Bu, yalnızca risk değerlendirmesi yükünü bireysel kullanıcılara kaydırmakla kalmaz, aynı zamanda uygulamaların gizliliğini ve güvenliğini değerlendirmeyi de zorlaştırır. Bunu yapmak için, çalışmamıza rehberlik edecek dört temel soruya ulaşmak için Beth Israel Deaconess Tıp Merkezi (MIND) ve The Digital Standard tarafından öncülük edilen değerlendirme çerçevelerine başvurduk.
Yerel ve Bulut Depolama
Anlamak nerede şirketlerin verilerinizi depolaması, ürünlerini kullanmanın getirdiği gizlilik riskini değerlendirmek için çok önemlidir. Çoğu popüler mobil uygulama, kullanıcı verilerini bulutta (birden çok konumdaki birden çok sunucuda) depolar ve bu, büyük miktarlarda kolayca kurtarılabilir bilgiyi işlemelerine olanak tanır. Ayrıca verilerinizin kötü niyetli kişilere karşı daha savunmasız olduğu anlamına gelir. Bu nedenle Givens gibi kuruluşlar, bilgileri doğrudan kullanıcıların cihazlarında depolayan uygulamaları tercih ediyor. Bir uygulama, verileri doğrudan cep telefonunuzda depolarsa, üzerinde daha eksiksiz bir kontrole sahip olursunuz. Yukarıda incelenen uygulamaların hiçbiri, kullanıcılara verilerini yerel olarak saklama seçeneği sunmadı, ancak Euki ve Mozilla Foundation destekli Drip bunu yapıyor.
Üçüncü Taraf Paylaşımı
Yakın zamanda bir web sitesine veya uygulamaya giriş yapmak için Facebook’u kullandıysanız, uygulama geliştiricilerinin üçüncü taraflarla bilgi paylaşma yollarından bazılarını zaten biliyorsunuzdur. Bir şirketin hangi üçüncü taraflarla çalıştığını ve onlara ne tür verilerin aktarıldığını anlamak, koruma düzeyinizi değerlendirmenin yararlı bir yoludur. Örneğin, Period Tracker’ın gizlilik politikası, kullanıcıların cihaz kimliklerini reklam ağlarıyla paylaşmayı kabul eder ve bu oldukça risklidir. Ayrıca, kurumsal bir birleşme veya satış sonucunda kullanıcı verilerini satma veya aktarma isteklerini de ifade eder. Genellikle, Clue’nun yaptığı gibi, kime ve neden bilgi sağladığını açıkça belirten uygulamalar daha güvenilirdir.
Bu üçüncü taraflarla paylaşılmadan önce verilerin rutin olarak anonim hale getirilip getirilmediğini (kullanıcı bilgilerinin tanımlanmasından arındırılmış) bilmek de yararlıdır. Ancak, bu her derde deva değil. Sökülen veriler, belirli koşullar altında yine de bireysel kullanıcılara geri dönebilir. Makine öğrenimi, teknoloji gölgeli “yeniden tanımlama” süreçlerini hızlandırabileceğinden, bu tehdidi daha da gerçek kılıyor. Clue, kullanıcı verilerini paylaşmaktan kaçınma sözü vermesine rağmen, anonimleştirilmiş verileri belirli üçüncü taraf araştırma gruplarına aktarır. Stardust, üçüncü taraflarla paylaştıkları bilgileri sınırlandırma taahhüdünü ifade etse de, politikaları, “kanun yaptırımlarına uymak veya bunlara yanıt vermek” veya “Şirketin güvenliğini” korumak için bilgileri paylaşabileceğini belirtir. İdeal olarak, uygulamalar hangi üçüncü taraflarla bilgi paylaşmak istedikleri konusunda son derece seçicidir veya üçüncü taraflarla hiç paylaşmazlar.
Veri Silme
Her uygulama, kullanıcıların kişisel verilerini istedikleri zaman geliştiricilerin sistemlerinden silmelerine izin veren protokoller oluşturmalıdır. ABD merkezli pek çok uygulama, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) veya Kaliforniya Tüketici Gizliliği Yasası (CCPA) ile uyum sağlamak için bu protokolleri içerse de, kullanıcılar aşağıdakileri içeren gizlilik politikalarına dikkat etmelidir: Açıkça bu silme ayrıcalıklarını, konumdan bağımsız olarak tüm kullanıcılara genişletin. Buna rağmen, bu zor olabilir, diyor Givens: “Yasanın kapsadığı yargı yetkisinin mukimi değilseniz, yasayı yerine getireceklerinin garantisi yoktur.”
