FTC, kullanıcıların sağlık verilerini Meta ve Google ile paylaştığı için GoodRx’in peşine düşer

GoodRx, mahremiyetinizde pek iyi olmadı. Ve şimdi Federal Ticaret Komisyonu pahalı bir reçete yazdı: ağır bir para cezası ve çeşitli gizlilik korumalarını uygulamak için bir anlaşma.

İlaçlarınızda indirim bulmak için GoodRx’i kullanan on milyonlarca insandan biriyseniz, ilaç indirimi ve fiyat alışverişi web sitesi ve uygulaması beklediğinizden biraz daha fazlasını yapmış olabilir: Hassas sağlık verilerinizi FTC’ye göre veri simsarlarının yanı sıra Meta ve Google gibi teknoloji şirketlerinin reklamcılık için kullanması.

FTC Çarşamba günü, GoodRx’in 1,5 milyon dolar para cezası ödemeyi kabul ettiğini ve artık sağlık verilerini reklam amacıyla paylaşmamasını sağlamak için çeşitli adımlar atmayı, başka nedenlerle sağlık verilerini paylaşmak için kullanıcı iznini almayı ve bir daha önce veri paylaştığı üçüncü şahısların bu verileri silmesini sağlamaya çalışır. Amerika’da bu işi çok daha kolaylaştıracak federal gizlilik yasalarından yoksun olsa bile bu hareket, FTC’nin insanları dijital gizlilik ihlallerinden korumaya ne kadar kararlı olduğunu gösteriyor. Ayrıca, en özel bilgilerimizi emanet ettiğimiz bu hizmetlerden bazılarının ne kadar sızdırılmış olabileceğini de gösteriyor.

FTC, GoodRx’in kullanıcıların uygulamada aradıkları ilaçların adlarını, kullanıcıların GoodRx kuponlarını eczanelerde hangi ilaçlar için kullandığını ve GoodRx’in telesağlık platformunu hangi koşullarda tedavi görmek için kullandıklarını paylaştığını iddia ediyor. GoodRx ayrıca, Meta’ya belirli ilaçları satın alan kullanıcıların tanımlayıcı bilgileri de dahil olmak üzere listelerini göndermek ve ardından bu kullanıcıları GoodRx’in sahip olduklarını bildiği koşullarla ilgili reklamlarla hedeflemekle suçlanıyor.

FTC’nin Tüketiciyi Koruma Bürosu yöneticisi Samuel Levine yaptığı açıklamada, “Dijital sağlık şirketleri ve mobil uygulamalar, tüketicilerin son derece hassas ve kişisel olarak tanımlanabilir sağlık bilgilerinden para kazanmamalıdır.” Dedi. “FTC, Amerikalı tüketicilerin hassas verilerini kötüye kullanım ve yasa dışı istismardan korumak için tüm yasal yetkisini kullanacağını bildiriyor.”

GoodRx’in uygulamalarından bazıları ilk olarak Şubat 2020’de Tüketici Raporları ve Gizmodo’nun kullanıcı verilerinin üçüncü taraflara nasıl gönderildiğini ayrıntılarıyla anlatan raporları tarafından ifşa edildi. O sırada GoodRx özür diledi, verilerin reklamları hedeflemek için kullanılmadığını söyledi ve bazı gizlilik kontrolleri uyguladı. GoodRx bir dijital gizlilik gri alanında faaliyet gösterdiğinden, bu işin sonu gibi görünüyordu. Eczanelerin, doktorların ve sağlık sigortası şirketlerinin topladığı verilerin aynısını toplasa da, çoğu durumda aynı sağlık mahremiyet yasalarına, yani HIPAA, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasasına bağlı değildir. FTC, HIPAA’nın GoodRx’e uygulanmadığı zamanlarda bile, şirketin web sitesine küçük bir “HIPAA” simgesi koyarak kullanıcılara uyguladığı izlenimini verdiğini söylüyor.

HIPAA kapsamındaki kuruluşlar bile hasta bilgilerinin veri simsarlarının ve reklamcıların eline geçmesini engellemekte zorlanıyor gibi görünüyor. Ama en azından bu yasayı ihlal ederlerse yasal bir başvuru var. Bununla birlikte, HIPAA ihlalleri FTC’nin yetkisi altında değildir – Sağlık ve İnsan Hizmetleri Departmanının Sivil Haklar Ofisi’nin işidir.

