Myndighetene må rydde opp: IT-systemer er for sårbare hackere og helseinformasjon har høy verdi. Med slik info kan kriminelle gjennomføre helsesvindler, utpressing eller ID-tyverier, sier Eirik Newth til Rus & Samfunn. Illustrasjonsfoto: Rolf Flatmo

Helseapper bør utstyres med personvernerklæringer

– Helseapper bør skremme oss mer enn de gjør, sier forfatter Eirik Newth. Selv offentlige rusapper som Slutta, Drikkevett og HAP har personvernsmangler, ifølge fagdirektører i Datatilsynet og Forbrukerrådet.

– Akkurat nå er det helt texas, sier Eirik Newth, som skrev boken Overvåkningssamfunnet i 2014 og siden har vært en aktiv deltaker i debatter om personvern og informasjonssikkerhet.

Temaet er helseapper, altså apper på mobil eller nettbrett som vi bruker til å overvåke og forbedre helsen vår, og spesielt helseapper for rusbrukere: Når vi gir appene informasjon om røyking eller bruk av alkohol og narkotika, er det svært følsom informasjon.

Er informasjonen vår sikker?

 – Nei, svarer Newth.

– Og noen av de mest utsatte appene og dingsene er de som er knyttet til helse.

Informasjonen er ikke sikker, og etter 2014 har Newth bare blitt mer overbevist: Hendelser har vist hvor sårbare IT-systemer er for hackere, og at helseinformasjon har høy verdi. Med slik info kan kriminelle gjennomføre helsesvindler, utpressing eller ID-tyverier.

Eirik Løkke, rådgiver i Civita og forfatter av Personvern etter Snowden (2016), ville selv vært forsiktig med å legge inn personlig helseinformasjon i apper, spesielt knyttet til narkotika.

– Hvis en app hjelper deg til å begrense drikking, røyking og snusing, trumfer det kanskje risikoen for å få spredt informasjonen. Men jeg ville vært skeptisk til å bruke apper som handler om bruk av ulovlige rusmidler. I verste fall risikerer man mange år i fengsel, sier Løkke.

Det står dårlig til

Det er en enorm flom av private helseapper på markedet. Se bare i Apple App Store eller Google Play Store. I tillegg finnes noen få apper for rusbrukere som er lansert av offentlige helseinstitusjoner i Norge: Røykesluttappen Slutta ble lansert av Helsedirektoratet i 2013, og alkoholappen Drikkevett og hasjappen HAP ble lansert av RUS-telefonen i 2016.

Appene er bare en liten start på en trend som om noen år vil endre helsevesenet på en måte vi bare så vidt aner starten på: Digitale grensesnitt vil regulere den enkeltes forhold til helsevesenet. Dingser vil hjelpe folk å overvåke sin egen helse, og apper vil brukes til å kommunisere med leger og oppfølgingsapparat. Et av de mest kritiske spørsmålene i overgangen er om man klarer å lage systemer som ivaretar personvernet og informasjonssikkerheten.

Undersøkelsen vår må begynne i det små: Hvor sikre er de offentlige rusappene?

Det er gode grunner til å stille spørsmålet. Tidligere i år laget Forbrukerrådet en slags sketsj: Rådets fagdirektør Finn Myrstad og flere politikere deltok i en høytlesning av vilkår og personvernerklæringer til 33 apper. De utgjorde totalt 250 000 ord. Poenget var enkelt: Mange apper bryter lovene, men man kan ikke regne med at forbrukerne leser vilkårene.

Bakgrunnen for sketsjen var blant annet en test Forbrukerrådet gjorde i februar. De fem helseappene Endomondo, Runkeeper, Strava, Lifesum og MyFitnessPal ble testet for personvern og informasjonssikkerhet, og alle appene sto til stryk. Noen av dem innfridde enkelte kriterier, men alle strøk på selvsagte forventninger som at dataoppbevaring skal begrenses i tid.

Datatilsynet kom til samme resultat da de i september testet seks helseprodukter som kan brukes til å måle for eksempel blodtrykk og blodsukker, og som kobler seg til apper og skytjeneste for informasjonslagring. Alle produktene ga mangelfull informasjon om personvern og om hvordan informasjonen samles inn, brukes og deles, og hvordan den kan slettes.

Personvern og sikkerhet

Appen Slutta kommer best ut av Rus & Samfunns uhøytidelige test av offentlige rusapper. Det eneste man legger inn når man starter den opp, er når man har sluttet å røyke eller snuse. Appen ber ikke om helse- eller personopplysninger for øvrig, og den eneste tilgangen den ber om, er mulighet til å ringe telefonnumre. Det betyr ikke at appen får maksimal uttelling.

