Zugriff auf Gesundheitsdaten von Benutzern schützen
HealthKit stellt auf einem iPhone und einer Apple Watch einen zentralen Speicherort für Gesundheits- und Fitnessdaten bereit. HealthKit arbeitet direkt mit Gesundheits- und Fitnessgeräten zusammen, z. B. mit kompatiblen BLE-Herzfrequenzmessgeräten (Bluetooth Low Energy) und dem Motion-Coprozessor, der in viele iOS-Geräte integriert ist. Die gesamte Interaktion zwischen HealthKit, den für Gesundheit und Fitness verwendeten Apps und Geräten sowie den Gesundheitseinrichtungen bedarf der Zustimmung durch den Benutzer. Diese Daten werden mit der Datensicherheitsklasse „Geschützt, außer wenn offen“ gespeichert. Zehn Minuten, nachdem das Gerät gesperrt wird, wird der Zugriff auf die Daten aufgehoben. Die Daten werden erst wieder zugänglich, wenn der Benutzer das nächste Mal seinen Code eingibt oder Face ID oder Touch ID zum Entsperren des Geräts verwendet.
Erfassen und Speichern von Gesundheits- und Fitnessdaten
HealthKit sammelt und speichert auch Verwaltungsdaten (zum Beispiel Zugriffsrechte für Apps, Namen der mit HealthKit verbundenen Geräte) sowie Planungsinformationen, die verwendet werden, um Apps zu starten, wenn neue Daten verfügbar werden. Diese Daten werden mit der Datensicherheitsklasse „Geschützt bis zur ersten Benutzerauthentifizierung“ gespeichert. In temporären Journal-Dateien werden die Gesundheitsdatensätze gespeichert, die erzeugt werden, wenn das Gerät gesperrt ist, z. B. wenn der Benutzer trainiert. Diese Daten werden mit der Datensicherheitsklasse „Geschützt, außer wenn offen“ gespeichert. Wenn das Gerät entsperrt wird, werden die temporären Journal-Dateien in die Hauptdatenbank für Gesundheitsdaten importiert und anschließend aus dem Journal gelöscht.
Gesundheitsdaten können in iCloud gespeichert werden. Für die Ende-zu-Ende-Verschlüsselung von Gesundheitsdaten sind iOS 12 (oder eine neuere Version) und die Zwei-Faktor-Authentifizierung erforderlich. Andernfalls werden die Daten eines Benutzers zwar beim Speichern und Übertragen verschlüsselt, es erfolgt jedoch keine Ende-zu-Ende-Verschlüsselung. Nach dem Aktivieren der Zwei-Faktor-Authentifizierung und dem Aktualisieren auf iOS 12 (oder eine neuere Version) werden die Gesundheitsdaten eines Benutzers für die Ende-zu-Ende-Verschlüsselung migriert.
Wenn ein Benutzer ein Backup seines Geräts mit dem Finder (macOS 10.15 oder neuer) oder mit iTunes (macOS 10.14 oder älter) erstellt, werden Gesundheitsdaten nur gespeichert, wenn das Backup verschlüsselt wird.
Klinische Gesundheitseinträge
Benutzer können sich innerhalb der App „Health“ bei unterstützten Gesundheitssystemen anmelden, um eine Kopie ihrer klinischen Gesundheitseinträge abzurufen. Wenn ein Benutzer mit einem Gesundheitssystem verbunden wird, muss er sich mit OAuth 2 Client-Anmeldedaten authentifizieren. Steht die Verbindung, werden die Gesundheitseinträge über eine mittels TLS 1.3 geschützte Verbindung direkt von der Gesundheitseinrichtung heruntergeladen. Nach dem Download werden die Gesundheitseinträge zusammen mit anderen Gesundheitsdaten sicher gespeichert.
Integrität von Gesundheitsdaten
Die in der Datenbank gespeicherten Daten enthalten Metadaten, um die Herkunft der Datensätze zurückverfolgen zu können. Zu diesen Metadaten gehört eine App-Kennung, die anzeigt, welche App den Datensatz gespeichert hat. Außerdem kann ein optionales Metadatenobjekt eine digital signierte Kopie des Datensatzes enthalten. Diese Kopie dient der Datenintegrität für Datensätze, die von einem vertrauenswürdigen Gerät erzeugt wurden. Für die digitale Signatur wird gemäß RFC 5652 das Format Cryptographic Message Syntax (CMS) verwendet.
