למגזר הבריאות בארה"ב יש הפרעה דיגיטלית מגעיל שמתרחבת מעבר לאינספור מקרים של גניבת נתונים למשהו מזיק יותר. איך תפסנו אותו ואיך נרפא אותו?
הכותרות מלאות בדוגמאות של חברות בריאות פרוצים שמאבדות נתוני לקוחות. מתוך Anthem's את מתוך 79 מיליון רשומות של משתמשים ב-2015, עד לרשומות של דצמבר האחרון גְנֵבָה מתוך 3.3 מיליון נתונים של משתמשים מקבוצת Regal Medical, ההפרות ממשיכות להגיע. האחרונה של משרד הבריאות ושירותי האנוש האמריקאי לדווח לקונגרס מראה עלייה של 58.2% בדיווחים על פריצות נתונים המשפיעים על יותר מ-500 אנשים בין 2017 ל-2021.
שלושה סוגי הפרות
שני הגורמים המובילים הראשונים להפרות פרטיות מובנים היטב. הפרת ההמנון נופלת תחת מתקפה ממוקדת נגד מערכת מוגנת היטב. החוקרים הגיעו למסקנה כי מדינת לאום זרה הייתה מעורבת והמנון נקט באמצעים סבירים כדי להגן על הנתונים שלו לפני הפריצה. הגורם השני הוא רשלנות בלתי כשירה, כגון חשיפה של מיליוני תמונות רפואיות באינטרנט באמצעות אחסון לא מאובטח.
הסיבה השלישית להפרות פרטיות מעניינת יותר כי היא מכוונת. זה נעשה עם הידע של החברה האחראית על נתוני הבריאות. אם לשאול מהטרמינולוגיה הרפואית, שני הסוגים הראשונים של הפרה הם אירועים חריפים, בדידים עם סוף ידוע. הפרת פרטיות שנטמעת במדיניות החברה היא מחלה כרונית, הנמשכת כל עוד המבצעים מאפשרים זאת.
אחת מעבירות הפרטיות הבולטות ביותר שאושרו על ידי החברה כללה שירות ייעוץ מקוון בשם BetterHelp. במרץ השנה, ה-FTC אילץ את החברה הזו לשלם הסדר של 7.8 מיליון דולר כדי להסדיר את האשמות של שיתוף נתוני בריאות רגישים של צרכנים עם צדדים שלישיים, כולל פייסבוק, פינטרסט וסנאפצ'ט. ה-FTC אמר כי BetterHelp שיתפה נתונים, כולל מידע על אתגרי בריאות הנפש של צרכנים שנאספו באמצעות שאלון, יחד עם כתובות האימייל וכתובות ה-IP שלהם.
העברת המידע הזה לפייסבוק אפשרה לענקית המדיה החברתית לכרות נתונים שהחזיקה על משתמשיה האחרים, למצוא בעלי תכונות דומות ללקוחות של BetterHelp ולמקד אליהם פרסומות כדי ליצור לקוחות חדשים.
ה-FTC תלונה כמו כן, טוענת כי BetterHelp כללה את החותם של חוק הניידות והאחריות של ביטוח הבריאות (HIPAA) באתריה וטענה לאישור מבלי שסוכנות ממשלתית כלשהי בוחנת את נוהלי הנתונים של החברה.
מעקב אחר צד שלישי נפוץ בקרב ספקי שירותי בריאות. א לדווח in ענייני בריאות לאחרונה גילו שכמעט 99% מבתי החולים משתמשים במעקב באתרי האינטרנט שלהם. העוקבים הללו שלחו נתונים למדיה חברתית, לחברות פרסום ולברוקרי נתונים. בתי החולים הללו "מקלים על יצירת הפרופיל של מטופליהם על ידי צדדים שלישיים", נכתב בדו"ח, מה שמוביל לפגיעה מכובדת".
