Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Medtronic MiniMed InPen Kullanıcılarını Etkileyen İhlal Konusunda Açılan Önerilen Toplu Dava
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
31 Ağustos 2023
Tıbbi cihaz üreticisi Medtronic MiniMed, bu hafta açılan federal toplu dava teklifine göre, InPen diyabet yönetimi uygulamasında ve hizmetlerinde Google Analytics ve Firebase gibi izleme ve kimlik doğrulama teknolojilerini kullanarak hasta gizliliğini ihlal etti.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Avukatlar Çarşamba günü Los Angeles federal mahkemesinde Medtronic MiniMed ve MiniMed Distribution Corp.’a karşı, yaklaşık Temmuz 2020’den bu yana MiniMed’in InPen uygulamasını ve hizmetlerini kullanan AH olarak tanımlanan bir davacı adına dava açtı.
Şikayet, diğer iddiaların yanı sıra, Kaliforniya merkezli Medtronic MiniMed’in izleme ve kimlik doğrulama teknolojilerini kullanırken, InPen kullanıcılarının hassas kişisel bilgilerini ve sağlık bilgilerini onların bilgisi veya rızası olmadan gizliliklerini ihlal ederek Google’a ve diğer üçüncü taraflara ifşa ettiğini iddia ediyor.
Davada, Medtronic MiniMed’in “kasıtlı olarak karını hastalarının mahremiyetinin üzerine koymayı seçtiği, böylece gelecekteki pazarlama çalışmaları için değerli verilerine erişip bu verilerden para kazanabileceği” iddia ediliyor. Şikayette ayrıca Medtronic’in, hastaların özel bilgilerinin, önceden yazılı izin alınmadığı sürece pazarlama amacıyla paylaşılmayacağını vaat eden kendi gizlilik politikasını da ihlal ettiği ileri sürüldü.
Dava, davacı ve grup üyelerine mali tazminat ve genişletilmiş kredi izlemenin yanı sıra Medtronic MiniMed’in veri güvenlik sistemlerini ve izleme prosedürlerini güçlendirmesini gerektiren ihtiyati tedbir talep ediyor.
İhlal Ayrıntıları
Davanın merkezinde, MiniMed’in Nisan ayında ABD Sağlık ve İnsani Hizmetler Bakanlığı’na yaklaşık 58.400 kişiyi etkilediği bildirilen izinsiz erişim/ifşa HIPAA ihlali yer alıyor.
Şirket, bir ihlal bildiriminde, olayın şirketin InPen diyabet yönetimi iOS ve Android mobil uygulamalarında Google Analytics, Firebase ve Crashlytics dahil izleme ve kimlik doğrulama teknolojilerini kullanmasını içerdiğini söyledi (bkz: Medtronic, InPen Mobil Diyabetik Uygulama Takibi İhlalini Bildirdi).
Medtronic, Nisan ayı ihlal bildiriminde, “teknik sorunları izlemek, kullanıcıların InPen Uygulaması ile nasıl etkileşim kurduğunu anlamak ve kullanıcıların hesaplarına erişmeden önce kimlik doğrulamasının uygun şekilde yapılmasını sağlamak için” teknolojileri Eylül 2020’de uygulamaya koyduğunu söyledi.
Ancak Medtronic, daha sonra 13 Şubat’ta bu araçların, kullanıcının InPen uygulaması içindeki eylemleriyle ilgili belirli ayrıntıları açıkladığını tespit ettiğini söyledi; “özellikle InPen Uygulaması ile aynı anda Google hesaplarına giriş yapan ve kimliklerini paylaşan kullanıcılar için” veya Google ile yapılan diğer çevrimiçi etkinlikler.”
Medtronic’in olayla ilgili araştırması, potansiyel olarak ifşa edilen InPen kullanıcı bilgilerinin e-posta adresi, IP adresi, telefon numarası, InPen Uygulaması kullanıcı adı ve şifresi, belirli InPen Uygulaması etkinlikleriyle ilgili zaman damgası bilgileri ve bir kişinin InPen hesabına veya hesabına bağlı belirli benzersiz tanımlayıcıları içerdiğini belirledi. mobil cihaz.
Şirket, Google Analytics’i InPen uygulamasının en son sürümünden kaldırdığını ve Crashlytics ve Firebase Authentication’dan “InPen Uygulaması için yeni kilitlenme raporlama ve kimlik doğrulama platformlarına” geçiş yapma planını uygulamaya koyduğunu söyledi.
Medtronic’in HHS Sivil Haklar Dairesi’ne sunduğu ihlal raporu, federal kurumun Aralık ayında sağlıkla ilgili web siteleri ve uygulamalarda üçüncü taraf izleme araçlarının kullanımının HIPAA gizlilik kuralını ihlal edebileceğine dair uyarıda bulunmasından yaklaşık dört ay sonra geldi (bkz.: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor).
