Vertrauenswürdige Medical Apps Risiken, Standards, Trends Dr. med. Urs-Vito Albrecht, MPH PLRI MedAppLab www.plrimedapplab.de Peter L. Reichertz Institut für Medizinische Informatik der TU Braunschweig und der Medizinischen Hochschule Hannover Carl-Neuberg-Str. 1 30625 Hannover, Germany albrecht.urs-vito@mh-hannover.de 06.05.2014 Innovative Healthcare IT (Vorsitz: Prof. Dr. B. Breil)
http://www.jmir.org/2014/2/e53/ Google Glass for Documentation of Medical Findings: Evaluation in Forensic Medicine Urs-Vito Albrecht1*, MD, MPH; Ute von Jan1*, PhD; Joachim Kuebler2*, MD; Christoph Zoeller2*, MD; Martin Lacher2*, MD, PhD; Oliver J Muensterer3*, MD, PhD; Max Ettinger4*, MD; Michael Klintschar5*, MD, PhD; Lars Hagemeier5*, MD 25.11.13 2
Risiken und Limitierungen von Apps 1. App tut nicht das, was sie soll: 2. Apps tut mehr als sie soll: Die angegebene Funk,onalität wird nicht oder unzureichend erfüllt Technische Schwächen Inhaltliche Schwächen Programmiertechnische Schwächen Handhabungseinschränkungen Beeinträch,gung des Nutzers und/oder seiner Umgebung (von En9äuschung bis Gefährdung (!)) Funk,onalitäten, die zur Erfüllung des Au=rags der App nicht notwendig sind Datenerhebung Datenspeicherung Datentransfer Verarbeitung Einschränkung der Persönlichkeitsrechte des Nutzers und/ oder seiner Umgebung (von Werbesendung bis Persönlichkeitsprofilerstellung und Tracking) Albrecht UV. Trustworthy Medical Apps - 8. Sitzung des Ausschusses Telematik der Bundesärztekammer, 22. August 2013, Berlin 3/20
Qualitätskriterien Wird auch nur einer der genannten Faktoren vernachlässigt, kann dies Konsequenzen haben: Gefahr für die Gesundheit der Nutzer bzw. ihre gesundheitsbezogenen Daten Die Nutzer verlieren das Vertrauen in die App FunkDona- lität Qualität der Inhalte Datenschutz und Privatsphäre Usability Der Ruf der Entwickler bzw. Vertreiber der App kann leiden bzw. es kommt zu finanziellen Verlusten Zuver- lässigkeit 4/20
Risiko: "App tut nicht, was sie soll!" (User "xy", 2014) Wolf JA, et al.: JAMA Dermatol(online) 16. Januar 2013 http:// dx.doi.org/10.1001/jamadermatol.2013.2382 5/20
Risiko: "App tut mehr als sie soll!" Hardware Angreifer können z.b. Schwachstellen in der Firmware oder Konstruktionsmängel des Geräts nutzen um unberechtigt Zugriff zu erlangen. Netzwerk Informationen können bei unsicherer Übermittlung leicht abgegriffen werden; die Probleme bei mobiler Datenübermittlung entsprechen in etwa denen von Laptops. Apps Apps enthalten evtl. unbeabsichtigte Schwachstellen die das Ausführen von Schadcode ermöglichen; sie haben direkten Zugriff auf die verbauten Sensoren und können Informationen sammeln. Betriebssystem Abhängig vom Betriebssystem und den eingesetzten Apps und Einstellungen sind unterschiedliche Angriffsszenarien vorstellbar: u.a. nutzen Jailbreaks bekannte Lücken im System. Readout: Health Apps and Their Data Sending Behaviour U.-V. Albrecht, O. Pramann, T. Jungnickel, U. von Jan 6/20
Risiko: "App tut mehr als sie soll!" User "blue_beetle", Post auf metafilter.com: "If you are not paying for it, you're not the customer; you're the product being sold."* *"Wenn du nicht bezahlst, bist du auch nicht der Kunde. Du bist das Produkt, das verkauft wird." 7/20
Medizinprodukt Konformitätsbewertungsverfahren CE- Kennzeichnung Hersteller von Apps, die zur Diagnostik und Therapie von Erkrankungen eingesetzt werden sollen, müssen staatlichen Stellen im Rahmen eines Konformitätsbewertungsverfahrens erklären, dass ihre Anwendungen den geltenden Gesetzen und EU-Normen entsprechen. 3 MPG (stark gekürzt;) [...] Medizinprodukt ist [...]Software[...], die vom Hersteller zur Anwendung für Menschen mittels ihrer Funktionen zum Zwecke der Erkennung, Verhütung, Überwachung, Behandlung [...] oder Linderung von Krankheiten, Verletzungen oder Behinderungen, [...]zu dienen bestimmt sind. 8/20
...Konformitätsbewertungsverfahren Einige Hersteller umgehen das Verfahren schlicht dadurch, dass sie der App keine medizinische Zweckbestimmung zuweisen! 9/20
FDA-Approval... http://www.fda.gov/newsevents/newsroom/pressannouncements/ ucm369431.htm http://www.fda.gov/downloads/medicaldevices/ DeviceRegulationandGuidance/GuidanceDocuments/UCM263366.pdf 10/20
Aktuelle Trends: Zertifizierung, Review und Peer-Review http://www.happtique.com http://www.imedicalapps.com http:// www.medicalappjournal.com http://www.medicalappjournal.com 11/20
Aktuelle Trends: GAU Tests!!! 5/17/14 12
