Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Önerilen Grup Davası, Depo Pazarını Web İzleyicilerin Yasadışı Kullanımıyla Suçluyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
30 Ekim 2023
Costco deposu müşterileri genellikle ücretsiz peynir ve kuru et numuneleri alırlar. Ancak Costco eczanelerinde reçetelerini çevrimiçi olarak dolduran üyelerin hassas bilgilerinin yasa dışı bir şekilde kazındığı ve üçüncü taraflara iletildiği iddia ediliyor ve önerilen iki federal toplu dava davası açıldı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
6 Ekim ve 25 Ekim tarihlerinde Washington federal mahkemesinde açılan iki dava da benzer iddiaları öne sürüyor: Üyelik deposu devi tarafından kullanılan bilgilerin, kişilerin bilgileri veya rızaları olmadan Facebook, Google ve diğer üçüncü taraf pazarlamacılara toplanıp gönderildiği iddiaları HIPAA’nın, Federal Ticaret Kanununun, federal ve eyalet telefon dinleme kanunlarının ve diğer kanunların ihlali.
Davalarda, Washington merkezli Issaquah şirketinin veri toplama ve açıklama uygulamalarının yüz binlerce veya muhtemelen 1 milyondan fazla insanı etkilediği tahmin ediliyor.
3 Eylül’de sona eren 2023 mali yılında 237,7 milyar dolar gelir bildiren Costco, 592’si ABD’de olmak üzere dünya çapında 862 depo merkezi işletiyor ve dünya çapında 71,0 milyon hanede 127,9 milyon üyeye sahip.
Hükümet Uyarıları
ABD Sağlık ve İnsani Hizmetler Bakanlığı son aylarda HIPAA tarafından düzenlenen kuruluşları, Costco’nun web sitesinde kullanıldığı iddia edilenler gibi izleme teknolojilerinin “kişisel tanımlayıcı bilgileri üçüncü taraflara aktardığı ve bu tür bilgilerin herhangi bir izin olmadan aktarılmaması gerektiği konusunda uyardı.” Hastalardan HIPAA uyumlu yazılı izin”, kendisi ve benzer durumdaki diğerleri adına “RS” olarak tanımlanan bir davacı tarafından Çarşamba günü yapılan dava şikayetini iddia ediyor.
Davada, Costco’nun izleme araçlarını kullanarak topladığı ve ilettiği iddia edilen bilgilerin arasında IP adresleri, cihaz kimlikleri ve kişilerin davalının web sitesine girdiği ev adresi, posta kodu veya telefon numarası gibi diğer bilgiler yer aldığı iddia ediliyor.
Davada, “Bu, tam olarak HIPAA’nın sağlık hizmeti sağlayıcılarının hastaların mahremiyetini korumak için anonimleştirmesini gerektirdiği türden bilgidir” ifadesi yer alıyor.
Davada, FTC’nin ayrıca HIPAA kapsamına girmeyen kuruluşları, FTC Yasası ve FTC Sağlık İhlali Bildirim Kuralı uyarınca kişisel sağlık bilgilerinin izin verilmeyen şekilde ifşa edilmesine karşı koruma yükümlülükleri olduğu konusunda uyardığı iddia edildi.
Davada, “Bu açık yasa ve düzenlemelere rağmen, davalı esas olarak hastaların web tarayıcılarına, onları özel ve gizli iletişimleri üçüncü taraflara açıklamaya zorlayan bir hata yerleştirmiştir.” ifadesine yer verildi. “Davalı, bu izleme araçlarının varlığını Costco ile reçete dolduran web sitesi kullanıcılarına açıklamadı.”
RS’nin davasında, “Hastalar, güvendikleri sağlık hizmeti sağlayıcılarının kişisel sağlık bilgilerini veya reçeteleriyle ilgili gizli tıbbi bilgilerini, bırakın sosyal medya ağlarını ve Facebook gibi çevrimiçi reklamcıları, gizli bir üçüncü tarafa göndereceğini tahmin etmiyor veya beklemiyor.”
Jesus Castillo ve Kaliforniya’da yaşayan diğer üç davacı tarafından 6 Ekim’de kendileri ve benzer durumdaki diğer kişiler adına açılan diğer davada da Costco’ya karşı benzer iddialar yer alıyor.
Davada, Costco’nun “milyonlarca Amerikalının son derece kişisel sağlık bilgileri de dahil olmak üzere özel ve korunan iletişimlerini, tüketicilerin bilgisi veya rızası olmadan gizlice üçüncü taraflara ifşa ettiği” iddia ediliyor.
