Веб-сайты больниц предоставляют Facebook конфиденциальную информацию
15 декабря 2022 г.Эта статья была опубликована совместно со STAT, общенациональное издание, публикующее надежные и авторитетные журналистские материалы о здоровье, медицине и науках о жизни. Подпишитесь на их информационный бюллетень о медицинских технологиях, который доставляется утром во вторник и четверг, здесь: https://www.statnews.com/signup. /медицинские технологии/
Инструмент отслеживания, установленный на веб-сайтах многих больниц, собирает конфиденциальную информацию о состоянии здоровья пациентов, включая сведения об их состоянии здоровья, рецептах и визитах к врачу, и отправляет ее на Facebook.
Программа Markup протестировала веб-сайты 100 лучших больниц Америки по версии Newsweek. На 33 из них мы обнаружили трекер под названием Meta Pixel, который отправляет Facebook пакет данных всякий раз, когда человек нажимает кнопку, чтобы записаться на прием к врачу.
Данные связаны с IP-адресом — идентификатором, похожим на почтовый адрес компьютера, который, как правило, может быть связан с конкретным человеком или домохозяйством. Таким образом создается личная квитанция о записи на прием для Facebook.
Например, на веб-сайте университетских больниц Кливлендского медицинского центра нажатие кнопки «Записаться онлайн» на странице врача побуждало Meta Pixel отправлять в Facebook текст кнопки, имя врача и поисковый запрос, который мы использовали для ее поиска. : «прерывание беременности».
Нажатие кнопки «Записаться на прием онлайн» для врача на веб-сайте больницы Фредтерт в Висконсине побудило Meta Pixel отправить в Facebook текст кнопки, имя врача и состояние, которое мы выбрали из раскрывающегося меню: «Болезнь Альцгеймера». .”
Разметка также обнаружила, что Meta Pixel установлен внутри защищенных паролем порталов пациентов семи систем здравоохранения.
На пяти из страниц этих систем мы зафиксировали, как пиксель отправляет в Facebook данные о реальных пациентах, которые вызвались участвовать в проекте Pixel Hunt, совместном проекте The Markup и Mozilla Rally.
Проект представляет собой краудсорсинговое предприятие, в котором каждый может установите надстройку браузера Mozilla Rally, чтобы отправлять данные разметки на метапиксель в том виде, в котором они появляются. на сайтах, которые они посещают.
Данные, отправляемые в больницы, включали названия лекарств пациентов, описания их аллергических реакций и сведения о предстоящих визитах к врачу.
Бывшие регулирующие органы, эксперты по безопасности медицинских данных и защитники конфиденциальности, проанализировавшие выводы The Markup, заявили, что рассматриваемые больницы могли нарушать федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA).
Закон запрещает организациям, подпадающим под действие закона, например больницам, передавать идентифицирующую личность медицинскую информацию третьим сторонам, таким как Facebook. , за исключением случаев, когда физическое лицо дало прямое согласие заранее или в соответствии с определенными контрактами.
Ни больницы, ни Meta не заявили, что у них есть такие контракты, и The Markup не обнаружил никаких доказательств того, что больницы или Meta каким-либо иным образом получали прямо выраженное согласие пациентов.
«Меня глубоко беспокоит то, что [больницы] делают со сбором своих данных и обменом ими», — сказал Дэвид Хольцман, консультант по вопросам конфиденциальности в сфере здравоохранения, который ранее работал старшим советником по вопросам конфиденциальности в Министерстве здравоохранения и защиты прав человека США. Службы Управления гражданских прав, которое следит за соблюдением закона HIPAA.
«Я не могу сказать, что [обмен этими данными] наверняка является нарушением HIPAA. Вполне вероятно, что это нарушение HIPAA».
Представитель University Hospitals Cleveland Medical Center Джордж Стаматис не ответил на вопросы The Markup, но сказал в кратком заявлении, что больница «соответствует всем применимым федеральным законам и законам штата и нормативным требованиям».
Изучив выводы The Markup, больница Froedtert удалила Meta Pixel со своего веб-сайта «из соображений предосторожности», — написал в своем заявлении представитель больницы Стив Шофф.
