Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyum
Vaka, FTC’nin Sağlık Verileri İhlal Bildirimi Kuralına İlişkin 2. Uygulamasıdır
Marianne Kolbasuk McGee (SağlıkBilgisi) •
17 Mayıs 2023
Doğurganlık günlüğü uygulaması Premom’un geliştiricisi, ABD Federal Ticaret Komisyonu ile yapılan bir anlaşma kapsamında kullanıcı bilgilerini reklamverenlerle paylaşmaması gerektiğini kabul etti. Uygulama üreticisi Easy Healthcare ayrıca 100.000 $ ödemeli ve kullanıcı bilgilerini alan reklam ve analiz şirketlerinden verileri silmelerini istemelidir.
Ayrıca bakınız: Dijital Yönetici Korumasına Yönelik Artan İhtiyaç
Kadınların regl dönemlerini ve yumurtlama döngülerini takip etmelerine olanak tanıyan uygulama verilerinin alıcıları arasında ABD şirketleri Google, AppsFlyer ve Hangzhou merkezli teknoloji şirketi Alibaba’nın sahibi olduğu Çinli şirketler Jiguang ve Umeng yer alıyor. Premom, kullanıcılara, dokuz ay içinde başarılı bir şekilde hamile kalmazlarsa masrafları geri ödemeyi vaat eden bir hamilelik garantisi sunar.
Emir, Chicago federal mahkemesinde açılan bir davadan geliyor ve mahkeme tarafından onaylanması gerekiyor. Şirketin web sitesinde yer alan bir açıklamada, uzlaşmanın “dava için harcanan zaman ve masraftan” kaçınma olarak nitelendirildi*.
Şirket, “Kullanıcıların sağlığıyla ilgili hiçbir bilgiyi üçüncü taraflara asla satmayacağız ve satmayacağız ve bu bilgileri reklam amacıyla paylaşmayacağız” dedi.
Şikayet, Easy Healthcare’i 2017 ile 2020 yılları arasında kullanıcı verilerini reklamverenlerle paylaşmayacağını yanlış bir şekilde iddia ederek uygulamayı indiren yüz binlerce kadını yanıltmakla suçluyor.
Bunun yerine şirket, 2018’de kullanıcıların tanımlanabilir sağlık bilgilerini üçüncü taraflarla paylaştı. 2020 yazında Google Play mağazasının Easy Healthcare’e veri aktarımlarının uygulama mağazası politikalarını ihlal ettiğini bildirmesinin ardından, Jiguang ve Umeng ile paylaşımı durdurdu.
FTC, Easy Healthcare’in ihlaller işlediğini iddia etmek için şikayette Sağlık İhlali Bildirim Kuralını kullandı.
2021’de FTC, ihlal bildirimi kuralına ilişkin yorumunu, yalnızca siber güvenlik olaylarının sonucu olan veri ihlallerini değil, yetkisiz erişim olaylarını da içerecek şekilde genişletti. Ayrıca, bildirim kuralının kapsadığı kişisel sağlık kayıtlarının, birden fazla kaynaktan bilgi çekebilen uygulamaları içerdiğini söyledi.
FTC’nin tüketiciyi koruma bürosu müdürü Samuel Levine, “Bu bilgileri toplayan şirketler, FTC’nin sağlık mahremiyeti ihlallerine müsamaha göstermeyeceğinin farkında olmalıdır” dedi.
Dava, kurumun, indirimli ilaç sağlayıcısı GoodRx Holdings ile Şubat ayında yapılan anlaşma olan Sağlık İhlali Bildirim Kuralı’nın genişletilmiş yorumunu ikinci kez kullanmasıdır (bkz:: FTC, Sağlık Veri Paylaşımı Davasında Firmaya 0,15 Milyon Dolar Para Cezası Verdi).
Easy Healthcare ayrıca veri paylaşımına bağlı olarak önerilen en az bir toplu dava davasıyla karşı karşıyadır (bkz.: Dava: App Maker Çinli Firmalarla Sağlık Verilerini Paylaştı).
*Güncelleme 17 Mayıs 2023 20:50 UTC: Easy Healthcare’den yanıt ekler.