Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyum
Avukat Kirk Nahra, FTC’nin GoodRx, BetterHelp Gibi Anlaşmazlıklarda Nereye Gideceği Konusunda
Marianne Kolbasuk McGee (SağlıkBilgisi) •
17 Mart 2023
WilmerHale hukuk firmasının gizlilik avukatı Kirk Nahra, Federal Ticaret Komisyonu’nun iki şirkete karşı ayrı sağlık verileri gizliliği davalarındaki son eylemlerinin, kurumun tüketici sağlığı verilerinin sosyal medyaya ve diğer üçüncü taraflara ifşa edilmesini içeren ihlalleri uygulamak için “agresif baskısının” altını çizdiğini söyledi.
Ayrıca bakınız: Gizlilik ve Güvenlik – Politikadan Kontrollere Yolculuk
Nahra, FTC’nin “uygulama faaliyeti yoluyla yasa inşa ettiğini” söyledi. “Federal yasalar için bastırıyorlar. Ama aynı zamanda, ‘Kuralsız ve yasasız yaptırım uygulayacağız, çünkü sadece bu yönde ilerleyeceğiz’ diyorlar.”
Davalardan biri, tüketicilere bilgilerini Facebook ve Google da dahil olmak üzere üçüncü taraflarla paylaştığını söylemediği için bir tele sağlık ve indirimli reçeteli ilaç sağlayıcısı olan GoodRx’e FTC’nin 1,5 milyon dolarlık para cezası vermesiyle ilgiliydi. Bu aynı zamanda FTC’nin 14 yıllık Sağlık Veri İhlali Bildirim Kuralını ilk uygulamasıydı.
FTC, Eylül 2021’de politika kılavuzu aracılığıyla, tüketicilerin sağlık bilgilerini toplayan veya kullanan sağlık uygulamaları ve bağlı cihazlarla ilgili konularda kuralı uygulayacağı konusunda uyardı.
Nahra, bunun FTC’nin kuralla ilgili “kişisel sağlık kayıtları” tanımına girdiği düşünülenden çok daha geniş bir sağlık verisi aralığı olduğunu söyledi.
Diğer durumda, FTC, şirketin Facebook da dahil olmak üzere sosyal medya platformlarıyla hassas tanımlayıcı bilgileri paylaştığı iddialarını çözdükten sonra çevrimiçi bir konuşma terapisi şirketi olan BetterHelp’i 7,8 milyon dolarlık bir para cezasıyla vurdu.
Mutabakat sözleşmesinin bir parçası olarak BetterHelp, müşteri bilgilerini alan üçüncü taraflara bu bilgileri silmeleri talimatını vermelidir. Şirket ayrıca bir gizlilik programı uygulamalı ve önümüzdeki yirmi yıl boyunca her iki yılda bir üçüncü taraf gizlilik değerlendirmesinden geçmeyi kabul etmelidir.
Nahra, “Bence BetterHelp’in en ilginç yanı, FTC emirlerinin sonundaki yaptırımlar” dedi. “Temel olarak ‘Bunu artık yapamazsınız. Bireysel tüketicinin açık izni olmadan sağlık verilerini reklam için kullanamazsınız’ dediler.”
Ancak “şu noktada hiçbir yerde bunu söyleyen bir yasa yok” diye ekledi. “Temel olarak, sırtına binmek istedikleri başka bir şeyin önceden ihlali olduğunda bunu bir çare olarak kullandılar.”
İki vaka birlikte, FTC’nin Sağlık Veri İhlali Bildirimi Kuralı kapsamına girenlere ilişkin gelişen yorumuna ve ayrıca FTC Yasasının 5. Bölümü kapsamında, özellikle ulusal bir gizlilik yasasının yokluğunda, aldatıcı ve haksız eylem ve uygulamaları oluşturan şeylere ışık tutuyor. Nahra dedi.
“İki davanın ikisi de: Sondaki yaptırımlara bakın ve sondaki emirlere bakın. FTC’nin gitmek istediği yer burası. Oraya ulaşmak için bu davaları kullanıyorlar” dedi.
Video röportajında Nahra şunları da tartışıyor:
- Sağlık ve konum verileriyle ilgili diğer potansiyel gizlilik konularını içeren yasal ve düzenleyici konular;
- GoodRx ve BetterHelp vakaları ve diğer benzer vakalarla ilgili diğer kritik hususlar;
- Reklam veya pazarlama faaliyetleri için web izleme araçlarını veya ilgili teknolojileri kullanan kuruluşlar için tavsiye.
Nahra, küresel siber güvenlik ve gizlilik uygulamasına eş başkanlık ettiği Washington DC’de WilmerHale ile ortaktır. Veri ihlali sorunları, yaptırım eylemleri, büyük veri sorunları, sözleşme müzakereleri, iş stratejisi ve genel gizlilik, veri güvenliği ve siber güvenlik uyumluluğu hakkında tavsiyelerde bulunarak ülke çapında ve uluslararası düzeyde gizlilik ve güvenlik yasalarının gerekliliklerini analiz eder.