По состоянию на 15 июня шесть других больниц также удалили пиксели со своих страниц записи на прием, и по крайней мере пять из семи систем здравоохранения, в которых на порталах пациентов были установлены Meta Pixels, удалили эти пиксели.
33 больницы, которые, по данным Markup, отправляли информацию о назначении пациентов в Facebook, сообщают о более чем 26 миллионах госпитализаций и амбулаторных посещений пациентов в 2020 году, согласно наиболее доступны последние данные от Американской ассоциации больниц.
Наше исследование было ограничено чуть более чем 100 больницами; обмен данными, вероятно, затронет гораздо больше пациентов и учреждений, чем мы определили.
Сам Facebook не подпадает под действие HIPAA, но эксперты, опрошенные для этой статьи, выразили обеспокоенность по поводу того, как рекламный гигант может использовать собираемые им персональные данные о здоровье для собственной выгоды.
«Это яркий пример того, как далеко щупальца больших технологий проникают в то, что мы считаем защищенным пространством данных», — сказал Николсон Прайс, профессор права Мичиганского университета, изучающий большие данные и здравоохранение.
«Я думаю, что это жутко, проблематично и потенциально незаконно» с точки зрения больниц.
Разметке не удалось определить, использовал ли Facebook данные для таргетинга рекламы, обучения своих алгоритмов рекомендаций или получения прибыли другими способами.
Материнская компания Facebook, Meta, не ответила на вопросы. Вместо этого представитель Дейл Хоган отправил краткое электронное письмо, в котором перефразировал политику конфиденциальных медицинских данных.
«Если системы фильтрации сигналов Meta обнаружат, что бизнес отправляет потенциально конфиденциальные данные о здоровье из своего приложения или веб-сайта с помощью инструментов Meta Business Tools, что в некоторых случаях может произойти по ошибке, эти потенциально конфиденциальные данные будут удалены до того, как их можно будет сохранить. в наших рекламных системах», — написал Хоган.
Meta не ответила на дополнительные вопросы, но Хоган, похоже, ссылается на систему фильтрации конфиденциальной медицинской информации, которую компания запустила в июле 2020 года в ответ на Статья Wall Street Journal и расследование Департамента финансовых услуг Нью-Йорка.
Мета сообщил следователям, что система фильтрации «еще не работает с полной точностью», согласно итоговый отчет.
Разметке не удалось подтвердить, действительно ли какие-либо данные, упомянутые в этой статье, были удалены до того, как были сохранены Meta.
Однако недавняя совместное расследование с Reveal показало, что система фильтрации конфиденциальной медицинской информации Meta не блокирует информацию о встречах, которые репортер запросил в центрах кризисной беременности.
Внутренние сотрудники Facebook открыто говорят о том, насколько хорошо (или не очень) компания в целом защищает конфиденциальные данные.
«У нас нет надлежащего уровня контроля и объяснения того, как наши системы используют данные, и поэтому мы не можем уверенно вносить контролируемые изменения в политику или внешние обязательства, такие как «мы не будем использовать данные X для целей Y»», — инженеры Facebook. из группы рекламных и бизнес-продуктов написали в обзоре конфиденциальности за 2021 год, который был Метапиксель – это фрагмент кода, который отслеживает пользователей, когда они перемещаются по веб-сайту, записывая, какие страницы они посещают, какие кнопки нажимают, а также определенную информацию, которую они вводят в формы.
По данным анализ.
В обмен на установку своего пикселя Meta предоставляет владельцам веб-сайтов аналитику рекламы, которую они разместили на Facebook и Instagram, а также инструменты для таргетинга на людей, посетивших их веб-сайт.
Метапиксель отправляет информацию в Facebook через сценарии, запущенные в интернет-браузере человека, поэтому каждый пакет данных помечается IP-адресом, который можно использовать в сочетании с другими данными для идентифицировать человека или семью.
HIPAA перечисляет IP-адреса как один из 18 идентификаторов, которые, будучи связаны с информацией о состояние здоровья, уход или оплата могут квалифицировать данные как защищенную медицинскую информацию.
В отличие от анонимных или агрегированных медицинских данных, больницы не могут передавать защищенную медицинскую информацию третьим лицам, кроме как в соответствии со строгими условиями соглашений о деловом партнерстве, которые ограничивают использование данных.
