Federal Ticaret Komisyonu, Çarşamba günü ilaç indirim hizmeti GoodRx’e karşı tarihi bir adım attı ve kullanıcıların reçeteleriyle ilgili verileri Facebook, Google ve diğerleriyle paylaştığı için şirkete 1,5 milyon dolar para cezası verdi. Amerika Birleşik Devletleri’nde yeni bir sağlık mahremiyeti çağını başlatabilecek bir hareket.
FTC’nin Tüketiciyi Koruma Bürosu yöneticisi Samuel Levine yaptığı açıklamada, “Dijital sağlık şirketleri ve mobil uygulamalar, tüketicinin son derece hassas ve kişisel olarak tanımlanabilir sağlık bilgilerinden para kazanmamalıdır” dedi. “FTC, Amerikalı tüketicilerin hassas verilerini kötüye kullanım ve yasa dışı istismardan korumak için tüm yasal yetkisini kullanacağını bildiriyor.”
Para cezasına ek olarak GoodRx, şirketin sağlık verilerini reklam amacıyla üçüncü taraflarla paylaşmasını yasaklayan türünün ilk örneği bir hükmü kabul etti. Bu kulağa şaşırtıcı gelmeyebilir, ancak birçok tüketici sağlık mahremiyeti yasalarının genellikle doktorlar veya sigorta şirketleriyle bağlantısı olmayan şirketler için geçerli olmadığının farkında değil. FTC’nin önerilen mahkeme kararının hala bir federal yargıç tarafından onaylanması gerekiyor, ancak onaylanırsa uzmanlar bunun internetin yaygın tıbbi gizlilik sorunlarını iyileştirebileceğini söylüyor.
GoodRx, yaygın olarak kullanılan ilaçlarda indirim için ücretsiz kuponlar dağıtan bir sağlık teknolojisi şirketidir. Şirket ayrıca kullanıcıları tele sağlık ziyaretleri için sağlık hizmeti sağlayıcılarıyla buluşturuyor. GoodRx ayrıca satın aldığınız ve aradığınız reçetelerle ilgili verileri FTC’nin öfkesine maruz kalan üçüncü taraf reklam şirketleriyle paylaşır.
GoodRx’in gizlilik sorunları ilk olarak bu muhabir tarafından şu tarihte ortaya çıkarıldı: Tüketici Raporları ile bir soruşturmaardından benzer bir rapor Gizmodo. O zamanlar Viagra, Prozac, PrEP veya başka bir ilaca bakarsanız, GoodRx Facebook’a, Google’a ve Criteo, Branch ve Twilio gibi reklam sektöründeki çeşitli şirketlere söylerdi. GoodRx verileri satmıyordu. Bunun yerine, bu şirketlerin GoodRx’in daha fazla ilaç için reklamlarla kendi müşterilerini hedeflemesine yardımcı olabilmesi için bilgileri paylaştı. FTC’ye göre, bu yasadışı.
G/O Media komisyon alabilir
GoodRx, yorum talebine hemen yanıt vermedi.
FTC, GoodRx’in haksız ve aldatıcı uygulamalara ilişkin bir yasağı ihlal ettiğini, çünkü hayatınızın en hassas bölümleriyle ilgili ayrıntıları gizlilik ihlalleriyle tanınan şirketlerle paylaşabileceğini belirtmediğini söylüyor. Aslında FTC, GoodRx’in HIPAA şikayeti olduğunu iddia ederek müşterilerine yalan söylediğini söylüyor. Şikayet ayrıca, GoodRx’in yanlış bir şekilde, şirketlerin sağlık verilerini reklamlar için kullanmadan önce izin almalarını isteyen bir endüstri ticaret grubu olan Digital Advertising Alliance tarafından belirlenen ilkelere uyduğunu iddia ettiğini söylüyor.
FTC, HIPAA’yı düzenlemez. Bu, ABD Sağlık ve İnsan Hizmetleri Departmanının görüşüdür. Bunun yerine komisyon, GoodRx’in Federal Ticaret Komisyonu Yasasını (en başta FTC’yi oluşturan) ihlal ettiğini söylüyor. Bu mevzuat, haksız veya aldatıcı ticari uygulamaları yasaklar. GoodRx’e yapılan şikayete göre müşterilerinize söylemeden sağlık bilgilerini paylaşmak ve HIPAA’ya uyup uymadığınız konusunda yalan söylemek aldatıcıdır ve dolayısıyla yasalara aykırıdır.