Web siteleri ve uygulamalar, HIPAA kapsamında olmayan sağlık verilerini toplayıp yanlış yönettiğinde bu, FTC’nin tüketici koruma kolunun işi olabilir. Regl takip uygulaması Flo Health, yapmayacağına dair söz vermesine rağmen, kullanıcıların doğurganlık bilgilerini veri simsarlarına gönderdiğinde, FTC, kullanıcıları aldatmaktan şirketin peşine düştü. FTC aynı zamanda, ajansın insanların kişisel olarak tanımlanabilir ve önemli zarara neden olabilecek hassas konum verilerini kolayca erişilebilir hale getirmekle suçladığı bir veri komisyoncusu olan Kochava’ya karşı haksız veya aldatıcı eylemler davasının ortasındadır. bırakın nasıl durdurulacağını, verilerinin bu şekilde toplandığını veya kullanıldığını.

GoodRx ile, FTC daha önce hiç başvurmadığı bir kuralı kullandığından, işler biraz farklıdır. Sağlık İhlali Bildirimi Kuralı, HIPAA kapsamına girmeyen kişisel sağlık kayıtları satıcılarının, verilerine, tüketicilerin izni olmadan üçüncü bir tarafça erişilmesi durumunda tüketicileri bilgilendirmesini gerektirir. 2009’dan beri defterlerde yer alıyor, ancak FTC şimdiye kadar bunu hiç uygulamadı. Ajans, sağlık uygulamalarına ve bağlı cihazlara, sağlık verilerini üçüncü taraflara ifşa etmeden önce kullanıcılarının iznini almaları gerektiğine dair bir uyarı yayınlayarak 2021’de böyle bir hareketin geleceğini işaret etti.

Bu, hem kuralın açıklanması hem de FTC’nin bu kuralı uygulamaya hazır ve istekli olduğuna dair bir uyarıydı. Şimdi ilk kez bu tehdidin üstesinden geldi. FTC Başkanı Lina Khan’ın veri gizliliğine olan bağlılığı ve uygulamaların ve web sitelerinin herkesin bildiği gibi sızdıran doğası göz önüne alındığında, muhtemelen son olmayacak. Ancak bu şirketlerden bazılarını, ya kullanıcılarının sağlık verilerini daha iyi güvence altına almak için çaba göstermeye ya da çekiç onlara da gelmesin diye bu verilerin başka biriyle nasıl ve neden paylaşıldığını onlara daha açık hale getirmeye sevk etmelidir.

GoodRx yaptığı açıklamada, FTC ile anlaşmasının “neredeyse üç yıl önce, FTC soruşturması başlamadan önce ele aldığı” “eski bir sorun” üzerine olduğunu söyledi. Pahalı davalardan kaçınmak için anlaşmaya girdiğini ve FTC’nin Sağlık İhlali kuralını nasıl uyguladığına katılmadığını söylüyor.

GoodRx, “FTC’nin iddialarına katılmıyoruz ve yanlış bir şey yapmayı kabul etmiyoruz” dedi. “[W]geçerli tüm düzenlemelere uygun olduğuna inandığımız ve birçok sağlık, tüketici ve devlet web sitesinde yaygın bir uygulama olmaya devam eden bir şekilde reklam yapmak için satıcı teknolojilerini kullanmıştık.”

FTC’nin yeni emrinin yürürlüğe girmesi için bir federal mahkeme tarafından onaylanması gerekiyor. Öyle olduğu varsayılırsa, 1,5 milyon dolarlık para cezası, bu verilerin mevcut olduğu en son yıl olan 2021’de 745,42 milyon dolar gelir bildiren GoodRx’i öldürmeyecek. Ama hiçbir şey de değil; GoodRx, bir milyar doların neredeyse dörtte üçünü çekmesine rağmen yılı 25,25 milyon $ net zararla kapattı. Ayrıca, FTC’nin sipariş başına gerektirdiği tüm uyumluluk önlemlerini oluşturmanın ek maliyetleri ve GoodRx’in verilerini tutma konusunda GoodRx’e güvenmedikleri için işlerini başka bir yere taşımaya karar veren kullanıcıların bir sonucu olarak GoodRx’in kaybedeceği gelir miktarı da vardır. özel.

Tüketiciler de ödüyor. Bazıları için, GoodRx en hassas bilgilerini en savunmasız olduklarında ifşa etti: başka türlü karşılayamayacakları ilaçları almanın bir yolunu aramak. En az birinin bu verileri Facebook’a gönderdiğini bildiklerine göre, gelecekte uyuşturucu indirimi uygulamalarını kullanmakta o kadar hızlı olmayabilirler.

Güncelleme, 12:10 ET: Bu hikaye, GoodRx’in açıklamasını içerecek şekilde güncellendi.