– Slutta ber om mulighet for å gjennomføre oppringninger. Da bør man få vite hva tilgangen brukes til, påpeker Atle Årnes, som er fagdirektør for teknologi i Datatilsynet. Antakelig gjennomføres oppringningene bare når man selv initierer det, og inne i appen er det ganske riktig en egen «knapp» hvor man kan trykke for å ringe til Røyketelefonen.

– Hvordan dataene håndteres er imidlertid uklart så lenge det ikke kommer fram i en erklæring, sier Årnes. Han poengterer at Slutta er en vennlig applikasjon, men understreker også at det er veldig lett for utviklerne å legge inn slik informasjon.

Når Datatilsynet vurderer en applikasjon, ser de etter personvernerklæringer tre steder: På nettsiden til appen, i appbutikker som Apple App Store og Google Play Store, og inne i appen. Fordi appene kan oppdateres, er det viktig å ha informasjonen i appen også. For Sluttas del finner man ikke noen erklæring noen av stedene. Det er ikke godt nok, mener Årnes.

For Drikkevett og HAP, som begge er laget av RUS-telefonen, er det mer komplisert. I Drikkevett lager brukeren en profil hvor kjønn, alder og vekt, og appen samler inn informasjon om alkoholbruk over tid. Men verken på nettsiden, i appbutikken eller i appen gis det informasjon om personvern eller informasjonssikkerhet. Dessuten ber appen om tilgang til mer enn hva Slutta gjør, nemlig både til kamera, bilder og lagringsområdet på telefonen.

– RUS-telefonen bør rydde opp, sier Finn Myrstad, som er fagdirektør for digitale tjenester i Forbrukerrådet. Det er logisk for utviklerne hvorfor de ber om tilganger, forklarer Myrstad, men så glemmer de å forklare det til omverdenen. Dette er spesielt viktig for en så sensitiv app som Drikkevett, som samler inn informasjon om alkoholbruk over tid.

Alle bør ha erklæring

I HAP kan man velge å oppgi alder, kjønn og fylke for å «bidra til å forbedre vårt hjelpetilbud», og appen samler opplysninger om hasjbruk over tid. Men som med Drikkevett informeres det ikke om personvern eller informasjonssikkerhet. Det står at man «vil fortsatt være anonym» hvis man blir med på å forbedre hjelpetilbudet, men man får ikke vite hvilke data som blir formidlet videre, om de er kryptert, hvem de deles med og hvordan de kan bli slettet.

– All informasjon som kan kobles til deg, er personinformasjon, og det må redegjøres i en erklæring for hvordan den informasjonen behandles, sier Årnes i Datatilsynet.

Årnes understreker at det er viktig å få vite om dataene lagres kryptert. Hvis de lagres ukryptert på telefonen eller på SD-kortet, kan noen hacke telefonen, stjele den eller nappe ut SD-kortet og plutselig ha tilgang til mange sensitive personopplysninger.

– Alle disse tre appene burde ha en form for personvernerklæring som sier hvilke data de samler inn og hvordan de håndteres, mener Myrstad. Årnes er enig og påpeker at selv om det gjelder få data, og selv om dataene bare lagres på telefonen, bør man klargjøre nettopp det. Målet er at folk skal forstå hvordan personopplysningene deres tas vare på og føle seg trygge.

Komplekse utfordringer

– Alle som bruker RUS-telefonens tilbud, om det er telefontjenesten, chatten eller apper, skal være trygge på at de er anonyme. Det er et fundament for hele vårt tjenestetilbud, sier Sturla N. Johansen, seksjonsleder i RUS-telefonen, som har laget Drikkevett og HAP.

RUS-telefonen tar tilbakemeldingene fra Forbrukerrådet og Datatilsynet på alvor.

– Vi vil sørge for at både Drikkevett og HAP oppdateres med personvernerklæringer så fort som mulig. Det vil bidra til å gjøre app-brukerne våre enda tryggere på at de er anonyme.

Johansen forteller at registrering av kjønn og vekt i Drikkevett er nødvendig for å kunne regne ut promille mest mulig nøyaktig. Profildata og drikkehistorikk lagres kun lokalt på mobilen, og dataene blir kryptert. Kryptering gjelder alle iPhoner med iOS 8 og høyere og mobiltelefoner med Android versjon 5.0 og oppover. Han forklarer også hvordan HAP fungerer:

– I HAP kan brukeren selv velge å oppgi alder, kjønn og fylke når appen tas i bruk. Informasjonen blir videresendt til RUS-telefonen, men det er ikke mulig å knytte dataene til den enkelte bruker. Dataene etterspørres fordi RUS-telefonen vil tilpasse appen til brukerne.

