Federal Ticaret Komisyonu geçen hafta yaptığı bir politika açıklamasında, sağlık uygulamalarının kullanıcılarına herhangi bir veri ihlali hakkında bilgi vermesi veya ağır bir para cezası riskiyle karşı karşıya kalması gerektiğini açıkladı. Şeffaflığı gerektiren kural on yıllıktır, ancak daha önce uygulanmamıştır. Yeni kılavuz, sağlık uygulaması alanına giren birçok şirkete bir uyarı görevi görüyor: FTC, sağlık verilerinin gizliliğiyle ilgili sorunları ciddiye alıyor – tüm gizlilik boşluklarını kendi başına çözemeyecek olsa bile.
FTC’nin Sağlık İhlal Bildirimi Kuralı, doktorlar ve sigorta şirketleri gibi şeyleri kapsayan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’na (HIPAA) tabi olmayan tüm kuruluşları kapsar. HIPAA, bu grupların herhangi bir veri ihlali olduğunda ifşa etmelerini şart koşar. FTC kuralı, sağlık bilgileriyle ilgilenen diğer tüm grupları kapsar.
FTC Başkanı Lina Khan, kural hakkında yaptığı açıklamada, sağlık uygulamalarının genellikle güçlü veri gizliliği korumalarına sahip olmadığını söyledi. Uygulamalar genellikle zayıf veri koruma sistemlerine sahiptir veya kullanıcılara haber vermeden dış gruplarla veri paylaşarak kendi gizlilik politikalarını ihlal eder. Bu uygulamalar, kural ilk yazıldığında dijital sağlık resminin bir parçası değildi.
Giderek daha fazla insan sağlık bilgilerine bu ürünlere güveniyor. Yeni kılavuz, Sağlık İhlali Bildirim Kuralının, daha önce kapsamadığını düşünmeseler bile bu platformlar için de geçerli olduğunu açıklığa kavuşturuyor.
Bir raporu tetikleyebilecek ihlaller yalnızca bilgisayar korsanlarını veya saldırıları içermez. Bu kuruluşlar, kullanıcıların izni olmadan paylaşılan herhangi bir bilgiyi ifşa etmek zorunda kalacaktı. Bu, kullanıcıların bilgisi olmadan Facebook, Google ve pazarlama şirketlerine veri paylaşan dönem izleme uygulaması Flo tarafından yakın zamanda yaşanan gizlilik ihlali gibi durumlar için geçerli olabilir. FTC, Flo’dan Sağlık İhlali Bildirim Kuralını ihlal ettiği için alıntı yapmadı – şirketin gizlilik politikaları hakkında yaptığı yanlış açıklamalara odaklandı – ancak iki FTC üyesi olması gerektiğini savundu.
Harvard’daki Petrie-Flom Sağlık Hukuku Politikası, Biyoteknoloji ve Biyoetik Merkezi’nde araştırma görevlisi olan David Simon, FTC’nin şirketlerin kurallara uymasını sağlamaya yönelik yeni odağının sağlık uygulamalarında dahili değişiklikleri tetikleyebileceğini söylüyor. Hukuk Okulu. Simon, “Onları, halihazırda yerinde değillerse, en azından sistemleri yerleştirmeye, bu ihlallerin ne zaman meydana geldiğini anlamaya ve ardından insanları bilgilendirmeye zorlayacak” diyor.
“Bir uygulama geliştiricisi veya bağlantılı bir platformun satıcısıysanız bu kurala dikkat etmeniz sizin yararınızadır”
Kuralı çiğnemenin cezaları oldukça önemlidir: ihlal başına günlük 43.792 ABD doları . Pennsylvania Eyalet Üniversitesi’nde hukuk, politika ve mühendislik yardımcı doçenti Jennifer Wagner, “Bu çok hızlı bir şekilde toplanabilir” diyor. “Bence, ‘bakın, eğer bir uygulama geliştiricisiyseniz veya bağlı bir platformun satıcısıysanız, bu kurala dikkat etmeniz ve bir tür yanıt mekanizmanız olduğunu belirtmeniz sizin yararınızadır. yerinde.’”
FTC kuralı, bir veri ihlali olduğunda kullanıcılara haber verir, ancak sağlık uygulamalarıyla ilgili tüm veri gizliliği sorunlarını çözemez. Şirketlerin kullanıcı verileriyle yapabileceklerini sınırlamaz; sadece kullanıcılara ne yaptıklarını söylemeleri gerektiğini söylüyor. Simon, “Şeffaflık gibi bir şey ama bunun sınırlamaları var” diyor. Bazı uzmanlar, kullanıcıların ilk etapta uygulamaların verileri kullanma ve paylaşma yolları üzerinde daha aktif kontrole sahip olması gerektiğini savunuyor. Ancak FTC’nin bu değişiklikleri yapma yetkisi yok. Simon, “Yapmak istediği her şeyi yapacak araçlara sahip olduğunu düşünmüyorum” diyor.
Ancak son zamanlarda, sağlık için özel olarak tasarlanmamış platformların aslında bu amaç için kullanılabileceği açıktı: Örneğin, meme kanserinden kurtulanlar için bir Facebook destek grubu bir sağlık kaydı olarak kabul edilmeyebilir, ancak kullanılabilecek bilgileri topluyor. Wagner, üyelerin sağlığı hakkında bilgi edinmek için diyor. Bu platformda bir veri ihlali olsaydı, mutlaka kurala tabi olmazdı. “FTC’nin terminolojiyle yapabilecekleri biraz sınırlı, ancak kesinlikle ellerinden gelen her şeyi yapmaya çalışıyorlar” diyor.
Sınırlamalara rağmen, veri korumayla ilgili daha geniş manzara, insanlara bilgileri üzerinde daha fazla kontrol sağlamak için değiştikçe rehberlik de geliyor. Wagner, Kongre’nin, eyaletlerin ve başsavcıların veri gizliliğine artan bir ilgi gösterdiğini söylüyor. Şirketler hepsine dikkat ediyor ve FTC kararı bu bulmacanın yeni bir parçası. “Gerekli olarak atabilecekleri adımları düşünmeleri ve ileriyi düşünmeleri gerekiyor, çünkü bu düzenleyici alan ortadan kalkmayacak” diyor.
.