Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Önerilen Eylem Ayrıca Cerebral Inc.’e 7 Milyon Dolar Ceza Ödeme Emri Verdi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Nisan 2024
Federal Ticaret Komisyonu, bir zihinsel telesağlık hizmeti firmasının tüketici verilerini paylaşmasını kısıtlamayı ve firmanın hassas sağlık bilgilerini hastaların izni olmadan üçüncü taraf reklamverenlere yasa dışı bir şekilde ifşa etmek için çevrimiçi izleme araçlarını kullandığı yönündeki iddiaları çözüme kavuşturmak için 7 milyon dolar ceza ödemesini talep etmeyi önerdi. onay.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
FTC, Cerebral Inc. ve şirketin eski CEO’su Kyle Robertson’a karşı şikayetinde, madde kullanımı bozukluğu tedavi hizmetleriyle ilgili FTC Yasası ve Opioid Yasasının adil olmayan veya aldatıcı uygulama ihlallerini iddia ediyor.
FTC ayrıca firmanın tüketicilere verdiği kolay iptal sözlerini yerine getirmediğini de iddia ediyor.
Pazartesi günü Adalet Bakanlığı tarafından federal mahkemeye sunulan FTC’nin Cerebral’e karşı teklif ettiği emir, şirketin hassas tüketici verilerini nasıl kullanabileceğini veya ifşa edebileceğini kısıtlamayı amaçlıyor ve şirketin 5,1 milyon doları da dahil olmak üzere 7 milyon dolardan fazla ceza ödemesini talep ediyor. Şirketin aldatıcı iptal uygulamalarından etkilenen tüketicilere kısmen para iadesi.
Önerilen emrin yürürlüğe girebilmesi için ABD Florida Güney Bölgesi Bölge Mahkemesi tarafından onaylanması gerekiyor.
Cerebral, Bilgi Güvenliği Medya Grubu’nun önerilen emre ilişkin yorum talebine hemen yanıt vermedi.
FTC’nin Cerebral’e karşı eylemi, şirketin Mart 2023’te ABD Sağlık ve İnsani Hizmetler Bakanlığı’na yaklaşık 3,2 milyon kişiyi etkilediğini bildirdiği bir veri ihlalinin ardından geldi.
Olay, şirketin web sitesi takip araçlarını kullanarak hassas hasta bilgilerini Facebook, Google ve TikTok gibi üçüncü taraflarla kişilerin izni olmadan paylaşmasını içeriyordu (bkz.: Ruh Sağlığı Verilerinin Serebral Olmayan Paylaşımı Milyonları Buluyor).
“İzleme araçlarını kullanarak Cerebral, üçüncü taraflara kullanıcıları hakkında isimler, tıbbi geçmişler ve reçete geçmişleri, ev ve e-posta adresleri, telefon numaraları, doğum tarihleri, demografik bilgiler, IP adresleri, eczane ve sağlık sigortası bilgileri ve diğer sağlık bilgileri dahil olmak üzere kişisel veriler verdi. FTC’nin şikayetine göre “bilgi”.
Diğer hükümlerin yanı sıra, FTC’nin teklif ettiği emir şunları içerecektir:
- Cerebral’in tüketicilerin kişisel ve sağlık bilgilerini çoğu pazarlama veya reklam amacıyla kullanmasını veya üçüncü taraflara ifşa etmesini kalıcı olarak yasaklayacak;
- Şirketin, tüketicilerin kişisel bilgilerini ve sağlık bilgilerini dış taraflara açıklamadan önce tüketicilerin onayını almasını zorunlu kılacak;
- Cerebral’in gizlilik ve veri güvenliği uygulamalarını yanlış beyan etmesini yasaklayın;
- Şirketin kapsamlı bir gizlilik ve veri güvenliği programı uygulamasını zorunlu kılmak;
- Cerebral’in bir veri saklama planı uygulamasını zorunlu kılmak;
- Tüketicilerin saklanmasına izin vermediği sürece, şirketin tedavi, ödeme veya sağlık hizmetleri operasyonlarında kullanılmayan tüketici verilerinin çoğunu silmesini talep etmek;
- Cerebral’in iptal politikalarını veya uygulamalarını yanlış beyan etmesini yasaklamak;
- Şirketin tüketicilere hizmetleri iptal etmeleri için kolay bir yöntem sunmasını zorunlu kılın.
Cerebral’e karşı önerilen emir, çevrimiçi izleyicilerin kullanımını içerenler de dahil olmak üzere son bir veya iki yılda diğer birçok sağlık verileri gizliliği davasında diğer firmalara karşı yapılan benzer FTC eylemlerini takip ediyor.
FTC, en az iki diğer tele-sağlık sağlayıcısına (BetterHelp ve GoodRx) ve mobil doğurganlık uygulaması satıcısı Premom’a karşı, bu şirketlerin tüketicilerin hassas sağlık ve kişisel bilgilerini üçüncü taraf analizleri ve sosyal medyayla paylaşan izleme araçlarını kullanmasıyla ilgili davalarda yaptırım önlemleri aldı. bireylerin rızası olmadan firmalar.
FTC, bu şirketlerin çevrimiçi izleyici kullanımının, FTC Yasası’nın 5. Bölümünü ihlal eden adil olmayan eylem veya uygulamalar anlamına geldiğini iddia etti. GoodRx ve Premom’a karşı açılan yaptırım davalarında FTC, şirketlerin FTC’nin sağlık verileri ihlali bildirimi kuralını ihlal ettiğini de iddia etti (bkz.: Federaller Hastaneleri ve Tele-Sağlık Firmalarını Web Takip Cihazı Kullanımı Konusunda Uyardı).
Bu ayın başlarında FTC, veri komisyoncusu X-Mode ve halefi Outlogic’in hassas konum verilerini paylaşmasını veya satmasını yasaklayan bir kararı kesinleştirdi.
Dava, şirketin insanların tıbbi ve üreme sağlığı klinikleri ve ibadethaneler gibi hassas yerlere ziyaretlerini takip etmek için kullanılabilecek kesin konum verilerini sattığı yönündeki iddiaları çözüme kavuşturdu.