Yönetişim ve Risk Yönetimi , Mevzuat ve Dava , Gizlilik
Dava, İzleme Kodu Teknolojisinin Kullanımında Meta, Google ve Criteo’nun Adlarını da Adlandırıyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
6 Şubat 2023
Tele sağlık ve indirimli reçeteli ilaç sağlayıcısı GoodRX, bu uygulamalarla ilgili federal bir soruşturmayı sonuçlandırmasından sadece birkaç gün sonra, üçüncü taraflarla yaptığı veri paylaşım uygulamaları nedeniyle önerilen bir toplu dava davasıyla karşı karşıya.
Ayrıca bakınız: Hiper Dağıtılmış Kullanıcıların ve Uygulamaların Zorluğunu Çözme
GoodRx’e karşı 2 Şubat’ta San Francisco federal mahkemesinde açılan bir davada şirketin üç üçüncü taraf teknoloji ve reklam satıcısı da ortak sanık olarak gösteriliyor: Facebook ana şirketi Meta, Google ve Criteo.
Önerilen toplu dava, kullanıcılarının makul bir gizlilik beklentisi olduğundan, GoodRx’in ortak hukuka dayalı bir mahremiyet suçu işlediğini iddia ediyor. Şirket, kullanıcılardan topladığı bilgileri ifşa etmediğini veya paylaşmadığını iddia etti. Ancak dava, GoodRX’in platformlarına yerleştirilmiş Meta, Google ve Criteo’dan gelen izleme kodunun, kullanıcının kişisel verilerini ve tıbbi durumları, semptomları ve reçeteleri ile ilgili sağlık bilgileri dahil olmak üzere üçüncü taraflara ifşa edilen bilgileri “bilerek ve kasıtlı olarak ele geçirdiğini” iddia ediyor.
GoodRx’e karşı önerilen toplu dava davası, üçüncü şahıslarla veri paylaşmak için sağlıkla ilgili web sitelerinde izleme kodlarının kullanılmasıyla ilgili büyüyen tartışmadaki en son gelişmedir.
FTC, 1 Şubat’ta GoodRx’e karşı 1,5 milyon dolarlık bir para cezası ilan etti ve şirketin hassas kişisel sağlık bilgilerini gizlilik vaatlerine aykırı olarak üçüncü taraf şirketlerle yıllarca paylaştığını söyledi (bkz:: FTC, Sağlık Veri Paylaşımı Davasında Firmaya 1,5 Milyon Dolar Para Cezası Verdi).
Şirket, kullanıcı sağlık verilerinin reklam amacıyla üçüncü taraflara ifşa edilmesi gibi yanıltıcı uygulamalara ve bir dizi başka faaliyete girişmemeyi kabul etti.
FTC, Adalet Bakanlığı’nı Kaliforniya’nın Kuzey Bölgesi için ABD Bölge Mahkemesinde bir şikayette bulunması ve bir karar önerisi sunması için görevlendirdi. Emir, federal bir yargıcın onayına tabidir.
Pikselleri yapıştırma
Geçen hafta açılan hukuk davasının yanı sıra Meta, şirketin Pixel izleme kodunun sağlıkla ilgili web sitelerinde kullanılmasıyla ilgili birkaç davada da sanık konumunda (bkz.: Federal Yargıç, Hasta Gizliliği Davasında Facebook’a Şüpheci).
Meta, Bilgi Güvenliği Medya Grubu’nun GoodRx davasında sanık olarak gösterilmesine ilişkin yorum talebine hemen yanıt vermedi.
Google, ISMG’ye “sağlık durumları veya reçeteli ilaçlar gibi hassas verilere dayalı kişiselleştirilmiş reklamcılığı yasakladığını” iddia eden bir açıklama sağladı. Ayrıca, reklamverenlerin ve geliştiricilerin bizimle paylaşılan kişisel olarak tanımlanabilir bilgilerle ilgili olarak uyması gereken katı politikalarımız var.
Çevrimiçi reklamcılık devi ayrıca, bir piksel reklam amacıyla kullanıldığında bile reklam kişiselleştirme ile ilgisi olmayabileceğini söyledi.
“Aynı reklamların kullanıcılara çok fazla gösterilmesini önlemek, reklam ölçümü yapmak veya sahtekarlığı önlemek için kullanılabilir. Bir kullanıcının reçeteleri gibi bir şeyin doğası gereği gizli olduğunu anlıyoruz, bu nedenle aşağıdakilere dayalı kişiselleştirilmiş reklamlara izin vermiyoruz: onlara.”
Ne GoodRx ne de Criteo, ISMG’nin Jane Doe davasıyla ilgili yorum taleplerine hemen yanıt vermedi.
Düzenleyici Yangın
FTC dışındaki diğer ajanslar, çevrimiçi davranış izleyicilerini inceleme niyetlerini bildirdiler. Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi Aralık ayında bir bültende, HIPAA kapsamındaki kuruluşların, izleyicilerin hastanın rızası olmadan korunan sağlık bilgilerini iletmesi veya kuruluşların imzalı bir iş ortağı olmaması durumunda izleyicileri kullanamayacağı konusunda uyardı. teknoloji izleme satıcılarıyla anlaşma.
HHS OCR, HIPAA ihlallerinin para cezaları ve nadir durumlarda cezai kovuşturma ile cezalandırılacağını söylüyor (bkz.: Hasta Portallarındaki HHS Web Tacker’ları HIPAA’yı İhlal Ediyor).
Son aylarda, en az dört sağlık kuruluşu, HHS OCR’ye, Meta ve Google dahil olmak üzere şirketlerden önceki izleme kodu kullanımlarını içeren büyük sağlık verisi ihlalleri bildirdi (bkz.: Klinik, 3. Tarafı İçeren İzleme Piksel İhlalini Bildirdi).
Omada Health’in gizlilik ve düzenlemeden sorumlu başkanı Lucia Savage, “HIPAA bünyesindeki sağlık kuruluşlarının, özellikle sağlık hizmetlerini üçüncü tarafların yardımıyla sağlarken topladıkları ve kullandıkları ayrıntılı dijital sağlık verilerini anlamaları ve bunlar hakkında düşünmeleri gerekiyor” diyor.
HHS’nin Ulusal Sağlık Koordinatörü Ofisinde eski gizlilik görevlisi olan Savage, “Bu üçüncü tarafların HIPAA iş ortakları olması gerektiğini biliyoruz ve bu statü, üçüncü tarafların verileri nasıl kullanabileceğini sınırlıyor” diyor.
“2000 gibi erken bir tarihte bile, HIPAA gizlilik kuralı bir IP adresinin PHI olabileceği sonucuna vardı” diyor.