Privacy en veiligheid zijn, zeker in de IT, geen tegengestelde concepten, maar gaan hand in hand. Beveiliging is nodig om privacy te garanderen, en andersom zorgen privacy en dataminimalisatie ervoor dat de beveiliging wordt opgehoogd. We stuitten onlangs per toeval op een interessant voorbeeld van een Nederlandse portal voor e-health, Selfcare, waar de controle van de eindgebruiker en privacybescherming voorop staan.
We worden altijd een beetje zenuwachtig als gevoelige persoonlijke gegevens, die gebruikt worden voor medische doeleinden, worden uitgewisseld. Het is aangenaam verfrissend om er in ieder geval in de voorwaarden alvast van verzekerd te worden dat nu en in de toekomst gegevens jouw eigendom blijven (wat op deze site al ver voor de AVG werd vermeld). Ook de beveiliging - die tweede kant van dataprivacy - maakte indruk, met onder meer afgedwongen 2FA zonder third party-apps of andere omslachtige oplossingen. Daar komen we in dit artikel nog uitgebreid op terug.
Verschillende organisaties, waaronder de Technische Universiteit Eindhoven, Gemeente Rotterdam, TNO en Avans Hogeschool, gebruiken deze portal om werknemers te motiveren om te bewegen of hun gezondheid te monitoren. We gingen in gesprek met Selfcare om meer te weten te komen over de aanpak, de meerwaarde en het verdienmodel van een dataverwerkend bedrijf dat voor de verandering eens geen databroker is.
Wie betaalt voor data?
"We hebben van begin af aan al privacy by design en privacy by default gekozen", zegt COO Jeroen Cornelissen van het bedrijf uit Breda. "We hebben gekeken naar bedrijfsmodellen en onszelf daar de moeilijkste opgave gegeven: we gaan de data die we binnenkrijgen niet zelf verkopen." Dat 'niet zelf' houdt in dat het bedrijf nooit data met derden zal delen, maar dat gebruikers wel zelf kunnen bepalen om dat te doen - maar daarbij blijven te allen tijde gegevens in beheer van de gebruiker.
"We zijn bijvoorbeeld bezig met een module die een onderzoekspartij de mogelijkheid geeft om degene die de data ter beschikking stelt te belonen." Dat kan een ideële beloning zijn, bijvoorbeeld omdat het doel is een behandeling voor een ziekte te ontwikkelen, of een economische met een geldelijke beloning voor het delen van die data. Of als tussenvorm om er directer zelf beter van te worden met bijvoorbeeld een gepersonaliseerd rapport naar aanleiding van een specifiek medisch onderzoek.
Regie naar gebruiker
Maar in alle gevallen geldt dat de gebruiker de controle in handen blijft houden. Als een gebruiker zijn gegevens wist, zijn die ook meteen verdwenen van het platform "los van misschien een back-up die nog verwerkt wordt", merkt de COO daarbij op. "Als je op de knop 'verwijder' klikt, is de koppeling ook meteen weg." Als een gebruiker zijn of haar meetgegevens verwijdert, zijn ze ook echt verwijderd en kan Selfcare ze ook niet meer herstellen. "Jij bent in de lead over jouw data."
Dat geldt uiteraard niet voor de gekoppelde platforms, die zelf in het beheer blijven en andere voorwaarden hebben. Als je bijvoorbeeld informatie via het platform van Fitbit laat binnenlopen en je verwijdert het later weer bij de Selfcare-portal, staan die gegevens uiteraard nog wel bij Fitbit. Het zou wat zulke voorwaarden voor de privacy van de eindgebruiker betreft beter zijn om apparaten rechtstreeks te koppelen zonder door het platform van de leverancier te gaan.
Een ander voorbeeld van de gebruikerscontrole die bij de meeste platforms ontbreken is de fijnmazigheid: je kunt als gebruiker gedetailleerd bepalen welke partij, behandelaar of familielid toegang heeft tot welke meetgegevens. Als je ervoor kiest om gegevens met derden te delen, dan staan standaard alle onderdelen op 'nee' en moet een gebruiker voor elke meting een actie verrichten. Dit om te voorkomen dat mensen uit het oog verliezen wat ze precies delen.
"Privacy is belangrijk, je moet regie over je gegevens behouden, maar dan moet je er wel voor betalen", vindt Cornelissen. "Helemaal tegen de tijdsgeest in hebben we geen freemium-model om bijvoorbeeld bekendheid op te bouwen." Het bedrijfsmodel draait dan ook niet om inkomsten uit dataverzameling, maar alleen om het faciliteren van koppelingen tussen mensen, gezondheidsplatforms als Fitbit of Medisana en zorgaanbieders als de huisarts. Selfcare genereert inkomsten uit overeenkomsten met bedrijven die werknemers willen motiveren actief en gezond te blijven, niet uit de back-end met zorgaanbieders.
