Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Dava, Web Takipçisinin Hassas Hasta Bilgilerini Kazıdığını İddia Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
30 Ocak 2024
Bir federal yargıç, Meta’ya karşı önerilen birleştirilmiş toplu davanın devam etmesi için bir kez daha yeşil ışık yaktı. Dava, firmanın Pixel izleme aracını kullanarak hastanelerin ve diğer sağlayıcıların web sitelerinden hasta verilerini yasa dışı bir şekilde topladığını iddia ediyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Pazartesi günü yayınlanan bir kararda, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinden Bölge Hakimi William Orrick, Kaliforniya Yasal Çözüm Yasası uyarınca davacıların gönüllü olarak davadan çekildikleri yönündeki iddialar dışında, Meta’nın davayı reddetme talebini reddetti. Kaliforniya Yasal Çözümler Yasası, tüketicileri rekabetten ve haksız veya aldatıcı eylemlerden korur.
Bu, Orrick’in Meta’nın Haziran 2022’de açılan ve teknoloji şirketine karşı önerilen yaklaşık bir düzine benzer toplu davayı birleştiren davayı rafa kaldırma girişimini ikinci kez reddetmesi (bkz: Hakim Tekrar Meta Piksel Gizlilik Davasının Reddedilmesinin Olası Olmadığını Söyledi).
Geçtiğimiz Eylül ayında verilen bir kararda Orrick, Meta’nın, başlı başına ihmal ve çeşitli mahremiyet yasası ihlallerine ilişkin iddialar da dahil olmak üzere davacıların orijinal iddialarından birçoğunun reddedilmesi yönündeki talebini kabul etti.
Ancak daha önceki kararda yargıç, Meta’nın eyalet ve federal telefon dinleme iddialarını bir cihaz kullanarak davacıların elektronik iletişim içeriklerine kasıtlı olarak müdahale ettiği iddiası da dahil olmak üzere davanın diğer iddialar üzerinde ilerlemesine izin verdi (bkz.: Hakim Meta Pixel Web Tracker Davasına Yeşil Işık Yaktı).
Geçen sonbaharda verdiği kararda Orrick, davacıların, Meta’nın kendi rızaları olmadan topladığına inandıkları sağlık hizmeti sağlayıcılarına verdikleri hassas sağlık bilgilerinin türlerini veya kategorilerini açıklamak da dahil olmak üzere belirli gizlilik iddialarını güçlendirmek için değiştirilmiş bir şikayette bulunmalarına da izin verdi.
Davacılar, Eylül ayındaki karardan itibaren 20 gün içinde değiştirilmiş bir şikayette bulunma fırsatı için hakimin teklifini kabul etti.
Gizlilik İddialarını Güçlendirmek mi?
Meta, diğer iddiaların yanı sıra, davanın gizlilik iddialarını reddetmeye yönelik son önergesinde, davacıların yalnızca “genel olarak kamuya sağlık hizmetleri bilgileri sağlayan web sitelerinde gezinmeleri hakkındaki bilgilerin”, burada verilen URL’lere dayanarak Meta tarafından alındığını iddia ettiklerini savundu. davacıların değiştirilmiş şikayeti.
Ancak Pazartesi günkü kararında Orrick, Meta’nın, davacıların değiştirilen şikâyetinin mahremiyet iddialarını güçlendirmediği yönündeki iddiasına karşı çıktı.
Orrick, “Davacılar çoğunlukla tedavi veya hizmet aradıkları sağlık koşullarının yanı sıra sorgularının, randevu taleplerinin veya sağlayıcılarıyla iletişim kurdukları diğer bilgi ve hizmetlerin örneklerini de belirtiyorlar” diye yazdı.
Meta, açıklamaların hasta mahremiyetine dayalı iddiaları ihlal etmediğini savundu. Yargıç, “iddiaların bu noktada yeterli olduğuna, çünkü davacıların sağlık hizmeti sağlayıcılarıyla paylaştığı ve Meta tarafından makul bir şekilde toplanmış olan hassas bilgi türlerini genel olarak tanımladıklarına” karar verdi.
Meta ayrıca hastalar ve sağlayıcılar arasındaki iletişimin halka açık web siteleri üzerinden yapıldığını savundu ancak Orrick şöyle yanıt verdi: “Bu gerçek, koşulların bütünü göz önüne alındığında davacıların nihai olarak mahremiyetin ihlalini kanıtlayıp kanıtlayamayacakları sorusuyla alakasız değil. ancak bu noktada davacıların sağlık hizmetleri sağlayıcılarıyla sağlık ihtiyaçları hakkında iletişim kurduğu göz önüne alındığında, davacılar bu iddianın keşfedilmesine yetecek kadar iddiada bulundu.”
Orrick ayrıca Meta’nın davanın Kapsamlı Bilgisayar Verilerine Erişim ve Dolandırıcılık Yasası veya eyaletin bilgisayar korsanlığı karşıtı yasası ve diğer çeşitli eyalet yasa ihlali iddialarıyla ilgili iddialarını reddetme iddiasını da reddetti.
Orrick, bunların değiştirilmiş şikâyette, Meta’nın davacıların cihazlarını “üzerlerine gizlice bir çerez yerleştirerek” “normal çalışmalarını gasp ederek” değiştirdiği ve bilgisayarların davacıların verilerini Meta’ya yönlendirmesine neden olduğu yönündeki davacı iddialarını da içerdiğini yazdı.
