3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , HIPAA/HITECH
HHS, FTC 130 Kuruluşu İzleme Araçlarında Hassas Verilerin Paylaşılması Riski Hakkında Bildirdi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
20 Temmuz 2023
Federal Ticaret Komisyonu ve Sağlık ve İnsani Hizmetler Departmanı, düzinelerce hastaneyi ve tele sağlık sağlayıcısını, çevrimiçi izleme teknolojilerinin kullanımını içeren olası veri gizliliği ve güvenlik ihlallerine karşı ortaklaşa uyarıyor.
Ayrıca bakınız: Bilgisayar Korsanlarını Zekasıyla Alt Etmek: Üçüncü Taraf Siber Riskleriyle Mücadelede İleri Düzey Stratejiler
İki kurum Perşembe günü, yaklaşık 130 hastane sistemine ve tele sağlık sağlayıcısına, Meta/Facebook pikseli ve Google Analytics gibi çevrimiçi izleme teknolojilerinin kullanımıyla ilgili riskler ve endişeler hakkında onları uyaran ortak mektuplar gönderdiklerini söyledi.
HHS’nin Sivil Haklar Ofisi direktörü Melanie Fontes Rainer ve FTC’nin Tüketiciyi Koruma Bürosu direktörü Samuel Levine tarafından imzalanan mektupta, “Bu izleme teknolojileri, kullanıcılar hakkında tanımlanabilir bilgileri, genellikle onların bilgisi olmadan ve kullanıcılar bir web sitesi veya mobil uygulamayla etkileşime girerken, kullanıcıların kaçınmasının zor olduğu şekillerde topluyor.”
“Her iki kurum da bu alandaki gelişmeleri yakından izliyor. Bu mektupta açıklanan izleme teknolojilerini web sitenizde veya uygulamanızda kullandığınız ölçüde, bu mektupta belirtilen yasaları gözden geçirmenizi ve bireylerin sağlık bilgilerinin gizliliğini ve güvenliğini korumak için harekete geçmenizi şiddetle tavsiye ediyoruz.”
Bir FTC sözcüsü Information Security Media Group’a verdiği demeçte, mektupların alıcılarını kamuya açıklamayı reddeden ajanslar, “bu alanda yapılan araştırma ve raporlara dayanarak” varlıkları seçtiler.
“Mektuplar, hastanelere ve hastane sistemlerine ve web sitelerinde veya uygulamalarında tüketicilerin hassas sağlık bilgilerini izin verilmeyen bir şekilde üçüncü taraflara ifşa eden izleme teknolojilerine sahip olabileceğine veya sahip olduğuna inandığımız tele sağlık şirketlerine gönderildi” dedi.
Sözcü, ajansların bu mektupları “hastalarına ve müşterilerine yönelik güvenlik ve mahremiyet risklerinin farkında olmayabilecek” kuruluşlara bilgi sağlamak için gönderdiğini söyledi.
“Ayrıca, alıcıların riskleri durdurmak isteyeceğini düşünüyoruz çünkü bunlar, tüketicinin sağlığı geliştirmeye yönelik potansiyel olarak değerli çevrimiçi araçlara olan güvenini baltalamakla tehdit ediyor. Mektuplardan birinin alınması, bir sağlayıcının yasayı ihlal ettiğini göstermeyi amaçlamıyor, tıpkı diğer sağlık hizmeti sağlayıcılarının bu bilgilendirici mektubu almaması, herhangi bir onay damgası olarak görülmemesi gerektiği gibi.”
Icra eylemleri
FTC, en az iki tele sağlık sağlayıcısı – BetterHelp ve GoodRx – artı mobil doğurganlık uygulaması satıcısı Premom’a karşı, bu şirketlerin tüketicilerin hassas sağlık ve kişisel bilgilerini üçüncü taraf analitik ve sosyal medya şirketleriyle bireylerin rızası olmadan paylaşan izleme araçlarını kullanmasıyla ilgili davalarda zaten yaptırım önlemleri aldı.
FTC, bu şirketlerin çevrimiçi izleyiciler kullanmasının, FTC Yasasının 5. Bölümünü ihlal eden haksız eylem veya uygulamalar anlamına geldiğini iddia etti. GoodRx ve Premom aleyhindeki yaptırım davalarında FTC, şirketlerin FTC’nin sağlık verileri ihlali bildirim kuralını ihlal ettiğini de iddia etti.
FTC’nin şu ana kadar bu çevrimiçi izleme vakalarındaki uygulama eylemleri arasında milyonlarca dolarlık parasal cezalar ve şirketlerin tüketicilerin sağlık bilgilerinin reklam ve ilgili amaçlarla üçüncü taraflara ifşa edilmesini içeren uygulamalarını durdurmaları yer aldı.
HHS OCR’nin stratejik planlamadan sorumlu müdür yardımcısı ve bölge müdürü Susan Rhodes, Salı günü New York City’de düzenlenen Information Security Media Group Sağlık Güvenliği Zirvesi sırasında, HHS OCR’nin HIPAA kapsamındaki bazı kuruluşlar tarafından web sitesi izleme araçlarının kullanımını potansiyel HIPAA ihlalleri olarak aktif olarak araştırdığını söyledi.
Aralık ayında HHS OCR, çevrimiçi izleyicilerin kullanımına ilişkin bir kılavuz yayınlayarak, düzenlemeye tabi kuruluşları, PHI’nin üçüncü taraf satıcılara izin verilmeyen ifşalarına veya HIPAA Kurallarının diğer herhangi bir ihlaline yol açacak şekilde izin verilmediği konusunda uyardı (bkz:: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor).
Rhodes, “Bu, teşkilatın en önemli uygulama önceliğidir” dedi.
Fontes Rainer, Nisan ayında ISMG ile yaptığı bir röportajda, HHS OCR’nin bir izleme aracıyla ilgili HIPAA ihlallerine karşı ilk yaptırım eyleminin “umarım yakında” olacağını söyledi.
HHS OCR’nin çevrimiçi izleyici kılavuzunun Aralık ayında yayınlanmasından bu yana, HIPAA kapsamındaki birkaç kuruluş, teknolojilerin önceki kullanımlarını içeren büyük sağlık verisi ihlallerini ajansa bildirdi.
Bu, bu yıl şimdiye kadarki en büyük olayı bildiren çevrimiçi akıl sağlığı hizmetleri şirketi Cerebral’ı da içeriyor. Mart ayında San Francisco merkezli şirket, yaklaşık 3,2 milyon kişiyi etkileyen, çevrimiçi akıl sağlığı değerlendirmeleri de dahil olmak üzere PHI’nin piksel ve benzeri web izleme teknolojilerini kullanarak TikTok, Facebook ve Google gibi üçüncü taraflarla “yanlışlıkla” paylaşılmasını içeren bir ihlal bildirdi (bkz:: Akıl Sağlığı Verilerinin O Kadar Serebral Olmayan Paylaşımı Milyonlara Ulaştı).