FTC, kullananların sıhhat verilerini Meta ve Google ile paylaşmış olduğu için GoodRx’in peşine düşer
GoodRx, mahremiyetinizde pek iyi olmadı. Ve şimdi Federal Tecim Komisyonu pahalı bir reçete yazdı: ağır bir para cezası ve çeşitli gizlilik korumalarını uygulamak için bir antak kalma.
İlaçlarınızda indirim bulmak için GoodRx’i kullanan on milyonlarca insandan biriyseniz, ilaç indirimi ve fiyat alışverişi internet sayfası ve uygulaması beklediğinizden birazcık daha fazlasını yapmış olabilir: Duyarlı sıhhat verilerinizi FTC’ye gore veri simsarlarının yanı sıra Meta ve Google benzer biçimde teknoloji şirketlerinin reklamcılık için kullanımı.
FTC Çarşamba günü, GoodRx’in 1,5 milyon dolar para cezası ödemeyi kabul ettiğini ve artık sıhhat verilerini reklam amacıyla paylaşmamasını sağlamak için çeşitli adımlar atmayı, başka nedenlerle sıhhat verilerini paylaşmak için kullanıcı iznini almayı ve tekrar ilkin veri paylaşmış olduğu üçüncü şahısların bu verileri silmesini sağlamaya çalışır. ABD’da bu işi oldukça daha kolaylaştıracak federal gizlilik yasalarından yoksun olsa bile bu hareket, FTC’nin insanları dijital gizlilik ihlallerinden korumaya ne kadar emin bulunduğunu gösteriyor. Ek olarak, en hususi bilgilerimizi emanet ettiğimiz bu hizmetlerden bazılarının ne kadar sızdırılmış olabileceğini de gösteriyor.
FTC, GoodRx’in kullananların uygulamada aradıkları ilaçların adlarını, kullananların GoodRx kuponlarını eczanelerde hangi ilaçlar için kullandığını ve GoodRx’in telesağlık platformunu hangi koşullarda tedavi görmek için kullandıklarını paylaştığını iddia ediyor. GoodRx ek olarak, Meta’ya belirli ilaçları satın alan kullananların tanımlayıcı detayları de dahil olmak suretiyle listelerini göndermek ve peşinden bu kullanıcıları GoodRx’in haiz olduklarını bilmiş olduğu koşullarla ilgili reklamlarla hedeflemekle suçlanıyor.
FTC’nin Tüketiciyi Koruma Bürosu yöneticisi Samuel Levine yapmış olduğu açıklamada, “Dijital sıhhat şirketleri ve mobil uygulamalar, tüketicilerin son aşama duyarlı ve kişisel olarak tanımlanabilir sıhhat bilgilerinden para kazanmamalıdır.” Dedi. “FTC, Amerikalı tüketicilerin duyarlı verilerini kötüye kullanım ve yasa dışı istismardan korumak için tüm yasal yetkisini kullanacağını bildiriyor.”
GoodRx’in uygulamalarından bazıları ilk olarak Şubat 2020’de Tüketici Raporları ve Gizmodo’nun kullanıcı verilerinin üçüncü taraflara iyi mi gönderildiğini ayrıntılarıyla özetleyen raporları tarafınca ifşa edildi. O sırada GoodRx özür diledi, verilerin reklamları hedeflemek için kullanılmadığını söylemiş oldu ve bazı gizlilik kontrolleri uyguladı. GoodRx bir dijital gizlilik gri alanında etkinlik gösterdiğinden, bu işin sonu benzer biçimde görünüyordu. Eczanelerin, doktorların ve sıhhat sigortası şirketlerinin toplamış olduğu verilerin aynısını toplasa da, bir çok durumda aynı sıhhat mahremiyet yasalarına, şu demek oluyor ki HIPAA, Sıhhat Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasasına bağlı değildir. FTC, HIPAA’nın GoodRx’e uygulanmadığı zamanlarda bile, firmanın internet sayfasına minik bir “HIPAA” simgesi koyarak kullanıcılara uyguladığı izlenimini verdiğini söylüyor.
HIPAA kapsamındaki kuruluşlar bile hasta bilgilerinin veri simsarlarının ve reklamcıların eline geçmesini engellemekte zorlanıyor benzer biçimde görünüyor. Fakat en azından bu yasayı ihlal ederlerse yasal bir müracaat var. Bununla beraber, HIPAA ihlalleri FTC’nin yetkisi altında değildir – Sıhhat ve İnsan Hizmetleri Departmanının Sivil Haklar Ofisi’nin işidir.