Risiken minimieren was lässt sich unternehmen? Entwickler und Vertreiber müssen sicherstellen, dass die nötigen Anforderungen an eine gesundheitsbezogene App erfüllt sind und sie sollen die Nutzer fair und transparent über Funktionsumfang, Risiken und Limits aufklären. Nutzer müssen über Qualitätskriterien für gesundheitsbezogene Apps aufgeklärt und durch eine transparente Berichterstattung über die App in die Lage versetzt werden, eine Entscheidung über die Vertrauenswürdigkeit und Nutzung treffen zu können. 13/20
Transparente Berichterstattung der Anbieter / Entwickler Basis aller Bewertungen muss ausreichende Information sein: Hersteller bzw. Vertreiber sollten standardisierte Tools zur Berichterstattung nutzen um Nutzer mit den für eine fundierte Einschätzung nötigen Informationen zu versorgen Diese Informationen können auch für (unabhängige) Bewertungen durch Dritte (Initiativen, Zertifizierer, Endanwender) herangezogen werden Die "App Synopsis" macht sich dieses Konzept zu Nutze; folgende Informationen sollen enthalten sein: Autoreninformation und Quellenangaben für Inhalte und Algorithmen Funktionalitäten des Programms und mögliche Einschränkungen Anwendungssicherheit und ergriffene Schutzmaßnahmen zur Gefahrenabwehr Angewandte Datenschutzmaßnahmen Umgang mit Interessenkonflikten Albrecht, U.-V., Matthies, H. K. & Pramann, O., (2012). Vertrauenswürdige Medical Apps. In: Reiterer, H. & Deussen, O. (Hrsg.), Mensch & Computer 2012 Workshopband: interaktiv informiert allgegenwärtig und allumfassend!?. München: Oldenbourg Verlag. (S. 261-266). 14/20
Grundstruktur Kriterien Inhalt Impressum Informa,onen über den Hersteller/Herausgeber und Beteiligte Metadaten der App RaDonale Beschreibung des vorgesehenen Anwendungszwecks der App, der Zielgruppe(n), möglicher Anwendungsszenarien und der Kategorisierung als medizinische oder nicht- medizinische App FunkDonalität Beschreibung der Funk,onalitäten und Eigenscha=en der App sowie ihrer Einschränkungen und Grenzen Details über Maßnahmen, die zur Sicherstellung einer guten Nutzbarkeit der App ergriffen wurden Validität und Zuverlässigkeit Beschreibung der Informa,onsquellen auf denen die App basiert und wie zuverlässig diese sind Beschreibung der zur Qualitätssicherung ergriffenen Methoden InformaDonsabfrage und - verwaltung Datenschutz und Vertraulichkeit Datenübertragung und Speicherung Beschreibung der Menge und Art der von der App gesammelten und verwalteten Daten Informa,onen darüber, in wie weit der Hersteller Gesetze und Regularien bzgl. Datenschutz und Vertraulichkeit beachtet und welche Gerichtsbarkeiten rechtlich zuständig sind Beschreibung aller Maßnahmen die ergriffen werden, um die der App anvertrauten Daten zu schützen 5/17/14 Albrecht UV. Transparency of Health-Apps for Trust and Decision Making J Med Internet Res 2013;15(12):e277. URL: http://www.jmir.org/2013/12/e277/ 15/20
Bewertung einer App durch Anwender Informationen zu einer App, die vom Hersteller z.b. basierend auf der vorgestellten App-Synopsis zur Verfügung gestellt werden sind noch keine Bewertung Anwender müssen selbst beurteilen ob die App für ihren Anwendungsfall adäquate Funktionen bereitstellt ob sie basierend auf den verfügbaren Informationen dem Anbieter vertrauen App-Synopsis Bewertungen durch vorgenannte Initiativen (Problem: Bewertungskriterien / Interessenkonflikte etc. nicht immer klar erkennbar) Nutzerbewertungen in den Stores (Problem: Bias / fehlende Qualifikation / ) 16/20
Transparente Berichterstattung der Anbieter / Entwickler Die aufgrund der App Synopsis zusammengestellten Informationen sollen dort publiziert werden, wo Nutzer sich häufig informieren bevor sie eine App installieren: Beschreibungstexte in den App-Stores (direkt oder als Link zu externen Webseiten) Homepage des Herstellers Innerhalb der App (zur Information bei der Nutzung) http://plrimedapplab.weebly.com/app-synopsis.html Albrecht, U.-V., Matthies, H. K. & Pramann, O., (2012). Vertrauenswürdige Medical Apps. In: Reiterer, H. & Deussen, O. (Hrsg.), Mensch & Computer 2012 Workshopband: interaktiv informiert allgegenwärtig und allumfassend!?. München: Oldenbourg Verlag. (S. 261-266). Albrecht UV. Transparency of Health-Apps for Trust and Decision Making J Med Internet Res 2013;15(12):e277. URL: http://www.jmir.org/2013/12/e277/ 17/20
Praktische Umsetzung für die debac-app http://www.debac-app.de 18/20
Auswahl deutscher Initiativen http://www.healthon.de/ www.afgis.de http://www.appcheck.de/ 19/20
Literatur unter: http://plrimedapplab.de/ 20/29