Dataene som samles inn i selve HAP-appen skal blant annet hjelpe brukerne til å identifisere hva som trigger kannabisbruk, og hva som hjelper dem med å avstå fra bruk, forteller Johansen. Dataene lagres kun lokalt på mobilen, og informasjonen blir kryptert, slik som i Drikkevett.

Johansen ser at de kunne vært enda tydeligere på å formidle hvordan dataene behandles og lagres i appene, men understreker at brukerne ikke kan identifiseres på bakgrunn av dataene.

Helsedirektoratet planlegger også å endre appen.

– Vi lager en ny versjon av Slutta nå, som skal være klar i desember, og i den har vi planer om å ta inn nettopp en slik erklæring som Datatilsynet og Forbrukerrådet ønsker seg, sier Ove Jørgensen, seniorrådgiver i Helsedirektoratet, når kritikken blir gjengitt til ham.

Helsedirektoratet har alt sendt en henvendelse til Datatilsynet med spørsmål om hvorvidt de har bestemte tanker om hva som bør stå i en slik erklæring, forteller Jørgensen.

Utfordringene med appene er uansett bare et lite eksempel på de komplekse utfordringene helsevesenet står overfor. I Storbritannia ble dataprogrammet «care.data», som skulle samordne informasjon og journaldata fra hele helsevesenet, skrinlagt i sommer.

Nødvendig kvalitetssikring

– Det finnes ingen felles godkjenningsmyndighet for apper og dingser. Jeg håper på bedre tiltak fra myndighetene, sier Newth, og han er ikke den eneste. I år åpnet myndighetene Direktoratet for e-helse, som skal lede an i arbeidet for digitalisering av helseinformasjon.

10. juni sendte direktoratet ut en høring om en selvdeklareringsordning for mobile helseapplikasjoner. Målet er å hjelpe innbyggere til å finne apper av god kvalitet og produsenter til å holde høy kvalitet. Slik følger den i sporet etter et sett med personvernanbefalinger som Datatilsynet laget til apputviklere i 2014. Helge T. Blindheim, som jobber med mobil helseteknologi i e-helsedirektoratet, forteller imidlertid at flere av høringssvarene er kritiske.

– Både juridisk og i markedet er det så mange uklarheter at flere aktører anbefaler oss å gå bort fra en selvdeklareringsordning. Noen mener også at det er en risiko for at apper som fremstår som gode, ikke nødvendigvis er det.

Det er flere årsaker til at det er vanskelig med ulike former for sertifiserings-, godkjennings-, vurderings- eller selvdeklareringsordninger for helseapper.

– Apper kommer med nye versjoner hele tiden, og man risikerer at man godkjenner én versjon, og så kommer det en ny versjon med ny funksjonalitet neste uke som forandrer det hele, sier Blindheim.

Informasjonskontroll

Blindheim er imidlertid ikke i tvil om at utviklingen av helseapper og -dingser vil berike helse-Norge kraftig. Og han er ikke enig i at digitaliseringen i prinsippet truer personvernet.

– I dag finnes det bortimot 17 000 aktører som på en eller annen måte har et system for pasientjournaler i Norge. Det betyr 17 000 ulike installasjoner. Det er ikke gitt at det er sikrere å ha mange små og lokale informasjonssentre heller enn færre og sentraliserte datasentre.

Løkke i Civita er enig i Blindheims poeng.

– Krysskobling av helsedata og digitalisering av journaler kan øke risikoen. Men hvis man sentraliserer helseinformasjonen og har kontroll med hvem som har tilgang til informasjonen, kan det innebære en forbedring av personvernet, sier Løkke.

Digital førstelinje

– Vi må huske at ønsket om helseapper og mobile helseprodukter er noe som først og fremst kommer fra innbyggerne. De vil gjøre mer selv, sier Hilde Lovett i Teknologirådet.

Det er ingen tvil om at det vil få store positive konsekvenser å få digitale helsetjenester til å fungere godt. Teknologirådet har utredet mulighetene for kronisk syke. Hvis man legger til rette for at folk kan følge opp egen helse hjemmefra, kan det gi store besparelser i helsevesenet.

– Et prosjekt i St. Hanshaugen i Oslo har undersøkt pasienter som har blitt fulgt opp via nettbrett og ulike sensorer som måler blant annet pust og temperatur. Undersøkelser viser at antall hjemmebesøk kan reduseres med 34 prosent, innleggelser med 19 prosent og liggedøgn med 33 prosent. I tillegg rapporterer flere av brukerne at de opplever større mestring, forteller Lovett.

