Sundhedsapps skal fortælle deres brugere om ethvert databrud eller risikere en stor bøde, præciserede Federal Trade Commission i en politisk erklæring i sidste uge. Reglen, der kræver, at gennemsigtighed er et årti gammel, men den er ikke blevet håndhævet før. Den nye vejledning fungerer som en advarsel til de mange virksomheder, der strækker sig ind i sundhedsappsrummet: FTC tager spørgsmål omkring sundhedsdatas privatliv alvorligt – selvom det ikke vil være i stand til at klare alle huller i fortroligheden på egen hånd.
FTC's regel om brud på sundhedsbrud dækker alle organisationer, der ikke er omfattet af lov om sundhedsforsikring (Portability and Accountability Act) (HIPAA), der dækker ting som læger og forsikringsselskaber. HIPAA kræver, at disse grupper oplyser, når de har et databrud. FTC -reglen dækker enhver anden gruppe, der beskæftiger sig med sundhedsoplysninger.
Sundhedsapps har ofte ikke haft stærke databeskyttelsesbeskyttelser, sagde FTC -formand Lina Khan i en erklæring om reglen. Apps har ofte dårlige databeskyttelsessystemer eller krænker deres egne privatlivspolitikker ved at dele data med eksterne grupper uden at fortælle brugerne. Disse apps var ikke et stykke af det digitale helbredsbillede, da reglen første gang blev skrevet. Men siden har der været en eksplosion i sundhedsapps-titusinder frigives hvert år, og downloads steg under COVID-19-pandemien. Flere og flere mennesker stoler på deres sundhedsoplysninger til disse produkter. Den nye vejledning præciserer, at reglerne om brud på helbredsbrud også gælder for disse platforme, selvom de ikke troede, at det havde dækket dem før.
Overtrædelserne, der kan udløse en rapport, omfatter ikke kun hacks eller angreb. Disse organisationer skulle videregive alle oplysninger, der deles uden brugernes tilladelse. Det kan gælde for situationer som den seneste krænkelse af privatlivets fred ved hjælp af periodesporingsapp Flo, som delte data til Facebook, Google og marketingvirksomheder uden brugernes viden. FTC citerede ikke Flo for at bryde reglerne om brud på sundhedsbrud – det fokuserede på falske erklæringer fra virksomheden om dets privatlivspolitikker – men to FTC -medlemmer hævdede, at det burde have været.
FTC's nye fokus på at sikre, at virksomheder følger reglen, kan udløse interne ændringer i sundhedsapps, siger David Simon, forsker ved Petrie-Flom Center for Health Law Policy, Biotechnology og Bioethics ved Harvard Law School. “Det kommer til at tvinge dem til i det mindste at sætte systemer på plads, hvis de ikke allerede er på plads, for at finde ud af, hvornår disse overtrædelser opstår og derefter underrette folk,” siger Simon. Reglen siger, at grupper er nødt til at rapportere ethvert databrud, som de burde have vidst om, ikke bare som de kender til – så de skal have måder at overvåge data på.
“det er i din bedste interesse, hvis du er en appudvikler eller sælger af en tilsluttet platform, at du er opmærksom på denne regel”
Strafferne for at bryde reglen er ret betydelige: $ 43.792 pr. Overtrædelse pr. Dag. “Det kan hurtigt tilføje,” siger Jennifer Wagner, en adjunkt i jura, politik og teknik ved Pennsylvania State University. ”Jeg tror, de forsøger at signalere, at’ se, det er i din bedste interesse, hvis du er en appudvikler eller sælger af en tilsluttet platform, at du er opmærksom på denne regel, og at du har en eller anden reaktionsmekanisme på plads. '”
FTC's regel vil give brugerne besked, når der er et brud på data, men det kan ikke løse alle problemer med databeskyttelse omkring sundhedsapps. Det begrænser ikke, hvad virksomheder er i stand til at gøre med brugernes data; der står bare, at de skal fortælle brugerne, hvad de laver. “Det er en slags gennemsigtighed, men det har begrænsninger,” siger Simon. Nogle eksperter argumenterer for, at brugerne i første omgang bør have mere aktiv kontrol over, hvordan apps kan bruge og dele data. FTC har dog ikke magt til at foretage disse ændringer. “Jeg tror ikke, at den har værktøjerne til at gøre alt, hvad den gerne vil gøre,” siger Simon.
FTC’s regel er også begrænset til digitale sundhedsprodukter, der omhandler sundhedsoplysninger. På det sidste har det imidlertid været klart, at platforme, der ikke er specifikt designet til sundhed, faktisk kan bruges til dette formål: en Facebook -støttegruppe for brystkræftoverlevende kan for eksempel ikke betragtes som en sundhedsjournal, men det indsamler oplysninger, der kan bruges for at lære om medlemmers sundhed, siger Wagner. Hvis der var et databrud på den platform, ville det ikke nødvendigvis være underlagt reglen. “Hvad FTC kan gøre med terminologien er noget begrænset, selvom de bestemt prøver at gøre alt, hvad de kan,” siger hun.
På trods af begrænsningerne kommer vejledningen også, da det større landskab omkring databeskyttelse skifter for at give folk mere kontrol omkring deres oplysninger. Der er stigende opmærksomhed fra kongressen, stater og advokater generelt om databeskyttelse, siger Wagner. Virksomheder er opmærksomme på det hele, og FTC -beslutningen er en ny brik i det puslespil. “De er nødt til at tænke over de trin, de kan tage, og det er nødvendigt at tænke fremad, fordi dette reguleringsrum ikke vil forsvinde,” siger hun.