Printje mee naar de huisarts
Wat betreft die koppeling met de zorg stelt Cornelissen dat zulke bewegingsdata niet de oplossing zijn voor alles, maar dat ze een signaleringsfunctie hebben, en dat bijvoorbeeld huisartsen direct aan de slag kunnen met een patiënt. Dan hoeft er geen nieuwe afspraak aan te pas komen om een beeld te bepalen, waarbij de patiënt na twee weken terugkeert met bijvoorbeeld een voedingsdagboek of hartslagresultaten van de afgelopen 14 dagen.
"We zijn nu in de fase gekomen waarin we gaan koppelen met zorgsystemen, waarbij je dan data kunt binnenhalen van je huisarts. Niet het hele dossier, maar samenvattende informatie. Denk aan je bloedwaarden of de medicatie die je is voorgeschreven. We bouwen ook een systeem waarmee je je zelfmeetgegevens kunt doorsturen naar de huisarts."
De COO haalt enkele voorbeelden aan van indicaties van medicijngebruik en zelfmeetgegevens die een idee geven van mogelijk oorzaak-gevolg van een medische situatie. "Neem bijvoorbeeld een trombosemedicijn waarbij het eten van een zuidvrucht een impact kan hebben op de werking ervan. We gaan uiteraard niet op de stoel van de huisarts zitten, maar we signaleren het en geven dat aan bij klanten, die een printje kunnen maken en het mee kunnen nemen naar de huisarts."
Meer inzicht voor arts en patiënt
"Een huisarts heeft geen data over mij als ik niet bij hem geweest ben, maar met zelfmeten is die data er al wel." Een ander voordeel is dat een arts ook inzage krijgt in data die hij of zij normaal niet heeft. "Het doel is om data op één plek te krijgen. Als een arts medicijnen voorschrijft, zijn twee dingen niet bekend: of je het ook slikt en of je andere medicijnen slikt die je niet bij de apotheek haalt, maar bij de drogist", licht Cornelissen toe. "Met die zelfmeting heb je je anamnese al meteen bij de hand."
Bij het bepalen van relevantie voor de gebruiker richt het bedrijf zich zoveel mogelijk op context. Denk aan een app die het lichaamsgewicht bijhoudt en de weergaven van kilocalorieën boven de dagelijks aanbevolen hoeveelheid in het rood aangeeft. "Dat is prima als je wilt afvallen, maar het is een verkeerde prikkel bij bijvoorbeeld iemand met anorexia. Dus de signaleringsfunctie plus context is belangrijk. Je moet ook weten wat de gegevens betekenen voor jou. Het heeft niet zoveel zin om tegen jou te zeggen: je hebt een HbA1c van 10. Is dat goed of slecht?"
Healthcoin
Selfcare koppelt verder met het Nederlandse Healthcoin. Bedrijven melden zich aan bij Healthcoin voor een bedrag per werknemer per jaar en werknemers verzamelen vervolgens punten met wearables, bijvoorbeeld door voldoende te slapen of genoeg stappen te zetten. Die verzamelde healthcoins kunnen ze inwisselen bij bijvoorbeeld Run2Day, Bol.com of andere winkels en organisaties die zich hebben aangesloten bij het Assense bedrijf. De meetwaarden zelf worden nooit doorgegeven aan de werkgever.
Zulke gamification van zelfmetende gezondheid-applicaties past uitstekend bij een portal als deze. "Als een bedrijf, ziekenhuis, of je werkgever het belangrijk vindt dat je vitaliteit gestimuleerd wordt en die heeft er ook wat geld voor over, dan kun je bijvoorbeeld per 5000 stappen een punt verdienen." Gebruikers kunnen in hun Selfcare-account een Healthcoin-account koppelen, zodat ze hun puntenverzameling makkelijk kunnen doorkoppelen.
Afgedwongen 2FA
Laten we even kijken naar hoe die portal er in de praktijk uitziet. Deze is beschikbaar als de webinterface Selfcare en als mobiele app voor iOS, Android en Windows 10 Mobile. Als je een meetgegeven wilt koppelen, kies je daarvoor een apparaat (bijvoorbeeld bloeddruk via een apparaat van Nokia, Omron, iHealth of Medisana) of voer je handmatig een meetmethode in. Het voordeel van koppeling aan de API van Garmin, Fitbit, Apple Health, Google Fit, of iets anders, is dat gegevens automatisch binnenlopen in de portal zodra je jouw device synchroniseert met die dienst.
Er is een aantal standaardgegevens die je kunt doorvoeren, overeenkomend met de specifieke wearable die je gebruikt, maar je kunt er ook zelf eentje aanmaken.
Het is de bedoeling om zoveel mogelijk apparaten te koppelen. "Wij gaan niet voorschrijven 'gij zult dit apparaat gebruiken', maar willen zoveel mogelijk verbinden", legt Cornelissen uit. "We hebben wel collega-bedrijven die bepaalde apparaten promoten omdat ze vinden dat het het beste is. Kan zijn, maar de kans is groter dat dit niet zo is. Als jij een Apple Watch fijn vindt of een Withings weegschaal, kun je die allebei koppelen. Dus in principe is het gebaseerd op BYOD."
