Warum der Datenschutz im Gesundheitsbereich eine Chance braucht
Inhaltsverzeichnis:
Im US-amerikanischen Gesundheitssektor herrscht eine schlimme digitale Störung, die über die unzähligen Fälle von Datendiebstahl hinausgeht und noch schlimmere Folgen hat. Wie haben wir es erkannt und wie können wir es heilen?
Die Schlagzeilen sind voll von Beispielen gehackter Gesundheitsunternehmen, die Kundendaten verloren haben. Von Anthem's Verlust von 79 Millionen Benutzerdatensätzen im Jahr 2015 bis zum letzten Dezember Diebstahl Bei den 3.3 Millionen Benutzerdaten der Regal Medical Group kommt es immer wieder zu Verstößen. Die neueste Version des US-Gesundheitsministeriums Bericht an den Kongress zeigt einen Anstieg der Meldungen über Datenschutzverletzungen um 58.2 %, von denen mehr als 500 Personen zwischen 2017 und 2021 betroffen sind.
Drei Arten von Verstößen
Die ersten beiden Hauptursachen für Datenschutzverletzungen sind allgemein bekannt. Der Anthem-Verstoß ist Gegenstand eines gezielten Angriffs auf ein gut geschütztes System. Die Ermittler kamen zu dem Schluss, dass ein ausländischer Nationalstaat beteiligt war und Anthem dies getan hatte angemessene Maßnahmen ergriffen um seine Daten vor dem Hack zu schützen. Die zweite Ursache ist unverantwortliche Fahrlässigkeit, wie z Belichtung von Millionen medizinischer Bilder online durch unsichere Speicherung.
Die dritte Ursache für Datenschutzverletzungen ist interessanter, weil sie vorsätzlich ist. Dies geschieht mit dem Wissen des Unternehmens, das für die Gesundheitsdaten verantwortlich ist. In Anlehnung an die medizinische Terminologie handelt es sich bei den ersten beiden Arten von Verstößen um akute, diskrete Ereignisse mit einem bekannten Ende. Ein in die Unternehmensrichtlinien verankerter Verstoß gegen die Privatsphäre ist eine chronische Krankheit, die so lange schwelert, wie die Täter es zulassen.
Einer der bemerkenswertesten vom Unternehmen sanktionierten Datenschutzverstöße betraf einen Online-Beratungsdienst namens BetterHelp. Im März dieses Jahres zwang die FTC dieses Unternehmen, einen Vergleich in Höhe von 7.8 Millionen US-Dollar zu zahlen, um Vorwürfe wegen der Weitergabe sensibler Gesundheitsdaten von Verbrauchern an Dritte, darunter Facebook, Pinterest und Snapchat, zu begleichen. Die FTC sagte, BetterHelp habe Daten weitergegeben, darunter Informationen über die psychischen Probleme der Verbraucher, die über einen Fragebogen gesammelt wurden, sowie ihre E-Mail-Adressen und IP-Adressen.
Die Weitergabe dieser Informationen an Facebook ermöglichte es dem Social-Media-Riesen, die Daten seiner anderen Nutzer auszuwerten, diejenigen mit ähnlichen Merkmalen wie die Kunden von BetterHelp zu finden und sie gezielt mit Werbung anzusprechen, um neue Kunden zu gewinnen.
Die der FTC Beschwerde behauptet außerdem, dass BetterHelp das Siegel des Health Insurance Portability and Accountability Act (HIPAA) auf seinen Websites angebracht und eine Zertifizierung beansprucht habe, ohne dass eine Regierungsbehörde die Datenpraktiken des Unternehmens überprüft hätte.
Die Nachverfolgung durch Dritte ist bei Gesundheitsdienstleistern weit verbreitet. A berichten in Health Affairs hat kürzlich herausgefunden, dass fast 99 % der Krankenhäuser Tracking auf ihren Websites nutzen. Diese Tracker sendeten Daten an soziale Medien, Werbefirmen und Datenbroker. Diese Krankenhäuser „erleichtern die Profilerstellung ihrer Patienten durch Dritte“, heißt es in dem Bericht, was zu Würdeschäden führt.