“Davacılar Pixel’in Meta’ya bilgi kaydettiğini ve ilettiğini iddia ediyor. Meta’nın Pixel’i web sitesi ziyaretçilerinin eylemlerini kaydetmek ve izlemek için tasarladığını, Meta’nın Pixel’i web sitesi ziyaretçilerine yerleştirilmesine izin vermek için birinci taraf çerezi olarak gizlediğini söylüyorlar. Cihazların algılanmasını önler ve Pixel’in web sitesi ziyaretçilerinin cihazlarının normal çalışmasını gasp ettiğini” yazdı.
“Bunlar, Meta’nın ifadesiyle Pixel’in, ihlale yol açacak şekilde izinsiz bilgi aktardığını iddia etmek için yeterli. [of California’s anti-hacking statutes]. Meta’nın niyetinin bu olup olmadığı veya Meta’nın amacının hassas izleme bilgilerini izinsiz olarak güvence altına almak olup olmadığı kanıta dayalı olarak test edilmelidir.”
“Davacıların operasyonu ve etkilerine ilişkin iddialarının şu şekilde olduğu sonucuna varıyorum: [Meta] Bu noktada çerez yeterlidir. Eğer Meta, keşiften sonra tüm davacıların yalnızca verilerin kopyalanması ve davacıların verilerinde veya cihazlarında değişiklik yapılmaması gerektiğine işaret edebileceği konusunda haklıysa, o zaman Meta ‘yalnızca kullanım yeterli değildir’ argümanını yeniden gündeme getirebilir,” diye yazdı Orrick.
Davanın jürili duruşması 1 Aralık 2025’te yapılacak.
Davada ne Meta’yı temsil eden bir avukat ne de davacıları temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun Orrick’in kararına ilişkin yorum taleplerine hemen yanıt vermedi.
Büyüyen Tartışmalar
Bireylerin hassas sağlık verilerini ve konum bilgileri de dahil olmak üzere diğer verileri toplamak ve bunları üçüncü taraflarla paylaşmak için web izleyicilerinin kullanımına ilişkin gizlilik endişeleri artmaya devam ediyor.
Meta’nın açtığı davanın yanı sıra, birçok ABD sağlık kuruluşu, web sitelerinde ve hasta portallarında mevcut veya önceki çevrimiçi izleyici kullanımlarına ilişkin gizlilik endişelerini içeren, önerilen benzer toplu dava davalarıyla karşı karşıyadır.
Bu ayın başlarında, Kuzey Carolina merkezli sağlık sistemi Novant Health, web sitelerinde ve hasta portallarında izleme araçlarının kullanımını içeren birleştirilmiş toplu dava davasını sonuçlandırmak için 6,6 milyon dolar ödemeyi kabul etti (bkz: NC Sağlık Sistemi Web Takip Davasında 6,6 Milyon Dolar Ödemeyi Kabul Etti).
Federal ve eyalet düzenleyicileri de sağlıkla ilgili web sitelerinde web izleyicilerinin kullanımını yoğun bir şekilde inceliyor.
Aralık ayında, NewYork-Presbiteryen Hastanesi, akademik tıp merkezinin web sitelerinde ve hasta portalında izleme araçlarını daha önce kullanmasına ilişkin olarak New York eyaleti başsavcılığıyla yapılan anlaşma kapsamında 300.000 dolar para cezası ödemeyi ve düzeltici önlemler almayı kabul etti (bkz: State AG, Web İzleyici Kullanımı Nedeniyle Hastaneye 300 Bin Dolar Ceza Verdi).
ABD Federal Ticaret Komisyonu ile Sağlık ve İnsani Hizmetler Bakanlığı geçtiğimiz Temmuz ayında 130 hastaneye ve tele-sağlık sağlayıcılarına, çevrimiçi izleme teknolojilerinin kullanımıyla ilgili potansiyel veri gizliliği ve güvenlik ihlalleri konusunda uyarıda bulunan ortak mektuplar gönderdi (bkz: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
Ancak Amerikan Hastaneler Birliği ve diğer üç kuruluş geçtiğimiz Kasım ayında, HHS’nin hastaneler tarafından çevrimiçi takip cihazlarının kullanımının HIPAA’yı ihlal etme potansiyeline sahip olduğu yönündeki uyarıyı geri çekmesini isteyen federal bir dava açtı (bkz: AHA, Web İzleyici Kullanımı Hakkında Gizlilik Uyarısı Nedeniyle Federallere Dava Açtı).
26 Ocak’ta HHS, bu dava için bir rıza önergesi sunarak Teksas federal mahkemesinden, “tarafların olası bir çözümü tartışmasına olanak sağlamak için” tarafların özet karar için çapraz talepleri de dahil olmak üzere davada planlanan bir dizi süreyi uzatmasını talep etti. Mahkemenin daha fazla brifing veya müdahalesine gerek kalmadan konu.”
ABD’nin Teksas Kuzey Bölgesi Bölge Mahkemesi dün, HHS’nin bu davadaki birkaç brifing süresinin Nisan ortasına kadar yaklaşık bir ay uzatılması yönündeki talebini kabul etti.
Bu davaya dahil olmayan bir avukat ISMG’ye, HHS ile AHA arasındaki görüşmelerin davanın olası çözümüne ilişkin tartışmalarla ilgili göründüğünü söyledi.