Reeds beschikbare apparaten zijn onder meer diverse meetinstrumenten van Fitbit, Medisana, Garmin, Xiaomi, Polar, iHealth en meer, en Selfcare breidt dat steeds verder uit. Als je een apparaat wilt aanschaffen, kun je de beschikbaarheid daarvan controleren in de portal, die voor elk meetgegeven aangeeft welk type sensor beschikbaar is om automatisch te koppelen en de richtprijs daarvan (bijvoorbeeld 25 euro voor de Xiaomi Mi Band 2 of 120 euro voor de Fitbit Charge). Ook kun je hele platforms koppelen, zoals die van Fitbit, Apple of Google.
Default op 'nee'
Als je een andere entiteit wil koppelen aan jouw data, een vriend of vriendin, familielid, arts of zelfs bedrijf, krijg je een e-mail met dat verzoek. Je wordt vervolgens doorgeleid naar de portal en als dat op een apparaat of via een browser is die je nog niet eerder hebt gebruikt, wordt automatisch 2FA gebruikt. Je krijgt de code opgestuurd per sms en e-mail (voor het geval je bijvoorbeeld geen telefoonnummer koppelt) om in te vullen in de prompt voor je verder kunt.
2FA is zodanig uitgevoerd dat je sowieso een koppelingscode ontvangt. Per je gekoppelde e-mail-account, of bij toegevoegd telefoonnummer per mobiel.
Ook mooi is dat bij het verlenen van die toestemming bij alle data die je ter beschikking kunt stellen default 'nee' staat. Je dient als gebruiker per meetgegeven afzonderlijk aan te geven dat je die gegevens deelt. In ons voorbeeld zijn dat gegevens van Fitbit, zoals hartslag, trappen en stappen, maar als je meer apparaten of diensten koppelt, bijvoorbeeld Apple Health, heb je meer beschikbare categorieën die je in kunt schakelen. Zo kies je er bijvoorbeeld voor als een arts koppelt om de hartslag en calorieverbruik te delen, maar verder niets. Ook is de koppeling via dit menu weer in te trekken als je ook maar enige twijfel hebt over hoe deze meetgegevens worden gebruikt.
Na een koppelingsverzoek word je doorgeleid naar een pagina waar je bepaalt welke gegevens je precies wilt delen - en er is een opt-in voor elk afzonderlijk onderdeel.
Voor elke specifieke actie die leidt tot een koppeling van gegevens, is expliciete toestemming vereist van de eindgebruiker. Zelfs bij iets eenvoudigs als een competitie met een vriend(in) om bijvoorbeeld te zien wie de meeste stappen gaat zetten de komende week, krijg je een bericht en moet je daarvoor opnieuw toestemming verlenen - en is deze toestemming op elk moment weer in te trekken.
De 2FA van de Selfcare-app is dus geen schimmige configuratie-optie, maar een standaardeis. De portal probeert dit zo duidelijk mogelijk uit te leggen voor gebruikers die nog niet helemaal begrijpen wat dit is. Dit is wellicht nog de grootste uitdaging, omdat tweefactor-authenticatie al enkele jaren in opkomst is, maar nog steeds niet helemaal duidelijk is bij de meeste gebruikers.
Zo hoorde ik onlangs van een tandartsenpraktijk over gebruikers die worstelen met een nieuwe AVG-proof portal en de 2FA die daarbij hangt. Nou heeft die specifieke AVG-portal enige kinderziektes - zo weet ik uit eigen ervaring - met time-outs en te laat verzonden codes, maar deels gaat het ook om een stukje opvoeding van gebruikers die nog aan dit systeem moeten wennen.
Eind jaren zeventig verschenen de eerste flappentappen in Nederland en het idee van een bankpas met pincode was toen nog heel nieuw in de volksgeest. Er werden nog hele reclamecampagnes op televisie tegenaan gegooid over hoe snel, safe en simpel pinnen wel niet was. Nu hoef je waarschijnlijk niemand meer uit te leggen wat een pincode is. En nadat, na banken, nu ook diverse organisaties vanwege de AVG tweefactor-authenticatie afdwingen, zal 2FA logischerwijs de pincode achterna gaan: van een relatief nieuwe beveiligingseis naar een standaardbeveiliging die iedereen kent.
Beste mensen, dank voor jullie reactie, maar wij doen geen beroep op de REST API van WordPress. Naast deze openbare WordPress website hebben we nog een platform, en daar gaat dit artikel over. Met vriendelijke groet, Jeroen Cornelissen (Selfcare)
Helaas helemaal niets over de gebruikte technologie. Toegang blijkt te lopen via Cloudflare met een custom built Nginx webserver. De site veraadt verder sporen van WordPress 4.7.11 Als deze site de REST API er van gebruikt, wat wel te verwachten is voor hun interfaces, hebben ze een probleem (Content Injection Vulnerability)
Bizar inderdaad.. willens en wetens een Amerikaanse MitM inzetten die al je verkeer in plaintext ziet, en dan privacy by default claimen.
Reageer
Preview