O tarihten bu yana, Federal Ticaret Komisyonu, sağlıkla ilgili web sitelerinde ve potansiyel olarak FTC düzenlemelerini ihlal eden uygulamalarda izleme araçlarının kullanımına ilişkin benzer uyarılar yayınladı (bkz.: Federaller Hastaneleri ve Tele-Sağlık Firmalarını Web Takip Cihazı Kullanımı Konusunda Uyardı).
Medtronic, Bilgi Güvenliği Medya Grubu’nun davaya ilişkin yorum talebine hemen yanıt vermedi.
Büyüyen İnceleme
Son aylarda, giderek artan sayıda sağlık sektörü kuruluşu, web siteleri, uygulamalar ve hasta portallarında Google Analytics ve Meta Pixel gibi izleme araçlarını önceki kullanımlarıyla ilgili sağlık verileri ihlalleri bildirdi.
Ancak şimdi Medtronic gibi bu kuruluşlardan bazıları, gizlilik ihlalleri ve bireylerin hassas sağlık ve kişisel bilgilerinin hukuka aykırı bir şekilde ifşa edilmesini içeren diğer iddialar iddiasıyla önerilen toplu davalarla da karşı karşıya.
“OCR, kamuya açık ihlal raporlama mekanizmasına (yani ‘utanç duvarı’na) sahip az sayıda kuruluştan biridir; bu nedenle, davacı firmaların büyük sağlık bilgileri ihlallerini ve bu ihlallerden sorumlu şirketleri kamuya açık olduğu için tespit etmesi çok daha kolaydır. Taft hukuk firmasından avukat Cory Brennan, bu web izleme davalarında açılan davalardaki artış hakkında “Mevcut bilgiler var” dedi. Brennan, Medtronic davasına dahil değil.
Avukat Aurora Health, Ekim 2022’de HHS OCR’ye 3 milyon kişiyi etkileyen web izleyiciyle ilgili bir HIPAA ihlali bildirdi (bkz.: Sağlık Kuruluşu, Takip Kodu İhlalinin 3 Milyon Kişiyi Etkilediğini Açıkladı).
Son zamanlarda Avukat Aurora, Illinois merkezli hastane zincirinin web sitelerinde ve hasta portalında izleme kodlarını kullanarak hasta mahremiyetini ihlal ettiği yönündeki birleştirilmiş toplu dava iddialarını çözüme kavuşturmak için 12,25 milyon dolar ödemeyi kabul etti (bkz: Aurora’yı Avukatlayın Web Takipçisi İddialarını 12,25 Milyon Dolara Çözecek).
Meta da dahil olmak üzere bu izleme araçlarının bazı üreticileri, hassas sağlık bilgilerini toplamak ve üçüncü taraflarla paylaşmak için kendi web izleme teknolojilerinin sağlıkla ilgili web sitelerinde ve uygulamalarda kullanılmasını içeren önerilen toplu dava davalarıyla da karşı karşıyadır (bkz: Federal Yargıç Meta Piksel Davasında İddiaları Kabul Etmeye Eğilimli).
Brennan, “Artık bu davaların bazılarında nispeten yüksek dolar anlaşmalarına ulaşıldığına göre, bu toplu davaların daha fazlasının açıldığını göreceğimizden şüpheleniyorum” dedi. “Kuruluşların web ortamlarında bu izleme teknolojilerini nasıl kullandıklarını değerlendirmeleri ve bazı durumlarda yeniden değerlendirmeleri önemlidir, böylece bir sonraki dava kapılarını çalarsa dümdüz yakalanmazlar.”
Ancak şirketlerin web izleyicilerinin kullanımıyla ilgili olarak karşı karşıya kaldıkları tek şey hukuk davası tehdidi değildir. Bazı firmalar zaten Federal Ticaret Komisyonu tarafından para cezaları ve uzlaşmalarla karşı karşıya kaldı ve HHS OCR liderleri, web izleyicilerinin kullanımını içeren ihlaller nedeniyle yakın zamanda HIPAA yaptırım önlemleri alınacağı konusunda uyarıda bulundu.
Düzenleme avukatı Rachel Rose, bu davalardaki son FTC anlaşmaları hakkında “2023’teki çeşitli FTC yaptırım eylemlerinde gördüğümüz gibi, BetterHelp ve GoodRx, tüketiciler tarafından girilen verileri yasa dışı bir şekilde takip ettiği iddia edilen büyük şirketlerdir” dedi.
“HHS ve FTC’nin açıklamaları ve yaptırım eylemleri göz önüne alındığında, bu izlenmesi gereken bir alan. Ufukta muhtemelen daha fazla vaka göreceğiz” dedi.