Käyttäjän terveystietojen käytön estäminen
HealthKit tarjoaa keskitetyn tallennuspaikan terveys- ja kuntoilutiedoille iPhonessa ja Apple Watchissa. HealthKit toimii myös suoraan terveys- ja kuntoilulaitteiden kanssa. Näitä ovat esimerkiksi yhteensopivat Bluetooth Low Energy (BLE) ‑sykemittarit ja moniin iOS-laitteisiin sisältyvä liikeapuprosessori. Kaikki HealthKitin vuorovaikutus terveys- ja kuntoiluappien, terveydenhuoltolaitosten sekä terveys- ja kuntoilulaitteiden kanssa edellyttää käyttäjän hyväksyntää. Nämä tiedot tallennetaan käyttäen tietojen suojausluokkaa Suojattu ellei avoimena. Pääsystä tietoihin luovutaan 10 minuuttia sen jälkeen, kun laite on lukittunut, ja tietoihin pääsee taas, kun käyttäjä seuraavan kerran avaa lukituksen pääsykoodilla, Face ID:llä tai Touch ID:llä.
Terveys- ja kuntoilutietojen kerääminen ja tallentaminen
HealthKit myös kerää ja tallentaa hallintatietoja, kuten appien pääsyoikeuksia, HealthKitiin yhdistettyjen laitteiden nimiä ja aikataulutustietoja, joita käytetään appien käynnistämiseen, kun uutta tietoa on saatavilla. Näiden tietojen tallennuksessa käytetään tietojen suojausluokkaa Suojattu ensimmäiseen käyttäjän todentamiseen saakka. Terveystiedot, jotka tuotetaan laitteen ollessa lukittuna esimerkiksi, kun käyttäjä harrastaa liikuntaa, tallennetaan väliaikaisiin lokitiedostoihin. Ne tallennetaan käyttäen tietojen suojausluokkaa Suojattu ellei avoimena. Kun laitteen lukitus avataan, väliaikaiset lokitiedostot tuodaan ensisijaisiin terveystietokantoihin ja poistetaan, kun tietojen yhdistäminen on saatu valmiiksi.
Terveystietoja voidaan tallentaa iCloudiin. Terveystietojen päästä päähän ‑salaus edellyttää iOS 12:ta tai uudempaa ja kaksiosaista todennusta. Muussa tapauksessa käyttäjän tiedot salataan kyllä tallennustilassa ja siirrettäessä, mutta niitä ei salata päästä päähän. Kun käyttäjä laittaa kaksiosaisen todennuksen päälle ja päivittää iOS 12:een tai uudempaan, käyttäjän terveystiedot siirretään päästä päähän ‑salaukseen.
Jos käyttäjä varmuuskopioi laitteensa käyttäen Finderia (macOS 10.15:ssä tai uudemmissa) tai iTunesia (macOS 10.14:ssä tai vanhemmissa), terveystiedot tallennetaan vain, mikäli varmuuskopio on salattu.
Potilaskertomukset
Käyttäjät voivat kirjautua Terveys-apissa tuettuihin terveysjärjestelmiin saadakseen kopion potilaskertomuksistaan. Kun käyttäjä yhdistetään terveysjärjestelmään, käyttäjä todentaa henkilöllisyytensä käyttäen OAuth 2 ‑asiakkaan tunnistetietoja. Yhdistämisen jälkeen potilaskertomustiedot ladataan suoraan terveydenhuoltolaitokselta käyttäen suojattua TLS 1.3 ‑yhteyttä. Ladatut potilaskertomustiedot tallennetaan suojatusti muiden terveystietojen kanssa.
Terveystietojen aitous
Tietokantaan tallennettuihin tietoihin sisältyy metadataa kunkin tietueen alkuperän seuraamista varten. Tähän metadataan sisältyy appitunniste, josta ilmenee, mikä appi on tallentanut tietueen. Lisäksi valinnaiseen metadatakohteeseen voidaan sisällyttää digitaalisesti allekirjoitettu kopio tietueesta. Tämä on tarkoitettu luotetun laitteen tuottamien tietueiden tietojen aitouden varmistamiseen. Digitaalisen allekirjoituksen muotona on Cryptographic Message Syntax (CMS), joka on määritelty RFC 5652:ssa.
Muiden valmistajien appien pääsy terveystietoihin
HealthKit API:n käyttöä hallitaan oikeuksilla, ja appien on noudatettava tietojen käyttörajoituksia. Apit eivät esimerkiksi saa hyödyntää terveystietoja mainonnassa. Appeja vaaditaan myös kertomaan käyttäjälle tietosuojakäytäntö, jossa on käsitelty tarkasti, miten appi käyttää terveystietoja.
Appien oikeutta käyttää terveystietoja hallitaan käyttäjän Tietosuoja-asetuksissa. Kun apit pyytävät pääsyä terveystietoihin, käyttäjää pyydetään sallimaan käyttö samoin kuten Yhteystietojen, Kuvien ja muiden iOS:n tietolähteiden kanssa. Terveystietojen osalta kuitenkin apeille sallitaan erikseen tietojen lukeminen ja kirjoittaminen ja pääsy kuhunkin terveystietotyyppiin. Käyttäjät voivat katsoa ja perua antamiaan terveystietojen käyttöoikeuksia valitsemalla Asetukset > Terveys > Tietojen käyttö ja laitteet.
Jos apit saavat oikeuden kirjoittaa tietoja, ne saavat myös lukea kirjoittamansa tiedot. Jos apit saavat oikeuden lukea tietoja, ne voivat lukea kaikkien lähteiden kirjoittamia tietoja. Apit eivät kuitenkaan voi määrittää muille apeille sallittua pääsyä. Lisäksi apit eivät voi tietää varmasti, onko niille annettu lukuoikeus terveystietoihin. Kun apilla ei ole lukuoikeutta, kaikkien kyselyiden vastaus on ”ei tietoja”. Se on sama kuin tyhjästä tietokannasta saatava vastaus. Tämä on suunniteltu estämään appeja päättelemästä käyttäjän terveydentilaa selvittämällä, minkä tyyppisiä tietoja käyttäjä seuraa.
Käyttäjien SOS-tiedot
Terveys-appi tarjoaa käyttäjille mahdollisuuden täyttää SOS-tietolomakkeeseen tiedot, jotka voivat olla tärkeitä terveydellisessä hätätilanteessa. Tiedot syötetään ja päivitetään käsin, eikä niitä synkronoida terveystietokannoissa olevien tietojen kanssa.
SOS-tiedot näytetään napauttamalla Hätätilanne-painiketta lukitulla näytöllä. Tiedot tallennetaan laitteeseen käyttäen tietojen suojausluokkaa Ei suojausta, jotta niihin pääsee ilman laitteen pääsykoodin syöttämistä. SOS-tiedot ovat valinnainen ominaisuus, jota käyttäessään käyttäjät voivat valita, miten he painottavat yhtäältä turvallisuuttaan ja toisaalta yksityisyyttä. Nämä tiedot varmuuskopioidaan iCloud-varmuuskopioon iOS 13:ssa tai aiemmissa. iOS 14:ssä SOS-tiedot synkronoidaan laitteiden välillä CloudKitiä käyttäen ja salataan samalla tavoin kuin muutkin terveystiedot.
Terveystietojen jako
iOS 15:ssä Terveys-appi tarjoaa käyttäjille mahdollisuuden jakaa terveystietojaan muiden käyttäjien kanssa. Terveystiedot jaetaan kahden käyttäjän välillä käyttäen iCloudin päästä päähän ‑salausta, eikä Apple pääse tietoihin, jotka lähetetään Terveys-apin kautta. Tämän ominaisuuden käyttämistä varten sekä lähettävällä että vastaanottavalla käyttäjällä tulee olla iOS 15 tai uudempi ja molemmilla tulee olla käytössä kaksiosainen todennus.
Käyttäjät voivat myös jakaa terveystietonsa terveydenhuollon palveluntarjoajien kanssa käyttämällä Terveys-apin Jaa toimittajan kanssa ‑ominaisuutta. Tätä ominaisuutta käyttäen jaetut tiedot ovat ainoastaan käyttäjän valitsemien terveydenhuollon palveluntarjoajien saatavilla käyttäen päästä päähän ‑salausta. Apple ei ylläpidä salausavaimia, joilla voidaan purkaa salaus, katsoa tai muulla tavoin päästä käyttämään Jaa toimittajan kanssa ‑ominaisuuden kautta jaettuja terveystietoja eikä Applella ole pääsyä näihin avaimiin. Lisätietoja siitä, miten tämä palvelu on suunniteltu suojaamaan käyttäjän terveystietoja, löytyy ohjeen Apple Registration Guide for Healthcare Organizations osiosta Security and Privacy.