Privacy Review: Apple Health en Microsoft Health Vault

Apple Health

Groot nieuws, Apple gaat de wereld (weer) een beetje beter maken met Apple Health, een unieke app van Apple die misschien wel een nieuwe health-revolutie ontketent! Nu ja, uniek…  Microsoft (Health Vault in 2012) en Google (Google Health in 2008!) zijn Apple voor de verandering een paar jaar voor.

Maar wat is Apple Health precies?

De informatie is nog schaars, maar de opzet lijkt al duidelijk: Apple wil alle gezondheidsinformatie die via verschillende apps verzameld worden op het iOS8 platform bundelen met zijn eigen overkoepelende app Health. Wat voor toepassingen denkt men bij Apple aan?

  • Alle verzamelde gezondheidsdata onder een vinger beweging
  • Nood informatie op het lock scherm (bloedgroep, allergien, …)
  • Dashboard data met recente fitness info en eetpatronen
  • Delen van data tussen verschillende apps

Kortom: Health Central op je iOS toestel. Het klinkt als iets waar een belangrijk deel van de Apple doelgroep interesse in zou kunnen hebben. Health apps zijn sowieso een succes voor Apple, getuige het schier oneindige aantal Health & Fitness apps dat al beschikbaar is.

Uiteraard ben ik wat sceptisch over het delen van al mijn health info met Apple. Niet omdat ik het idee van noodinfo op het lockscherm slecht vind (heel goed eigenlijk) maar wel omdat ik vrees dat het gewoonlijke business model ook op gezondheidsinfo van toepassing zal zijn, namelijk dat de data linea recta op de servers van Apple staat.

Microsoft Health Vault

Microsoft Health Vault

Die aanname over gezondheidsdata op Apple servers is echter nog wat voorbarig, de toepassing is immers net aangekondigd. Dus richt ik me maar op “the next best thing”, Microsoft Health Vault en dan in het bijzonder op de manier waarop data wordt beveiligd en op de privacy policy. Google Health kan ik niet bekijken aangezien die dienst simpelweg mislukte en al jaren weer offline is, Google was er duidelijk te vroeg bij.

Wat is de Health Vault? In feite een portaal (zie screenshot) met een overzicht van alle info die je hebt verstrekt, varierend van bloeddruk, gewicht, allergien etc. Precies wat je zou verwachten van een dergelijke applicatie. Wat is verder nog vermeldenswaardig:

  • Je kunt meerdere personen toevoegen, bij aanmelding bevestig je dat je expliciete toestemming hebt van deze personen
  • Koppeling met diverse health apps die Microsoft aanbiedt
  • Een emergency profile van waaruit je een print kunt maken voor in de portemonnee
  • De mogelijkheid om “Custodians” aan te duiden die volledige toegang krijgen
  • Een optie om info te sharen, met de uitdrukkelijke vermelding dat de uitnodiging via een “unencrypted mail message” wordt verstuurd

Meest opvallende feature: voor vandaag had ik nog nooit gehoord van de Microsoft Health Vault. Misschien is het bewust niet gemarketeerd in de EU vanwege al die lastige privacy richtlijnen?

Encryptie

De waarschuwing rond de “unencrypted email” insinueert dat je profiel versleuteld wordt opgeslagen, men benadrukt immers dat het bericht om te sharen niet encrypted is. Encryptie ligt ook voor de hand, maar ik moet de Help sectie induiken om informatie te vinden over de wijze van opslag. Microsoft geeft aan (zie privacy & security sectie) dat de servers in gecontroleerde faciliteiten zitten (wat dat ook moge betekenen), dat communicatie tussen apps en de Health Vault servers altijd geëncrypteerd is en tot slot dat backups altijd geëncrypteerd worden.

Wat staat er opvallend genoeg niet? Dat de servers zelf ook geëncrypteerd worden. Noem mij maar cynisch, maar de ervaring leert dat als iets geld kost en het er niet specifiek staat, het er ook niet is. In dit geval zou dat een gigantische tekortkoming zijn: het gaat om medische gegevens die open en bloot op servers in een “gecontroleerde faciliteit” staan. Als gecontroleerd betekent dat iemand er op let, dan heeft die iemand dus ook toegang tot al je gegevens. Geruststellend!

Privacy

Encryptie viel dus tegen, maar hoe zit het dan met de privacy statement? Die is zoals gebruikelijk lang en niet toegankelijk, maar ondertussen ken de ik de Microsoft privacy statements een beetje. De stukken die er toe doen:

  • Microsoft heeft geen richtlijnen rond privacy praktijken van externe programma’s die je toegang kunt geven tot je data (maar die toegang heb je zelf in de hand)
  • Informatie die je hebt geshared met iemand kan weer geshared worden door die persoon (al dan niet bewust) met externe programma’s
  • Ook niet onbelangrijk: “We may collect information about your visit to account.HealthVault.com, including the pages you view, the links you click, and other actions taken in connection with the Service.”
  • En de klassieke: “Microsoft may access and/or disclose your personal information if we believe such action is necessary to: (a) comply with the law or respond to legal process served on Microsoft; or (b) protect the rights or property of Microsoft (including the enforcement of our agreements).”

Conclusie

Meest schokkende vind ik het gebrek aan encryptie van de data op de Microsoft Health Vault servers. Dit is in Belgie ondenkbaar, zo is het Vitalink initiatief van de Vlaamse Overheid zo opgezet dat de overheid zelf geen enkele inzage kan hebben in de data. Het is uiteraard nog koffiedik kijken, maar ik betwijfel of Apple de gebruikersdata wèl gaat encrypten.

Qua privacy lijkt het niet zo slecht in elkaar te zitten met uitzondering van de lacune dat Microsoft zegt geen invloed te (willen) hebben op de privacy policies van aangeboden externe apps. Uiteraard is er ook de eeuwig aanwezige uitzondering dat je medische data bij een Amerikaans bedrijf neerzetten een garantie is op indexatie door inlichtingendiensten, maar dat moet ondertussen algemene kennis zijn.

Al met al kon het erger, maar mijn (correcte) data zal er niet op te zien zijn: de enige opzet die een dergelijke app voor mij interessant zou kunnen maken is wanneer de data op mijn toestel wordt versleuteld en ook zo op de servers van Apple en Microsoft terecht komt.

PS: hopelijk gaat iemand er nog iets aan verdienen, Apple blijkt zijn ondersteunende toepassing “Health Kit” te noemen. Een naam die al even in gebruik is door een website die… een portaal aanbiedt voor gezondheidsgegevens.