Hopp til hovedinnhold

Sjekk av hjemmetester avslører manglende informasjon om personvern

Om du bruker en hjemmetest til å finne ut om helsen din, kan du ikke regne med å finne forståelig og dekkende informasjon om hvordan opplysninger om deg blir behandlet.

Det viser Datatilsynets undersøkelse. Vi har undersøkt personverninformasjonen i seks hjemmetestprodukter som gir indikasjoner på helsetilstand.

Produktene i Datatilsynets kartlegging måler puls, blodtrykk, blodsukker og såkalte oksymeter/pulsoksymeter, som måler oksygenmetning i blodet. Vi har sett på produkter som er lett tilgjengelig for norske forbrukere. 

Vi har funnet varierende og i hovedsak for dårlig personverninformasjon på de seks produktene vi testet:

  • Fem av seks produkter får stryk fordi de ikke på en tilfredsstillende måte forklarer hvordan personopplysningene blir samlet inn, brukt og delt.
  • Fire av de seks produktene hadde ingen personvernerklæring.
  • Det var varierende kvalitet på informasjon fra produkt til produkt. Resultatene spenner fra ingen informasjon til en del relevant og god informasjon.
  • Ingen av produktene forklarte på en god måte hvordan personopplysningene til brukeren blir lagret.
  • Ingen av produktene forklarte hvordan brukerne kan slette egne personopplysninger.

Brukervennlig utstyr, men ikke brukervennlig informasjon. Det er enkelt å komme i gang, installere apper, ta tester og å lese av resultater. Det er imidlertid vanskelig for brukeren å finne informasjon om hva som skjer med personopplysningene som registreres.

Kjøp først, ta stilling senere? Selvråderett er et viktig prinsipp i et godt personvern, og informasjon er en forutsetning for bevisste valg. Vi erfarte at det på kjøpstidspunktet er nesten umulig å vite om produktet ivaretar personvernet ditt på en god måte. Eventuell informasjon kommer ofte når du installerer appen på telefonen, og det kreves ofte en betydelig leteinnsats av deg som bruker.

Datasikkerhet. Alle produktene hadde mulighet for videreformidling av testresultater per e-post. Et av produktene gav mulighet for å dele testresultater på Twitter og Facebook direkte fra appen. Flere av tjenestene var penset inn på kontakt med helsevesenet. Å sende sensitive personopplysninger (helsedata inkludert) per e-post til og fra helseinstitusjoner er ikke tillatt ifølge personvernregelverket.

Testen er del av et internasjonalt prosjekt

Testen er Datatilsynets bidrag til årets såkalte GPEN-sveip. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde året Datatilsynet deltar i GPEN-sveipet. Årets tema er tingenes internett, gjerne forkortet til IoT (Internet of Things). Vi valgte altså å konsentrere oss om testutstyr for helse. Noen personvernmyndigheter valgte det samme som oss, mens andre valgte for eksempel smart-TVer, smarte biler og leketøy. Totalt 25 personvernmyndigheter verden rundt deltok og så på til sammen 314 objekter.

Datatilsynets sveip-rapport 2016: Hva gjør dere med dataene mine? (pdf)

Til toppen