100 000 dollars à l'improviste : La FTC cible les développeurs d'applications de santé
Partager
Commentaires
100 000 dollars à l'improviste : La FTC cible les développeurs d'applications de santé
7 juin 2023
Table des matières
Des applications de suivi de la fertilité et du cycle menstruel aux applications de médicaments sur ordonnance et autres applications de soins de santé, il n'y a qu'un pas à franchir. applications de soins de santéil semble qu'il y ait maintenant non seulement une augmentation des violations de la vie privée des consommateurs parmi ces applications, mais aussi une attention accrue de la part de la Commission fédérale du commerce (FTC). Avec les sanctions financières récemment proposées et l'application plus stricte des exigences en matière de notification aux consommateurs et aux médias, il ne fait aucun doute que les propriétaires d'applications en tiennent compte.
Le mois dernier, la FTC a proposé une amende civile de 100 000 dollars et d'autres mesures d'exécution.s contre le propriétaire d'une application de suivi de l'ovulation qui a été téléchargée plus d'un million de fois sur le Play Store d'Android. Selon la FTC, l'application connue sous le nom de "Premom" a trompé les utilisateurs en partageant leurs informations personnelles identifiables (PII) et leurs données de santé personnelles avec des tiers sans leur consentement préalable.
L'entreprise n'aurait pas respecté la règle de la FTC relative à la notification des atteintes à la santé (Health Breach Notification Rule). règle de notification des atteintes à la santé (Health Breach Notification Rule) (HBNR) DE LA FTC. Cette règle prévoit que les propriétaires d'applications doivent informer les consommateurs et, dans certains cas, les médias ainsi que la FTC elle-même en cas de violation de données impliquant leur entreprise ou leurs fournisseurs de services.
La dernière mesure d'exécution prise par la FTC intervient alors que l'agence cherche à donner plus de mordant à son HBNR, en annonçant un vote unanime en faveur de l'adoption d'une loi sur la protection des consommateurs. vote unanime pour mettre à jour la formulation de la règle concernant les violations et le consentement de l'utilisateur.
Le vote est intervenu alors que l'on s'inquiétait de l'existence de divulgations non autorisées de données de santé personnelles via les SDK et leurs morceaux de code cachés qui font partie de la chaîne d'approvisionnement des logiciels utilisés pour aider à construire des applications mobiles - partageant en fin de compte secrètement des données avec des organisations non autorisées (annonceurs) potentiellement basées à la fois aux États-Unis et en dehors de ce pays.
Un article similaire a été publié dans Bleeping Computer il y a quelques mois, concernant une application de thérapie mentale appelée BetterHelp. Le règlement et l'amende de la FTC s'élevaient à 7,8 millions de dollars !
Aller au-delà de la loi HIPAA dans certains cas
La FTC semble indiquer son intention d'utiliser ses pouvoirs d'exécution pour sévir de manière beaucoup plus cohérente et avec des définitions plus étendues de ce qui constitue une violation de données de santé. Comme SC Media l'a rapporté en même temps que la mise à jour du langage de la HBNR mentionnée ci-dessus, la FTC a l'intention d'utiliser une approche encore plus large (et évidente) pour déterminer quelles données sont en fait assez révélatrices lorsqu'il s'agit d'informations sur la santé d'un consommateur.
Par exemple, le simple fait de fournir son nom et ses coordonnées à une application de soins de santé ne suffit pas. application de santé de santé qui finit par être violée peut permettre à des publicitaires ou à des acteurs de la menace d'apprendre qu'une personne a cherché ou reçu un type de traitement spécifique.
Avec cette définition considérablement élargie des données pertinentes, développeurs d'applications de santé se retrouvent dans un scénario où même une menace ou une violation anodine peut déclencher la nécessité d'envoyer des notifications. envoyées à des milliers ou des millions d'utilisateurs, sans parler du gouvernement et des membres de la presse. SC Media note que la FTC cherche à inclure des définitions révisées pour l'application de la règle aux applications de santé qui ne sont pas couvertes par la HIPAA et la définition des informations de santé identifiables (PHR). Parallèlement à cette mise à jour linguistique, l'agence espère également mieux clarifier la définition d'une violation.
L'application d'Apple sur la santé entre en jeu
Prenant en compte le malaise du public, Apple a récemment publié un nouveau spot publicitaire intitulé "The Waiting Room" (la salle d'attente), qui traite de manière inquiétante mais humoristique des violations de données dans un établissement de soins de santé où une voix off audible révèle les problèmes de santé privés de chaque patient, à la grande consternation de la salle remplie de monde. Cette publicité a été conçue pour souligner l'engagement d'Apple en matière de confidentialité des données sur l'iPhone. Cette campagne rappelle que l'industrie de la téléphonie mobile dans son ensemble doit mieux protéger les données des consommateurs de manière proactive.