Teknologirådet tar til orde for å etablere en digital førstelinje i helsevesenet. Ideen er ikke ny, og Lovett viser til Babylon Health i Storbritannia. Via Babylons app kan man følge med på egen helse, svare på spørsmål om smerter og symptomer, gjennomføre målinger selv, og man kan til og med bestille blodprøver som man sender til laboratorier på egenhånd.

– Symptomene blir vurdert automatisk, appen gir anbefalinger, og så kan man få tilbud om å snakke med lege via Skype slik at legen ser deg. Legen vil motta informasjonen du har lagt inn i appen, og vurdere om du har det bra eller bør gå til fastlegen, forteller Lovett.

Kun fantasien setter grenser for hvilke områder av helsevesenet slike tjenester kan utvikles i, og det er lett å tenke seg store muligheter for rusbrukere og i rusomsorgen.

Myndighetene må ta ansvar

– Det er imidlertid viktig at myndighetene tar ansvar for personvern på vegne av pasientene, sier Lovett. I tillegg til alle de digitale mulighetene, peker hun på noen farer.

Når én app gjør analyser, en annen tar pulsen og atter andre måler blodtrykket, får man et økosystem av aktører som har noen data og gjerne vil ha flere data. Situasjonen kan bli uoversiktlig, noe som gjør det nødvendig at myndighetene følger med, mener Lovett.

Teknologirådet anbefaler en strengere ordning enn selvdeklareringsordningen som Direktoratet for e-helse har sendt ut på høring. Teknologirådet ønsker en valgfri merkeordning hvor en uavhengig tredjepart vurderer om appene holder mål.

Foruten personvernet, er begrunnelsen at bruken av apper ikke skal få uheldige effekter. Mange utviklere er nervøse for at appene skal gi feil råd. Derfor gir flere apper råd om å oppsøke lege selv om det ikke er helt nødvendig. Det skaper bekymring i befolkningen og pågang på legekontorene, og i neste omgang skjevprioritering i helsevesenet.

Appvett

Bør enkeltpersoner i dag bruke helseapper? I en situasjon Newth karakteriserer som «helt texas», og mens hackere jakter etter helseinfo helt uavhengig av statens personvernarbeid?

Tenk hvis en liste over alle som har lastet ned HAP, ble publisert.

– Det finnes i dag mange gode helseapper, og det kommer stadig flere. I påvente av en merkeordning må folk selv vurdere hva de synes er nyttig å bruke, svarer Lovett.

 Informasjon om rusbruk er svært følsom. Lovett anbefaler folk å sjekke om appen er godkjent av for eksempel amerikanske FDA og passe på at den har en personvernserklæring.

– Vi har alltid en usikkerhet i livet, og den tar vi med inn i den digitale sfæren, sier Helge Veum, avdelingsdirektør for teknologi i Datatilsynet.

Veum vil ikke advare folk mot helseapper. Men han anbefaler å lete etter informasjon om hvordan personopplysninger behandles: Hvordan lagres de? Går de opp i skyen? Hvordan er sikkerheten? Hvordan kan de slettes? Vil leverandøren bruke informasjonen til noe?

Datatilsynet anbefaler apputviklere å følge veilederen de har laget og å bruke personvern som designprinsipp. Hvis appene kun skal brukes til selvhjelp, bør brukerne kunne hindre dataflyt fra appen og være trygge på at dataene som lagres lokalt, blir kryptert.

– I dag er det mye rart på privatmarkedet. Brukerne bør være kritiske, men likevel ta apper i bruk så lenge de har vurdert risiko opp mot nytten av tjenestene, sier Veum.

Større verdi enn risiko

Den vurderingen har Newth gjort selv, forteller han. Newth har et legediagnostisert vektproblem og bruker helseapper og -dingser til å følge med på helsen sin og gå ned i vekt.

– Jeg velger å tro at helseverdien er større enn risikoen, sier Newth. Hvis folk ikke har et spesielt behov for slike tjenester, vil han imidlertid anbefale å holde seg unna helseapper.

– Helseappene bør skremme oss mer enn de gjør. Det synes jeg er synd, for selvovervåkning og selvkontroll kan gi gode helseresultater for mange, sier han.

Vi skal altså være forsiktige. Men for rusbrukere vil resonnementet ofte være som for Newth: Nytten av selvovervåkningen og selvkontrollen kan være større enn risikoen.

 


Kommentarer til artikkelen

Legg til ny kommentar:
  • Vis respekt for andre lesere og omtalte personer. Kommentaren kan være inntil 1000 tegn.

iconSkriv ut
iconTips en venn
Annonse