Smartphones en wearables maken het gemakkelijker dan ooit om onze gezondheid in de gaten te houden. Maar hoe zorg je er voor dat die apps zich aan de privacywetgeving houden ?

De wetgeving over het verzamelen van (lichaams)gegevens is niet veranderd. Maar waar uw bloeddruk en hartslag vroeger enkel op het bureau van de dokter lagen, passeren ze vandaag ook via een sport- of gezondheidsapp waar al snel 3 à 4 partijen, al dan niet met commerciële belangen, opduiken. Dat maakt dat we vandaag meer aandacht moeten hebben voor de privacy van onze gegevens.

App-ontwikkelaars willen vaak wel aan de wetgeving voldoen. Maar ze staan niet te springen om de Belgische wetgeving uit te pluizen vooraleer ze aan de slag gaan. Laat staan dat ze dat voor alle Europese lidstaten te doen. “De wetgeving loopt grotendeels gelijk, maar elk land heeft zijn eigen gevoeligheden. Zo moet in België het verwerken van gezondheidsgegevens via een praktijkpersoon zoals een dokter lopen. Maar dat is niet in elk land zo”, legt advocaat bij time. lex Hans Graux uit. Hij specialiseert zich net zoals collega Edwin Jacobs in privacy in het digitale landschap.

“Het probleem is dat de wet vrij complex is, vaak voor en door juristen geschreven, en dat is bij de privacywetgeving ook zo. Tegelijk is ze van toepassing op nichesectoren zoals cloud computing. Daarom is er nood aan een code of conduct die, bijvoorbeeld voor gezondheidsapps, uitlegt waar je aandacht voor moet hebben wanneer je een dienstverlener selecteert. Dat staat vandaag ook in de wet, maar zo’n gedragscode legt het duidelijker uit.”

Jacobs : “Bij mobiele gezondheidsapps begin je vanaf nul. In de privacywetgeving staan dingen als ‘Je moet een gepast veiligheidsniveau hebben’, maar wat is ‘gepast’ ? Als ontwikkelaar moet je dan weten hoe je verder moet.”

Van die code of conduct voor mobiele healthapps is er vandaag een voorlopige versie klaar. Tegen de zomer moet ze definitief rond zijn. Volgens time. lex is het een interpretatie van hoe de regels moeten worden toegepast. Maar de inhoud van de code of conduct wordt ook nagekeken door de verschillende Europese privacy commissies zelf, om de betrouwbaarheid ervan te verhogen.

“Vandaag merk je dat app-bouwers zich vaak wel aan regels willen houden”, zegt Graux, “Maar niet elk bedrijf heeft een jurist in huis, of er zijn beperkte budgetten, terwijl het voor kmo’s ook haalbaar moet zijn om de regels na te leven.”

“Op termijn gaat men strenger optreden tegen bedrijven. Je zal bij het inzamelen van gevoelige gegevens op grote schaal een data protection officer moeten hebben, niet noodzakelijk als een aparte job binnen een bedrijf, wel als rol. De Privacycommissie zal ook strenger gaan optreden tegen inbreuken, dus kmo’s hebben er belang bij dat zo’n gedragscode leesbaar is”, zegt Edwin Jacobs.

Graux : “Onderschat overigens niet wat een kmo kan teweeg brengen, Twitter was ook nog een kmo toen de eerste tien miljoen gebruikers bezig waren.”

Jacobs gaat verder : “We zitten met veel uitdagingen : apps, IoT, wearables en die dingen gekoppeld aan big data. Het is niet enkel de app maar het ecosysteem dat er aan vasthangt en ook daar moet alles in orde zijn met privacy.”

ETHISCHE VRAAGSTUKKEN

Graux : “Zelfs als de gegevens vlot en veilig naar de cloud gaan kan dat voor bijkomende vragen zorgen. Een van de cases is een spoeddienst waar de patiënt aan een monitor ligt die de essentiële gezondheidskenmerken naar de cloud stuurt. Daar berekent het systeem dat de patiënt slechts 2 procent kans heeft om te overleven, ongeacht wat de dokter doet. Is het dan ethisch om die informatie aan een dokter te geven vlak voor het einde van zijn of haar werkshift ?”

Jacobs wijst ook op de transparantie van apps : “Van gratis apps weet je dat ze iets doen met je data. Maar als de app achteraf een update of een nieuwe privacyverklaring krijgt dan accepteren de meeste mensen dat zonder nadenken, terwijl er dan misschien net wel gegevens worden doorgespeeld.”

“Veel gebruikers weten niet waar ze precies toestemming voor geven,” gaat Graux verder. “Daar willen privacyregulatoren en de wetgever vanaf. Een app moet specifiek zijn over wat je verzamelt en waarom. Het mag niet verstopt zitten in een lijst met de algemene voorwaarden.”

WILLEN & KUNNEN

Zowel de sector als de privacycommissie hebben de ambitie om de wet duidelijker en beter toepasbaar te maken. Maar een gedragscode opstellen wil niet zeggen dat iedereen die ook naleeft. “Controle blijft een zwak punt, net zoals de mogelijkheid om met al je gegevens uit een app te vertrekken,” zegt Hans Graux. Maar ook de sector zelf is vrij jong en dus is nog niet alles perfect gereguleerd. “Die lacunes zijn er nu eenmaal bij startups en kmo’s. Bij bijvoorbeeld ziekenhuizen is dat al langer omkaderd, maar bij jonge ondernemingen die met nieuwe technologie bezig zijn is dat niet altijd het geval”, zegt Jacobs.

Wie wil kan de Draft Code of Conduct on privacy for mobile health applications downloaden op

http://ec.europa.eu/newsroom/dae/document.cfm?action=display&doc–id=12378

Pieterjan Van Leemputten

“In de privacywetgeving staan dingen als ‘Je moet een gepast veiligheidsniveau hebben’, maar wat is ‘gepast’ ?”

“Kmo’s hebben er belang bij dat zo’n gedragscode leesbaar is”