У Facebook есть информация о ваших детях благодаря этой сети больниц
27 декабря 2022 г.По данным The Markup, одна из крупнейших педиатрических сетей в стране отправляла личную информацию о детях и их родителях в Facebook.
Nemours Children’s Health, которая обслуживает почти полмиллиона семей в США, разместила на своем веб-сайте планирования встреч инструмент отслеживания Facebook, который делился подробностями о встрече с Facebook.
На сайте также было несколько других сторонних трекеров, которые делятся потенциально конфиденциальной информацией с брокерами данных. Разметка не всегда могла определить, какую информацию трекеры отправляли брокерам данных, просто то, что трекеры присутствовали.
Однако с помощью трекера Meta мы обнаружили, что сайт Nemours отправляет IP-адреса посетителей Facebook, информацию о конкретном враче и специальности, к которой пациент записывался на прием, а в некоторых случаях — имя и фамилию ребенка, для которого была назначена встреча.
Эта информация в сочетании с другими данными, доступными Facebook, может быть использована для установления связи между состоянием здоровья отдельных лиц и профилями их родителей в Facebook.
И эксперты говорят, что обмен данными с Facebook может нарушить законы о конфиденциальности пациентов.
Закон о переносимости и подотчетности медицинского страхования (HIPAA) распространяется на поставщиков медицинских услуг, таких как Nemours, и на предоставляемые ими услуги, такие как планирование встреч, говорит Шарлотта Чидер, доцент Университета Лойолы, специализирующаяся на конфиденциальности информации и отрасли здравоохранения.
После того, как The Markup обратилась к Nemours, многие трекеры с сайта планирования были удалены, но трекеры из Facebook, Google и Salesforce остались.
На прошлой неделе, после того как The Markup опубликовал статью о десятках больниц Hospital-websites">передача конфиденциальной информации о здоровье пациентов в Facebook, Nemours также удалил трекер Facebook.
Не все данные о здоровье покрываются HIPAA. Закон конкретно применяется к поставщикам медицинских услуг, поставщикам медицинского страхования и центрам обмена данными о здравоохранении. По словам Чидера, это также относится к компаниям, которые ведут бизнес от имени этих организаций.
«Когда вы посещаете веб-сайт организации, на которую распространяется страховка, и вводите информацию, связанную с назначением встречи, включая ваше настоящее имя и, возможно, другие идентифицирующие характеристики, связанные с вашим состоянием здоровья, существует большая вероятность того, что HIPAA будет применяться в таких ситуациях», — сказал Чидер.
Программа Markup обнаружила трекеры на сайте Nemours с помощью нашего инструмента сканирования веб-сайтов Blacklight.
Сканирование, проведенное 9 мая, показало, что на главном веб-сайте сети детского здравоохранения, которая может похвастаться более чем 95 филиалами в четырех штатах, девять рекламных трекеров и 10 сторонних файлов cookie.
Но на его сайте расписания количество трекеров увеличилось более чем в два раза: 25 рекламных трекеров и 38 третьих сторонние файлы cookie, в том числе от таких компаний, как Facebook, Amazon и Google.
Были также трекеры от брокеров данных, таких как Oracle, технический гигант, который может похвастаться анализом данных более чем 80 процентов пользователей Интернета в США, рекламная платформа MediaMath и LiveRamp. , который управляет рынком данных.
Также Blacklight обнаружил на странице регистратор сессий от компании Mouseflow. Регистраторы сеансов потенциально могут отслеживать, что люди нажимают на странице.
На веб-сайте Mouseflow указывается, что компания подпишет Соглашение о деловом партнерстве, юридическое соглашение, которое должно быть заключено, чтобы разрешить HIPAA. - организация, на которую распространяется покрытие, для передачи покрываемых медицинских данных третьей стороне.
Когда мы спросили, существует ли такое соглашение между Nemours и Mouseflow, Mouseflow не ответила на вопрос.
«Mouseflow не позволяет записывать PII или PHI. Mouseflow автоматически маскирует IP-адреса и всю информацию, которую посетители веб-сайта вводят в поля формы и поля поиска.
Эта информация не записывается», — написал в электронном письме Якоб Олсен Баагё, директор по корпоративным продажам Mouseflow. «Согласно нашим условиям, нашим клиентам не разрешается записывать какую-либо PII или PHI, и Mouseflow предлагает все необходимые инструменты для легкого соблюдения этого требования».
Nemours Children’s Health не ответила на наши запросы о комментариях.