Les récentes actions de la FTC visent à aider les développeurs d'applications bien intentionnés à prévenir les pratiques commerciales déloyales. Les mesures prises par les pouvoirs publics visent précisément à renforcer la sécurité et à garantir le respect de la vie privée sur le marché. Mais lorsqu'un développeur d'applications s'avère être une organisation criminelle, toute une série de problèmes supplémentaires et encore plus dramatiques se posent.
Le renforcement des réglementations en matière de confidentialité des données des consommateurs signifie que les développeurs d'applications mobiles devront sécuriser leurs applications et leurs API afin de contrôler plus étroitement l'utilisation des données des consommateurs et d'éviter les enquêtes de conformité, les sanctions civiles, les problèmes de réputation de l'entreprise, etc. Ils devront également mieux examiner leurs accords commerciaux avec des services tiers pour s'assurer que leurs politiques et pratiques de partage des données sont transparentes, qu'elles sont correctement respectées et que les IIP ne sont pas partagées sans le consentement de l'utilisateur. Enfin, les développeurs devront plonger plus profondément dans le code de la chaîne d'approvisionnement de leurs applications pour déraciner les dangers cachés tels que les portes dérobées qui communiquent illicitement avec des serveurs non autorisés, qu'il s'agisse de fournisseurs légitimes ou de pirates informatiques, car ils peuvent être tenus pour responsables de ces violations de la vie privée dans le cadre des applications.
Les récentes mesures d'application de la loi prises par la FTC, la campagne publicitaire d'Apple et les recommandations en matière de sécurité des applications formulées par des entreprises telles que Verimatrix sont autant de messages clairs à l'intention des acteurs du secteur de la santé. développement d'applications de santé de santé : Le respect de la vie privée des patients est essentiel ; assumez la responsabilité des données qui vous sont confiées, sous peine de subir d'éventuelles répercussions.
Rester informé sur la confidentialité des applications de santé
Ne manquez pas les dernières mises à jour, réflexions et réglementations concernant les violations de la vie privée dans les applications de santé. Inscrivez-vous à notre newsletter !
Rédigé par
Dr. Klaus Schenk
Klaus Schenk est vice-président senior de la sécurité et de la recherche sur les menaces chez Verimatrix et dirige le VMX Labs.
Commentaires
100 000 dollars à l'improviste : La FTC cible les développeurs d'applications de santé
Table des matières
Des applications de suivi de la fertilité et du cycle menstruel aux applications de médicaments sur ordonnance et autres applications de soins de santé, il n'y a qu'un pas à franchir. applications de soins de santéil semble qu'il y ait maintenant non seulement une augmentation des violations de la vie privée des consommateurs parmi ces applications, mais aussi une attention accrue de la part de la Commission fédérale du commerce (FTC). Avec les sanctions financières récemment proposées et l'application plus stricte des exigences en matière de notification aux consommateurs et aux médias, il ne fait aucun doute que les propriétaires d'applications en tiennent compte.
Le mois dernier, la FTC a proposé une amende civile de 100 000 dollars et d'autres mesures d'exécution.s contre le propriétaire d'une application de suivi de l'ovulation qui a été téléchargée plus d'un million de fois sur le Play Store d'Android. Selon la FTC, l'application connue sous le nom de "Premom" a trompé les utilisateurs en partageant leurs informations personnelles identifiables (PII) et leurs données de santé personnelles avec des tiers sans leur consentement préalable.
L'entreprise n'aurait pas respecté la règle de la FTC relative à la notification des atteintes à la santé (Health Breach Notification Rule). règle de notification des atteintes à la santé (Health Breach Notification Rule) (HBNR) DE LA FTC. Cette règle prévoit que les propriétaires d'applications doivent informer les consommateurs et, dans certains cas, les médias ainsi que la FTC elle-même en cas de violation de données impliquant leur entreprise ou leurs fournisseurs de services.
La dernière mesure d'exécution prise par la FTC intervient alors que l'agence cherche à donner plus de mordant à son HBNR, en annonçant un vote unanime en faveur de l'adoption d'une loi sur la protection des consommateurs. vote unanime pour mettre à jour la formulation de la règle concernant les violations et le consentement de l'utilisateur.
Le vote est intervenu alors que l'on s'inquiétait de l'existence de divulgations non autorisées de données de santé personnelles via les SDK et leurs morceaux de code cachés qui font partie de la chaîne d'approvisionnement des logiciels utilisés pour aider à construire des applications mobiles - partageant en fin de compte secrètement des données avec des organisations non autorisées (annonceurs) potentiellement basées à la fois aux États-Unis et en dehors de ce pays.
Un article similaire a été publié dans Bleeping Computer il y a quelques mois, concernant une application de thérapie mentale appelée BetterHelp. Le règlement et l'amende de la FTC s'élevaient à 7,8 millions de dollars !
