Markedet for utstyr der du selv kan gjøre målinger av egen helse er i vekst og hjemmetester kan gi verdifull informasjon fra pasient til helsetjenesten. Denne typen teknologi får derfor for tiden stor oppmerksomhet. I vår test fikk fem av seks produkter stryk for manglende informasjon om hvordan de håndterer personopplysningene som blir registrert.
Hvem har tilgang til opplysningene mine? Hvem «eier» testresultatene? Hvordan sletter jeg dataene mine? Lagres opplysninger om meg i nettskyen? Dette er noen av spørsmålene vi stilte, og som vi i skuffende liten grad fant svar på da vi testet seks ulike hjemmetestprodukter koblet opp mot mobiltelefonen. Vi tok utgangspunkt i en vanlig norsk forbruker da vi bestilte utstyret, og lette etter relevant informasjon hva som skjer med målingene og andre opplysninger om oss.
For dårlig informasjon til brukeren
Vi testet utstyr som kan deles i tre kategorier: Blodtrykk, blodsukker (typisk brukt av diabetikere) og såkalte oksymeter/pulsoksymeter, det vil si måling av oksygenmetning i blodet og puls (aktuelt for kolspasienter). Denne typen hjelpemidler kan gjøre livene våre lettere og potensielt være til stor hjelp for pasienter med kroniske sykdommer.
Vi så kun på seks produkter i vår kartlegging, og kan derfor ikke generalisere at resultatene gjelder alle hjemmetestprodukter. Vår lille sjekk gir imidlertid et godt innblikk i problematikken for den personvernbevisste forbruker ved bruk av denne type utstyr.
Fem av seks produkter får stryk fordi de ikke på en tilfredsstillende måte forklarer hvordan personopplysningene blir samlet inn, brukt og delt. Ingen av produktene forklarer brukeren hvordan kan slette egne opplysninger. Ingen av de seks vi testet gir tilfredsstillende informasjon om hvordan opplysningene sikres og lagres.
En klar beskjed til bransjen – og en oppfordring til deg som forbruker
Vi er fra Datatilsynet sin side både overrasket og skuffet over hva vi fant og da særlig med tanke på at dette er utsyr som samler inn data som gir indikasjoner på din helsetilstand. Nå er ikke leverandørene i vår test norske, men jeg vil likevel å gå ut med en klar oppfordring til produkt- og app-utviklere om å bygge inn godt personvern i produktet:
- ikke samle inn mer informasjon enn nødvendig,
- gjør det enkelt for brukeren å slette egne data, og
- sørg for god datasikkerhet slik at potensielt sensitive opplysninger ikke kommer på avveier.
Dette er tre viktige personvernfremmende tiltak. Les mer om innebygd personvern på våre nettsider.
I tillegg oppfordrer jeg sterkt alle virksomheter til å lage en personvernerklæring. Retten til å vite hvordan opplysninger om meg blir brukt er grunnsteinen i personvernet. Det å samle all relevant informasjon om hvordan personvernet er ivaretatt på ett sted, i form en personvernerklæring, er et veldig egnet og praktisk virkemiddel for å informere brukeren. Vi har laget en egen veileder om hvordan du kan lage en god personvernerklæring.
Forbrukere som kjøper slikt utstyr og som ønsker å ha en viss kontroll på egne personopplysninger har en utfordring. Det er vanskelig å finne relevant og dekkende informasjon om håndteringen av personopplysninger. Vi oppfordrer derfor deg som forbruker å velge produkter som har en personvernerklæring, eller som på andre måter har godt tilgjengelig informasjon om hvordan ditt personvern vil bli respektert. Du bør se etter en beskrivelse av hvordan opplysningene dine blir samlet, behandlet, delt og lagret. Sjekk også om du gis mulighet til å slette data og om det står noe om hvordan dine personopplysninger blir sikret.
Helsehjelp fra tingenes internett – en aktuell debatt
Utviklingen av selvtester koblet mot mobiltelefon går raskt, og tilbudet av måleinstrumenter og tester til hjemmebruk øker stadig. Se Teknologirådets oversikt over tilgjengelig selvtestutstyr her.
Mennesker med kroniske sykdommer som for eksempel diabetes eller epilepsi kan finne stor hjelp i denne typen hjemmetestutstyr som vi har sett på. I fremtiden kan vi se for oss at målinger fra selvtestutstyr kan sendes løpende til legen slik at denne kan vurdere om medisinbruk og behandling skal justeres.
E-helsedirektoratet har akkurat gjennomført en høring der de foreslår en selvdeklareringsordning for mobile helseapplikasjoner. Siden det per i dag ikke finnes noen godkjenningsordning eller kvalitetsgaranti virker dette å være en god ide. Men hvis denne typen utstyr skal brukes opp mot helsevesenet i stor skala bør produktene kvalitetssikres i større grad. En slik kvalitetssikring bør da selvsagt også inkludere en vurdering av hvordan personopplysningene ivaretas. Da er det blant annet viktig å vite at dataene lagres og overføres på en sikker måte, og at rettighetene til bruk av dataene er avklart i forkant. Du kan lese Datatilsynets høringsinnspill her.
Vårt sveip er del av et internasjonalt prosjekt
Den lille utsjekken vi har gjort av seks produkter er Datatilsynets bidrag til årets såkalte GPEN-sveip. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde året Datatilsynet deltar i GPEN-sveipet. Årets tema er tingenes internett, gjerne forkortet til IoT (Internet of Things). Vi valgte å konsentrere oss om testutstyr for helse. Noen personvernmyndigheter valgte det samme som oss, mens andre valgte for eksempel smart-TVer, smarte biler og leketøy. Totalt 25 personvernmyndigheter verden rundt deltok og så på til sammen 314 objekter.