Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
FTC, HHS Takipçi Kullanımıyla Hastaneleri ve Tele-Sağlık Firmalarını Gizlilik İhlallerine Karşı Uyardı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Eylül 2023
Federal Ticaret Komisyonu ile Sağlık ve İnsani Hizmetler Bakanlığı, yakın zamanda web sitelerinde veya mobil uygulamalarında çevrimiçi izleme araçlarının kullanılmasının potansiyel olarak federal veri gizliliği ve güvenlik düzenlemelerini ihlal ettiği konusunda uyarılan 130 hastane ve tele-sağlık şirketinin adını açıkladı.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Cuma günü, FTC ve HHS Sivil Haklar Ofisi, iki kurumun 20 Temmuz’da ortaklaşa gönderdiği her mektubun bir kopyasını düzinelerce ABD telesağlık sağlayıcısına ve sağlık kuruluşuna yayınlayarak onları çevrimiçi izleme teknolojilerinin kullanımına ilişkin riskler ve endişeler konusunda uyardı. Meta/Facebook pikseli ve Google Analytics gibi.
Mektup alıcıları arasında sivilce bakım şirketi Apostrophe, erkek sağlık hizmeti sağlayıcısı Hone Health ve çevrimiçi akıl sağlığı sağlayıcısı Mantra Health gibi özel çevrimiçi bakım sağlayıcıları da dahil olmak üzere çok çeşitli tele-sağlık firmaları yer alıyor. Alıcılar arasında Johns Hopkins Hastanesi, Inova Health, New York-Presbiteryen Hastanesi ve Advocate Aurora Health gibi çok çeşitli sağlık kuruluşları da yer alıyor.
Ancak mektupları alan kuruluşların her birinin adını veren kısa bir liste yerine, FTC ve HHS/OCR tarafından yapılan açıklama, 130 kuruluşa gönderilen her mektubun alfabetik sıraya göre düzenlenmiş, düzeltilmiş bir kopyasını içeren 387 sayfalık bir PDF dosyasıdır.
FTC ve HHC OCR da 20 Temmuz’da 130 kuruluşa mektup gönderdiklerini kamuya açıklasa da, o dönemde düzenleyiciler kuruluşların kimliklerini açıklamamıştı (bkz: Federaller Hastaneleri ve Tele-Sağlık Firmalarını Web Takip Cihazı Kullanımı Konusunda Uyardı).
Ancak artık düzeltilmiş mektupların yayınlanmasıyla bu durum değişti.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Sağlık hizmetleri web takibi, hasta mahremiyeti ile bireysel olarak tanımlanabilir bilgiler üzerine kurulu ticari çıkarlar arasındaki bir çatışmadır” dedi. “Çatışma, görünürde herhangi bir çözüm olmadan, hararetli bir hızla mantar gibi büyüyor.”
FTC ve HHS OCR, mektuplarında, kuruluşların her birinin web sitesinde veya mobil uygulamasında bulunan çevrimiçi izleyicilerin, tüketicilerin hassas kişisel sağlık bilgilerini üçüncü taraflara izin verilmeyen bir şekilde ifşa etme potansiyeline sahip olduğu konusunda uyarıyor.
Ajanslar, bu tür açıklamaların sağlık koşulları, teşhisler, ilaçlar, tıbbi tedaviler, sağlık uzmanlarına yapılan ziyaretlerin sıklığı, bireyin tıbbi tedavi aradığı yerler ve daha birçok özel ayrıntı gibi bilgileri açığa çıkarabileceğini yazdı.
Geniş Kapsamlı Alıcılar
New Yor-Presbyterian ve Advocate Aurora da dahil olmak üzere mektupları alan sağlık sistemlerinden bazıları, son aylarda HHS OCR’ye daha önce kullandıkları web izleyicileri de dahil olmak üzere büyük sağlık verisi ihlalleri bildirdi (bkz: 3 Sağlık Kuruluşu Daha Web Sitesi İzleme İhlallerini Bildirdi).
Avukat Aurora, Ekim 2022’de HHS OCR’ye 3 milyon kişiyi etkilediğini bildirdiği web izleme ihlalinin ardından açılan önerilen toplu dava için 12,25 milyon dolarlık ön uzlaşmayı geçen ay kabul etti (bkz: Aurora’yı Avukatlayın Web Takipçisi İddialarını 12,25 Milyon Dolara Çözecek).
Olağandışı Hareket
Bazı uzmanlar, mektup alıcılarının adlarının ve her birine gönderilen uyarı mektuplarının kopyalarının kamuya açıklanmasının FTC ve HHS OCR için alışılmadık bir hareket olduğunu söyledi.
HITprivacy LLP danışmanlık firmasından uzun süredir gizlilik avukatı olan David Holtzman, “Bu, belirli kuruluşlara gönderilen tavsiye mektuplarının ilk kez kamuya açıklanmasıdır” dedi. Ajansların mektuplarının, “web sitelerine ve uygulamalara entegre izleme teknolojilerini kullanan üçüncü taraflara sağlık bilgileri akışını izlemeleri ve durdurmaları gerektiği konusunda kuruluşlara uyarıda bulunan bir atış” olduğunu söyledi.
FTC, Bilgi Güvenliği Medya Grubu’na bazen Bilgi Edinme Özgürlüğü Yasası kapsamında sıklıkla talep edilen kayıtlarla ilgili bilgileri kamuya açık olarak yayınlayacağını söyledi.
Ajansın web sitesinde “Güncel konular, bir takvim yılında üç kereden fazla talep edilen konulardır” ifadesi yer alıyor. FTC/HHS OCR tarafından ortaklaşa gönderilen mektupların kopyaları da yakın zamanda FTC FOIA web sayfasına eklendi.
Düzenleme avukatı Rachel Rose, kurumların mektuplarının aynı zamanda kuruluşlara kötü davranışları düzeltme fırsatı da sunduğunu söyledi.
“Her iki kurumun da hedeflerinden biri uyum konusunda yardımcı olmaktır” dedi. “HHS’nin kapsam açısından FTC’den daha sınırlı bir şemsiyesi var. HIPAA, tüketicileri etkileyen davranışları denetleyen FTC’ye karşı yalnızca kapsam dahilindeki kuruluşlar, iş ortakları ve taşeronlar için geçerlidir.”
Mektuplardaki ve ajansın web sitesi gönderilerindeki dilin yanı sıra çevrimiçi izleyicilerin kullanımına ilişkin geçen Aralık ayında yayınlanan uyarılar göz önüne alındığında Rose, HHS OCR’nin yakında web izleyici ihlalleriyle ilgili yaptırım eylemleri yayınlayacağını tahmin ediyor.
HHS OCR yetkilileri ayrıca ajansın ABD genelinde HIPAA tarafından düzenlenen kuruluşlarda çevrimiçi izleme teknolojilerinin potansiyel olarak izin verilmeyen kullanımını araştırdığını da itiraf etti (bkz: HHS Düzenleyicileri Web Takipçisi Kullanımını Neden Yoğun Bir Şekilde İnceliyor?).
Bu arada FTC, bu gibi durumlarda tele-sağlık sağlayıcılarına karşı, indirimli ilaç firması GoodRx ve çevrimiçi danışmanlık firması BetterHelp ile büyük mali anlaşmalar da dahil olmak üzere, bir dizi yaptırım eylemi gerçekleştirdi.
Ne FTC ne de HHS OCR, ISMG’nin mektuplarla ilgili ek ayrıntılar, herhangi bir mektup alıcısının yazışmaya yanıt verip vermediği ve alıcılardan herhangi birine karşı yakın zamanda olası düzenleyici yaptırım eylemlerine ilişkin planlar hakkındaki taleplerine hemen yanıt vermedi.
ISMG’nin acentelerin mektupları hakkında yorum yapmak için iletişime geçtiği mektup alıcılarından hiçbiri hemen yanıt vermedi.