Zugriff auf Gesundheitsdaten durch Apps anderer Anbieter
Der Zugriff auf die HealthKit-API wird über Berechtigungen gesteuert und Apps müssen sich an Einschränkungen für die Verwendung der Daten halten. Zum Beispiel dürfen Apps Gesundheitsdaten nicht zu Werbezwecken verwenden. Apps müssen dem Benutzer auch eine Datenschutzrichtlinie bereitstellen, die beschreibt, wie die Gesundheitsdaten verwendet werden.
Der Zugriff von Apps auf die Gesundheitsdaten wird in den Datenschutzeinstellungen des Benutzers festgelegt. Ähnlich wie bei Kontakten, Fotos und anderen iOS-Datenquellen werden Benutzer gefragt, ob der Zugriff gewährt werden soll, wenn Apps auf Gesundheitsdaten zuzugreifen versuchen. Aber bei Gesundheitsdaten werden Lese- und Schreibzugriff und Zugriff auf die einzelnen Arten von Gesundheitsdaten getrennt voneinander gewährt. Benutzer können die für ihre Gesundheitsdaten erteilten Zugriffsrechte über „Einstellungen“ > „Health“ > „Datenzugriff & Geräte“ einsehen und widerrufen.
Apps mit Schreibzugriff können auch die von ihnen geschriebenen Daten lesen. Apps mit Lesezugriff können von allen Quellen geschriebene Daten lesen. Apps können aber nicht den Zugriff anderer Apps auf die Daten bestimmen. Außerdem können Apps nicht überprüfen, ob sie Lesezugriff auf Gesundheitsdaten haben. Apps ohne Lesezugriff erhalten keine Antworten auf ihre Anfragen – das Antwortverhalten entspricht damit dem einer leeren Datenbank. So können die Apps keine Informationen über die Gesundheit des Benutzers davon ableiten, welche Datenarten geschrieben werden.
Notfallpass für Benutzer
Die App „Health“ bietet dem Benutzer die Möglichkeit, ein Formular für den Notfallpass mit Informationen auszufüllen, die bei einem Notfall wichtig sein können. Diese Informationen werden manuell eingegeben bzw. aktualisiert und nicht mit den Daten in den Gesundheitsdatenbanken synchronisiert.
Die Informationen zum Notfallpass werden durch Tippen auf die Taste „Notfall“ im Sperrbildschirm angezeigt. Die Informationen werden mit der Datensicherheitsklasse „Kein Schutz“ auf dem Gerät gespeichert, sie sind also auch ohne Eingabe des Gerätecodes zugänglich. Das Einrichten eines Notfallpasses ist optional und ermöglicht es dem Benutzer, selbst zwischen Sicherheit und Datenschutz abzuwägen. Diese Daten werden bei iOS 13 (oder früheren Versionen) in einem iCloud Backup gesichert. Bei iOS 14 wird der Notfallpass zwischen den Geräten mittels CloudKit und mit denselben Verschlüsselungsmerkmalen wie die restlichen Health-Daten synchronisiert.
Teilen mit Health
In iOS 15 haben Benutzer mit der Health-App die Möglichkeit, ihre Gesundheitsdaten mit anderen Personen zu teilen. Die Gesundheitsdaten werden zwischen den beiden Personen mithilfe der Ende-zu-Ende-iCloud-Verschlüsselung ausgetauscht. Apple hat keinen Zugriff auf die mit Health geteilten Daten. Um diese Funktion verwenden zu können, müssen Sender und Empfänger iOS 15 (oder neuer) installiert und die Zwei-Faktor-Authentifizierung aktiviert haben.
Benutzer können in der Health-App mit der Funktion „Teilen mit“ ihre Gesundheitsdaten auch mit ihren Gesundheitsdienstleistern teilen. Die mit dieser Funktion geteilten Daten werden nur den vom Benutzer ausgewählten Gesundheitsdienstleistern zur Verfügung gestellt und mit Ende-zu-Ende-Verschlüsselung übertragen. Apple hat keinen Zugriff auf die Verschlüsselungsschlüssel, um die mit der Funktion „Teilen mit“ geteilten Daten zu entschlüsseln, anzuzeigen oder anderweitig zu verarbeiten. Weitere Informationen darüber, wie die Gesundheitsdaten der Benutzer durch diesen Dienst geschützt werden, sind im Abschnitt Security and Privacy in der Apple-Registrierungsanleitung für Gesundheitsdienstleister verfügbar.