Hvorfor sundhedsdatabeskyttelse har brug for et skud i armen
Indholdsfortegnelse:
Den amerikanske sundhedssektor har en grim digital lidelse, der strækker sig ud over de utallige tilfælde af datatyveri til noget mere skadeligt. Hvordan fangede vi det, og hvordan helbreder vi det?
Overskrifterne er fyldt med eksempler på hackede sundhedsvirksomheder, der mister kundedata. Fra Anthem's off af 79 millioner brugeres registreringer i 2015, frem til december sidste år tyveri af 3.3 millioner brugeres data fra Regal Medical Group, bliver brudene ved med at komme. Senest fra det amerikanske Department of Health and Human Services rapportere til kongressen viser en stigning på 58.2 % i rapporter om databrud, der påvirker mere end 500 personer mellem 2017 og 2021.
Tre typer brud
De to første hovedårsager til brud på privatlivets fred er velkendte. Anthem-bruddet falder ind under et målrettet angreb mod et velbeskyttet system. Efterforskere konkluderede, at en fremmed nationalstat var involveret og Anthem havde truffet rimelige foranstaltninger for at beskytte sine data før hacket. Den anden årsag er inkompetent uagtsomhed, såsom eksponering af millioner af medicinske billeder online gennem usikker opbevaring.
Den tredje årsag til krænkelser af privatlivets fred er mere interessant, fordi den er bevidst. Det sker med viden fra den virksomhed, der er ansvarlig for sundhedsdataene. For at låne fra medicinsk terminologi er de to første typer brud akutte, diskrete hændelser med en kendt ende. En krænkelse af privatlivets fred, der er bagt ind i virksomhedens politik, er en kronisk sygdom, der varer ved, så længe gerningsmændene tillader det.
En af de mest bemærkelsesværdige virksomhedssanktionerede privatlivsovertrædelser involverede en online rådgivningstjeneste kaldet BetterHelp. I marts i år tvang FTC dette firma til at betale et forlig på 7.8 mio. USD for at afgøre anklager om deling af forbrugernes følsomme sundhedsdata med tredjeparter, herunder Facebook, Pinterest og Snapchat. FTC sagde, at BetterHelp delte data, herunder oplysninger om forbrugernes mentale sundhedsudfordringer indsamlet via et spørgeskema sammen med deres e-mail-adresser og IP-adresser.
At videregive disse oplysninger til Facebook gjorde det muligt for den sociale mediegigant at mine data, den havde om sine andre brugere, finde dem med lignende træk som BetterHelps kunder og målrette dem med annoncer for at generere nye kunder.
FTC'erne klage hævder også, at BetterHelp inkluderede Health Insurance Portability and Accountability Act (HIPAA)-seglet på sine websteder og hævdede certificering, uden at nogen statslig instans har gennemgået virksomhedens datapraksis.
Tredjepartssporing er udbredt blandt sundhedsudbydere. EN indberette in Health Affairs fandt for nylig ud af, at næsten 99 % af hospitalerne bruger sporing på deres hjemmesider. Disse trackere sendte data til sociale medier, reklamevirksomheder og datamæglere. Disse hospitaler "faciliterer profileringen af deres patienter af tredjeparter," sagde rapporten, hvilket fører til dignitære skader.
Log her og opgiv dine rettigheder til privatlivets fred for at fortsætte
Krænkelser af privatlivets fred udføres ikke altid uden brugerens viden. Nogle gange, som det ofte sker inden for teknologi, overtaler virksomheder kunder til at underskrive deres privatlivsrettigheder. En Washington Post undersøgelse for nylig afslørede Amazon, der gør dette som en del af sin Amazon Clinic forbrugerfokuserede sundhedssatsning. Tjenesten følger platformsmodellen, der giver et forum for forbrugere til at interagere med partnerklinikere online og få medicinske recepter. Som mange platformsoperatører opkræver Amazon dog mere end blot en reduktion af gebyret; det kommer også til at høste kundedata. I dette tilfælde er de data, der er på spil, meget følsomme, herunder detaljer og fotografier af medicinske tilstande.
Ifølge WaPo-undersøgelsen kræver Amazon, at kunderne underskriver en formular, der giver Amazon adgang til en patients medicinske journal og tilladelse til, at den "genfremsendes", hvorefter den "ikke længere vil være beskyttet af HIPAA."
"Hvad kan gå galt?" spørger WaPo-forfatteren Geoffrey Fowler. "Der er mange uhyggelige måder, hvorpå Amazon kan bruge dine sundhedsoplysninger: til at opsælge dig på andre tjenester, til at målrette markedsføring for sin gigantiske reklamevirksomhed eller til at opbygge kunstig intelligens eller patientrisikomodeller."
Amazon – eller faktisk de virksomheder, som det videregiver dataene til – kan også lovligt sælge dine data videre til andre, du aldrig har hørt om. Det kan potentielt falde i statens hænder, hvilket vækker spøgelse for, for eksempel, statslige regeringer, der bruger en persons faktiske eller formodede graviditetsstatus til at håndhæve anti-abortlovgivningen.
Vi har allerede set stater bruge data til at retsforfølge ulovlige abortsager. Sidste sommer, retshåndhævende embedsmænd anvendte Facebook-chatbeskeder mellem en mor og datter for at retsforfølge en sag om ulovligt styret abort. Denne sag blev købt før SCOTUS væltede Roe V Wade og involverede en overtrædelse af eksisterende statslovgivning baseret på graviditetsperioden.
Tid til en opdatering af loven
Amazon fortalte WaPo, at det ikke bruger kundedata til formål, som kunderne ikke har givet samtykke til, men det er pointen. Kunder underskriver ofte samtykke uden at læse kontrakter så godt, som de burde. Det skyldes til dels, at kontrakterne er lange og komplekse. I Amazons tilfælde er samtykke obligatorisk. Enten underskriver du, eller også får du ikke servicen. Dette ville ikke være tilladt under EU's Generel databeskyttelsesforordning (GRPR), som udtrykkeligt forbyder den praksis.
Som det står, er HIPAA den eneste føderale lov, der eksplicit beskytter sundhedsdata, men den har mangler. Det gælder kun for omfattede enheder - sundhedsudbydere og sundhedsvirksomheder - og ikke for andre, der måtte indsamle og bruge sundhedsdata.
Da HIPAA bestod i 1996, var Windows 95 og Amazon.com skinnende og nye. Mens teknologien er gået videre, har loven ikke gjort det. HIPAA er ikke længere så effektiv, som vi har brug for, i en verden, hvor følsomme data og metadata rutinemæssigt digitaliseres og leveres til højestbydende. USA bør opdatere føderal privatlivslovgivning for at styrke eller give et alternativ til HIPAA og kludetæppet af love, der understøtter bredere forbrugerbeskyttelse. Stærk, sammenhængende føderal privatlivslovgivning ville være lige, hvad lægen beordrede, sammen med en velfinansieret regulator til at håndhæve den.
