich jak wagi, trackery fitness i inne urządzenia pomiarowe. I wreszcie, użytkownicy dobrowolnie wprowadzają dane wymagane przez aplikacje; zawsze przy założeniu, że dostawcy aplikacji będą traktować żądane dane poufnie i odpowiednio je chronić. W przeciwieństwie do innych aplikacji, aplikacje dostępne w Google Play Store w kategoriach „Zdrowie i fitness”, „Medycyna” i „Styl życia” zbierają i wykorzystują wiele danych osobowych, w tym dane dotyczące zdrowia.

Sprawdzono 60 aplikacji pod kątem ochrony danych

60 aplikacji sprawdzonych przez ekspertów ds. ochrony danych z Instytutu AV-TEST pokazuje szeroki przekrój aplikacji e-zdrowia oferowanych bezpłatnie w sklepie Google Play. Wśród nich znalazły się programy na Androida do diagnozowania możliwych chorób, aplikacje do wyszukiwania informacji medycznych, apteki i lekarze, monitory kondycji i aplikacje do monitorowania wartości medycznych, takie jak liczniki kalorii, dzienniczki cukrzycy i planery płodności, aplikacje do monitorowania snu i pamiętniki dziecka.

Wysokie przeszkody prawne

Zgodnie z europejską dyrektywą o ochronie danych, niemiecką federalną ustawą o ochronie danych i innymi przepisami dane osobowe podlegają szczególnej ochronie. Na przykład ich zbieranie, przetwarzanie i wykorzystywanie wymaga zgody osoby zainteresowanej. Ponadto informacje o gromadzeniu, przetwarzaniu i wykorzystywaniu danych muszą być „kompleksowe i przejrzyste”, a przetwarzanie i wykorzystywanie danych za granicą musi być ogłoszone. W przypadku danych zdrowotnych te wymogi prawne są znacznie bardziej restrykcyjne.

Obawy użytkowników

Te wymogi prawne prawdopodobnie rozwieją obawy użytkowników takich aplikacji: zgodnie z aktualnym badaniem przeprowadzonym przez Instytut Allensbach, użytkownicy nie są skłonni udostępniać danych z ich monitorów fitness firmom, takim jak ubezpieczyciele zdrowotni. Nawet jeśli przekazanie danych o kondycji doprowadziłoby do częściowego zwrotu składek na ubezpieczenie zdrowotne, ponad połowa wszystkich respondentów byłaby temu przeciwna.

Bezpłatni pomocnicy jako przynęta na dane

Jednak wymagania prawne i obawy użytkowników sprzeciwiają się temu, jak wielu dostawców aplikacji e-zdrowia w praktyce zajmuje się danymi użytkowników: Zamiast oferować skuteczną ochronę danych, kuszą użytkowników darmowymi aplikacjami w celu uzyskania dostępu do ich danych zdrowotnych. Eksperci z AV -TEST Institute przetestował zakres i jakość danych rejestrowanych przez aplikacje. Czyniąc to, porównują je również z celem użytkowania i odpowiednio ważą pozyskiwanie danych. Inspektorzy ochrony danych sprawdzili, czy i jak dobrze dostawcy aplikacji spełniają prawne wymogi obowiązku informacyjnego w zakresie gromadzenia i wykorzystywania danych. Sprawdzili również ruch danych aplikacji. W ten sposób zbadali narzędzia używane przez aplikacje do zbierania danych oraz kanały, przez które te dane przepływały.

Ponad 80 procent bez odpowiedniej polityki prywatności

Nawet w przypadku prawnie wymaganych informacji użytkownika o gromadzeniu i wykorzystywaniu danych dostawcy aplikacji zdrowotnych zawodzą: z 60 sprawdzonych aplikacji na Androida tylko 32 oferowało bezpośredni link ze sklepu Google Play do oświadczenia o ochronie danych. Jednak tylko 22 można było dotrzeć za pośrednictwem linku, dziesięciu użytkowników prowadziło donikąd lub na osierocone strony internetowe. Tylko 19 z 60 aplikacji posiadało oświadczenie o ochronie danych, które bezpośrednio odnosiło się do badanego wniosku. W 53 z 60 aplikacji istniejące deklaracje o ochronie danych pochodziły z 2014 r. lub starsze – lub nie było informacji na temat ważności deklaracji.

W połączeniu z inteligentnymi zegarkami aplikacje zbierają dużo danych od swoich użytkowników. (Źródło: Imago)

Google podejmuje działania przeciwko skargom

Te skargi są teraz cierniem w boku Google, ponieważ operator największego na świecie sklepu z aplikacjami zapowiedział drastyczne środki dla twórców aplikacji: na początku lutego 2017 r. Google poinformował dostawców aplikacji e-mailem, jeśli ich aplikacje nie są zgodne z zasady Sklepu Play dotyczące obsługi danych użytkownika. Amerykańska korporacja wyznaczyła termin 15 marca 2017 r. na naprawienie wszelkich skarg. W przeciwnym razie istnieje ryzyko drastycznych środków, w tym wyrzucenia ze sklepu Google Play. Według szacunków portalu medialnego „The Next Web” może to mieć wpływ na miliony aplikacji w przyszłości. W 2014 roku badanie GPEN potwierdziło, że 85 procent aplikacji miało nieodpowiednie deklaracje dotyczące ochrony danych.

Tylko osiem aplikacji nie wymaga dostępu

Niezależnie od tego, czy oświadczenie o ochronie danych jest dostępne, czy nie, wiele aplikacji e-zdrowia sprawdzonych przez AV-TEST było wyjątkowo dostępnych, jeśli chodzi o informacje od użytkowników. Odpowiednio obszerne były uprawnienia dostępu, które aplikacje przyznały sobie w praktycznym teście na urządzeniach mobilnych. Oprócz dostępu do danych użytkownika i urządzenia wiele aplikacji wymagało również dostępu do zdjęć i innych danych przechowywanych na urządzeniach mobilnych. Bardzo popularne są również: dane geoprzestrzenne oraz identyfikator urządzenia i informacje o połączeniach. Dwanaście aplikacji wymagało bezpośredniego dostępu do kamery, 7 chciało swobodnie korzystać z mikrofonu, trzy nawet pełne funkcje telefoniczne smartfonów. Tylko osiem aplikacji w teście nie wymagało żadnych uprawnień dostępu.

77 z 187 dostępów było krytycznych

Testerzy sprawdzili potrzebę praw dostępu wymaganych przez aplikacje, biorąc pod uwagę funkcjonalność aplikacji. Jeśli prawa dostępu do podstawowych funkcji nie były wymagane lub konieczność nie była oczywista, oceniali taki dostęp jako „krytyczny”. Spośród 186 wniosków o dostęp wygenerowanych w teście eksperci ocenili co najmniej 77 wniosków jako niepotrzebne, a zatem „krytyczne” dla korzystania z aplikacji. Na przykład aplikacja do rejestrowania cyklu kobiecego chciała być informowana o miejscu pobytu swoich użytkowników. Kolejna aplikacja oferowana do rozpowszechniania istotnych informacji za pośrednictwem sieci społecznościowych. AV-Test wkrótce opublikuje wyniki testowanych aplikacji.

Niepewny transfer danych do Facebooka

Testerzy zbadali również ruch danych w aplikacjach e-zdrowia. Okazało się, że dostawcy w aplikacjach pracują już na masową skalę z narzędziami do zbierania danych i instrumentami śledzącymi od zewnętrznych dostawców z branży reklamowej, w tym Google i Flurry Analytics, Baidu i automatycznym przekazywaniem danych do Facebooka.

Dane fitness są ekscytujące dla sportowców. Również dla wielu firm. (Źródło: obrazy imago)

Sieci reklamowe pozostają anonimowe i niewykryte

Zauważono również, że dostawcy aplikacji, jeśli w ogóle informują użytkowników o przekazywaniu danych stronom trzecim za pomocą oświadczenia o ochronie danych, w najlepszym przypadku o nazwie „Google Analytics”. Wszystkie inne sieci reklamowe pozostały nienazwane i ujawniły się dopiero w laboratorium dzięki analizie ruchu danych aplikacji za pomocą specjalnego oprogramowania śledczego. Dla niedoświadczonych użytkowników automatyczne przekazywanie ich danych stronom trzecim w celach reklamowych nie jest ani oczywiste, ani nie może być w żaden sposób ograniczone.

Nieszyfrowana transmisja danych

W ramach tych testów wykazano również, że między aplikacjami a serwerami dostawców oraz podłączonymi sieciami reklamowymi wymieniane są wszelkiego rodzaju dane. Informacje, które atakujący mogą łatwo przechwycić, obejmowały wrażliwe dane użytkownika, takie jak logowanie uwierzytelnień, czyli również nazwy użytkowników i powiązane hasła. Oprócz tego, że niektóre aplikacje przekazują wrażliwe dane od swoich użytkowników osobom trzecim bez ich wiedzy, istnieje również fakt, że zrezygnowano z odpowiednich środków ochronnych, takich jak szyfrowany ruch danych.

Ochrona danych jest prawem podstawowym

Chociaż od lat aplikacje zdrowotne są coraz częściej używane na urządzeniach użytkowników w Niemczech i Europie, nadal nie ma oficjalnych kontroli jakości ani pieczęci zatwierdzających ocenę wiarygodności i jakości ochrony danych takich aplikacji. Zapotrzebowanie na większą ochronę danych przez prywatnych dostawców, takich jak Google, jest satysfakcjonujące, ale mało wiarygodne. W końcu sama firma jest jednym z największych zbieraczy danych na świecie.

Konsumenci mogą to zrobić

Do czasu należytego wdrożenia przepisów prawnych użytkownicy aplikacji zdrowotnych są pozostawieni samym sobie, jeśli chodzi o ochronę swoich danych. Jak pokazuje obecne badanie, powinieneś dokładnie sprawdzić, które aplikacje zostawiasz na swoim smartfonie lub tablecie. Przed instalacją ważne jest, w miarę możliwości, sprawdzenie uprawnień dostępu aplikacji w App Store, aby trzymać szpiegów danych z dala od własnych urządzeń mobilnych.

W przyszłości AV-TEST będzie publikować oceny poszczególnych aplikacji zdrowotnych, takich jak urządzenia do monitorowania kondycji. t-online.de będzie nadal informować na ten temat.