Castillo, “Pixel’i kasıtlı olarak Costco’nun Web Sitesine yerleştirerek ve dağıtarak, Costco, eczane hastalarının son derece hassas korunan sağlık bilgilerinin ve kişisel olarak tanımlanabilir bilgilerin Meta Platformları da dahil olmak üzere üçüncü taraflara izinsiz olarak ifşa edilmesine girişmektedir. Bu tür davranışlar açıkça eyalet ve federal yasalarını ihlal etmektedir.” şikayet iddiası.
Costco’nun hassas bilgileri izinsiz olarak ifşa ettiği iddiasının bir sonucu olarak davacılar ve grup üyeleri, mahremiyetin ihlali, özel ve değerli kişisel sağlık bilgilerinin davalının kazancı için dönüştürülmesi, yasal zararlar ve kişisellerine yönelik devam eden ve devam eden risk de dahil olmak üzere yaralanmalara maruz kaldılar. Castillo’nun şikayetinde sağlık bilgilerinin yer aldığı iddia ediliyor.
Her iki dava da, maddi tazminat ve mahkemenin Costco’ya şirketin iddia edilen davranış ve uygulamalarından kaynaklanan “yaklaşan ve devam eden zararı” ele alması için verdiği ihtiyati tedbir kararı da dahil olmak üzere benzer telafi talep ediyor.
Costco, Bilgi Güvenliği Medya Grubu’nun davalar ve iddialara ilişkin yorum talebine hemen yanıt vermedi.
Büyüyen İnceleme
Costco’ya karşı açılan davalar, hastaların ve tüketicilerin hassas sağlık bilgilerini ve kişisel bilgilerini yasal olmayan bir şekilde toplamak ve üçüncü taraflara ifşa etmek için çevrimiçi izleyicileri yasa dışı olarak kullandığı iddia edilen diğer kuruluşlara karşı geçen yıl yaklaşık olarak açılan benzer dava dalgasının bir parçasıdır. bilgisi veya rızası.
Meta ve Google da diğer bazı davalarda sanık olarak adlandırılıyor (bkz.: Federal Yargıç Meta Piksel Davasında İddiaları Kabul Etmeye Eğilimli).
Düzenleme avukatı Rachel Rose, “Bu, hem devlet kurumları hem de toplu dava avukatları için sürekli olarak odaklanılan bir alandır” dedi.
Rose, “HIPAA, Costco gibi bir kuruluşun, verilerin nerede bulunduğunu, iş ortaklarının veya alt yüklenicilerinin kim olduğunu ve iş ortaklığı anlaşmalarının mevcut olup olmadığını bilmesini gerektirir.” dedi.
“FTC ve HIPAA ayrıca, FTC’nin 2023 yaptırım eylemlerine ve bu yaz bilgilerin takibiyle ilgili çeşitli şirketlere gönderilen ortak FTC-HHS mektuplarına da yansıyan tüketici rızasını gerektiriyor” dedi (bkz: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
Taft Law hukuk firmasından avukat Cory Brennan, üçüncü taraf izleme teknolojilerinin kullanımından kaynaklanan davalardan bazılarının “oldukça anlamsız” olduğunu düşünürken, diğerlerinin ciddi veri gizliliği sorunlarını gün ışığına çıkardığını söyledi.
Brennan, “İzleme teknolojilerini kullanan şirketlere web sitelerinde vermeye devam ettiğim tavsiye şudur: Daha derine inin. Kuruluşların bu konuyu araştırırken doğru soruları sorması son derece önemlidir” dedi.
Pek çok şirketin web sitelerinden topladığı verilerin bireysel olarak tanımlanabilir bilgiler olmadığını sıklıkla iddia ettiğini söyledi.
“Genellikle ikinci dereceden bir tavsiyede bulunacağım: Web sitenizdeki izleme teknolojileri tarafından toplanan verilerden, web sitenizi belirli bir günde ziyaret eden kişilerin tam sayısını tespit edebiliyorsanız, o zaman bu veriler tamamen anonimleştirilmez.”
Rose, web izleyicileri kullanan kuruluşların izin dillerini dikkatle gözden geçirmesi gerektiğini söyledi.
“Hepimiz doğrudan veya dolaylı olarak web sitelerindeki belirli şartları kabul ediyoruz. Şirket olarak uygun dilin mevcut olduğundan, bunun bir bağlılık sözleşmesi olarak yorumlanamayacağından ve makul bir tüketici ve hastanın bunların ne olduğunu anlayacağından emin olun. razıyım” dedi. “Devre dışı kalma yeteneği de kritik öneme sahiptir.”