Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyum
14 Yaşındaki FTC Sağlık Verileri İhlal Bildirimi Kuralı Kapsamında İlk Yaptırım Eylemi
Marianne Kolbasuk McGee (SağlıkBilgisi), David Perera’nın (@daveperera) •
1 Şubat 2023
Federal Ticaret Komisyonu, neredeyse 14 yıllık sağlık verileri ihlali bildirim kuralını ilk kez yürürlüğe koydu: Komisyon, çarşamba günü tele sağlık ve indirimli reçeteli ilaç sağlayıcısı GoodRx’i tüketicilere açıklama yapmadığı için 1,5 milyon dolar para cezasına çarptırdı. verilerini Facebook ve Google dahil olmak üzere reklamverenlerle paylaştığını.
Ayrıca bakınız: Hiper Dağıtılmış Kullanıcıların ve Uygulamaların Zorluğunu Çözme
FTC, GoodRx’in hassas kişisel sağlık bilgilerini yıllarca gizlilik vaatlerine aykırı olarak üçüncü taraf şirketlerle paylaştığını ve ayrıca FTC’nin Sağlık İhlali Bildirim Kuralı’nın gerektirdiği şekilde yetkisiz ifşaları bildirmediğini söylüyor. Ajans, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinde bir şikayette bulunması ve bir karar önerisi sunması için Adalet Bakanlığını görevlendirdi. Emir, federal bir yargıcın onayına tabidir.
2021’de FTC, ihlal bildirimi kuralına ilişkin yorumunu, yalnızca siber güvenlik olaylarının sonucu olan veri ihlallerini değil, yetkisiz erişim olaylarını da içerecek şekilde genişletti. Ayrıca, bildirim kuralının kapsadığı kişisel sağlık kayıtlarının, birden fazla kaynaktan bilgi çekebilen uygulamaları içerdiğini söyledi.
Yenilenen yorum, Demokrat meslektaşlarını teşkilatın otoritesini genişletmekle suçlayan teşkilat komisyonundaki iki Cumhuriyetçinin muhalefetini çekti. Teknoloji endüstrisi temsilcileri, ajansın yeni politika beyanını bir bildirim yasasını bir gizlilik düzenlemesine dahil etmek olarak nitelendirerek benzer tepkiler verdi. Kongre, sağlık verilerinin taşınabilirliği konusunda o dönemin kısa ömürlü iyimserliğine ve sağlık hizmetlerine yeni, veriye dayalı bir yaklaşım umut etmesine rağmen, tüketici sınıfı sağlık kayıtlarında bir patlama beklentisiyle, Obama yönetimi sırasında sağlık verileri ihlali bildirim yasasını çıkardı. .
FTC yetkilileri, özel olarak, ihlal bildirim yasasına ilişkin yeni politika beyanının endüstri tarafından kabul edilmesinin, meşruiyetini sağlamlaştırmanın anahtarı olacağını ve GoodRx’in rızasını yalnızca mahremiyeti ihlal edildiği iddia edilen kullanıcılar için değil, potansiyel olarak gelecekteki yaptırım eylemleri için önemli hale getireceğini özel olarak söylediler.
FTC’nin Tüketiciyi Koruma Bürosu müdürü Samuel Levine, “FTC, Amerikan tüketicilerinin hassas verilerini kötüye kullanım ve yasa dışı istismara karşı korumak için tüm yasal yetkisini kullanacağını bildiriyor” dedi.
GoodRx, ajansın sağlık verileri ihlali bildirim yasasını ihlal ettiği iddiasına katılmadığını belirterek, FTC’nin iddialarını tüzüğün “yeni bir uygulaması” olarak nitelendirdi. Şikayetin çözüme kavuşturulması, herhangi bir suçun kabul edilmesini içermez ve şirket, yalnızca “uzun süren davanın zamanını ve masrafını önlemek için” ilerlediğini söylüyor.
Şikayet, kullanıcıların reçete ve tıbbi durum bilgilerinin Facebook, Google, Criteo, Branch ve Twilio ile paylaşılması da dahil olmak üzere mahremiyete saygısızlık edildiğini iddia ediyor. Şikayet, Ocak 2017’den bu yana 55 milyondan fazla tüketicinin GoodRx’in web sitesini veya mobil uygulamasını ziyaret ettiğini veya kullandığını belirtiyor.
GoodRx’in, tüketicilerinin Facebook ile paylaştığı kişisel sağlık bilgilerini, kendi kullanıcılarına Facebook ve Instagram’da kişiselleştirilmiş sağlık ve ilaca özel reklamlar sağlamak için kullandığı iddia edildi.
Şubat 2020’ye kadar GoodRX, kişisel sağlık bilgilerini korumak için politikalar veya prosedürler uygulamaya koymadı. Ancak o zaman bile, “kullanıcılara sağlık bilgilerinin izinleri olmadan ifşa edildiğini bildiremedi” şikayeti belirtiliyor.
2020’nin başlarında Tüketici Raporları da dahil olmak üzere gizlilik gözlemcileri, şirketin gizlilik uygulamalarını, GoodRX’i sağlık verilerini Facebook ile paylaşmayı durdurma ve kullanıcıların verilerini silmelerine izin verme taahhüdüne götüren soruşturmaları araştırdı. Şirket, 2021’de 745,4 milyon dolar değerinde gelir bildirdi ancak yılı 25,3 milyon dolar zararla kapattı.
Önemli Hareketler
Sivil para cezasına ek olarak, GoodRx’e karşı önerilen federal mahkeme emri, bu tür eylemlere karşı kalıcı bir ihtiyati tedbir talep ediyor. Ayrıca, GoodRx’in kişisel sağlık bilgilerini paylaştığı herhangi bir üçüncü şahsı bilgilendirmesini ve ilgili tarafın bu bilgiyi sildiğine dair yazılı onay talep etmesini gerektirir.
Sağlık ve İnsan Hizmetleri Departmanı’nın Sağlık Bilişimi Ulusal Koordinatörlüğü Ofisi eski gizlilik görevlisi Lucia Savage, Information Security Media Group’a FTC’nin bir süredir sağlık bilgileriyle ilgili güçlü adımlar atmayı planladığının açıkça sinyalini verdiğini söyledi. tüketici alanında.
Şu anda Omada Health’te baş gizlilik ve düzenleyici yetkili olan Savage, “Gelişine veya içeriğine şaşırmadım” diyor.
Savage, FTC eyleminin “öngörülen bir emir olduğunu, yani GoodRx ve FTC’nin bunu birlikte en iyi yol olarak yargıca sunduğu anlamına gelir. GoodRx burada FTC ile savaşmıyor.”
Dünya Gizlilik Forumu’nun yönetici direktörü Pam Dixon da FTC’nin eyleminden memnun.
“Kısacası, bu bizim için heyecan verici bir gündü” diyor. FTC’nin GoodRx’in tüketicilere bir mühür aracılığıyla tele sağlık hizmetleri ana sayfasının HIPAA uyumlu olduğunu yanlış bir şekilde söylediği için alıntı yapmasıyla ilgili olarak, “HIPAA’nın yanlış beyanına ilişkin emsalin önemi abartılamaz” diyor.
“Bu çok büyük bir sorun ve bir süredir ciddi bir sorun haline geldi” diyor. “Önerilen düzen mükemmel. Çeşitli zahmetli davranışları kapsayan bu konuda çok iyi bir iş çıkardılar.”