Recovery Record: Eating Disorder Management

Warnung: *Datenschutz ist in diesem Produkt nicht inbegriffen

Apps für psychische Gesundheit Apps für psychische Störungen Stimmungstracker Peer-Support

Recovery Record: Eating Disorder Management

Recovery Record, Inc

WLAN

Überprüft am: 11. Mai 2022

Von Mozilla investierte Zeit für die Recherche: 10 Stunden

Mozillas Meinung

Abstimmungsergebnis: Extrem unheimlich

Recovery Record bietet zwei verschiedene Apps an, die Menschen bei der Bewältigung von Essstörungen helfen. Die erste richtet sich an Patienten und kann kostenlos heruntergeladen und verwendet werden. Die App heißt „Recovery Record: Eating Disorder Management“ (Bewältigung von Essstörungen) und hilft Benutzern, ihre Mahlzeiten im Auge zu behalten, individuelle Speisepläne und Esspläne zu erstellen, anonyme ermutigende Nachrichten an andere Benutzer zu senden und solche zu empfangen sowie ihren Genesungsweg mit ihrem Behandlungsteam zu teilen.

Die zweite App mit dem Namen „Recovery Record for Clinicians“ (Recovery Record für Kliniker) wurde entwickelt, damit Fachleute für die Behandlung von Essstörungen zwischen den Besuchen mit ihren Patienten in Kontakt treten können, um sie bei ihrer Genesung zu unterstützen. Die App für Kliniker ist abonnementpflichtig. Die Kosten liegen zwischen 9 und 80 USD.

Wie sehen diese Apps aus Sicht des Datenschutzes aus? Nun, als wir unseren Testbericht über Recovery Record zum ersten Mal veröffentlichten, konnten sich die Nutzer mit dem schwachen Passwort „111111“ anmelden, wir konnten nicht feststellen, ob die Betreiber eine Verschlüsselung verwenden oder eine Möglichkeit haben, Sicherheitsschwachstellen zu beseitigen, und ihre Datenschutzrichtlinien gaben uns Anlass zu einer Reihe von Bedenken. Nach der Veröffentlichung unseres Berichts hat sich Recovery Record mit uns in Verbindung gesetzt und daran gearbeitet, die Anforderungen an das Passwort so zu verbessern, dass nun ein sicheres Passwort erforderlich ist, sowie die Verwendung von Verschlüsselung und die Handhabung von Sicherheitslücken zu klären, so dass wir nun bestätigen können, dass sie unsere Mindestsicherheitsstandards erfüllen. Außerdem wurden einige Teile der Datenschutzbestimmungen aktualisiert und präzisiert. Wir schätzen die Arbeit, die sie geleistet haben, um ihre App zu verbessern. Wir haben immer noch ein paar Bedenken bezüglich der Datenschutzrichtlinien, aber Recovery Record scheint gewillt zu sein, sich zu verbessern, und das gefällt uns.

Was könnte passieren, wenn etwas schiefgeht?

Recovery Record hat seine Datenschutzrichtlinien im Mai 2022 aktualisiert, nachdem wir unseren Bericht veröffentlicht hatten. Seitdem hat das Unternehmen einige Dinge in seinen Datenschutzrichtlinien klargestellt, sodass wir bei einigen unserer Bedenken ein besseres Gefühl bekommen haben. Wir haben zwar noch immer ein paar Fragen zu ihren Datenschutzpraktiken, aber weniger als zuvor.

Recovery Record kann eine beträchtliche Menge an persönlichen Daten und Nutzungsdaten sammeln, einschließlich Name, Alter, Geschlecht, Stadt/Gemeinde und E-Mail-Adresse. Das Unternehmen sagt auch, dass „Kliniker und andere Personen, die an Ihrer Behandlung beteiligt sind, uns Informationen, einschließlich geschützter Gesundheitsdaten, über Sie zur Verfügung stellen können“. Sie weisen darauf hin, dass die US-amerikanischen HIPAA-Datenschutzgesetze sie unter anderem dazu verpflichten, „angemessene und geeignete Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen zu ergreifen.“ Dies ist ein schmaler Grat, auf dem sich viele Apps für psychische Gesundheit zu bewegen scheinen - der Grat zwischen dem Datenschutz, den Therapeuten gemäß den HIPAA-Gesetzen einhalten müssen, und der aktuellen Datenökonomie, in der Apps operieren, die personenbezogene Daten sammeln, um ihre bezahlten Dienste anzubieten und zu vermarkten.

