Akıl Sağlığı Verilerinin O Kadar Serebral Olmayan Paylaşımı Milyonlara Ulaştı

San Francisco merkezli Cerebral Inc., bir ihlal bildiriminde, yakın zamanda çevrimiçi akıl sağlığı değerlendirmeleri de dahil olmak üzere HIPAA korumalı sağlık bilgilerinin piksel ve benzeri web izleme teknolojilerinin kullanımı yoluyla “kasıtsız” paylaşımına ilişkin bir sorun keşfettiğini söylüyor.

Şirket, 1 Mart’ta olayı Sağlık ve İnsan Hizmetleri Departmanına 3,17 milyon kişiyi etkileyen bir “yetkisiz erişim/ifşa” ihlali olarak bildirdi. Bu bilgileri paylaşma pratiği 2019 yılına dayanmaktadır.

İhlal Ayrıntıları

Şirket, 3 Ocak’ta bazı PHI’ları HIPAA’nın gerektirdiği güvenceleri almadan bazı üçüncü taraf platformlara ve taşeronlara ifşa ettiğini belirlediğini söylüyor.

Şirket, bu keşiften bu yana platformlarındaki izleme teknolojilerini devre dışı bıraktığını, yeniden yapılandırdığını veya kaldırdığını ve HIPAA gerekliliklerine uymayan herhangi bir alt yüklenici ile veri paylaşımını durdurduğunu söylüyor.

Cerebral, “Ayrıca, gelecekte bu tür bilgilerin paylaşılması riskini daha da azaltmak için bilgi güvenliği uygulamalarımızı ve teknoloji inceleme süreçlerimizi geliştirdik” diyor.

Hassas veri

Web izleme araçları aracılığıyla çok çeşitli bilgilerin potansiyel olarak paylaşıldığı görülüyor. Cerebral, ifşa edilen bilgilerin isimleri, telefon numaralarını, e-posta adreslerini, doğum tarihlerini, IP adreslerini, Cerebral müşteri kimlik numaralarını ve diğer demografik bilgileri içerdiğini söylüyor.

Firma ayrıca, bireylerin seçtiği hizmet, değerlendirme yanıtları ve belirli ilgili sağlık bilgileri dahil olmak üzere çevrimiçi ruh sağlığı öz değerlendirmelerini ifşa ettiğini söylüyor.

Bir Cerebral abonelik planı satın alan bireyler için, açıklanan bilgiler arasında abonelik planının türü, randevu tarihleri ​​ve diğer rezervasyon bilgileri, tedavi, klinik bilgiler, sağlık sigortası ve eczane yardım bilgileri ve sigorta ortak ödeme tutarları yer almış olabilir.

Cerebral, sosyal güvenlik numaraları, kredi kartı bilgileri ve banka hesap bilgilerinin paylaşılan veriler arasında olmadığını söylüyor.

Açıklamalara İlişkin

Hukuk firması Taft’ın gizlilik ve güvenlik avukatı Cory Brennan, Cerebral’ın bilgilere ilişkin ayrıntılı açıklamasının, şirketin konuyla ilgili soruşturmasının kapsamlı olduğunu gösterdiğini söyledi.

“Bununla birlikte, bu durumla özellikle ilgili olan bilgi türü oldukça açık ve üçüncü taraf izleme teknolojilerini kullanan müşterilerimize tam olarak nelere dikkat etmelerini tavsiye ediyoruz” diyor.

“Semptom denetleyicileri, sağlık riski değerlendirmeleri, randevu planlama, hesap kaydı ve tedavi maliyeti tahminleri gibi tipik olarak ‘etkileşimli araçlar’ olarak kategorize ettiğimiz şeyleri içeren bir sağlayıcı web sitesinin herhangi bir bölümünde uygulanan izleme teknolojileri kesinlikle toplama ve iletme yeteneğine sahiptir. bireysel olarak tanımlanabilir sağlık bilgileri,” diyor Brennan.

Etkileşimli araçların doğasının, iletilen bilgilerin hassasiyet düzeyini anlaşılır bir şekilde etkilediğini söylüyor.

“Cebral’in durumunda, bir kişinin ruh sağlığı öz değerlendirmesine verdiği yanıtlar, doğası gereği son derece hassas olabilir ve bu bilgileri Google, Meta ve TikTok gibi üçüncü taraf izleme teknolojisi satıcılarıyla paylaşmak, önemli bir gizlilik endişesi yaratır.”

Büyüme problemi

Cerebral, son aylarda sağlıkla ilgili web sitelerinde Meta Pixel ve Google Analytics gibi izleme araçlarının önceki kullanımlarını içeren büyük sağlık verisi ihlallerini HHS OCR’ye bildiren en az dört diğer kuruluşun sonuncusudur (bkz.: Klinik, 3. Tarafı İçeren İzleme Piksel İhlalini Bildirdi).

Ayrıca Federal Ticaret Komisyonu, 1 Şubat’ta tele sağlık ve indirimli reçeteli ilaç şirketinin hassas kişisel sağlık bilgilerini gizlilik vaatlerine aykırı olarak üçüncü taraf şirketlerle yıllarca paylaştığını söyleyerek GoodRx’e karşı 1,5 milyon dolarlık bir para cezası açıkladı (bkz:: FTC, Sağlık Veri Paylaşımı Davasında Firmaya 1,5 Milyon Dolarlık Para Cezası Verdi).

Los Angeles’taki Cedar Sinai Tıp Merkezi de dahil olmak üzere daha önce web sitelerinde ve hasta portallarında web izleme araçlarını kullanan birçok sağlık kuruluşu da önerilen toplu dava davalarıyla karşı karşıya.

Sosyal medya devi Facebook’un ana şirketi Meta, sağlıkla ilgili web sitelerinde şirketin Pixel izleme kodunun kullanılmasıyla ilgili olarak bir San Francisco federal mahkemesinde önerilen birkaç toplu dava davasında da sanık. Federal Yargıç, Hasta Gizliliği Davasında Facebook’a Şüpheci).

Düzenleyici Uyarı

HHS OCR, Aralık ayında, HIPAA kapsamındaki kuruluşların, izleyicilerin korumalı sağlık bilgilerini hastanın izni olmadan iletmesi veya kuruluşların teknoloji izleme sağlayıcılarıyla imzalanmış bir iş ortaklığı sözleşmesi olmaması durumunda web sitesi izleme kodunu kullanamayacağı konusunda uyarıda bulunan bir kılavuz yayınladı (bkz.: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor).

Hukuk firması Hall Render’ın gizlilik avukatı Mark Swearingen, kuruluşlar sağlık hizmeti sağlayıcısı ve sağlık planı web sitelerinde web izleme teknolojilerini kullanımlarını gözden geçirirken, düzenleyicilere daha fazla ihlal raporu sunulmasını beklediğini söylüyor.

“OCR rehberliği ve OCR yetkililerinin müteakip yorumları, bu konuda nerede durduklarını açıkça ortaya koydu ve alternatif yorumlara fazla yer bırakmadı” diyor.

“OCR, birkaç kuruluş için ayrıntılı uyumluluk incelemeleri başlattı ve bir yaptırım eylemi başlatmadan önce bu vakaları kapsamlı bir şekilde araştırmak için zaman ayırmaya devam edeceklerini düşünüyorum” diye ekliyor.

Swearingen, web izlemeyle ilgili gizlilik sorunlarının, ülke genelinde sağlıkla ilgili kuruluşlarda hukuk, uyum, BT ve pazarlama departmanları için çok belirsiz bir ortam yarattığını söylüyor. “Bir web sitesi olan herhangi bir sağlık kuruluşu, bu faaliyetlerin uyumlu bir şekilde gerçekleştiğinden emin olmak için web izleme teknolojilerini kullanımını dikkatlice gözden geçirmelidir.”