Waarom gesondheidsdata-privaatheid 'n skoot in die arm benodig
INHOUDSOPGAWE:
Die Amerikaanse gesondheidsorgsektor het 'n nare digitale versteuring wat verder strek as die ontelbare gevalle van datadiefstal tot iets meer verderfliks. Hoe het ons dit gevang, en hoe genees ons dit?
Die opskrifte is gevul met voorbeelde van gehackte gesondheidsorgmaatskappye wat kliëntedata verloor. Van Anthem's af van 79 miljoen gebruikers se rekords in 2015, tot verlede Desember s'n diefstal van 3.3 miljoen gebruikers se data van Regal Medical Group, bly die oortredings kom. Die jongste Amerikaanse departement van gesondheid en menslike dienste verslag aan die Kongres toon 'n toename van 58.2% in data-oortredingsverslae wat meer as 500 mense tussen 2017 en 2021 raak.
Drie tipes oortredings
Die eerste twee hoofoorsake van privaatheidskendings word goed verstaan. Die Anthem-oortreding val onder 'n geteikende aanval teen 'n goed beskermde stelsel. Ondersoekers het tot die gevolgtrekking gekom dat 'n vreemde nasiestaat betrokke was en Anthem het redelike maatreëls getref het om sy data te beskerm voor die hack. Die tweede oorsaak is onbevoegde nalatigheid, soos die blootstelling van miljoene mediese beelde aanlyn deur onveilige berging.
Die derde oorsaak van privaatheidsoortredings is interessanter omdat dit opsetlik is. Dit word gedoen met die kennis van die maatskappy wat verantwoordelik is vir die gesondheidsdata. Om van mediese terminologie te leen, is die eerste twee tipes oortreding akute, diskrete gebeurtenisse met 'n bekende einde. ’n Privaatheidsoortreding wat in die maatskappy se beleid ingebak is, is ’n chroniese siekte wat voortduur so lank as wat die oortreders dit toelaat.
Een van die mees noemenswaardige privaatheidsoortredings wat deur die maatskappy goedgekeur is, het 'n aanlyn beradingsdiens genaamd BetterHelp behels. In Maart vanjaar het die FTC hierdie maatskappy gedwing om 'n skikking van $7.8 miljoen te betaal om aanklagte van die deel van verbruikers se sensitiewe gesondheidsorgdata met derde partye, insluitend Facebook, Pinterest en Snapchat, te betaal. Die FTC het gesê dat BetterHelp data gedeel het, insluitend inligting oor verbruikers se geestesgesondheidsuitdagings wat via 'n vraelys ingesamel is, saam met hul e-posadresse en IP-adresse.
Deur hierdie inligting aan Facebook deur te gee, het die sosialemediareus in staat gestel om data wat hy oor sy ander gebruikers gehad het, te ontgin, diegene met soortgelyke eienskappe as BetterHelp se kliënte te vind en hulle met advertensies te teiken om nuwe kliënte te genereer.
Die FTC's klagte beweer ook dat BetterHelp die Health Insurance Portability and Accountability Act (HIPAA) seël op sy webwerwe ingesluit het en sertifisering geëis het sonder dat enige regeringsagentskap die maatskappy se datapraktyke hersien het.
Derdeparty-opsporing is algemeen onder gesondheidsorgverskaffers. A verslag in Gesondheid Sake het onlangs gevind dat byna 99% van hospitale nasporing op hul webwerwe gebruik. Hierdie spoorsnyers het data na sosiale media, advertensiemaatskappye en datamakelaars gestuur. Hierdie hospitale "fasiliteer die profilering van hul pasiënte deur derde partye," lui die verslag, wat lei tot hoogwaardige skade.