Recovery Record kann auch anonymisierte oder zusammenfassende Daten sammeln und „für jeden Zweck verwenden“. Das ist eine ziemlich weit gefasste Aussage. Vor allem, weil es erwiesenermaßen ziemlich einfach ist, Benutzerdaten zu reidentifizieren.

Eine weitere Zeile aus der Datenschutzrichtlinie von Recovery Record, die uns ein wenig beunruhigt: „Von Zeit zu Zeit möchten wir möglicherweise Informationen über Sie für Zwecke verwenden, die zuvor nicht in dieser Datenschutzrichtlinie angegeben wurden. Wenn sich unsere Praktiken in Bezug auf zuvor gesammelte Informationen in einer Weise ändern, die wesentlich weniger restriktiv ist als die Version dieser Datenschutzrichtlinie, die zu dem Zeitpunkt in Kraft war, als wir die Informationen gesammelt haben, werden wir uns in angemessener Weise bemühen, eine Benachrichtigung zu übermitteln und die Zustimmung zu einer solchen Verwendung einzuholen, wie es gesetzlich vorgeschrieben ist.“ All das klingt, als könnte es gut sein. Wie The Verge jedoch feststellte, können Apps für psychische Gesundheit ihre Datenschutzrichtlinien jederzeit ändern, und sie geben sich nicht immer viel Mühe, die Nutzer darüber zu informieren, wenn sich ihre Datenschutzpraktiken geändert haben. Hoffentlich stellt Recovery Record sicher, dass alle Nutzer wissen, wann und ob ihre Datenschutzrichtlinien geändert werden.

Wir schließen mit einer weiteren Aussage aus der Datenschutzrichtlinie von Recovery Record, die als Warnung für alles, was im Internet geteilt wird, dient: „Leider kann nicht garantiert werden, dass das Internet und die mobilen Netzwerke, über die unsere Dienste bereitgestellt werden, zu 100 % sicher sind, und wir können die Sicherheit der von Ihnen bereitgestellten Informationen nicht gewährleisten oder garantieren. Wir übernehmen keine Haftung für eine unbeabsichtigte Offenlegung.“ Was ist das Schlimmste, was passieren kann? Nun, wir befürchten, dass Ihre sehr sensiblen Informationen über Essstörungen in die Hände von jemandem gelangen könnten, von dem Sie nicht wollen, dass er diese Informationen hat, und das klingt überhaupt nicht gesund. Hoffentlich wird das nie passieren.

Tipps zu Ihrem Schutz

Geben Sie keine Einwilligung zur Weitergabe personenbezogener Daten an Dritte, wann immer dies möglich ist.

mobile

Kann es mich ausspionieren?

Kamera

Gerät: Nicht verfügbar

App: Ja

Mikrofon

Gerät: Nicht verfügbar

App: Nein

Verfolgt den Standort

Gerät: Nicht verfügbar

App: Nein

Was kann zur Registrierung verwendet werden?

Welche Daten sammelt das Unternehmen?

Wie nutzt das Unternehmen die Daten?

Nachdem wir unseren Bericht über Recovery Record veröffentlicht hatten, aktualisierte der Betreiber am 2. Mai 2022 seine Datenschutzrichtlinien, um einige der von uns geäußerten Bedenken zu klären.

Recovery Record erklärte in ihrer 2019 veröffentlichten Datenschutzrichtlinie, dass sie „keine Informationen über Sie an andere Personen oder nicht verbundene Unternehmen für deren Direktmarketingzwecke vermieten, verkaufen oder weitergeben, es sei denn, sie haben Ihre Erlaubnis“. Im Mai 2022 aktualisierte der Betreiber diese Aussage, um zu erklären, dass er „keine Informationen über Sie an andere Personen oder nicht angeschlossene Unternehmen für deren Direktmarketingzwecke vermietet, verkauft oder weitergibt.“ Wir begrüßen diese Klarstellung.

„Sofern in dieser Datenschutzrichtlinie nicht anders angegeben, geben wir die Informationen, die wir über Sie im Rahmen der Dienste sammeln, nicht ohne Ihre Zustimmung an Dritte weiter“. Wir sind uns nicht sicher, wie diese Zustimmung aussieht.