Internet sayfaları ve uygulamalar, HIPAA kapsamında olmayan sıhhat verilerini toplayıp yanlış yönettiğinde bu, FTC’nin tüketici koruma kolunun işi olabilir. Regl takip uygulaması Flo Health, yapmayacağına dair söz vermesine karşın, kullananların doğurganlık bilgilerini veri simsarlarına gönderdiğinde, FTC, kullanıcıları aldatmaktan firmanın peşine düştü. FTC bununla birlikte, ajansın insanların kişisel olarak tanımlanabilir ve mühim zarara niçin olabilecek duyarlı konum verilerini kolayca erişilebilir hale getirmekle suçlamış olduğu bir veri komisyoncusu olan Kochava’ya karşı haksız yada aldatıcı eylemler davasının ortasındadır. bırakın iyi mi durdurulacağını, verilerinin bu şekilde toplandığını yada kullanıldığını.
GoodRx ile, FTC daha ilkin asla başvurmadığı bir kuralı kullandığından, işler birazcık farklıdır. Sıhhat İhlali Bildirimi Kuralı, HIPAA kapsamına girmeyen kişisel sıhhat kayıtları satıcılarının, verilerine, tüketicilerin izni olmadan üçüncü bir tarafça erişilmesi durumunda tüketicileri bilgilendirmesini gerektirir. 2009’dan beri defterlerde içeriyor, sadece FTC şimdiye kadar bunu asla uygulamadı. Ajans, sıhhat uygulamalarına ve bağlı cihazlara, sıhhat verilerini üçüncü taraflara ifşa etmeden ilkin kullanıcılarının iznini almaları gerektiğine dair bir uyarı yayınlayarak 2021’de bu şekilde bir hareketin geleceğini işaret etti.
Bu, hem kuralın açıklanması hem de FTC’nin bu kuralı uygulamaya hazır ve istekli olduğuna dair bir uyarıydı. Şimdi ilk kez bu tehdidin üstesinden geldi. FTC Başkanı Lina Khan’ın veri gizliliğine olan bağlılığı ve uygulamaların ve web sitelerinin her insanın bilmiş olduğu benzer biçimde sızdıran doğası göz önüne alındığında, muhtemelen son olmayacak. Sadece bu şirketlerden bazılarını, ya kullanıcılarının sıhhat verilerini daha iyi güvence altına almak için çaba göstermeye ya da çekiç onlara da gelmesin diye bu verilerin başka biriyle iyi mi ve niçin paylaşıldığını onlara daha açık hale getirmeye sevk etmelidir.
GoodRx yapmış olduğu açıklamada, FTC ile anlaşmasının “neredeyse üç yıl ilkin, FTC soruşturması başlamadan ilkin ele almış olduğu” “eski bir problem” üstüne bulunduğunu söylemiş oldu. Pahalı davalardan kaçınmak için anlaşmaya girdiğini ve FTC’nin Sıhhat İhlali kuralını iyi mi uyguladığına katılmadığını söylüyor.
GoodRx, “FTC’nin iddialarına katılmıyoruz ve yanlış bir şey yapmayı kabul etmiyoruz” dedi. “[W]geçerli tüm düzenlemelere uygun olduğuna inandığımız ve birçok sıhhat, tüketici ve devlet internet sayfasında yaygın bir uygulama olmaya devam eden bir halde reklam yapmak için satıcı teknolojilerini kullanmıştık.”
FTC’nin yeni emrinin yürürlüğe girmesi için bir federal mahkeme tarafınca onaylanması gerekiyor. O şekilde olduğu varsayılırsa, 1,5 milyon dolarlık para cezası, bu verilerin mevcut olduğu son olarak yıl olan 2021’de 745,42 milyon dolar gelir bildiren GoodRx’i öldürmeyecek. Fakat hiçbir şey de değil; GoodRx, bir milyar doların neredeyse dörtte üçünü çekmesine karşın yılı 25,25 milyon $ net zararla kapattı. Ek olarak, FTC’nin sipariş başına gerektirdiği tüm uyumluluk önlemlerini oluşturmanın ek maliyetleri ve GoodRx’in verilerini tutma mevzusunda GoodRx’e güvenmedikleri için işlerini başka bir yere taşımaya kabul eden kullananların bir sonucu olarak GoodRx’in kaybedeceği gelir miktarı da vardır. hususi.
Tüketiciler de ödüyor. Bazıları için, GoodRx en duyarlı bilgilerini en savunmasız olduklarında ifşa etti: başka türlü karşılayamayacakları ilaçları almanın bir yolunu aramak. Minimum birinin bu verileri Feysbuk’a gönderdiğini bildiklerine gore, gelecekte uyuşturucu indirimi uygulamalarını kullanmakta o denli süratli olmayabilirler.
Güncelleme, 12:10 ET: Bu öykü, GoodRx’in açıklamasını içerecek şekilde güncellendi.