Teken hier en gee jou privaatheidsregte op om voort te gaan
Privaatheidsoortredings word nie altyd sonder die gebruiker se medewete uitgevoer nie. Soms, soos dikwels in tegnologie gebeur, oorreed maatskappye kliënte om hul privaatheidsregte weg te teken. 'n Washington Post ondersoek het onlangs ontbloot dat Amazon dit doen as deel van sy Amazon Clinic-verbruikersgerigte gesondheidsorgonderneming. Die diens volg die platformmodel en bied 'n forum vir verbruikers om aanlyn met vennootklinici te kommunikeer en mediese voorskrifte te bekom. Soos baie platformoperateurs, samel Amazon egter meer in as net 'n verlaging van die fooi; dit kry ook om kliëntedata te oes. In hierdie geval is die data hoogs sensitief, insluitend besonderhede en foto's van mediese toestande.
Volgens die WaPo-ondersoek vereis Amazon dat klante 'n vorm onderteken wat Amazon toegang gee tot 'n pasiënt se mediese lêer en toestemming dat dit "heropenbaar" word, waarna dit "nie meer deur HIPAA beskerm sal word nie."
“Wat kan verkeerd gaan?” vra die WaPo-skrywer Geoffrey Fowler. "Daar is baie moeilike maniere waarop Amazon jou gesondheidsinligting kan gebruik: om jou op ander dienste te verkoop, om bemarking vir sy reuse-advertensiebesigheid te rig, of om kunsmatige intelligensie of pasiëntrisikomodelle uit te bou."
Amazon – of inderdaad die maatskappye aan wie dit die data deurgee – kan ook jou data wettiglik aan ander verkoop waarvan jy nog nooit gehoor het nie. Dit kan moontlik in staatshande val, wat die spook verhoog van, sê, staatsregerings wat 'n persoon se werklike of vermoedelike swangerskapstatus gebruik om anti-aborsiewette af te dwing.
Ons het reeds gesien hoe state data gebruik om onwettige aborsiesake te vervolg. Verlede somer, wetstoepassers gebruik Facebook-kletsboodskappe tussen 'n ma en dogter om 'n saak van onwettig bestuurde aborsie te vervolg. Hierdie saak is gekoop voordat SCOTUS Roe V Wade omvergewerp het en behels 'n oortreding van bestaande staatswetgewing gebaseer op die termyn van die swangerskap.
Tyd vir 'n opdatering van die wet
Amazon het aan WaPo gesê hy gebruik nie klantdata vir doeleindes waartoe klante nie ingestem het nie, maar dit is die punt. Kliënte teken dikwels toestemming weg sonder om kontrakte so goed te lees soos hulle moet. Dit is deels omdat die kontrakte lank en kompleks is. In Amazon se geval is toestemming verpligtend. Jy teken óf, óf jy kry nie die diens nie. Dit sal nie onder die EU toegelaat word nie Regulasie Algemene Data Protection (GRPR), wat daardie praktyk uitdruklik verbied.
Soos dit nou staan, is HIPAA die enigste federale wet wat gesondheidsdata uitdruklik beskerm, maar dit het tekortkominge. Dit is slegs van toepassing op gedekte entiteite – gesondheidsorgverskaffers en gesondheidsbesighede – en nie op ander wat dalk gesondheidsdata insamel en gebruik nie.
Toe HIPAA in 1996 geslaag het, was Windows 95 en Amazon.com blink en nuut. Terwyl tegnologie aanbeweeg het, het die wet dit nie gedoen nie. HIPAA is nie meer so effektief as wat ons dit nodig het om te wees in 'n wêreld waar sensitiewe data en metadata gereeld gedigitaliseer en aan die hoogste bieër afgelewer word nie. Die VSA moet federale privaatheidswetgewing opdateer om 'n alternatief vir HIPAA en die lappieskoms van wette wat breër verbruikersprivaatheid ondersteun, te versterk of te bied. Sterk, samehangende federale privaatheidswetgewing sal net wees wat die dokter beveel het, saam met 'n goed befondsde reguleerder om dit af te dwing.