הירשם כאן ותוותר על זכויות הפרטיות שלך כדי להמשיך
הפרות פרטיות לא תמיד מתבצעות ללא ידיעת המשתמש. לפעמים, כפי שקורה לעתים קרובות בטכנולוגיה, חברות משכנעות לקוחות לחתום על זכויות הפרטיות שלהם. וושינגטון פוסט חקירה לאחרונה חשפה את אמזון שעושה זאת כחלק ממיזם שירותי הבריאות הממוקד בצרכן של Amazon Clinic. השירות עוקב אחר מודל הפלטפורמה, ומספק פורום לצרכנים ליצירת אינטראקציה עם רופאים שותפים באינטרנט ולקבל מרשמים רפואיים. עם זאת, כמו מפעילי פלטפורמות רבים, אמזון גובה יותר מסתם קיצוץ בעמלה; זה גם יכול לקצור נתוני לקוחות. במקרה זה, הנתונים העומדים על הפרק הם רגישים ביותר, כולל פרטים ותמונות של מצבים רפואיים.
על פי חקירת ה-WaPo, אמזון דורשת מלקוחות לחתום על טופס המעניק לאמזון גישה לתיק הרפואי של מטופל ואישור ל"חשיפה מחדש" שלאחר מכן הוא "לא יהיה עוד מוגן על ידי HIPAA".
"מה יכול להשתבש?" שואל מחבר WaPo ג'פרי פאולר. "ישנן דרכים מפחידות רבות שבהן אמזון יכולה להשתמש במידע הבריאותי שלך: כדי למכור לך שירותים אחרים, למקד שיווק עבור עסקי הפרסום הענקיים שלה, או לבנות מודלים של בינה מלאכותית או סיכון חולים."
אמזון - או בעצם החברות שאליהן היא מעבירה את הנתונים - יכולה גם למכור את הנתונים שלך באופן חוקי לאחרים שמעולם לא שמעתם עליהם. זה עלול ליפול לידיים של המדינה, ולהעלות את רוח הרפאים של, למשל, ממשלות מדינה המשתמשות במצב הריון בפועל או חשוד של אדם כדי לאכוף חוקים נגד הפלות.
כבר ראינו מדינות המשתמשות בנתונים כדי להעמיד לדין מקרי הפלות בלתי חוקיות. בקיץ שעבר, פקידי אכיפת החוק מְשׁוּמָשׁ הודעות צ'אט בפייסבוק בין אם ובתה כדי להעמיד לדין תיק של הפלה המנוהלת באופן לא חוקי. התיק הזה נקנה לפני ש-SCOTUS הפך את רו וי ווייד וכלל הפרה של חוקי המדינה הקיימים בהתבסס על תקופת ההיריון.
הגיע הזמן לעדכון החוק
אמזון אמרה ל-WaPo שהיא לא משתמשת בנתוני לקוחות למטרות שלקוחות לא הסכימו להן, אבל זו הנקודה. לקוחות חותמים לעתים קרובות על הסכמה מבלי לקרוא חוזים כמו שצריך. זה בין השאר בגלל שהחוזים ארוכים ומורכבים. במקרה של אמזון, הסכמה היא חובה. או שאתה חותם, או שאתה לא מקבל את השירות. זה לא יהיה מותר במסגרת האיחוד האירופי ומרגולצית הנתונים הכללית (GRPR), האוסר במפורש את הנוהג הזה.
כפי שהוא נראה, HIPAA הוא החוק הפדרלי היחיד המגן במפורש על נתוני בריאות, אך יש לו חסרונות. זה חל רק על ישויות מכוסות - ספקי שירותי בריאות ועסקי בריאות - ולא על אחרים שעשויים לאסוף ולהשתמש בנתוני בריאות.
כאשר HIPAA חלף ב-1996, Windows 95 ו-Amazon.com היו נוצצים וחדשים. בעוד שהטכנולוגיה התקדמה, החוק לא. HIPAA כבר לא יעיל כמו שאנחנו צריכים כדי להיות בעולם שבו נתונים רגישים ומטא נתונים עוברים דיגיטציה באופן שגרתי ומועברים להצעה הגבוהה ביותר. ארה"ב צריכה לעדכן את חקיקת הפרטיות הפדרלית כדי לחזק או לספק אלטרנטיבה ל-HIPAA ולטלאי של חוקים התומכים בפרטיות צרכנית רחבה יותר. חקיקת פרטיות פדרלית חזקה ומגובשת תהיה בדיוק מה שהרופא הורה, יחד עם רגולטור ממומן היטב כדי לאכוף אותה.
