ABD Federal Ticaret Komisyonu (FTC), zihinsel telesağlık şirketi Cerebral’e kişisel verileri reklam amacıyla kullanmasını veya ifşa etmesini emretti.
Ayrıca, kullanıcıların hassas kişisel sağlık bilgilerini ve diğer verilerini üçüncü taraflara reklam amacıyla ifşa etmesi ve kolay iptal politikalarına uymaması nedeniyle 7 milyon dolardan fazla para cezasına çarptırıldı.
FTC bir basın açıklamasında, “Cerebral ve eski CEO’su Kyle Robertson, tüketicilere verdikleri gizlilik sözlerini defalarca bozdu ve onları şirketin iptal politikaları konusunda yanılttı.” dedi.
FTC, tüketicilerin kaydolmasını ve verilerini sağlamasını sağlamak için “güvenli, emniyetli ve gizli” hizmetler sunduğunu iddia ederken, bilgilerin reklam amacıyla üçüncü taraflarla paylaşılacağını açıkça açıklamadığını iddia etti.
Ajans ayrıca şirketi, veri paylaşım uygulamalarını yoğun gizlilik politikalarına gömmekle suçladı; şirket, kullanıcıların verilerini rızaları olmadan paylaşmayacağını iddia ederek aldatıcı uygulamalara girişti.
Şirketin, reklam ve veri analitiği işlevleri sağlamak üzere tasarlanan web siteleri ve uygulamalarına izleme araçlarını entegre ederek yaklaşık 3,2 milyon tüketicinin hassas bilgilerini LinkedIn, Snapchat ve TikTok gibi üçüncü taraflara sağladığı söyleniyor.
Bilgiler arasında isimler yer alıyordu; tıbbi ve reçeteli geçmişler; ev ve e-posta adresleri; telefon numaraları; doğum tarihleri; demografik bilgiler; IP adresleri; eczane ve sağlık sigortası bilgileri; ve diğer sağlık bilgileri.
FTC şikayeti ayrıca Cerebral’i, eski çalışanların Mayıs’tan Aralık 2021’e kadar kullanıcıların tıbbi kayıtlarına erişmesine izin vererek, hasta bilgilerini ifşa eden güvenli olmayan erişim yöntemleri kullanarak ve tüketici verilerine erişimi yalnızca hasta olan çalışanlarla kısıtlamayarak yeterli güvenlik bariyerlerini uygulamamakla suçladı. Buna ihtiyaç duydu.
FTC, “Cerebral, 6.000’den fazla hastaya, kartpostalları gören herkese teşhis ve tedavilerini açıklayacak şekilde isimlerini ve dillerini içeren, zarf içinde olmayan tanıtım kartpostalları gönderdi.” dedi.
Federal mahkemeden onay bekleyen önerilen emir uyarınca, şirketin tüketicilerin kişisel ve sağlık bilgilerini pazarlama amacıyla kullanması veya üçüncü taraflara ifşa etmesi yasaklandı ve kapsamlı bir gizlilik ve veri güvenliği programı uygulaması emredildi. .
Cerebral’den ayrıca web sitesinde kullanıcıları FTC emri konusunda uyaran bir bildirim yayınlaması, ayrıca bir veri saklama planı benimsemesi ve rızaları olmadığı sürece tedavi, ödeme veya sağlık hizmetleri operasyonları için kullanılmayan tüketici verilerinin çoğunu silmesi istendi. Ayrıca kullanıcıların verilerinin silinmesini sağlayacak bir mekanizma sağlanması da gereklidir.
Bu gelişme, alkol bağımlılığı tedavi şirketi Monument’ın, FTC tarafından sağlık bilgilerini Google ve Meta gibi üçüncü taraf platformlara reklam amaçlı olarak 2020 ile 2022 yılları arasında açıklamasının yasaklanmasından birkaç gün sonra gerçekleşti; ancak bu tür verilerin “%100 gizli” olacağı iddia edildi. “
New York merkezli şirkete, sağlık bilgilerinin üçüncü taraflara açıklanması konusunda kullanıcıları bilgilendirmesi ve paylaşılan tüm verilerin silinmesini sağlaması talimatı verildi.
FTC, “Monument, verdiği sözleri yerine getirdiğinden emin olamadı ve aslında müşterilerinin alkol bağımlılığından kurtulmak için yardım aldığını ortaya koyan son derece hassas veriler de dahil olmak üzere, kullanıcıların sağlık bilgilerini üçüncü taraf reklam platformlarına açıkladı.” dedi.
Geçen yıl FTC, BetterHelp, GoodRx ve Premom gibi sağlık hizmeti sağlayıcılarına, kullanıcıların verilerinin üçüncü taraf analitik ve sosyal medya firmalarıyla rızaları olmadan paylaşılması nedeniyle benzer yaptırım önlemleri aldığını duyurdu.
Ayrıca uyardı [PDF] Amazon, üyeliğe dayalı birinci basamak bakım uygulaması One Medical’in 3,9 milyar dolarlık satın alımını tamamladıktan sonra hasta verilerinin pazarlama amacıyla kullanılmasına karşı çıktı.