Медицинские компании передают данные о пациентах технологическим компаниям

Медицинские компании передают данные о пациентах технологическим компаниям

Калифорнийская компания занимающаяся услугами в сфере здравоохранения, Kaiser Permanente, недавно сообщила миллионам своих клиентов о том, что их личная информация была неправомерно передана технологическим компаниям.

О чем сообщили в Kaiser Permanente:

  • Сайты компании и ее приложения могли неправомерно передавать личную информацию пользователей таким компаниям, как Google, Microsoft и X (ранее Twitter).
  • Компания намерена уведомить 13,4 миллиона текущих и бывших пациентов о нарушении в течение следующего месяца.
  • Инцидент классифицирован как «несанкционированное» раскрытие данных, включая имена и поисковые запросы пользователей.
  • Федеральные органы усилили контроль за использованием трекинговых технологий в медицинских компаниях, акцентируя внимание на важности защиты данных пациентов.
  • В Kaiser Permanente извинились за утечку данных, удалили трекеры со своих сайтов и приложений, и подчеркнули, что финансовая информация и логины-пароли не были переданы третьим сторонам.

Анализ, проведенный агентством Bloomberg News, показал, что аналогичные онлайн-трекеры все еще присутствуют на сайтах ведущих медицинских компаний США, о чем миллионы их пациентов даже не догадываются.

По данным исследования, трекеры Facebook (Meta) могли получить доступ к датам рождения и номерам телефонов пациентов на сайте аптечного подразделения Cigna Group. Пользователи, регистрирующие учетные записи в аптечном подразделении UnitedHealth Group Inc., могли случайно раскрыть свои номера социального страхования маркетинговой службе Adobe Inc. Сайты подразделений CVS Health Corp. позволяли аналитической компании Quantum Metric считывать номера социального страхования, пароли и даты рождения.

Утечка личных данных, таких как даты рождения, номера телефонов и социальное страхование, представляет значительную угрозу из-за риска кражи личности, финансового мошенничества, нарушения конфиденциальности и снижения доверия к медицинским учреждениям. Злоумышленники могут использовать эти данные для незаконных финансовых операций и кражи личных данных, что может привести к серьезным последствиям для пострадавших.

Утечка личных данных

«Использование трекеров, подобных трекеру Facebook, на вашем сайте вызывает серьезные вопросы в отношении конфиденциальности,» — говорит Джастин Шерман, основатель консалтинговой компании Global Cyber Strategies.

На сайтах девяти из десяти крупнейших компаний, занимающихся медицинским страхованием, больницами и лабораториями, были установлены рекламные и аналитические трекеры на страницах регистрации или входа пользователей. Эти трекеры могут предоставлять персональные данные сторонним компаниям. Bloomberg News проверил эти сайты с помощью инструмента для браузера от компании Feroot Security, которая помогает компаниям находить и удалять веб-трекеры.

Feroot Security — это компания, специализирующаяся на кибербезопасности, предоставляющая решения для защиты веб-приложений и пользовательских данных от угроз. Они предлагают инструменты для мониторинга и защиты от атак на стороне клиента, таких как JavaScript-атаки и скриптинговые угрозы.

Медицинские компании с наибольшим количеством трекеров

Количество трекеров на страницах входа и регистрации. Трекеры могут передавать личную информацию сторонним компаниям.

Ambetter Health (Centene)
25
UnitedHealthcare (UnitedHealth)
23
Express Scripts (Cigna)
19
Humana
12
Optum Rx (UnitedHealth)
11
Wellcare (Centene)
11
Wellpoint (Elevance Health)
9
CVS Caremark
8
Aetna (CVS)
6
Quest Diagnostics
5
Molina Healthcare
4
Cigna Group
4
Bloomberg

Представитель Meta подчеркнул, что их система запрещает рекламодателям передавать конфиденциальные персональные данные через инструменты компании, и что система разработана для их фильтрации при обнаружении. В CVS Health сообщили, что компания применяет меры контроля, которые ограничивают или шифруют идентифицируемую информацию перед передачей сторонним поставщикам.

Рекламная платформа компании Meta автоматически распознает и блокирует использование личной информации, загружаемой рекламодателями, такой как номера телефонов и адреса электронной почты.

Представители компаний Cigna, UnitedHealth, Adobe и Quantum Metric не представили комментарии или отказались от них.

Сбор данных рекламными платформами

Эксперты по конфиденциальности предупреждают, что трекеры на медицинских сайтах и в приложениях могут передавать рекламодателям и брокерам данных личную информацию, такую как получение рецептов на виагру, беременность или лечение психических заболеваний, без согласия пациентов.

В рамках более обширного исследования, проведенного компанией Feroot в прошлом году, выяснилось, что 86 % веб-сайтов, связанных с здравоохранением и телемедициной, собирают данные без согласия пользователей и передают их крупным технологическим компаниям. Другое исследование, опубликованное в журнале JAMA в этом году, показал, что из 100 больничных сайтов 96 передавали информацию третьим сторонам, и большинство из них не указывали в своих политиках конфиденциальности, куда направляются эти данные.

Федеральные регулирующие органы уже несколько лет пытаются остановить сбор персональных данных на медицинских сайтах. Федеральная торговая комиссия США (FTC) оштрафовала несколько компаний за обмен пользовательскими данными. Министерство здравоохранения и социальных служб (HHS) выпустило руководство, указывающее, что онлайн-трекеры могут нарушать федеральные правила конфиденциальности.

