Hvem har tilgang til opplysningene mine? Hvem «eier» testresultatene? Hvordan sletter jeg dataene mine? Lagres opplysninger om meg i nettskyen? Dette er noen av spørsmålene vi stilte, og som vi i skuffende liten grad fant svar på da vi testet seks ulike hjemmetestprodukter koblet opp mot mobiltelefonen. Vi tok utgangspunkt i en vanlig norsk forbruker da vi bestilte utstyret, og lette etter relevant informasjon hva som skjer med målingene og andre opplysninger om oss.

For dårlig informasjon til brukeren

Vi testet utstyr som kan deles i tre kategorier: Blodtrykk, blodsukker (typisk brukt av diabetikere) og såkalte oksymeter/pulsoksymeter, det vil si måling av oksygenmetning i blodet og puls (aktuelt for kolspasienter). Denne typen hjelpemidler kan gjøre livene våre lettere og potensielt være til stor hjelp for pasienter med kroniske sykdommer.

Vi så kun på seks produkter i vår kartlegging, og kan derfor ikke generalisere at resultatene gjelder alle hjemmetestprodukter. Vår lille sjekk gir imidlertid et godt innblikk i problematikken for den personvernbevisste forbruker ved bruk av denne type utstyr.

Fem av seks produkter får stryk fordi de ikke på en tilfredsstillende måte forklarer hvordan personopplysningene blir samlet inn, brukt og delt. Ingen av produktene forklarer brukeren hvordan kan slette egne opplysninger. Ingen av de seks vi testet gir tilfredsstillende informasjon om hvordan opplysningene sikres og lagres.

Testresultatene for de ulike produktene

En klar beskjed til bransjen – og en oppfordring til deg som forbruker

Vi er fra Datatilsynet sin side både overrasket og skuffet over hva vi fant og da særlig med tanke på at dette er utsyr som samler inn data som gir indikasjoner på din helsetilstand. Nå er ikke leverandørene i vår test norske, men jeg vil likevel å gå ut med en klar oppfordring til produkt- og app-utviklere om å bygge inn godt personvern i produktet:

• ikke samle inn mer informasjon enn nødvendig,
• gjør det enkelt for brukeren å slette egne data, og
• sørg for god datasikkerhet slik at potensielt sensitive opplysninger ikke kommer på avveier.

Dette er tre viktige personvernfremmende tiltak. Les mer om innebygd personvern på våre nettsider.

I tillegg oppfordrer jeg sterkt alle virksomheter til å lage en personvernerklæring. Retten til å vite hvordan opplysninger om meg blir brukt er grunnsteinen i personvernet. Det å samle all relevant informasjon om hvordan personvernet er ivaretatt på ett sted, i form en personvernerklæring, er et veldig egnet og praktisk virkemiddel for å informere brukeren. Vi har laget en egen veileder om hvordan du kan lage en god personvernerklæring.

Forbrukere som kjøper slikt utstyr og som ønsker å ha en viss kontroll på egne personopplysninger har en utfordring. Det er vanskelig å finne relevant og dekkende informasjon om håndteringen av personopplysninger. Vi oppfordrer derfor deg som forbruker å velge produkter som har en personvernerklæring, eller som på andre måter har godt tilgjengelig informasjon om hvordan ditt personvern vil bli respektert. Du bør se etter en beskrivelse av hvordan opplysningene dine blir samlet, behandlet, delt og lagret. Sjekk også om du gis mulighet til å slette data og om det står noe om hvordan dine personopplysninger blir sikret.

Helsehjelp fra tingenes internett – en aktuell debatt

Utviklingen av selvtester koblet mot mobiltelefon går raskt, og tilbudet av måleinstrumenter og tester til hjemmebruk øker stadig. Se Teknologirådets oversikt over tilgjengelig selvtestutstyr her.

Mennesker med kroniske sykdommer som for eksempel diabetes eller epilepsi kan finne stor hjelp i denne typen hjemmetestutstyr som vi har sett på. I fremtiden kan vi se for oss at målinger fra selvtestutstyr kan sendes løpende til legen slik at denne kan vurdere om medisinbruk og behandling skal justeres.

E-helsedirektoratet har akkurat gjennomført en høring der de foreslår en selvdeklareringsordning for mobile helseapplikasjoner. Siden det per i dag ikke finnes noen godkjenningsordning eller kvalitetsgaranti virker dette å være en god ide. Men hvis denne typen utstyr skal brukes opp mot helsevesenet i stor skala bør produktene kvalitetssikres i større grad. En slik kvalitetssikring bør da selvsagt også inkludere en vurdering av hvordan personopplysningene ivaretas. Da er det blant annet viktig å vite at dataene lagres og overføres på en sikker måte, og at rettighetene til bruk av dataene er avklart i forkant. Du kan lese Datatilsynets høringsinnspill her.

Vårt sveip er del av et internasjonalt prosjekt

Den lille utsjekken vi har gjort av seks produkter er Datatilsynets bidrag til årets såkalte GPEN-sveip. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde året Datatilsynet deltar i GPEN-sveipet. Årets tema er tingenes internett, gjerne forkortet til IoT (Internet of Things). Vi valgte å konsentrere oss om testutstyr for helse. Noen personvernmyndigheter valgte det samme som oss, mens andre valgte for eksempel smart-TVer, smarte biler og leketøy. Totalt 25 personvernmyndigheter verden rundt deltok og så på til sammen 314 objekter.

Les mer om sveipet og last ned rapporten her.

Datatilsynet sveiper apper

Mange opplever det som vanskelig å ha oversikt over hva slags informasjon appene samler inn om oss gjennom smarttelefonen. Nå er vi bare kommet halvveis i vår sveipedag, men hypotesen ser ut til å stemme så langt. Det er vanskelig å finne informasjon om personvern i appene, og det er jammen ikke lett å forstå det som står der (hvis det overhodet står noe).

Vi kommer til å lansere en rapport med resultatene fra sveipet etter sommeren. Vi håper at å sette fokus på temaet kan bidra til at appeiere og apputviklere skjerper seg og sørger for bedre personvern i appene. I dag publiserte vi en ny veileder som kan hjelpe de som utvikler apper å ta vare på personvernet. Denne burde være obligatorisk lesning for apputviklere og appeiere – ikke bare fordi de plikter å følge personopplysningsloven, men også fordi vi tror personvern kommer til å bli et enda viktigere konkurransefortrinn fremover.

Og til dere appbrukere: det er ikke lett å vite hvordan alle appene bruker dine opplysninger, men her er tre råd som kan hjelpe deg på litt på vei:

1. Vær kritisk til hvilke apper du installerer. Finn ut hvem som er ansvarlig for appen og hvilken informasjon den trenger. Les personvernerklæringen og ta stilling til hva du vil godta.
2. Gå gjennom appene dine med jevne mellomrom. Hvis du har apper du ikke bruker bør du avinstallere dem.
3. Sørg for å oppdatere appene dine. En app som ikke er oppdatert kan ha sikkerhetshull det er mulig å utnytte.

Her kan du lese mer om sveipet og hvilke land som deltar.