„Wir verwenden die Informationen, die wir über und von Ihnen sammeln, für eine Reihe von Zwecken, einschließlich der Bereitstellung, Unterstützung und Verbesserung der von uns angebotenen Dienste, der Analyse, wie Sie die Dienste nutzen, und der besseren Anpassung von Funktionen.“ Laut dieser Erklärung scheint es, dass Recovery Record Ihre Daten für die Personalisierung und gezielte Werbung verwenden könnte. Das Unternehmen teilte uns jedoch mit, dass „unsere Dienste keine Werbung beinhalten, so dass wir nicht in der Lage sind, Daten im Zusammenhang mit Werbung weiterzugeben.“ Es scheint, dass die Datenschutzrichtlinien des Unternehmens Raum lassen, dies in Zukunft zu ändern.

Der Anbieter kann Ihnen Werbe-E-Mails oder andere Informationen über die von ihm angebotenen Produkte oder Dienstleistungen zusenden.

„Soweit dies nach geltendem Recht zulässig ist, können wir Ihre Daten anonymisieren und in anonymer und/oder aggregierter Form verarbeiten.“

Wenn Ihr Konto mit Ärzteverbänden verlinkt ist, können die Verbände Informationen, einschließlich geschützter Gesundheitsdaten, über Sie einsehen. Verknüpfte Organisationen können die über die Dienste verfügbaren Informationen für medizinische Diagnosen, Behandlungen und allgemeine Analyseberichte verwenden. Diese Organisationen sind nicht in der Lage, Textnachrichten wie Nachrichten von Ärzten, Team-Chat-Nachrichten oder verlinkte Nachrichten einzusehen.

Wie können Sie Ihre Daten kontrollieren?

Recovery Record erklärt: „Wenn Sie Informationen, die Sie uns durch die Nutzung der Dienste oder auf andere Weise zur Verfügung gestellt haben, aktualisieren oder korrigieren möchten, können Sie die Funktionen der Dienste nutzen, um diese Informationen zu ändern oder zu löschen.“

Es werden keine Angaben zur Datenspeicherung gemacht. Das bedeutet, dass wir nicht wissen, wie lange Recovery Record die von Ihnen zur Verfügung gestellten Daten aufbewahren wird. Der Anbieter hat uns gegenüber angekündigt, dass er dies möglicherweise in Zukunft in seine Datenschutzrichtlinien aufnehmen wird.

Wie ist das Unternehmen in der Vergangenheit mit den Daten über seine Verbraucher umgegangen?

Durchschnittlich

In den letzten 3 Jahren sind keine Datenschutz- oder Sicherheitsvorfälle bekannt geworden.

Informationen zum Datenschutz bei Kindern

Wir sammeln, pflegen oder verwenden wissentlich keine persönlichen Daten von Kindern unter 13 Jahren, und kein Teil der Website ist für Kinder unter 13 Jahren bestimmt.

Kann dieses Produkt offline genutzt werden?

Nein

Benutzerfreundliche Informationen zum Datenschutz?

Nein

Links zu Datenschutzinformationen

Erfüllt dieses Produkt unsere Mindestsicherheitsstandards?

Verschlüsselung

Die Daten werden bei der Übertragung verschlüsselt (TLS). PHI und PII werden in der Datenbank verschlüsselt (AES). Für die Verwaltung der Schlüssel wird ein KMS verwendet. EBS-Partitionen (Festplatten) sind verschlüsselt. Backups werden verschlüsselt.

Sicheres Passwort

Als wir Recovery Record erstmals überprüft haben, war das unsichere Passwort „11111111“ zulässig. Seit der Veröffentlichung unseres Testberichts hat Recovery Record seine Passwortanforderungen aktualisiert und verlangt nun ein starkes Passwort, was wir sehr begrüßen.

Sicherheits-Updates

Umgang mit Schwachstellen

Recovery Record bietet zwar kein Bug-Bounty-Programm an, gibt aber an, über Richtlinien und Verfahren zu verfügen, die im Rahmen des HITRUST-Zertifizierungsprozesses von unabhängigen Gutachtern geprüft wurden. Jeder kann sie über https://www.recoveryrecord.com/contact kontaktieren, um eine Sicherheitslücke zu melden.