Veri silme isteklerini davet eden uygulamalar bile bunları her zaman zamanında veya eksiksiz bir şekilde yürütmeyebilir. Güvenlik uygulamaları onları 2021’de FTC incelemesine tabi tutan Flo, gizlilik politikalarında, uygulamalarını silindikten sonra “yeniden etkinleştirmeye karar vermeniz durumunda kişisel verilerinizi 3 yıl boyunca sakladıklarını” özellikle belirtiyor. Dönem İzleyici, bir talep aldıktan sonra kullanıcıların mobil cihaz kimliklerini “24 aya kadar” saklamayı kabul eder. En güvenli uygulamalar, verilerinizi 30 gün veya daha kısa bir süre boyunca saklamalı ve ideal olarak, Clue’nun yaptığı gibi, sizin adınıza üçüncü taraflara silme talepleri göndermelidir.
Konum İzleme
Bir uygulama konum verilerini açıkça saklarsa (Periyot Takvimi ve Dönem İzleyici gibi), daha büyük bir gizlilik sorunu sunar. Burada analiz edilen beş uygulamadan üçü konum verilerini açıkça kaydetmiyor gibi görünse de her uygulama, birinin genel konumunu belirlemek için kullanılabilecek kullanıcıların IP adreslerini kaydeder. Örneğin Flo, IP adreslerini AppsFlyer gibi üçüncü taraflarla açıkça paylaşır.
Stardust’un uygulamaları, kullanıcıların IP adreslerini sağlık verilerinden ayırarak güvenliği artırır. Ancak eleştirmenler, yöntemlerinin gerçek uçtan uca şifrelemenin gerisinde kaldığını söylüyor. Ne olursa olsun, IP adresleri, bir kullanıcının arama geçmişi veya hatta kullanıcı hakkında kamuya açık diğer bilgiler gibi dış verilerle birleştirildiğinde, o kişinin kimliğini ve faaliyetlerini kolayca ortaya çıkarabilir. CDT ve diğer mahremiyet savunucuları, kullanıcıların kısa mesajlarının ve arama geçmişlerinin üreme sağlıklarıyla ilgili yasal işlemlerde zaten kendilerine karşı kullanıldığı ve uygulamanın genişleyebileceği konusunda uyardı.
Alt çizgi
Günün sonunda, Clue gibi bir dönem izleme uygulaması, kullanıcılara Flo, Stardust, Period Calendar ve Period Tracker gibi uygulamalardan biraz daha az risk sunar. Bununla birlikte, Tüketici Raporları tarafından doğrulandığı gibi, büyük popülerlikleri için seçilen bu uygulamaların beşi de Euki ve Drip gibi daha güvenli seçeneklerle karşılaştırıldığında bocalıyor. Kullanıcıların analiz etmesi mümkün olduğu sürece tüm The Digital Standard, Mhealth Index ve diğer yerlerde belirtilen standartlara göre uygulamalarının sayısı, kullanıcılar hangi şirketlerle uyumlu olacakları konusunda bilinçli kararlar verebilirler – ancak belirli uygulamaları kullanmanın risklerini değerlendirmek kusurlu bir bilimdir. Son derece zaman alıcı ve genellikle kafa karıştırıcı olmasının yanı sıra, tüm Amerikalılar için mevcut olan yaygın yasal gizlilik korumalarının eksikliği nedeniyle hiçbir yerde uygun bir ikame değildir.
Givens gibi gizlilik uzmanlarına göre, dijital gizlilik ve güvenlik sonrası söz konusu olduğunda, dönem izleme uygulamaları buzdağının görünen yüzünü temsil ediyor.Karaca. CDT, bir dönem izleme uygulaması kullanmanın buna değip değmeyeceğini belirlemek için insanların kendi risk düzeylerini değerlendirmelerini önerir. Bu arada, kısa mesajlar ve arama geçmişleri gibi kişisel bilgilerinizin güvenliğini sağlamak için adımlar atmak muhtemelen daha faydalı olacaktır.
Uzmanlar, fark yaratmak isteyenler için doğrudan teknoloji şirketlerine, özellikle de Google ve Meta (eski adıyla Facebook) gibi emsal teşkil eden kuruluşlara daha iyi bireysel koruma talep etmelerini tavsiye ediyor. Sonunda, kullanıcı verileri için kolluk kuvvetlerinden gelen taleplere yanıt vermek zorunda kalacak olan bu şirketlerdir ve birçoğu zaten gözetimlerini azaltma sözü verir (aynı zamanda gizlilik mevzuatına ve düzenlemelerine karşı agresif bir şekilde lobi yapar). Daha iyi bir politikanın önünü açmak için teknoloji şirketleri, topladıkları verilerin ciddi bir envanterini çıkarmayı, şeffaflık raporlarını düzenli olarak dosyalamayı ve en önemlisi, erken ve sık sık gizlilik haklarını savunmak için kamuya açık duruşlar sergilemeyi hedeflemelidir.