Miksi terveystietojen yksityisyys vaatii lyöntiä
Sisällysluettelo:
Yhdysvaltain terveydenhuoltosektorilla on ikävä digitaalinen häiriö, joka ulottuu lukemattomien tietovarkauksien lisäksi johonkin vahingollisempaan. Miten saimme sen kiinni ja kuinka parannamme sen?
Otsikot ovat täynnä esimerkkejä hakkeroiduista terveydenhuoltoyrityksistä, jotka menettävät asiakastietoja. Anthemista pois 79 miljoonasta käyttäjän tietueesta vuonna 2015 viime joulukuuhun asti varkaus Regal Medical Groupin 3.3 miljoonan käyttäjän tiedoista rikkomuksia tulee jatkuvasti. Yhdysvaltain terveys- ja henkilöstöministeriön uusin raportti kongressille osoittaa 58.2 %:n kasvun yli 500 ihmistä koskevissa tietomurtoilmoituksissa vuosina 2017–2021.
Kolme rikkomustyyppiä
Kaksi ensimmäistä yleistä tietosuojaloukkausten syytä ymmärretään hyvin. Hymnin rikkominen joutuu kohdistetun hyökkäyksen kohteeksi hyvin suojattua järjestelmää vastaan. Tutkijat päättelivät, että mukana oli vieras kansallisvaltio ja Anthem oli ryhtynyt kohtuullisiin toimenpiteisiin suojatakseen tietonsa ennen hakkerointia. Toinen syy on epäpätevä huolimattomuus, kuten valotus miljoonia lääketieteellisiä kuvia verkossa suojaamattoman tallennustilan kautta.
Kolmas syy yksityisyyden loukkauksiin on mielenkiintoisempi, koska se on tahallinen. Se tehdään terveystiedoista vastaavan yrityksen tietämyksellä. Lääketieteellisestä terminologiasta lainaten, kaksi ensimmäistä rikkomustyyppiä ovat akuutteja, erillisiä tapahtumia, joiden loppu on tiedossa. Yrityksen politiikkaan leimattu tietosuojaloukkaus on krooninen sairaus, joka mätää niin kauan kuin tekijät sen sallivat.
Yksi merkittävimmistä yrityksen sanktioimista yksityisyyden loukkauksista koski BetterHelp-nimistä online-neuvontapalvelua. Tämän vuoden maaliskuussa FTC pakotti yrityksen maksamaan 7.8 miljoonan dollarin sovintomaksun kuluttajien arkaluonteisten terveydenhuoltotietojen jakamisesta kolmansille osapuolille, kuten Facebookille, Pinterestille ja Snapchatille. FTC sanoi, että BetterHelp jakoi tietoja, mukaan lukien kyselylomakkeella kerätyt tiedot kuluttajien mielenterveyshaasteista, sekä heidän sähköpostiosoitteensa ja IP-osoitteensa.
Tietojen välittäminen Facebookille antoi sosiaalisen median jättiläiselle mahdollisuuden louhia tietoja muista käyttäjistään, löytää ne, joilla oli samanlaisia piirteitä kuin BetterHelpin asiakkaissa, ja kohdistaa heille mainoksia uusien asiakkaiden luomiseksi.
FTC:n valitus väittää myös, että BetterHelp sisälsi sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskevan lain (HIPAA) sinetin sivustoihinsa ja vaati sertifiointia ilman, että mikään valtion virasto olisi tarkistanut yrityksen tietokäytäntöjä.
Kolmannen osapuolen seuranta on yleistä terveydenhuollon tarjoajien keskuudessa. A raportti in Terveysasiat havaitsi äskettäin, että lähes 99 % sairaaloista käyttää seurantaa verkkosivuillaan. Nämä seurantalaitteet lähettivät tietoja sosiaaliseen mediaan, mainostoimistoihin ja tiedonvälittäjiin. Nämä sairaalat "eduttavat potilaiden profilointia kolmansien osapuolten toimesta", raportissa sanotaan, mikä johtaa ihmisarvohaitoihin.