Подразделению Teladoc Health Inc.BetterHelp — было запрещено передавать данные о здоровье пользователей социальным сетям. Это произошло в рамках расследования FTC, которая обвила BetterHelp в нарушении конфиденциальности данных пользователей и передаче чувствительных данных, включая ответы на опросы о психическом здоровье, адреса электронной почты и IP-адреса, для рекламных целей. Компанию обязали выплатить $7,8 млн для урегулирования обвинений. BetterHelp заявила, что не признает вины и что они не передавали имена или клинические данные сеансов терапии рекламодателям.

В ответ медицинские компании обратились в суд, оспаривая позицию HHS и заявляя, что оно превысило свои полномочия. Они также отметили, что некоторые правительственные сайты используют аналогичную технологию. В июне судья из Техаса вынес решение против HHS, ограничив его полномочия штрафовать медицинские компании за использование трекеров.

Эксперты по конфиденциальности

Рынок стоимостью 250 миллиардов долларов

Трекеры, собирающие персональные данные, широко распространены в Интернете. Их также называют пикселями, и для большинства пользователей они остаются незаметными. Однако технологические компании и брокеры данных используют их для сбора информации о поведении пользователей в Интернете.

Брокеры данных — это компании, которые собирают, анализируют и продают информацию о людях и их поведении. Они получают данные из различных источников, таких как веб-сайты, социальные сети, публичные записи, магазины и приложения. Эти данные могут включать информацию о покупках, онлайн-активности, демографические данные и многое другое. Брокеры данных обрабатывают и анализируют эту информацию, чтобы создавать детализированные профили, которые затем продают другим компаниям для маркетинга, рекламы и других целей. Примеры таких компаний: Acxiom, Experian, Equifax, CoreLogic, Dun & Bradstreet. В России рынок таких компаний не развит, и подобными активностями в основном занимаются подразделения компаний: DoubleData, Интерфакс СПАРК, МТС Маркетолог, СберМаркетинг, МегаФон Таргет.

Брокеры данных

Эксперты оценивают объём рынка этих данных в США примерно в 250 миллиардов долларов.

Иногда детали указываются мелким шрифтом. Например, в политике конфиденциальности подразделения Aetna компании CVS говорится, что компания собирает номера социального страхования, интернет-адреса, демографические данные и другую информацию. Ее трекеры могут фиксировать такие действия, как «просмотры страниц, движения мыши, прокрутка, ввод текста» и другие данные о просмотре сайтов.

По мнению Шермана и других специалистов по кибербезопасности, использование трекеров на медицинских сайтах, где обрабатываются конфиденциальные данные, вызывает серьёзные опасения по поводу конфиденциальности и может противоречить федеральным правилам, направленным на защиту медицинской информации пациентов.

Согласно прошлогоднему отчету компании Feroot, примерно 15% веб-сайтов, связанных со здравоохранением, могли считывать точные нажатия клавиш на страницах входа. Это означает, что они могли собирать номера социального страхования, имена пользователей, пароли, адреса электронной почты, время приема, информацию о счетах и медицинские диагнозы.

Рост числа судебных исков

Рост числа судебных исков

В иске против Kaiser Permanente утверждается, что трекеры собирали имена, интернет-адреса и поисковые запросы, отправляя их в Google (Alphabet Inc), социальную сеть X и поисковую систему Bing (Microsoft Corp). Эти трекеры были размещены на страницах, защищенных паролем, что позволяло технологическим компаниям создавать более целенаправленную рекламу на основе поведения пользователей. Жалоба была подана в федеральный суд Северного округа Калифорнии в июне 2023 года.

Роскомнадзор регулярно выявляет множество случаев утечек персональных данных из различных российских компаний, включая интернет-магазины и социальные сети. Эти утечки часто связаны с установкой трекеров и сбором данных без должного уведомления пользователей. Вот один из примеров.

В Kaiser сообщили, что компания провела внутреннее расследование и удалила трекеры с веб-сайтов и мобильных приложений. Компания добилась прекращения дела и отказалась комментировать судебный процесс. Microsoft заявила, что ее политика запрещает использование медицинской информации в рекламных целях.

В Google заявили, что клиенты ее измерительных инструментов, таких как Google Analytics, владеют собранными данными, и сама компания не использует их для таргетинга рекламы поисковой системы. Политика компании запрещает клиентам использовать Google Analytics для сбора защищенной медицинской информации, а также запрещает рекламу, основанную на данных о здоровье или другой конфиденциальной информации, сообщил представитель Google.

В другом иске против ассоциации Blue Cross Blue Shield Association, поданном в ноябре в федеральный суд в Иллинойсе, утверждается, что веб-сайт, используемый для федеральных служащих, отправлял данные в TikTok компании ByteDance Ltd. и другим технологическим компаниям. Эти данные включали поисковые запросы пользователей на такие темы, как психическое здоровье или беременность. В жалобе также отмечается, что сам TikTok запрещен на телефонах федеральных властей по соображениям национальной безопасности.

Ассоциация добилась отклонения иска и воздержалась от комментариев. Представитель TikTok также не стал комментировать иск, сославшись на политику компании, согласно которой пиксель не должен устанавливаться на сайтах, которые могут содержать личную медицинскую информацию.

По словам Ивана Царынного, генерального директора компании Feroot, некоторые медицинские компании убрали трекеры со своих сайтов из-за возросшего давления. Он также отметил, что ожидает, что больше компаний будут раскрывать информацию об утечках данных, связанных с использованием трекеров, как это сделала Kaiser Permanente.

Не всегда ясно, куда поступают данные, собранные трекерами.

«Мы не всегда знаем, каковы цели такой слежки,» — отмечает Шарлотта Тшидер, профессор права кибербезопасности в Университете Лойолы в Чикаго. «Возможно, что даже медицинские организации сами не до конца понимают свои действия.»

Другие материалы по этой теме: