Tıp şirketleri hasta verilerini teknoloji şirketleriyle paylaşıyor

Tıp şirketleri hasta verilerini teknoloji şirketleriyle paylaşıyor

Kaliforniya merkezli sağlık hizmetleri şirketi Kaiser Permanente, kısa süre önce milyonlarca müşterisine kişisel bilgilerinin teknoloji şirketleriyle usulsüz bir şekilde paylaşıldığını bildirdi.

Kaiser Permanente'nin bildirdiği:

  • Şirketin web siteleri ve uygulamaları, kullanıcıların kişisel bilgilerini Google, Microsoft ve X (eski adıyla Twitter) gibi şirketlere usulsüz bir şekilde iletmiş olabilir.
  • Şirket, önümüzdeki ay içinde 13.4 milyon mevcut ve eski hastayı ihlal konusunda bilgilendirmeyi planlıyor.
  • Olay, kullanıcı adları ve arama sorguları da dahil olmak üzere "yetkisiz" veri açıklaması olarak sınıflandırılmıştır.
  • Federal yetkililer, sağlık şirketleri tarafından kullanılan izleme teknolojilerine yönelik incelemeleri artırdı ve hasta verilerinin korunmasının önemine dikkat çekti.
  • Kaiser Permanente, veri sızıntısı için özür diledi, web sitelerinden ve uygulamalardan izleyicileri kaldırdı ve mali bilgiler ve giriş kimlik bilgilerinin üçüncü taraflarla paylaşılmadığını vurguladı.

Bloomberg News tarafından yapılan bir analiz, benzer çevrimiçi izleyicilerin hala önde gelen sağlık şirketlerinin web sitelerinde bulunduğunu ve milyonlarca hastalarının bunun farkında olmadığını ortaya koydu.

Araştırmaya göre, Facebook izleyicileri (Meta) Cigna Group'un eczane birimi web sitesinde hastaların doğum tarihlerini ve telefon numaralarını erişebilir durumda olabilir. UnitedHealth Group Inc.'ın eczane biriminde hesap kaydı yapan kullanıcılar, yanlışlıkla Adobe Inc'in pazarlama hizmetine Sosyal Güvenlik numaralarını ifşa etmiş olabilir. CVS Health Corp. birimlerinin web siteleri, analiz şirketi Quantum Metric'in Sosyal Güvenlik numaralarını, parolaları ve doğum tarihlerini okumasına izin verdi.

Doğum tarihleri, telefon numaraları ve Sosyal Güvenlik numaraları gibi kişisel verilerin sızdırılması, kimlik hırsızlığı, finansal dolandırıcılık, gizlilik ihlali ve sağlık kurumlarına olan güvenin azalması gibi riskler nedeniyle önemli bir tehdit oluşturur. Suçlular, bu verileri yasa dışı finansal işlemler ve kimlik hırsızlığı için kullanabilir, bu da mağdurlar için ciddi sonuçlara yol açabilir.

Kişisel Verilerin Sızdırılması

«Facebook izleyicisi gibi izleyicilerin sitenizde kullanılması, gizlilikle ilgili ciddi soruları gündeme getirir,» diyor danışmanlık firması Global Cyber Strategies'in kurucusu Justin Sherman.

En büyük sağlık sigortası şirketleri, hastaneler ve laboratuvarların web sitelerinin onundan dokuzunda, kullanıcı kayıt veya giriş sayfalarına reklam ve analiz izleyicileri yerleştirilmiştir. Bu izleyiciler kişisel verileri üçüncü taraf şirketlere iletebilir. Bloomberg News, bu siteleri Feroot Security şirketinin tarayıcı aracı ile inceledi; bu araç, şirketlerin web izleyicilerini bulmasına ve kaldırmasına yardımcı olur.

Feroot Security, web uygulamalarını ve kullanıcı verilerini tehditlere karşı koruma çözümleri sunan bir siber güvenlik şirketidir. JavaScript saldırıları ve betik tehditleri gibi istemci tarafı saldırılara karşı izleme ve koruma araçları sunar.

En çok izleyiciye sahip sağlık şirketleri

Giriş ve kayıt sayfalarındaki izleyici sayısı. İzleyiciler kişisel bilgileri üçüncü taraf şirketlere iletebilir.

Ambetter Health (Centene)
25
UnitedHealthcare (UnitedHealth)
23
Express Scripts (Cigna)
19
Humana
12
Optum Rx (UnitedHealth)
11
Wellcare (Centene)
11
Wellpoint (Elevance Health)
9
CVS Caremark
8
Aetna (CVS)
6
Quest Diagnostics
5
Molina Healthcare
4
Cigna Group
4
Bloomberg

Meta temsilcisi, sistemlerinin reklam verenlerin şirketin araçları aracılığıyla hassas kişisel bilgileri iletmesini yasakladığını ve sistemin tespit edildiğinde bunları filtrelemek için tasarlandığını vurguladı. CVS Health, şirketin, üçüncü taraf sağlayıcılarla paylaşılmadan önce tanımlanabilir bilgileri sınırlayan veya şifreleyen kontroller uyguladığını bildirdi.

