Svanemerking av helseapper

Photo: IntelFreePress/Wikimedia Commons

I en artikkel på NRK.no går Helge T. Blindheim fra Helsedirektoratet ut og sier at han ønsker et statlig «svanemerke» for godkjente helseapper, og får selskap av Helge Veum i Datatilsynet som sier at det er vanskelig å vite hvilke apper man kan stole på. Jeg skjønner godt ønsket om godkjentliste, det er en hel skog av forskjellige apper, mange med personvernproblemer knyttet til lagring og elektronisk overføring av helseinformasjon.

Samtidig så ser jeg problemer med at direktoratet skal godkjenne enkeltapper. Merkeordningen skal ifølge artikkelen være basert på informasjon fra appleverandørene selv. I tillegg er dette et område med store teknologiske forandringer, så å holde seg oppdatert på hvilke apps som til enhver tid oppfyller kriteriene fra Helsedirektoratet vil være en krevende oppgave. Samtidig kan det diskriminere mindre appleverandører som har adekvat sikkerhet men ikke er «på listen» av forskjellige grunner.

«Skrekkscenarioet er at fastlegen anbefaler en app som viser seg å ikke være sikker» sier Veum. Men betyr dette at «svanemerkede» apps vil gi noe i nærheten av adekvat personvern? NHS i Storbritannia opererer med en slik godkjenningsordning og sent i 2014 gikk en gruppe forskere gjennom denne listen og så på hvordan de forskjellige appene faktisk håndterte informasjonen. Resultatene er ganske nedslående:

The study revealed that 89 % (n = 70/79) of apps transmitted information to online services. No app encrypted personal information stored locally. Furthermore, 66 % (23/35) of apps sending identifying information over the Internet did not use encryption and 20 % (7/35) did not have a privacy policy.

Husk at dette gjelder apps som NHS allerede har gått igjennom og «certified as clinically safe and trustworthy». Og videre i konklusjonen:

Systematic gaps in compliance with data protection principles in accredited health apps question whether certification programs relying substantially on developer disclosures can provide a trusted resource for patients and clinicians

Dette er akkurat den type modell som Helsedirektoratet ønsker seg, og jeg deler bekymringen over. Skal man lage en liste over godkjente apps bør man gå gjennom hvordan appen faktisk fungerer, om informasjon blir kryptert og om/hvordan den blir sendt over nettet. Det holder ikke med selvrapportering fra leverandøren.

Det vil være ekstra dumt hvis statlig anbefalte helseapper lekker sensitiv informasjon som en sil.