Hälsoappar måste berätta för sina användare om eventuella dataintrång eller riskera en rejäl böta, klargjorde Federal Trade Commission i ett policydokument förra veckan. Regeln som kräver att insyn är tio år gammal, men den har inte tillämpats tidigare. Den nya vägledningen fungerar som en varning för de många företag som sträcker sig in i hälso -apputrymmet: FTC tar frågor kring hälsodatas integritet på allvar – även om det inte kommer att kunna hantera alla sekretessluckor på egen hand.
FTC: s hälsobrotningsregel omfattar alla organisationer som inte omfattas av Health Insurance Portability and Accountability Act (HIPAA), som täcker saker som läkare och försäkringsbolag. HIPAA kräver att dessa grupper ska avslöja varje gång de har ett dataintrång. FTC -regeln omfattar alla andra grupper som behandlar hälsoinformation.
Hälsoappar har ofta inte haft starka dataskyddsskydd, sade FTC -ordföranden Lina Khan i ett uttalande om regeln. Appar har ofta dåliga dataskyddssystem, eller bryter mot deras egen integritetspolicy genom att dela data med externa grupper utan att berätta för användarna. Dessa appar var inte en del av den digitala hälsobilden när regeln skrevs första gången. Men sedan dess har det skett en explosion i hälsoappar-tiotusentals släpps varje år och nedladdningarna ökade under COVID-19-pandemin. Fler och fler människor litar på sin hälsoinformation till dessa produkter. Den nya vägledningen förtydligar att regeln för anmälan om hälsobrott gäller även dessa plattformar, även om de inte trodde att det täckte dem tidigare.
Överträdelserna som kan utlösa en rapport inkluderar inte bara hack eller attacker. Dessa organisationer måste avslöja all information som delas utan användarnas tillstånd. Det kan gälla situationer som den senaste integritetsöverträdelsen genom periodspårningsapp Flo, som delade data till Facebook, Google och marknadsföringsföretag utan användarnas vetskap. FTC citerade inte Flo för att ha brutit mot regeln om hälsobrott – det fokuserade på falska uttalanden från företaget om dess integritetspolicy – men två FTC -medlemmar hävdade att det borde ha.
FTC: s nya fokus på att se till att företagen följer regeln kan utlösa interna förändringar i hälsoappar, säger David Simon, forskare vid Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics vid Harvard Law School. “Det kommer att tvinga dem att åtminstone sätta in system, om de inte redan är på plats, för att ta reda på när dessa intrång inträffar och sedan meddela människor”, säger Simon. Regeln säger att grupper måste rapportera eventuella dataintrång som de borde ha känt till, inte bara som de vet om – så de måste ha sätt att övervaka data.
”det är i ditt bästa intresse om du är en apputvecklare eller leverantör av en ansluten plattform att du uppmärksammar denna regel”
Straffen för att bryta mot regeln är ganska betydande: $ 43 792 per överträdelse och dag. “Det kan bli mycket snabbt”, säger Jennifer Wagner, biträdande professor i juridik, politik och teknik vid Pennsylvania State University. “Jag tror att de försöker signalera att” se, det är i ditt bästa intresse om du är en apputvecklare eller en leverantör av en ansluten plattform att du uppmärksammar denna regel och att du har någon form av svarsmekanism på plats. '”
FTC: s regel kommer att låta användarna veta när det finns ett dataintrång, men det kan inte lösa alla dataskyddsproblem kring hälsoappar. Det begränsar inte vad företag kan göra med användarnas data; det säger bara att de måste berätta för användarna vad de gör. “Det är en typ av transparens, men det har begränsningar”, säger Simon. Vissa experter hävdar att användare borde ha mer aktiv kontroll över hur appar kan använda och dela data i första hand. FTC har dock inte befogenhet att göra dessa ändringar. “Jag tror inte att den har verktygen för att göra allt den skulle vilja göra”, säger Simon.
FTC: s regel är också begränsad till digitala hälsoprodukter som handlar om hälsoinformation. På senare tid har det dock varit klart att plattformar som inte är specifikt utformade för hälsa faktiskt kan användas för detta ändamål: en Facebook -stödgrupp för överlevande av bröstcancer, till exempel, kanske inte anses vara ett hälsorekord, men det samlar in information som kan användas för att lära sig mer om medlemmarnas hälsa, säger Wagner. Om det fanns ett dataintrång på den plattformen skulle det inte nödvändigtvis omfattas av regeln. “Vad FTC kan göra med terminologin är något begränsat, även om de verkligen försöker göra allt de kan”, säger hon.
Trots begränsningarna kommer vägledningen också när det större landskapet kring dataskydd förändras för att ge människor mer kontroll över sin information. Det finns en ökad uppmärksamhet från kongressen, staterna och advokaterna om dataskydd, säger Wagner. Företag uppmärksammar allt, och FTC -beslutet är en ny pusselbit. “De måste tänka på vilka steg de kan vidta och att tänka framåt, eftersom detta regleringsutrymme inte kommer att försvinna”, säger hon.