Aller au-delà de la loi HIPAA dans certains cas
La FTC semble indiquer son intention d'utiliser ses pouvoirs d'exécution pour sévir de manière beaucoup plus cohérente et avec des définitions plus étendues de ce qui constitue une violation de données de santé. Comme SC Media l'a rapporté en même temps que la mise à jour du langage de la HBNR mentionnée ci-dessus, la FTC a l'intention d'utiliser une approche encore plus large (et évidente) pour déterminer quelles données sont en fait assez révélatrices lorsqu'il s'agit d'informations sur la santé d'un consommateur.
Par exemple, le simple fait de fournir son nom et ses coordonnées à une application de soins de santé ne suffit pas. application de santé de santé qui finit par être violée peut permettre à des publicitaires ou à des acteurs de la menace d'apprendre qu'une personne a cherché ou reçu un type de traitement spécifique.
Avec cette définition considérablement élargie des données pertinentes, développeurs d'applications de santé se retrouvent dans un scénario où même une menace ou une violation anodine peut déclencher la nécessité d'envoyer des notifications. envoyées à des milliers ou des millions d'utilisateurs, sans parler du gouvernement et des membres de la presse. SC Media note que la FTC cherche à inclure des définitions révisées pour l'application de la règle aux applications de santé qui ne sont pas couvertes par la HIPAA et la définition des informations de santé identifiables (PHR). Parallèlement à cette mise à jour linguistique, l'agence espère également mieux clarifier la définition d'une violation.
L'application d'Apple sur la santé entre en jeu
Prenant en compte le malaise du public, Apple a récemment publié un nouveau spot publicitaire intitulé "The Waiting Room" (la salle d'attente), qui traite de manière inquiétante mais humoristique des violations de données dans un établissement de soins de santé où une voix off audible révèle les problèmes de santé privés de chaque patient, à la grande consternation de la salle remplie de monde. Cette publicité a été conçue pour souligner l'engagement d'Apple en matière de confidentialité des données sur l'iPhone. Cette campagne rappelle que l'industrie de la téléphonie mobile dans son ensemble doit mieux protéger les données des consommateurs de manière proactive.
(Source : YouTube, Apple)
Le réveil d'un développeur d'applications mobiles
Les récentes actions de la FTC visent à aider les développeurs d'applications bien intentionnés à prévenir les pratiques commerciales déloyales. Les mesures prises par les pouvoirs publics visent précisément à renforcer la sécurité et à garantir le respect de la vie privée sur le marché. Mais lorsqu'un développeur d'applications s'avère être une organisation criminelle, toute une série de problèmes supplémentaires et encore plus dramatiques se posent.
Le renforcement des réglementations en matière de confidentialité des données des consommateurs signifie que les développeurs d'applications mobiles devront sécuriser leurs applications et leurs API afin de contrôler plus étroitement l'utilisation des données des consommateurs et d'éviter les enquêtes de conformité, les sanctions civiles, les problèmes de réputation de l'entreprise, etc. Ils devront également mieux examiner leurs accords commerciaux avec des services tiers pour s'assurer que leurs politiques et pratiques de partage des données sont transparentes, qu'elles sont correctement respectées et que les IIP ne sont pas partagées sans le consentement de l'utilisateur. Enfin, les développeurs devront plonger plus profondément dans le code de la chaîne d'approvisionnement de leurs applications pour déraciner les dangers cachés tels que les portes dérobées qui communiquent illicitement avec des serveurs non autorisés, qu'il s'agisse de fournisseurs légitimes ou de pirates informatiques, car ils peuvent être tenus pour responsables de ces violations de la vie privée dans le cadre des applications.
Les récentes mesures d'application de la loi prises par la FTC, la campagne publicitaire d'Apple et les recommandations en matière de sécurité des applications formulées par des entreprises telles que Verimatrix sont autant de messages clairs à l'intention des acteurs du secteur de la santé. développement d'applications de santé de santé : Le respect de la vie privée des patients est essentiel ; assumez la responsabilité des données qui vous sont confiées, sous peine de subir d'éventuelles répercussions.
Rester informé sur la confidentialité des applications de santé
Rédigé par
Dr. Klaus Schenk
Klaus Schenk est vice-président senior de la sécurité et de la recherche sur les menaces chez Verimatrix et dirige le VMX Labs.
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Tour d'horizon des menaces de cybersécurité #11 : Coper, Octo, CriminalMW, et plus encore
3 Impératifs de sécurité pour les fabricants d'applications pour véhicules en 2024
La prolifération des outils par rapport à l'absence totale d'outils de sécurité
Tour d'horizon des menaces de cybersécurité #10 : Joker, Samecoin, SpyNote, etc.