Sağlık hizmeti mahremiyetine yapılan bu saldırı, birkaç nedenden dolayı emsalsizdir. Emrin en önemli kısmı, GoodRx’in sağlık verilerini reklam amacıyla paylaşma uygulamasının yasa dışı olduğunu söylemesidir. Bu bariz görünebilir, ancak bu çarpıcı bir hareket.
Danışmanlık şirketi Data Privacy & Security Advisors’ın kurucu ortağı James Koons, “Bu, bu bilgilerin nasıl ele alındığı konusunda yeni bir paradigma oluşturabilir” dedi. “HIPAA kapsamındaki bir kuruluş tarafından işlenmediği takdirde, sağlık hizmeti verileriniz için neredeyse hiçbir koruma yoktur. GoodRx, sağlık hizmetleri endüstrisine çok yakın oturuyor, ancak görünüşe göre havuzun dışında kayıyorlar ve bundan paçayı sıyırıyorlar. FTC buna bir son veriyor.”
Pek çok insan, HIPAA’nın sağlık bilgilerini koruduğuna dair yaygın bir yanılgıyı paylaşıyor. Ne yazık ki gizlilik hayranları için öyle değil. Temel olarak, HIPAA’nın sağlık mahremiyeti kuralları bir tek sağlık hizmeti sağlayıcıları, sigorta şirketleri ve doğrudan onlar adına çalışan herkes için geçerlidir. GoodRx gibi bir şirket, çoğu durumda HIPAA kapsamına giren bir varlık değildir (tek istisna, şirketin tele sağlık platformudur).
Bu kafa karıştırıcı olabilir, çünkü GoodRx’in ele aldığı türden reçete verileri, doktorunuz veya eczacınız tarafından ele alındığında korunacaktır. Ve FTC’ye göre, GoodRx bir dizi yanıltıcı ifadeyle bu kafa karışıklığına katkıda bulundu.
GoodRx’in uygulamaları web’de olağandır. Araştırmalar, WebMD, BetterHelp ve hatta hastane web sitelerinden aklınıza gelebilecek hemen hemen her sağlık web sitesinin, sağlık bilgilerinizi teknoloji endüstrisine sızdıran reklam izleme teknolojisini sıklıkla kullandığını göstermiştir.
Önerilen emir, tıbbi reklamcılık statükonun yasa dışı olabileceğine dair açık bir sinyal gönderiyor.
“GoodRx sağlık hizmetlerine çok yakın olduğu için, HIPAA kapsamındaki bir varlık olmadığı herkes tarafından açıkça anlaşılmayacaktır. Hukuk firması Health Law Partners’ın ortağı ve bir Amerikan Barolar Birliği’nin e-sağlık ve mahremiyet konulu eski başkanı Clinton Mikel, “HIPAA kapsamında olmayan sağlık bilgileriyle ilgilenen işletmeler için tam bir şans” dedi. “FTC, herkese dışarıda olduklarını ve izlediklerini hatırlatmaya çalışıyor.”
Bu nedenle, FTC’nin sağlık bilgilerini tanımlama şekli kendi başına bir oyun değiştirici olabilir. İnsülin konusunda anlaşma sağlamaya çalışan beş farklı web sitesine giderseniz, muhtemelen şeker hastası olduğunuza dair güvenli bir bahistir. Şimdiye kadar yasa, web aramalarınızı, uygulama kullanımınızı ve günlük internet kullanım bilgilerinizdeki diğer kalıntıları, dün gece akşam yemeği için aradığınız tariflerin bir kaydını ele aldığı gibi ele alıyordu. FTC, işe yararsa sağlık işinde büyük bir aksama olacak olan bunu değiştirmeye çalışıyor.
Bu aynı zamanda komisyonun, şirketlerin tüketicilere kişisel sağlık kayıtlarına yetkisiz erişim hakkında bilgi vermesini gerektiren Sağlık İhlali Bildirim Kuralı kapsamında ilk kez yaptırım önlemi almasıdır.