Kirjaudu tähän ja luovu yksityisyysoikeuksistasi jatkaaksesi
Yksityisyysloukkauksia ei aina tehdä käyttäjän tietämättä. Joskus, kuten tekniikassa usein tapahtuu, yritykset suostuttelevat asiakkaita allekirjoittamaan yksityisyyden suojan. Washington Post tutkimus äskettäin paljastui Amazon, joka tekee tämän osana Amazon Clinic -kuluttajakeskeistä terveydenhuoltohankettaan. Palvelu noudattaa alustamallia ja tarjoaa kuluttajille foorumin, jossa he voivat olla vuorovaikutuksessa kumppanilääkäreiden kanssa verkossa ja hankkia lääkemääräyksiä. Kuitenkin, kuten monet alustaoperaattorit, Amazon kerää enemmän kuin vain leikkauksen maksusta; se saa myös kerätä asiakastietoja. Tässä tapauksessa kerättävät tiedot ovat erittäin arkaluonteisia, mukaan lukien tiedot ja valokuvat sairauksista.
WaPo-tutkimuksen mukaan Amazon vaatii asiakkaita allekirjoittamaan lomakkeen, joka antaa Amazonille pääsyn potilaan lääketieteellisiin tiedostoihin ja luvan sen "uudelleen paljastamiseen", minkä jälkeen se "ei enää ole HIPAA:n suojaama".
"Mikä voisi mennä pieleen?" kysyy WaPo-kirjailija Geoffrey Fowler. "On monia ikäviä tapoja, joilla Amazon voi käyttää terveystietojasi: tarjotakseen sinulle lisämyyntiä muissa palveluissa, kohdistaakseen markkinoinnin jättimäiselle mainosliiketoiminnalleen tai rakentaakseen tekoälyä tai potilasriskimalleja."
Amazon – tai jopa yritykset, joille se välittää tiedot – voisi myös laillisesti myydä tietojasi muille, joista et ole koskaan kuullut. Se voi mahdollisesti joutua osavaltioiden käsiin, mikä lisää haamuja esimerkiksi osavaltioiden hallituksille, jotka käyttävät henkilön todellista tai epäiltyä raskauden statusta abortin vastaisten lakien täytäntöönpanoon.
Olemme jo nähneet osavaltioiden käyttävän tietoja laittomien aborttitapausten nostamiseen. Viime kesänä lainvalvontaviranomaiset käytetty Facebookin chat-viestejä äidin ja tyttären välillä syytteen nostamiseksi laittomasti hoidetusta abortista. Tämä kotelo ostettiin ennen kuin SCOTUS kumosi Roe V Waden ja rikkoi voimassa olevaa osavaltion lakia, joka perustui raskauden kestoon.
Aika päivittää lakia
Amazon kertoi WaPolle, että se ei käytä asiakastietoja tarkoituksiin, joihin asiakkaat eivät ole suostuneet, mutta siitä on kysymys. Asiakkaat allekirjoittavat usein suostumuksensa lukematta sopimuksia niin hyvin kuin pitäisi. Tämä johtuu osittain siitä, että sopimukset ovat pitkiä ja monimutkaisia. Amazonin tapauksessa suostumus on pakollinen. Joko allekirjoitat, tai et saa palvelua. Tämä ei olisi EU:n mukaan sallittua Yleinen tietosuojadirektiivi (GRPR), joka nimenomaisesti kieltää tällaisen käytännön.
Nykyisellään HIPAA on ainoa liittovaltion laki, joka nimenomaisesti suojaa terveystietoja, mutta siinä on puutteita. Se koskee vain kattamia tahoja – terveydenhuollon tarjoajia ja terveysyrityksiä – eikä muita, jotka saattavat kerätä ja käyttää terveystietoja.
Kun HIPAA hyväksyttiin vuonna 1996, Windows 95 ja Amazon.com olivat kiiltäviä ja uusia. Vaikka tekniikka on edennyt, laki ei. HIPAA ei ole enää niin tehokas kuin tarvitsemme maailmassa, jossa arkaluonteiset tiedot ja metatiedot digitoidaan rutiininomaisesti ja toimitetaan eniten tarjoavalle. Yhdysvaltojen tulisi päivittää liittovaltion tietosuojalainsäädäntöä vahvistaakseen tai tarjotakseen vaihtoehdon HIPAA:lle ja laajempaa kuluttajansuojaa tukeville laeille. Vahva, yhtenäinen liittovaltion tietosuojalainsäädäntö olisi juuri sitä, mitä lääkäri määräsi, sekä hyvin rahoitettu sääntelyviranomainen sen valvomiseksi.
