ABD Federal Ticaret Komisyonu, tele-sağlık şirketi Cerebral ile, şirketin insanların hassas sağlık verilerinin yanlış kullanıldığı iddiaları üzerine 7 milyon dolar ödeyeceği bir anlaşmaya vardı.
Cerebral, anksiyete, depresyon, DEHB, Bipolar Bozukluk ve madde bağımlılığı gibi çeşitli ruh sağlığı sorunları için çevrimiçi terapi ve ilaç yönetimi sağlayan bir uzaktan telesağlık şirketidir.
Mart 2023’te şirket, web siteleri, uygulamaları ve hizmetleriyle etkileşime giren 3,2 milyon kişiye, platformunda izleme pikselleri kullanılması nedeniyle bilgilerinin açığa çıktığına dair veri ihlali bildirimleri gönderdi.
FTC’nin şikayeti, Cerebral ve eski CEO’su Kyle Robertson’ı tüketicilerin kişisel sağlık bilgilerini reklam amacıyla üçüncü taraflara ifşa etmekle ve iptal politikalarına uymamakla suçluyor.
Duyuruda, “Şikâyet, Cerebral’in yaklaşık 3,2 milyon tüketicinin hassas bilgilerini web sitesi veya uygulamalarına izleme araçlarını kullanarak veya entegre ederek LinkedIn, Snapchat ve TikTok gibi üçüncü taraflara sağladığı yönünde suçlamada bulunuyor.”
“Bu izleme araçları, web sitelerinin veya uygulamaların sahiplerine reklam, veri analizi veya diğer hizmetleri sağlayabilmeleri için verileri topluyor ve üçüncü taraflara gönderiyor.”
FTC’nin duyurusu aynı zamanda Cerebral tarafından takip edilen ve eski çalışanların Cerebral hasta kayıtlarına erişiminin iptal edilememesi ve sağlayıcıların silolanıp erişimlerinin yalnızca hastalarının bilgilerine kısıtlanmaması da dahil olmak üzere tüketicilere yönelik hassas sağlık verilerinin değişen düzeylerde açığa çıkmasına neden olan bazı iddia edilen kötü uygulamaları da listeliyor. kayıtları.
Ayrıca kurum, şirketin hasta portalına erişim için güvenli olmayan bir tekli oturum açma yöntemi kullandığını ve Cerebral’in çalışanların erişimini yalnızca iş görevlerini yerine getirmek için gereken verilere kısıtlamadığını söyledi.
Mahkeme onayı bekleyen önerilen emir aşağıdaki hükümleri içermektedir:
- Aldatıcı iptal uygulamalarından etkilenen müşterilere 5.100.000 ABD Doları tutarında geri ödeme.
- Cerebral’in tutarın tamamını ödeyememesi nedeniyle 2.000.000 $ ile sınırlı olmak üzere 10 milyon $’lık para cezası.
- Sağlık verilerinin pazarlama ve reklam amacıyla üçüncü taraflarla paylaşılmasının kalıcı olarak yasaklanması.
- Kişisel ve sağlık verilerini herhangi bir üçüncü tarafa açıklamadan önce tüketicilerin onayını alın.
- Cerebral’in veri güvenliği ve gizlilik uygulamalarını yanlış beyan etmesini yasaklayın.
- Kapsamlı bir veri güvenliği ve gizlilik programı uygulayın.
- Web sitesinde şikayeti ve gerekli eylemleri ayrıntılarıyla anlatan bir bildirim yayınlayın.
- Bir veri saklama planı uygulayın, saklanmasına izin verilmediği sürece gereksiz tüketici verilerini silin ve net bir veri silme talebi mekanizması sağlayın.
- İptal politikalarına ilişkin yanlış beyanları yasaklayın ve tüketiciler için iptal sürecini basitleştirin.
Cerebral’in sitesindeki “kolay iptal” butonunun kaldırılması emrini vermekle suçlanan eski CEO Robertson, bir anlaşmayı kabul etmedi, dolayısıyla suçlamaları hakkında mahkeme karar verecek.