Meta’nın reklam platformu, reklam verenler tarafından yüklenen telefon numaraları ve e-posta adresleri gibi kişisel bilgilerin kullanımını otomatik olarak algılar ve engeller.

Cigna, UnitedHealth, Adobe ve Quantum Metric temsilcileri yorum yapmadılar veya yorum yapmaktan kaçındılar.

Reklam platformlarının veri toplaması

Gizlilik uzmanları, tıbbi siteler ve uygulamalardaki izleyicilerin, kullanıcıların Viagra reçetesi alması, hamilelik veya ruh sağlığı tedavisi gibi kişisel bilgileri reklam verenlere ve veri komisyoncularına hastaların onayı olmadan iletebileceği konusunda uyarıyor.

Geçen yıl Feroot tarafından yapılan daha geniş bir araştırmada, sağlık ve tele tıp ile ilgili web sitelerinin %86'sının kullanıcı onayı olmadan veri topladığı ve bunları büyük teknoloji şirketlerine ilettiği ortaya çıktı. Bu yıl JAMA dergisinde yayımlanan bir başka çalışma, 100 hastane sitesinden 96'sının bilgileri üçüncü taraflara ilettiğini ve çoğunun bu verilerin nereye gittiğini gizlilik politikalarında belirtmediğini gösterdi.

Federal düzenleyiciler, sağlık sitelerinde kişisel veri toplamayı durdurmaya çalışıyor. ABD Federal Ticaret Komisyonu (FTC), birkaç şirketi kullanıcı verilerini paylaşmaktan dolayı cezalandırdı. Sağlık ve İnsan Hizmetleri Departmanı (HHS), çevrimiçi izleyicilerin federal gizlilik kurallarını ihlal edebileceğini belirten bir kılavuz yayımladı.

Teladoc Health Inc.’s birimi BetterHelp'in kullanıcı sağlık verilerini sosyal ağlara iletmesi yasaklandı. Bu, FTC'nin bir soruşturmasının parçası olarak ortaya çıktı; BetterHelp'in kullanıcı veri gizliliğini ihlal ettiği ve akıl sağlığı anketlerine verilen yanıtlar, e-posta adresleri ve IP adresleri dahil olmak üzere hassas verileri reklam amaçlı ilettiği iddia edildi. Şirket, suçlamaları çözmek için 7.8 milyon dolar ödemek zorunda kaldı. BetterHelp, suçunu kabul etmediğini ve reklam verenlere isim veya terapi oturumlarının klinik verilerini iletmediğini belirtti.

Yanıt olarak, sağlık şirketleri mahkemelere başvurarak HHS'nin duruşuna itiraz ettiler ve yetkisini aştığını iddia ettiler. Ayrıca bazı hükümet sitelerinin benzer teknoloji kullandığını belirttiler. Haziran ayında bir Teksas hakimi, HHS'nin sağlık şirketlerini izleyici kullanımı nedeniyle cezalandırma yetkisini sınırlayarak HHS aleyhine karar verdi.

Gizlilik Uzmanları

$250 Milyar Dolarlık Pazar

Kişisel verileri toplayan izleyiciler internette yaygındır. Bunlara pikseller de denir ve çoğu kullanıcı için fark edilmezler. Ancak teknoloji şirketleri ve veri komisyoncuları, kullanıcıların çevrimiçi davranışlarını izlemek için bunları kullanır.

Veri komisyoncuları, insanlar ve davranışları hakkında bilgi toplayan, analiz eden ve satan şirketlerdir. Verileri web siteleri, sosyal medya, kamu kayıtları, mağazalar ve uygulamalar gibi çeşitli kaynaklardan elde ederler. Bu veriler alışveriş bilgileri, çevrimiçi etkinlikler, demografik veriler ve daha fazlasını içerebilir. Veri komisyoncuları, bu bilgileri işleyip analiz ederek ayrıntılı profiller oluştururlar ve bunları pazarlama, reklam ve diğer amaçlarla diğer şirketlere satarlar. Bu tür şirketlere örnekler: Acxiom, Experian, Equifax, CoreLogic, Dun & Bradstreet. Rusya'da bu tür şirketlerin pazarı gelişmemiştir ve bu tür faaliyetler genellikle şirketlerin bölümleri tarafından gerçekleştirilir: DoubleData, Interfax SPARK, MTS Pazarlamacısı, SberMarketing, MegaFon Hedefi.

Veri Komisyoncuları

Uzmanlar, bu verilerin ABD'deki pazar hacmini yaklaşık 250 milyar dolar olarak tahmin ediyor.

