Cybersecurity 5: Google, Amazon en onze (gezondheids) data

In deze blog bekijken we hoe je toch je privacy kan waarborgen,
als je gebruikmaakt van de assistenten van Google, Amazon en Apple, en hoe we hun rol in de gezondheidszorg op de voet moeten blijven volgen. Ook onze DPO geeft zijn mening hierover.

Afgelopen zomer deed de VRT-reportage over de afluisterpraktijken van Google heel wat stof opwaaien. Er bleek immers dat onderaannemers* van Google naar opnames luisterden, gemaakt met de slimme Google Home-luidsprekers of via de Google Assistent-app op smartphones. Na de reportage zag Google zich genoodzaakt er tijdelijk mee te stoppen en startte de Hamburgse privacywaakhond de Hamburg Commissioner for Data Protection and Freedom of Information een onderzoek. Nu is Google niet alleen, want ook van Apple en Amazon raakte eerder bekend dat ze onderaannemers* lieten luisteren naar wat je Siri ofAlexa vertelt, maar zonder dat ze wisten van wie de opname was.

Toestemming nodig

Sinds eind september 2019 hervatte Google het meeluisteren op voorwaarde dat de fragmenten anoniem zijn en dat de personen hiervoor hun toestemming hebben gegeven. Vind je dit allemaal maar niets en wil je jezelf extra beveiligen? Verwijder dan oude opnames of schakel eenvoudigweg de opnamemogelijkheid uit – die wordt automatisch geactiveerd bij de installatie van de luidspreker of de app op je smartphone. Zet ook de microfoons uit met een eenvoudige duw op de knop, als je het apparaat niet gebruikt.

Alexa ook

Bij Amazon volstaat het je privacy instellingen bij te werken om ervoor te zorgen dat ze je niet ‘afluisteren’, want alles wat je aan Alexa vraagt, wordt opgeslagen in de Alexa-app onder de vorm van transcripties en spraakmemo’s. Weet ook dat anderen met wie je de app deelt, alles wat je haar hebt gevraagd, kunnen zien, tenzij je de transcripties onmiddellijk verwijdert. Meer tips vind je hier.

Health care

Hogergenoemde techreuzen zijn niet alleen in onze dagelijkse gesprekken geïnteresseerd, maar ook in gezondheidszorg. Zo tekende de Britse gezondheidsdienst (NHS) een overeenkomst voor medisch advies via Echo, wat maakt dat Amazon gezondheidsinformatie die je via Alexa geeft, bijhoudt om profielen op te bouwen van de medische historiek van gebruikers. Deze info kunnen ze dan koppelen aan het je sturen van advertenties van derden voor dure therapieën enz. Daarnaast kocht Amazon de gezondheid startups PillPack en Health Navigator die deel uitmaken van Amazon Care, een gezondheidsprogramma voor haar eigen medewerkers. Ook ontwikkelde Amazon een digitale tool, zodat klanten van de online apotheek Giant Eagle Pharmacy via Alexa hun voorschriften kunnen beheren en een alarm instellen om hun geneesmiddel tijdig in te nemen. Om de privacy van de patiënt te garanderen, herkent Alexa gebruikers eerst aan hun stem en vraagt vervolgens hun persoonlijke wachtwoord. Als het stemprofiel of wachtwoord niet overeenkomt met het account, wordt er geen informatie verstrekt. Patiënten kunnen hun stemopname op elk moment bekijken en verwijderen.

Mening van onze DPO

De mening van onze DPO Denis Hanjoul hierover: “Het staat vast dat Amazon zich op de health care sector wilt storten, al was het maar omwille van de grote omzet. Amazon en Google beschikken via diensten die zij aanbieden – en via bedrijven die ze opkopen – al over een ongelofelijke hoeveelheid persoonlijke data. Deze gegevens stellen hen in staat zicht te krijgen op wie hun gebruikers zijn – zonder dat je deze informatie ergens echt ingeeft in een ‘profiel’ – en hun marketing en advertenties hierop af te stemmen. Wat momenteel nog ontbreekt in deze ‘profilering’, zijn deze zo waardevolle medische gegevens.

Beide aanbieders zijn in het verleden reeds op de vingers getikt en hebben sindsdien enkele aanpassingen doorgevoerd. Wat echter opvalt, is dat het principe van privacy by default (opgelegd door artikel 25 AVG), waarbij de standaardinstellingen zo zijn ingesteld dat maximale privacy wordt betracht,
nog steeds niet wordt gehanteerd. Er valt echter weinig aan te doen als mensen bereid zijn hun privacy op te offeren voor diensten, gelinkt aan health care, die hun leven gemakkelijker maken. Het is wel de taak van Amazon en Google de gebruikers duidelijk te informeren over het gebruik dat van de data gemaakt wordt.

Het lijkt enerzijds wel zo dat Amazon de nodige (minimale) veiligheidsmaatregelen heeft getroffen (stemherkenning, paswoord, enz.) om ervoor te zorgen dat niet zomaar iedereen aan de gevoelige gezondheidsgegevens van de patiënt kan. Anderzijds is het wettelijk kader in Amerika niet te vergelijken met dat in België. Via de app kan je er zelfs een nieuw doktersvoorschrift krijgen en worden dus ook voorschriftplichtige geneesmiddelen binnen enkele uren aan je voordeur geleverd. Momenteel is dit nog een ‘ver van ons bed’-show in België.”

*In tegenstelling tot wat sommige artikels schrijven, gaat het niet om werknemers maar om onderaannemers van Google & Amazon.Volgende week verschijnt het (voorlopig) laatste deel van ons dossier over Cybersecurity: Impact van cybercrime op Belgische bedrijven.