Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Novant Health, Hasta Gizliliği İddialarını Çözüme Ulaştırmayı Tercih Eden Son Kuruluşlar Arasında
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ocak 2024
Kuzey Carolina’daki bir sağlık sistemi, web sitelerinde ve hasta portallarında izleme araçlarının kullanımını içeren birleştirilmiş toplu dava davasını sonuçlandırmak için 6,6 milyon dolar ödemeyi kabul etti. Davada, web sitesi takipçilerinin hassas hasta bilgilerini rızaları veya bilgileri olmadan üçüncü taraflara gönderdiği iddia ediliyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Kasım 2022’de açılan birleştirilmiş dava, NC merkezli Novant Health’in Winston-Salem’in 1 Mayıs 2020 ile 12 Ağustos 2022 arasında web sitelerinde ve MyChart hasta portalında yerleşik Meta piksel internet izleyicilerini kullanmasına odaklanıyordu.
Novant Health, çevrimiçi izleyicileri kullandığını 14 Ağustos 2022’de federal düzenleyicilere 1,36 milyondan fazla kişiyi etkileyen bir HIPAA ihlali olarak bildirmişti (bkz: FTC’ye Yönelik Dava Yoğunlaştırılmış Konum Verisi Gizliliği Savaşı).
Novant Health’in Ağustos 2022’de ABD Sağlık ve İnsani Hizmetler Bakanlığı’na sunduğu ihlal raporu, Yüksek Mahkeme’nin Haziran 2022’de Roe v. Wade davasını bozan kararının ardından, çevrimiçi izleyicilerin sağlıkla ilgili web siteleri tarafından kullanılmasıyla ilgili artan tartışmaların ortasında geldi.
Üreme sağlığı ve mahremiyet uzmanları, belirli eyaletlerdeki veri komisyoncularının ve kolluk kuvvetlerinin, konum takibi ve çevrimiçi ortamda ve akıllı telefonlarda bırakılan diğer dijital ayak izleri yoluyla kürtaj ve diğer hassas sağlık hizmetleri hakkında bilgi toplama potansiyeline sahip olduğu konusunda uyarmıştı.
Ayrıca, araştırmacı medya siteleri The Markup ve STAT’ın 2022’deki raporları, ülke çapında düzinelerce hastane ve telesağlık web sitesine yerleştirilmiş izleme araçları buldu.
Novant Health’in HHS Sivil Haklar Ofisi’ne rapor verdiği sırada yayınladığı ihlal bildiriminde sağlık grubu, salgın sırasında hastalarla daha iyi bağlantı kurmak için “tanıtım kampanyası” kapsamında Mayıs 2020’de izleyici kullanımını başlattığını söyledi. Kovid-19 pandemisi.
Novant, ihlal bildiriminde 17 Haziran 2022’de sağlık hizmeti sağlayıcısının web sitesinde ve hasta portalında “yanlış Pixel yapılandırmasının” bireylerin özel bilgilerinin Facebook’un ana şirketi Meta’ya iletilmesine izin vermiş olabileceğini belirlediğini söyledi.
Novant Health, potansiyel olarak etkilenen verilerin, hastaların e-posta adresi, telefon numarası, bilgisayar IP adresi, iletişim bilgileri, randevu türü ve tarihi gibi demografik bilgilerini ve doktorlarını içerdiğini söyledi.
Novant Health’e karşı birleştirilmiş dava, diğer iddiaların yanı sıra, sağlık sisteminin “gizli tıbbi bilgilerin yetkisiz iletimini ve ifşa edilmesini gizlice sağlayan tanınmış Facebook izleme pikselini web sitesine kasıtlı olarak yerleştirerek” davacıların ve sınıf üyelerinin mahremiyetini ihlal ettiğini iddia etti.
Novant Health, geçen hafta web sitesinde yayınlanan bir bildiride, önerilen anlaşmanın Novant Health tarafından “yanlış bir davranışın kabulü olmadığını ve mahkemenin herhangi bir yanlışlık bulmadığını” söyledi.
Açıklamada “Novant Health mümkün olduğu kadar şeffaf olmaya ve hastalara bilgi vermeye devam edecek” denildi.
Novant Health, Bilgi Güvenliği Medya Grubu’nun önerilen çözüme ilişkin ek yorum talebine ve sağlık kuruluşunun hâlâ web sitelerinde ve hasta portallarında çevrimiçi takip araçları kullanıp kullanmadığına ilişkin talebine hemen yanıt vermedi.
Yerleşim Detayları
Önerilen çözüm uyarınca, geçerli ve zamanında bir talep formu dolduran grup üyeleri, net uzlaşma fonundan orantılı bir nakit ödeme alabilirler.
Net uzlaşma fonu, idari masraflar ve ihbar masraflarının, temsilci başına 2.500 ABD Doları tutarındaki sınıf temsili hizmet ödüllerinin ve avukat ücretleri ve giderlerinin ödenmesinden sonra 6.6 milyon ABD Doları tutarındaki uzlaşma fonundan geriye kalan kısımdır; bu tutar, ücretler için toplam yaklaşık 1.2 milyon ABD Doları ve 30.000 ABD Dolarına kadar olacaktır. masraflar için.
Anlaşmanın nihai onayı için 6 Haziran’da ABD’nin Kuzey Carolina Orta Bölgesi’nde bir duruşma yapılması planlanıyor.
Büyüyen İnceleme
Novant Health, yakın zamanda web izleyici kullanımıyla ilgili hukuk davaları veya düzenleyici icra davalarını çözüme kavuşturan diğer birçok sağlık kuruluşunun en sonuncusu arasında yer alıyor.
Geçen ay, NewYork-Presbiteryen Hastanesi, New York eyaleti başsavcılığıyla, akademik tıp merkezinin web sitelerinde ve hasta portalında daha önce izleme araçları kullanmasına ilişkin bir anlaşma kapsamında 300.000 dolar para cezası ödemeyi ve düzeltici önlemler almayı kabul etti (bkz.: State AG, Web İzleyici Kullanımı Nedeniyle Hastaneye 300 Bin Dolar Ceza Verdi).
New York eyaleti düzenleyicileri, hastanenin hasta bilgilerinin pazarlama amacıyla üçüncü taraflarla paylaşılmasında HIPAA kurallarını ihlal ettiğini söyledi. NYP, Haziran 2022’de izleyici kullanımına ilişkin kendi adli tıp soruşturmasını yürüttü ve Mart 2023’teki olayı HHS OCR’ye yaklaşık 54.500 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi (bkz.: 3 Sağlık Kuruluşu Daha Web Sitesi İzleme İhlallerini Bildirdi).
Bu arada, Avukat Aurora Health, geçen Ağustos ayında, Illinois merkezli hastane zincirinin web sitelerinde ve hasta portalında izleme kodları kullanarak hasta mahremiyetini de ihlal ettiği yönündeki toplu toplu dava iddialarını çözüme kavuşturmak için 12,25 milyon dolar ödemeyi kabul etti. Avukat Aurora, Ekim 2022’de web izleyicilerinin daha önce kullanılmasıyla ilgili olarak 3 milyon kişiyi etkileyen bir HIPAA ihlali bildirdi (bkz.: 3 Sağlık Kuruluşu Daha Web Sitesi İzleme İhlallerini Bildirdi).
Bu arada, Avukat Aurora Health, geçen Ağustos ayında, Illinois merkezli hastane zincirinin web sitelerinde ve hasta portalında izleme kodları kullanarak hasta mahremiyetini de ihlal ettiği yönündeki toplu toplu dava iddialarını çözüme kavuşturmak için 12,25 milyon dolar ödemeyi kabul etti. Avukat Aurora, Ekim 2022’de web izleyicilerinin daha önce kullanılmasıyla ilgili olarak 3 milyon kişiyi etkileyen bir HIPAA ihlali bildirdi (bkz.: Sağlık Kuruluşu, Takip Kodu İhlalinin 3 Milyon Kişiyi Etkilediğini Açıkladı).
Bu arada Meta, sosyal medya devinin Pixel izleme araçlarını kullanarak milyonlarca kişinin hassas sağlık verilerini sağlık hizmeti sağlayıcısı web sitelerinden ve hasta portallarından hastaların bilgisi olmadan topladığı iddiasıyla Kuzey Kaliforniya federal mahkemesinde birleştirilmiş toplu davayla da karşı karşıya. rıza (bkz: Facebook Başka Bir Sağlık Verisi Gizliliği Davasıyla Karşılaştı).
Federal düzenleyiciler ayrıca sağlıkla ilgili web sitelerinde web izleyicilerinin kullanımını da yoğun bir şekilde inceliyor.
Federal Ticaret Komisyonu ve HHS geçen Temmuz ayında ortaklaşa 130 hastaneye ve tele-sağlık sağlayıcısına, çevrimiçi izleme teknolojilerinin kullanımını içeren potansiyel veri gizliliği ve güvenlik ihlalleri konusunda uyarıda bulunan mektuplar gönderdi (bkz: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
HHS OCR, Aralık 2022’de çevrimiçi izleyicilerin yasa dışı kullanımına ilişkin uyarı da içeren bir kılavuz yayınladı. Ajans, bu gibi durumlarda kuruluşlara karşı HIPAA yaptırım önlemleri almaya hazırlandığını söyledi.
Ancak geçen Kasım ayında Amerikan Hastane Birliği ve diğer üç kuruluş, HHS’nin hastaneler tarafından çevrimiçi izleyici kullanımının potansiyel olarak HIPAA’yı ihlal ettiği yönündeki uyarısını geri çekmesini isteyen federal bir dava açtı (bkz: AHA, Web İzleyici Kullanımı Hakkında Gizlilik Uyarısı Nedeniyle Federallere Dava Açtı).
Bu arada FTC, en az iki tele-sağlık sağlayıcısına (BetterHelp ve GoodRx) ve mobil doğurganlık uygulaması satıcısı Premom’a karşı, bu şirketlerin tüketicilerin hassas sağlık ve kişisel bilgilerini üçüncü taraf analitik ve sosyal ağlarla paylaşan izleme araçlarını kullanmasıyla ilgili davalarda yaptırım önlemleri aldı. bireylerin rızası olmadan medya firmaları.
Yine bu ayın başlarında ilgili bir gelişmede FTC, önerilen bir emirle veri komisyoncusu Outlogic’in (eski adıyla X-Mode Social) hassas konum verilerini üçüncü taraflarla paylaşmasını veya satmasını yasakladı. Anlaşma, şirketin kesin konum verilerini satarak tıbbi klinikler, ibadethaneler ve aile içi şiddet sığınma evleri gibi hassas yerleri ziyaret eden bireylerin izlenmesine olanak sağladığı yönündeki iddiaların ardından geldi (bkz: İhlal Özeti: FTC, Veri Aracısının Konum Paylaşmasını Yasakladı).