Bazen detaylar küçük puntolarla belirtilir. Örneğin, CVS şirketinin Aetna biriminin gizlilik politikasında, şirketin Sosyal Güvenlik numaraları, internet adresleri, demografik veriler ve diğer bilgileri topladığı belirtiliyor. İzleyicileri, "sayfa görüntüleme, fare hareketleri, kaydırma, metin girişi" ve diğer site gezinme verileri gibi eylemleri kaydedebilir.

Sherman ve diğer siber güvenlik uzmanlarına göre, gizli verilerin işlendiği sağlık sitelerinde izleyicilerin kullanılması, ciddi gizlilik endişeleri doğurur ve hasta sağlık bilgilerini korumayı amaçlayan federal kuralları ihlal edebilir.

Feroot'un geçen yılki raporuna göre, sağlıkla ilgili web sitelerinin yaklaşık %15'i giriş sayfalarındaki kesin tuş vuruşlarını okuyabiliyor. Bu, Sosyal Güvenlik numaralarını, kullanıcı adlarını, parolaları, e-posta adreslerini, randevu saatlerini, hesap bilgilerini ve tıbbi teşhisleri toplayabilecekleri anlamına gelir.

Davaların Artışı

Davaların Artışı

Kaiser Permanente'ye karşı açılan dava, izleyicilerin adları, internet adreslerini ve arama sorgularını Google'a (Alphabet Inc), sosyal ağ X ve arama motoru Bing'e (Microsoft Corp) gönderdiğini iddia ediyor. Bu izleyiciler, parola korumalı sayfalara yerleştirilmiş olup, teknoloji şirketlerinin kullanıcı davranışlarına dayalı daha hedefli reklamlar oluşturmasına olanak tanıyordu. Şikayet, 2023 yılı Haziran ayında Kuzey Kaliforniya Bölge Mahkemesine sunuldu.

Roskomnadzor, düzenli olarak çeşitli Rus şirketlerinden, çevrimiçi mağazalar ve sosyal ağlar da dahil olmak üzere, kişisel veri sızıntısı vakalarını tespit eder. Bu sızıntılar genellikle izleyicilerin kurulumu ve kullanıcıların haberi olmadan veri toplanması ile ilişkilidir. İşte bir örnek.

Kaiser, şirketin iç soruşturma yaptığını ve web siteleri ve mobil uygulamalardan izleyicileri kaldırdığını belirtti. Şirket davanın düşürülmesini istedi ve dava hakkında yorum yapmayı reddetti. Microsoft, politikasının tıbbi bilgilerin reklam amaçlı kullanılmasını yasakladığını belirtti.

Google, Google Analytics gibi ölçüm araçlarının müşterilerinin toplanan verilere sahip olduğunu ve şirketin bu verileri arama motoru reklam hedeflemesi için kullanmadığını belirtti. Şirketin politikası, müşterilerin Google Analytics'i korunan sağlık bilgilerini toplamak için kullanmasını yasaklar ve sağlık verileri veya diğer hassas bilgilere dayalı reklamları da yasaklar, dedi Google sözcüsü.

Illinois federal mahkemesinde Kasım ayında açılan bir başka davada, Blue Cross Blue Shield Association'a karşı, federal çalışanlar için kullanılan bir web sitesinin, kullanıcıların ruh sağlığı veya hamilelik gibi konularda arama sorgularını TikTok'a ve diğer teknoloji şirketlerine gönderdiği iddia ediliyor. Şikayet ayrıca, ulusal güvenlik nedeniyle TikTok'un federal hükümet telefonlarında yasaklandığını belirtiyor.

Birlik, davanın reddedilmesini istedi ve yorum yapmaktan kaçındı. TikTok temsilcisi de dava hakkında yorum yapmadı ve şirketin politikasına atıfta bulunarak, pikselin kişisel sağlık bilgileri içerebilecek sitelere yerleştirilmemesi gerektiğini belirtti.

Feroot CEO'su Ivan Tsarynny'ye göre, bazı sağlık şirketleri artan baskılar nedeniyle sitelerinden izleyicileri kaldırdı. Ayrıca, Kaiser Permanente gibi izleyici kullanımına bağlı veri ihlallerini daha fazla şirketin açıklamasını beklediğini belirtti.

İzleyiciler tarafından toplanan verilerin nereye gittiği her zaman net değildir.

«Bu tür gözetimlerin amaçlarının ne olduğunu her zaman bilemeyiz,» diyor Charlotte Tschider, Chicago'daki Loyola Üniversitesinde siber güvenlik hukuku profesörü. «Tıbbi organizasyonların bile kendi eylemlerini tam olarak anlamamış olmaları mümkün.»

Bu Konuyla İlgili Diğer Yazılar: