Data-verzamelpraktijk in medische apps vaak belabberd

Data-verzamelpraktijkEen onderzoek van Australische wetenschappers liet recent zien dat gezondheidsapps vaak zo lek als een mandje zijn. Een Nederlandstalig artikel met die titel verscheen op 18 augustus op de website www.dutchhealthhub.nl, geschreven door Philip van der Poel. Ook beschreef het Nederlands Tijdschrift Voor Geneeskunde het onderzoek.  Het onderliggende wetenschappelijk artikel van de Australiërs verscheen op 21 juni 2021 in het British Medical Journal. Ze deden onderzoek naar medische, gezondheids- en fitness-apps die verkrijgbaar waren In Google Play. Het gaat dus uitsluitend om apps die draaiden op het besturingssysteem Android, niet op het IOS-besturingssysteem van Apple. Hun analyse leverde op, dat er serieuze problemen bestaan t.a.v. de privacy van de gebruikers en dat door de app-aanbieders gehanteerde privacy-beleid verre van consistent te noemen is. Artsen dienen dit te weten en met patiënten te communiceren als ze met patiënten communiceren over de voordelen maar ook de risico’s van medische apps.

Onderzoek

De Australische wetenschappers deden hun onderzoek met voornoemde apps uit de Google Play “winkel”.  Ze keken naar 20.991 apps voor smartphone of tablet. !5.893 (75,7%) waren gratis. 3.228 (15,4%) kocht men en 1872 (8.9 %) hadden een geo-blokkade waardoor men ze in Australië niet kon downloaden. De 15.893 apps onderzocht men door de gedownloade appte bewerken met een tool om de gebruikte software te decoderen tot vrijwel de oorspronkelijk code. Ze analyseerden zo de app-bestanden en de broncode(dynamische analyse) alsmede de het netwerkverkeer dat de apps genereerden tijdens de werking van de app(dynamische analyse). Ook onderzocht men reviews van gebruikers van de apps.

Schokkende resultaten

88 procent van de apps hadden toegang tot persoonlijke gegevens en konden die potentieel delen. In 3,9 % zag men daadwerkelijke overdracht van informatie. Met persoonlijke data gaat vooral om identificerende informatie over de gebruikte smartphone/tablet, de plek in het gebruikte netwerk en de locatie van de eigenaar en soms ook wachtwoorden. De gebruikte testmethode zorgde helaas voor een onderschatting van de werkelijke dataoverdracht. Zeer evident was de rol van derden.

In 87 % van de gevallen dat persoonsgegevens verzameld werden bleek dat te gaan om “external sevices”. Dan gaat het meestal om zogenaamde API’s (Application Program Interfaces) van derden die app-bouwers inbouwen in hun app. De app verzamelt dan data die hij dan naar die derden stuurt. 87,5 % van de gevallen waarbij de app data verzamelde en verstuurde berustten op diensten die derde partijen uitvoerden binnen de app. Zorgelijk dus.

Wat verzameld?

Datgene wat de app doorstuurde betrof in een groot aantal gevallen de IMEI code van de smartphone. Dat is de unieke identificerende code van een smartphone. Ook ging het om het MAC-adres. Dat is een unieke code voor de identificatie van je computer, printer of smartphone. Kortom: voor elk apparaat dat communiceert in een datanetwerk. Ook de GPS-locatie van de gebruiker geven apps nogal eens door aan derden. Hetzelfde gold in een aantal gevallen voor wachtwoorden.

Geen transparantie

De onderzoekers bekeken hoe en wat er aan data verzameld werd door de apps en vergeleken dat met de privacy-voorwaarden die de app aan de gebruiker toonde. In 28,1 % van de gevallen was er sprake van datatransmissie die niet vermeld stond in de privacy-voorwaarden. Dat is een zeer bedenkelijk fenomeen. Schrale troost is dat het percentage in niet-medische apps veel hoger ligt.

ISO-norm/CE-certificatie

Er bestaat inmiddels sinds begin 2021 een Europese technische specificatie over kwaliteit van Medical Applications bij de International Organization for Standardization (ISO). Het gaat dan om de ISO.CEN.NEN DTS 82304-2 – Health and wellness apps – Quality and reliability.  Op het internet is ook een abstract te vinden. Deze standaard beoogt op termijn de veiligheid en de betrouwbaarheid van medische apps te vergroten. Belangrijk is ook te weten dat medische apps in Europa deels vallen onder “Software as Medical Device) en daarom CE-gecertificeerd moeten zijn. Sinds 26 mei 2021 gelde de Europese Medical Device Regulation. Daarbij komt een deel van de medische apps te vallen onder de klasse 2 CE-certificering. Hetgeen inhoudt dat een aangemelde keuringsorganisatie( “notified body”) de software moet valideren. Dat betekent dat het moet controleren dat de app doet wat door de maker zegt dat hij moet doen.

 

W.J. Jongejan,31 augustus 2021

Afbeelding van Gerd Altmann via Pixabay