Кроме того, если пациент входит в систему Facebook при посещении веб-сайта больницы, где установлен Meta Pixel, некоторые браузеры будут прикреплять сторонние файлы cookie — еще один механизм отслеживания, — который позволяет Meta связывать данные пикселя с определенными учетными записями Facebook.< /p>
И в нескольких случаях мы обнаружили — используя как фиктивные учетные записи, созданные нашими репортерами, так и данные добровольцев Mozilla Rally, — что Meta Pixel еще больше упростил идентификацию пациентов.
Когда The Markup нажимал кнопку «Завершить бронирование» на странице врача Мемориальной больницы Скриппса, пиксель отправлял в Facebook не только имя врача и ее область медицины, но также имя, фамилию, адрес электронной почты, номер телефона, почтовый индекс. код и город проживания мы ввели в форму бронирования.
Meta Pixel «хешировал» эти личные данные, скрывая их с помощью криптографии, прежде чем отправлять их в Facebook.
Но это хеширование не мешает Facebook использовать данные. Фактически, Meta явным образом использует хешированную информацию для связывания данных пикселей с профилями Facebook.
Используя бесплатный онлайн-инструмент, разметка также смогла отменить большую часть нашей хешированной тестовой информации, которую пиксель на веб-сайте Мемориальной больницы Скриппса отправлял в Facebook.
Scripps Memorial не ответил на вопросы The Markup, но удалил метапиксель с последних веб-страниц в процессе записи на прием после того, как мы поделились своими выводами с больницей.
На веб-сайтах других больниц мы зафиксировали, что Meta Pixel собирает столь же личную информацию о реальных пациентах.
Когда один реальный пациент, участвовавший в исследовании Pixel Hunt, зашел на портал MyChart для Piedmont Healthcare, системы здравоохранения штата Джорджия, установленный на портале Meta Pixel сообщил Facebook имя пациента, имя его врача и время приема. предстоящая встреча, согласно данным, собранным браузерным расширением участника Mozilla Rally.
Когда другой участник Pixel Hunt использовал портал MyChart для Novant Health, системы здравоохранения из Северной Каролины, пиксель сообщал Facebook о типе аллергической реакции пациента на определенное лекарство.
Компания Markup создала нашу собственную учетную запись MyChart через Novant Health для дальнейшего расследования и обнаружила, что Meta Pixel собирает другую конфиденциальную информацию.
Нажатие на одну кнопку побуждало пиксель сообщать Facebook название и дозировку лекарства в нашей медицинской карте, а также любые примечания, которые мы ввели о рецепте. Пиксель также сообщил Facebook, какую кнопку мы нажали в ответ на вопрос о сексуальной ориентации.
«Наше размещение метапикселей управляется сторонним поставщиком, и оно было удалено, пока мы продолжаем изучать этот вопрос», — написала представитель Novant Меган Риверс в электронном письме.
Epic Systems, компания-разработчик программного обеспечения MyChart, «особо рекомендовала проявлять повышенную осторожность при использовании пользовательских сценариев аналитики», — написал в электронном письме Стирлинг Мартин, старший вице-президент компании.
Facebook возможность делать выводы о состоянии здоровья людей, используя другие средства — например, тот факт, что человек «лайкнул» группу Facebook, связанную с конкретным заболеванием, — но данные, собранные пикселями на веб-сайтах больниц, являются более прямыми.
По словам экспертов, делясь ею с Facebook, поставщики медицинских услуг рискуют подорвать доверие пациентов к системе здравоохранения, которая становится все более цифровой.
Разметка обнаружила, что при заполнении опроса через Novant Health конфиденциальная информация, такая как сексуальная ориентация, была передана Facebook через метапиксель. Источник: www.novantmychart.org
«Почти любой пациент был бы шокирован, узнав, что Facebook предоставляет простой способ связать их рецепты с их именем», — сказал Гленн Коэн, заведующий кафедрой Центра юридической политики, биотехнологии и биоэтики Петри-Флома Гарвардской школы права. .
«Даже если, возможно, в правовой архитектуре есть что-то, что позволяет этому быть законным, это полностью выходит за рамки ожиданий пациентов относительно того, что, по мнению пациентов, делают для них законы о неприкосновенности частной жизни». Сбор данных Facebook на веб-сайтах больниц стал предметом коллективных исков в нескольких штатах с неоднозначными результатами.