Melden Sie sich hier an und geben Sie Ihre Datenschutzrechte auf, um fortzufahren
Datenschutzverstöße erfolgen nicht immer ohne Wissen des Benutzers. Manchmal, wie es im Technologiebereich häufig vorkommt, überreden Unternehmen ihre Kunden, auf ihre Datenschutzrechte zu verzichten. Eine Washington Post Untersuchung Kürzlich wurde festgestellt, dass Amazon dies im Rahmen seines verbraucherorientierten Gesundheitsprojekts Amazon Clinic tut. Der Dienst folgt dem Plattformmodell und bietet Verbrauchern ein Forum, in dem sie online mit Partnerärzten interagieren und medizinische Rezepte erhalten können. Allerdings kassiert Amazon, wie viele Plattformbetreiber, mehr als nur einen Teil der Gebühr; Es kann auch Kundendaten sammeln. In diesem Fall sind die zu gewinnenden Daten äußerst vertraulich, einschließlich Details und Fotos von Gesundheitszuständen.
Der WaPo-Untersuchung zufolge verlangt Amazon von seinen Kunden die Unterzeichnung eines Formulars, das Amazon Zugriff auf die Krankenakte eines Patienten und die Erlaubnis zur „Wiederoffenlegung“ gewährt, wonach sie „nicht mehr durch HIPAA geschützt“ ist.
"Was könnte schiefgehen?" fragt WaPo-Autor Geoffrey Fowler. „Es gibt viele heikle Möglichkeiten, wie Amazon Ihre Gesundheitsinformationen nutzen könnte: um Ihnen Upselling bei anderen Diensten zu bieten, um gezieltes Marketing für sein riesiges Werbegeschäft zu betreiben oder um künstliche Intelligenz oder Patientenrisikomodelle zu entwickeln.“
Amazon – oder auch die Unternehmen, an die es die Daten weitergibt – könnte Ihre Daten auch legal an Dritte weiterverkaufen, von denen Sie noch nie gehört haben. Es könnte möglicherweise in die Hände des Staates fallen und das Gespenst aufkommen lassen, dass die Landesregierungen beispielsweise den tatsächlichen oder vermuteten Schwangerschaftsstatus einer Person nutzen, um Anti-Abtreibungsgesetze durchzusetzen.
Wir haben bereits gesehen, dass Staaten Daten zur Verfolgung illegaler Abtreibungsfälle nutzen. Letzten Sommer, Polizeibeamte benutzt Facebook-Chatnachrichten zwischen einer Mutter und ihrer Tochter, um einen Fall illegal durchgeführter Abtreibung zu verfolgen. Dieser Fall wurde abgeschlossen, bevor Roe V Wade von SCOTUS gestürzt wurde, und beinhaltete einen Verstoß gegen bestehendes Landesrecht aufgrund der Dauer der Schwangerschaft.
Zeit für ein Update des Gesetzes
Amazon teilte WaPo mit, dass es Kundendaten nicht für Zwecke verwendet, denen die Kunden nicht zugestimmt haben, aber genau darum geht es. Kunden unterschreiben ihre Einwilligung oft, ohne den Vertrag richtig gelesen zu haben. Das liegt zum Teil daran, dass die Verträge langwierig und komplex sind. Im Fall von Amazon ist eine Einwilligung zwingend erforderlich. Entweder Sie unterschreiben oder Sie erhalten den Service nicht. Dies wäre unter der EU nicht erlaubt Allgemeine Datenschutzverordnung (GRPR), das diese Praxis ausdrücklich verbietet.
Derzeit ist HIPAA das einzige Bundesgesetz, das Gesundheitsdaten ausdrücklich schützt, weist jedoch Mängel auf. Sie gilt nur für abgedeckte Unternehmen – Gesundheitsdienstleister und Gesundheitsunternehmen – und nicht für andere, die möglicherweise Gesundheitsdaten sammeln und verwenden.
Als HIPAA 1996 verabschiedet wurde, waren Windows 95 und Amazon.com glänzend und neu. Die Technologie hat sich zwar weiterentwickelt, das Gesetz jedoch nicht. In einer Welt, in der sensible Daten und Metadaten routinemäßig digitalisiert und an den Meistbietenden geliefert werden, ist HIPAA nicht mehr so effektiv, wie wir es brauchen. Die USA sollten die bundesstaatlichen Datenschutzgesetze aktualisieren, um HIPAA und den Flickenteppich von Gesetzen zur Förderung der Privatsphäre der Verbraucher zu stärken oder eine Alternative dazu bereitzustellen. Genau das, was der Arzt verordnet hatte, wären strenge, kohärente bundesstaatliche Datenschutzgesetze, zusammen mit einer gut ausgestatteten Regulierungsbehörde zu deren Durchsetzung.
