Gezondheidsapps moeten hun gebruikers informeren over datalekken of riskeren een forse boete, verduidelijkte de Federal Trade Commission vorige week in een beleidsverklaring. De regel die transparantie vereist, is tien jaar oud, maar is nog niet eerder toegepast. De nieuwe richtlijnen dienen als waarschuwing voor de vele bedrijven die zich in de gezondheidsapp-ruimte verdringen: de FTC neemt problemen rond de privacy van gezondheidsgegevens serieus, zelfs als het niet in staat zal zijn om alle privacyhiaten alleen aan te pakken.
De meldingsregel voor gezondheidsschendingen van de FTC dekt alle organisaties die niet zijn onderworpen aan de Health Insurance Portability and Accountability Act (HIPAA), die zaken als artsen en verzekeringsmaatschappijen dekt. HIPAA eist dat deze groepen elke keer dat ze een datalek hebben openbaar maken. De FTC-regel heeft betrekking op elke andere groep die zich bezighoudt met gezondheidsinformatie.
Gezondheidsapps hebben vaak geen sterke gegevensprivacybescherming gehad, zei FTC-voorzitter Lina Khan in een verklaring over de regel. Apps hebben vaak slechte gegevensbeschermingssystemen of schenden hun eigen privacybeleid door gegevens te delen met externe groepen zonder gebruikers hiervan op de hoogte te stellen. Deze apps maakten geen deel uit van het digitale gezondheidsbeeld toen de regel voor het eerst werd geschreven. Maar sindsdien is er een explosie geweest in gezondheids-apps – er worden elk jaar tienduizenden uitgebracht en het aantal downloads is toegenomen tijdens de COVID-19-pandemie. Steeds meer mensen vertrouwen hun gezondheidsinformatie toe aan deze producten. De nieuwe richtlijn verduidelijkt dat de meldingsregel voor gezondheidsschendingen ook van toepassing is op deze platforms, zelfs als ze dachten dat ze niet eerder waren gedekt.
De inbreuken die tot een melding kunnen leiden, zijn niet alleen hacks of aanvallen. Deze organisaties zouden alle informatie die wordt gedeeld zonder toestemming van de gebruikers openbaar moeten maken. Dat kan van toepassing zijn op situaties zoals de recente privacyschending door de app Flo voor het bijhouden van perioden, die gegevens deelde met Facebook, Google en marketingbedrijven zonder medeweten van de gebruikers. De FTC citeerde Flo niet voor het overtreden van de regel voor het melden van gezondheidsschendingen – het concentreerde zich op valse verklaringen van het bedrijf over zijn privacybeleid – maar twee FTC-leden voerden aan dat dit wel had moeten gebeuren.
De nieuwe focus van de FTC om ervoor te zorgen dat bedrijven zich aan de regel houden, kan leiden tot interne veranderingen in gezondheidsapps, zegt David Simon, een onderzoeksmedewerker aan het Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics aan de Harvard Law School. “Het zal hen dwingen om op zijn minst systemen in te voeren, als die er nog niet zijn, om erachter te komen wanneer deze inbreuken plaatsvinden en dan mensen op de hoogte te stellen”, zegt Simon. De regel zegt dat groepen datalekken moeten melden waarvan ze op de hoogte hadden moeten zijn, niet alleen waarvan ze op de hoogte zijn – dus moeten ze manieren hebben om gegevens te controleren.
“het is in uw eigen belang als u een app-ontwikkelaar of een leverancier van een verbonden platform bent, dat u op deze regel let”
De straffen voor het overtreden van de regel zijn vrij aanzienlijk: $ 43.792 per overtreding per dag. “Dat kan heel snel oplopen”, zegt Jennifer Wagner, een assistent-professor rechten, beleid en techniek aan de Pennsylvania State University. “Ik denk dat ze dat proberen aan te geven, 'kijk, het is in je eigen belang als je een app-ontwikkelaar of een verkoper van een verbonden platform bent, dat je aandacht besteedt aan deze regel en dat je een soort reactiemechanisme hebt op zijn plaats.'”
De regel van de FTC laat gebruikers weten wanneer er een datalek is, maar het kan niet alle problemen met de gegevensprivacy rond gezondheidsapps oplossen. Het beperkt niet wat bedrijven kunnen doen met de gegevens van gebruikers; het zegt alleen dat ze de gebruikers moeten vertellen wat ze doen. “Het is een soort transparantie, maar dat heeft beperkingen”, zegt Simon. Sommige experts beweren dat gebruikers in de eerste plaats actievere controle zouden moeten hebben over de manieren waarop apps gegevens kunnen gebruiken en delen. De FTC heeft echter niet de macht om die wijzigingen aan te brengen. “Ik denk niet dat het de tools heeft om alles te doen wat het zou willen doen”, zegt Simon.
De regel van de FTC is ook beperkt tot digitale gezondheidsproducten die te maken hebben met gezondheidsinformatie. De laatste tijd is het echter duidelijk dat platforms die niet specifiek voor gezondheid zijn ontworpen, daadwerkelijk voor dat doel kunnen worden gebruikt: een Facebook-ondersteuningsgroep voor overlevenden van borstkanker, bijvoorbeeld, wordt misschien niet als een gezondheidsdossier beschouwd, maar verzamelt informatie die kan worden gebruikt om meer te weten te komen over de gezondheid van leden, zegt Wagner. Als er op dat platform een datalek zou zijn, zou dat niet per se onder de regel vallen. “Wat de FTC met de terminologie kan doen, is enigszins beperkt, hoewel ze zeker proberen alles te doen wat ze kunnen”, zegt ze.
Ondanks de beperkingen, komt de richtlijn ook naarmate het grotere landschap rond gegevensbescherming verschuift om mensen meer controle over hun informatie te geven. Er is steeds meer aandacht van het Congres, staten en procureurs-generaal voor gegevensprivacy, zegt Wagner. Bedrijven letten er allemaal op en de FTC-beslissing is een nieuw stukje van die puzzel. “Ze moeten nadenken over de stappen die ze kunnen nemen en vooruit denken, want deze regelgevende ruimte zal niet verdwijnen”, zegt ze.