ISO-norm voor gezondheidsapps moet voor zekerheid, veiligheid en duidelijkheid zorgen

augustus 2021 Zorg van de Toekomst Willem van Altena

Als consument is het prettig om te weten waar je aan toe bent als je een product of dienst aanschaft, en wil je ervan uit kunnen gaan dat de informatie die je krijgt ook daadwerkelijk klopt. Dat is een van de redenen waarom er internationale afspraken zijn om informatie op een betrouwbare en gestandaardiseerde manier over te brengen, vaak bekend onder het label ‘ISO-normen’. We komen ze dagelijks tegen: denk aan energielabels op auto’s, koelkasten of huizen, of aan normen over uitstoot van CO2 en stikstof. Voor medische apps bestaat er nog geen ISO-norm, maar dat gaat veranderen. Als gebruiker van een app wil je immers zeker weten dat de informatie die je ontvangt juist en betrouwbaar is, want het gaat om je gezondheid.

ISO 82304-2 standaard

De ISO 82304-2 standaard moet ervoor zorgen dat consumenten, zorgverleners, zorgverzekeraars en zorgautoriteiten een goed geïnformeerde keuze kunnen maken om een bepaalde gezondheidsapp wel of niet te gaan gebruiken. Een gezondheidsapp die aan de ISO 82304-2 norm voldoet beantwoordt aan de minimumcriteria wat betreft veiligheid, gebruiksgemak, databeveiliging en robuustheid. Die onderdelen leveren samen een totaalscore die kan oplopen van een rode E tot een donkergroene A, vergelijkbaar met het energielabel.

Niet alleen patiënten hebben baat bij de zekerheid die de nieuwe ISO-norm biedt. Ook zorgprofessionals willen zeker weten dat een app klinisch deugt, en verzekeraars en overheden willen ook zeker weten dat een app aan alle eisen beantwoordt voordat er tot vergoeding kan worden overgegaan.

Objectieve criteria

De laatste jaren lijkt er geen eind te komen aan de toevloed van nieuwe apps en devices op medisch gebied, zowel voor de consument als voor de professional. De vraag naar objectieve kwaliteitscriteria bestaat dan ook al enige tijd, en in veel Europese landen waren al diverse projecten opgestart om tot een vorm van standaardisering te komen. Ook de Europese Commissie besloot om een rol te spelen in dit proces en gaf opdracht om een nieuwe standaard te ontwikkelen, waaraan is gewerkt door 90 experts op zes continenten.

Alle makers van apps die voor een certificatie in aanmerking willen komen moeten vragen beantwoorden over effectiviteit, patiëntveiligheid, ethiek, toegankelijkheid, gebruiksvriendelijkheid, bescherming van persoonsgegevens, technische kwaliteit en interoperabiliteit. De resultaten van de toets worden weergegeven in een goed leesbaar label. Een overall score en kwaliteitsrapport bieden respectievelijk een samenvatting en verdere detaillering van het gezondheidsapp-label.

Wetgeving

Een standaard is echter nog geen wet. Voorlopig is het nog niet verplicht dat aanbieders van gezondheidsapps zich aan de nieuwe Europese norm confirmeren. Daar is eerst nog wetgeving voor nodig, zowel in Brussel als in de afzonderlijke lidstaten. Uiteindelijk kan dat leiden tot een verplicht label, net zoals we dat al kennen bij auto’s en elektrische apparaten. Op die manier wordt het voor consumenten en zorgaanbieders makkelijker het kaf van het koren te scheiden.

Misbruik

Hoe belangrijk een ISO-standaard is werd deze week ook duidelijk uit een Australische studie naar gezondheidsapps die in het vakblad British Medical Journal werd gepubliceerd. Daaruit blijkt dat gebruikersdata in die apps gevoelig zijn voor misbruik. Er  schort nogal wat aan de beveiliging van de apps en van het privacybeleid. Een duidelijk ISO-norm kan daar een oplossing in vormen: apps die niet zorgvuldig genoeg met patiëntgegevens omgaan krijgen geen goedkeuring.

Zorg op afstand en e-health zitten al jaren in de lift, maar de pandemie heeft voor een stroomversnelling gezorgd. Toch blijkt er veel kaf tussen het koren te zitten, stelden onderzoekers aan de Macquarie University in Sydney, Australie vast. Zij bestudeerden bijna 21.000 apps uit de Google Play store. Het grootste deel ervan, bijna 13.000 apps, was consumentgericht en had vooral betrekking op leefstijl en fitness. De overige 8.000 apps vielen in de zuiver medische categorie.

Cookies

Een punt van zorg zijn de zogeheten tracking cookies, waarmee gebruikersinformatie kan worden opgehaald. Het blijkt dat sommige apps de deur wagenwijd open zetten voor tientallen, soms honderden van die cookies van onder meer advertentiebureaus. Volgens de Australische onderzoekers zijn aanbieders van gezondheidsapps zelden transparant over het gebruik van cookies. Bijna een derde (28 procent) van de aanbieders hanteert geen privacyrichtlijnen of maakt daar in ieder geval geen melding van. Van de aanbieders die dit wel doen, houdt nog niet de helft zich aan de eigen richtlijnen.

Wachtwoorden

Maar ook aan de manier waarop apps data delen en verzenden mankeert vaak van alles, stelden de Australische onderzoekers vast. In bijna een kwart van de gevallen gebeurt dat via onveilige communicatieprotocollen. Met name waar het gevoelige informatie als wachtwoorden en geo-locatie betreft is dit zorgelijk, aldus de onderzoekers. Zo stellen veel apps nauwelijks eisen aan de sterkte van wachtwoorden die een gebruiker kiest. Dubbele authenticatie –zoals bijvoorbeeld bij DigiD gebruikelijk is- is eerder een uitzondering dan een regel.

De strikt medische apps doen het wel beter dan de lifestyle- en fitnessapps, maar ook daar worden zorgelijke gebreken gezien. Patiëntendossiers staan vol met informatie die voor kwaadwillenden erg interessant is. Het is dan ook van groot belang dat juist deze apps aan de allerstrengste veiligheidsnormen voldoen. Daar kan de nieuwe ISO-standaard mogelijk een rol in spelen en gebruikers geruststellen.

Referenties

Tangari G, Ikram M, Ijaz K, Kaafar MA, Berkovsky S. Mobile health and privacy: cross sectional study. BMJ. 2021 Jun 16;373:n1248. doi: 10.1136/bmj.n1248. PMID: 34135009; PMCID: PMC8207561.

Lees meer over de ISO 82304-2 norm op de website van ISO.