Facebook собирает данные с веб-сайтов с помощью Meta Pixel, инструмента аналитики и маркетинга, который разработчики могут установить на свои веб-сайты. В 2018 году Facebook сообщил законодателям США, что его пиксель был встроен в более более двух миллионов веб-сайтов.
Пиксель может регистрировать определенные действия на странице, например, если человек добавляет товар в корзину в розничном магазине. сайт или подписывает бесплатную пробную версию продукта. Пиксель также присутствует на некоммерческих сайтах.
Компания Markup недавно обнаружила трекеры Facebook в Департаменте Сайт подачи заявок на получение федеральной помощи студентам образования. В этом случае мы обнаружили, что Facebook получал такую информацию с сайта FAFSA, как имя заявителя, фамилию, страну, номер телефона и адрес электронной почты.
Представитель Meta Дейл Хоган сообщил The Markup, что у компании есть системы, которые должны обнаруживать и блокировать конфиденциальную информацию о состоянии здоровья, поступающую от пикселя и других инструментов отслеживания.
«Рекламодатели не должны отправлять конфиденциальную информацию о людях через наши бизнес-инструменты, поскольку это противоречит нашим правилам. Хотя наша система предназначена для фильтрации потенциально конфиденциальных данных, которые она может обнаружить, мы напрямую обращаемся к Nemours Health», — сказал Хоган в заявлении, отправленном по электронной почте.
Разметка не смогла определить, действительно ли данные Nemours были удалены перед сохранением, и Хоган не прокомментировал, были ли данные сохранены или использованы Facebook.
Недавнее совместное расследование, проведенное Reveal и The Markup, показало, что -sensive-info-on-would-be-patients">фильтры не блокировали информацию о встречах, которые репортер запросил в центрах кризисной беременности.
Пиксели в основном используются маркетологами, которые хотят запускать таргетированную рекламу на основе данных, которые собирает Facebook, и больницы не застрахованы от потребностей в рекламе.
Согласно исследованию, проведенному в Journal of Medicine and Жизнь.
В исследовании отмечается, что цифровой маркетинг дает отрасли здравоохранения «возможность значительно увеличить охват». Но защитники конфиденциальности опасаются, что такие маркетинговые кампании могут привести к утечке конфиденциальной информации о пациентах.
«Больницы были невероятно жадными, пытаясь использовать преимущества социальных и цифровых медиа для привлечения новых потенциальных пациентов и удержания существующих», — сказал Джефф Честер, исполнительный директор Центра цифровой демократии.
«Они бездумно внедрили пиксель Facebook в начале расширения Facebook, не думая о последствиях».
AddThis, маркетинговая компания, которую Oracle купила в 2016 году, имеет трекеры на странице расписания, но не на основном сайте. Компания предлагает бесплатный инструмент, который загружает отслеживающие файлы cookie и пиксели, заявляя, что собирает «до 30 точек данных» от каждого посетителя, Наценка зарегистрирована в 2020 году.
«Как только компании узнают, что в семье есть больной ребенок, вы можете совершенно по-другому продавать этому ребенку, вы можете лучше апеллировать к эмоциям, вы можете продавать для семьи», — Катарина Копп, заместитель директора по политике в Центре цифровых технологий. Демократия, говорит.
«Существующие данные подрывают наши права на передвижение без профилирования и сравнения с такими людьми, как мы».
Эксперты заявили, что HIPAA требует от организаций, подпадающих под действие закона, таких как Nemours, защищать медицинскую информацию, связанную с 18 видами личной информации, включая IP-адреса.
«Таким образом, использование имени, даты встречи или IP-адреса в связи с медицинскими услугами организации, на которую распространяется действие страховки, скорее всего, соответствует статусу HIPAA [защищенная медицинская информация]», — сказал Чидер, профессор Лойолы.
Закон предусматривает исключение для деидентифицированной медицинской информации или для конкретных случаев, когда пациенты соглашаются делиться своей информацией.
Хотя Meta Pixel хеширует имена пациентов до того, как собирает эти данные с веб-сайта Nemours, хеширование не помешает Facebook связать пациента с его профилем в Facebook.
Кроме того, данные могут быть отправлены вместе с файлами cookie Facebook, которые позволяют Facebook связать пользователя сайта планирования с его профилем Facebook и IP-адресом.
«Особенно несправедливо делать это в отношении детей», — сказал Копп. «Возможно, это останется с семьей и ребенком на всю оставшуюся жизнь».
Кредиты: Альфред Нг, Саймон Фондри-Тейтлер
Также опубликовано здесь
Фото Брэндона Холмса на Unsplash
Оригинал