Zdravotnické aplikace a soulad s GDPR: Na co si dát pozor
Jak vyhodnotit, zda zdravotnická aplikace skutečně dodržuje GDPR, a jaké otázky klást ohledně ochrany soukromí vašich zdravotních dat.
Mnoho zdravotnických aplikací tvrdí, že je „v souladu s GDPR". Co to ale skutečně znamená a jak poznáte, jestli aplikace opravdu chrání vaše zdravotní data?
Zde je návod, na co si dát pozor při hodnocení postupů aplikací týkajících se ochrany soukromí.
Co GDPR skutečně vyžaduje
GDPR (Obecné nařízení o ochraně osobních údajů) stanovuje pravidla pro to, jak společnosti nakládají s osobními údaji obyvatel EU. Pro zdravotní data — klasifikovaná jako „zvláštní kategorie údajů" — jsou ochrana ještě přísnější.
Klíčové požadavky GDPR zahrnují:
Právní základ pro zpracování. Společnost musí mít platný právní důvod pro sběr a používání vašich dat. U zdravotnických aplikací je to obvykle váš výslovný souhlas.
Omezení účelu. Data by měla být používána pouze pro účely, se kterými jste souhlasili, ne pro jiné nezveřejněné účely.
Minimalizace dat. Měla by být shromažďována pouze data nezbytná pro službu.
Přesnost. Data musí být udržována přesná a aktuální.
Omezení uložení. Data by neměla být uchovávana déle, než je nezbytné.
Bezpečnost. Vhodná bezpečnostní opatření musí chránit vaše data.
Vaše práva. Máte práva na přístup k datům, jejich opravu, mazání a export.
Tvrzení vs realita
„V souladu s GDPR" se stalo marketingovým zaškrtávátkem. Mnoho společností tvrdí soulad, přičemž dělá minimum požadované — nebo méně.
Co ve skutečnosti může znamenat „v souladu s GDPR"
Minimální soulad: Má zásady ochrany soukromí. Umožňuje mazání dat na žádost. Reaguje na žádosti o přístup v požadované lhůtě. To splňuje technické požadavky, ale nemusí to odrážet silné postupy ochrany soukromí.
Silný soulad: Data uložena v EU. Omezené sdílení dat. Jasné, srozumitelné zásady. Architektura zaměřená na soukromí. Minimalizace dat v praxi. Pravidelné bezpečnostní audity.
Stejný štítek „v souladu s GDPR" pokrývá široké spektrum skutečných postupů.
Otázky, které si položit
Při hodnocení postupů zdravotnické aplikace týkajících se ochrany soukromí se podívejte za tvrzení o souladu:
Kde jsou data uložena?
GDPR se vztahuje na to, jak jsou nakládána data obyvatel EU, bez ohledu na to, kde jsou uložena. Ale data uložená v EU mají silnější ochranu než data uložená jinde.
Zeptejte se konkrétně: V které zemi? U kterého poskytovatele datového centra? Některé aplikace „v souladu s GDPR" ukládají data na amerických serverech, které podléhají americkému právu.
Jsou data sdílena s třetími stranami?
Pečlivě si přečtěte zásady ochrany soukromí. Kdo dostává vaše data? Poskytovatelé analytiky? Reklamní sítě? Poskytovatelé cloudových služeb? „Partneři"?
I se souhlasem uživatele rozsáhlé sdílení dat podkopává ducha ochrany soukromí.
Co se stane s daty při mazání účtu?
Jsou data skutečně smazána, nebo jen „anonymizována" a uchována? Jak dlouho trvá mazání? Je automatické, nebo o něj musíte specificky požádat?
Kdo zpracovává vaše data?
Společnost aplikace nemusí být jediná, kdo zpracovává vaše zdravotní data. Sub-zpracovatelé (poskytovatelé cloudu, analytické nástroje, AI služby) mohou mít také přístup. Jsou zveřejněni?
Jaká je doba uchovávání dat?
Jak dlouho jsou vaše data uchována? Některé společnosti uchovávají data neomezeně. Jiné je mažou po určité době. Měla by existovat jasná zásada.
Je tam skutečná bezpečnost?
Šifrování při přenosu? V klidu? Kdo drží šifrovací klíče? Jsou pravidelné bezpečnostní audity? Měla společnost nějaké úniky dat?
Varovné signály
Dávejte pozor na tyto varovné znaky:
Vágní zásady ochrany soukromí. Pokud nerozumíte tomu, co dělají s vašimi daty, je to problém.
Žádné jasné zveřejnění umístění dat. Pokud neřeknou, kde jsou data uložena, je to pravděpodobně někde, kde byste je nechtěli.
Rozsáhlé sdílení s třetími stranami. Dlouhé seznamy „partnerů", kteří dostávají vaše data, by měly vyvolat obavy.
Obchodní model založený na reklamě. Pokud je aplikace zdarma a podporovaná reklamami, vaše data jsou produktem.
Žádný snadný export dat. Pokud nemůžete dostat svá data ven, jste uzamčeni a závislí na jejich dobrém chování.
Složité toky souhlasu. Pokud souhlas s používáním dat vyžaduje přijetí stránek podmínek nebo navigaci matoucími možnostmi, neupřednostňují vaše porozumění.
Pozitivní signály
Znaky skutečně silných postupů ochrany soukromí:
Jasné, konkrétní umístění dat. „Všechna data uložena v Německu" je lepší než „data uložena na zabezpečených serverech".
Minimální zpracování třetími stranami. Používání několika externích zpracovatelů a zveřejnění, kdo to je.
Žádná reklama nebo monetizace dat. Obchodní model založený na předplatném, ne na využívání dat.
Snadný export dat. Stahování všeho kdykoli ve standardních formátech.
Transparentní dokumentace ochrany soukromí. Jasná vysvětlení toho, co je sbíráno, proč a jak je to chráněno.
Nezávislé ověření bezpečnosti. Audity, certifikace nebo penetrační testování třetími stranami.
Přístup Vidanis
V Vidanis bereme soukromí vážně:
Ukládání dat v EU. Všechna data uložena v Německu.
Zpracování v EU. Data zpracována výhradně v rámci jurisdikce EU.
Žádné závislosti na USA. Nevedeme vaše zdravotní data přes americké technologické giganty.
Žádná monetizace dat. Vaše zdravotní data nejsou nikdy prodána nebo používána pro reklamu.
Úplný export dat. Stáhněte si kompletní data kdykoli.
Jasné zásady ochrany soukromí. Vysvětlujeme, co děláme, jazykem, kterému rozumíte.
Soulad s GDPR je podlaha, ne strop. Pro zdravotní data si zasloužíte více než minimální soulad — zasloužíte si skutečnou ochranu soukromí.
Ready to try Vidanis?
Join the waitlist and be among the first to experience the future of personal health management.
Join the Waitlist