В этих случаях речь идет о типах данных, которые, по словам экспертов в области законодательства в области здравоохранения, являются конфиденциальными, но менее регулируемыми, чем медицинская информация, которую The Markup задокументировал сбор Meta Pixel.
В 2016 году группа истцов подала в суд на Facebook и несколько систем и организаций здравоохранения, утверждая, что организации нарушили свои собственные политики конфиденциальности и несколько законов штата и федеральных законов, включая прослушивание телефонных разговоров и нарушение законов о самоизоляции, путем сбора данных с помощью технологии отслеживания на веб-сайтах поставщиков медицинских услуг.
Окружной суд США Северного округа Калифорнии закрыл это дело в 2017 году по разным причинам, в том числе из-за того, что истцы не смогли доказать, что Facebook собирал «защищенную медицинскую информацию», как это определено HIPAA.
Скорее суд установил, что Facebook отслеживал истцов на общедоступных страницах веб-сайтов, таких как главная страница или информационные страницы о заболеваниях, где не было никаких доказательств того, что истцы установили отношения пациента с поставщиком услуг.
В 2019 году истцы подали аналогичный коллективный иск в графстве Саффолк. Верховный суд округа против компании Partners Healthcare System из Массачусетса, которая с тех пор сменила название на Mass General Brigham, утверждая, что система нарушила конфиденциальность пациентов и ее собственные правила, установив Meta Pixel и другие инструменты отслеживания на своих веб-сайтах.
Стороны урегулировали дело в январе с помощью Mass Генерал Бригам отрицает обвинения и не признает никаких правонарушений или ответственности, но выплачивает истцам и их адвокатам 18,4 миллиона долларов.
После мирового соглашения Mass General Brigham удалила Meta Pixel и другие инструменты отслеживания со многих веб-сайтов своих больниц, но не со всех.
Когда The Markup тестировал веб-сайт Brigham and Women’s Faulkner Hospital, нажатие кнопки «Запросить встречу» на странице врача заставило Meta Pixel отправить в Facebook текст кнопки, имя врача и область медицины, которой занимается врач. Mass General не ответила на запрос The Markup о комментариях.
Как и все подобные данные, которые собирает Meta Pixel, они были отправлены в Facebook вместе с общедоступным IP-адресом нашего компьютера.
«Когда человек ищет поставщика услуг и указывает, что хочет записаться на прием, в этот момент любая идентифицирующая личность медицинская информация, которую он предоставил на этом сеансе, в прошлом или, конечно, в будущем, защищена в соответствии с HIPAA и не могут быть переданы третьим лицам, таким как Facebook", — сказал Хольцман.
Управление по гражданским правам Министерства социальных служб США «не может комментировать открытые или потенциальные расследования», — написала официальный представитель Рэйчел Сигер в заявлении по электронной почте.
«Как правило, организации и деловые партнеры, подпадающие под действие HIPAA, не должны делиться идентифицирующей информацией с компаниями социальных сетей, если у них нет разрешения HIPAA [от физического лица] и согласия в соответствии с законодательством штата», — сказала Илиана Петерс, юрист по вопросам конфиденциальности в фирме Polsinelli, которая ранее возглавляла Применение HIPAA для Управления по гражданским правам.
Пациенты имеют право подавать жалобы HIPAA своим поставщикам медицинских услуг, которые обязаны расследовать жалобы, сказал Петерс, добавив: «Я надеюсь, что учреждения быстро отреагируют на такие типы жалоб, чтобы они не были переданы в состояние. или федеральный регулирующий орган». Большинство больниц, с которыми The Markup связалась для этой истории, не ответили на наши вопросы и не объяснили, почему они решили установить Meta Pixel на свои веб-сайты. Но некоторые защищали использование трекера.
«Использование этого типа кода было проверено», — написал Крис Кинг, представитель Северо-западной мемориальной больницы в Чикаго. Кинг не ответил на дополнительные вопросы о процессе проверки.
Кинг сказал, что никакая защищенная медицинская информация не размещена на веб-сайте Northwestern Memorial и не доступна через него, и что «Facebook автоматически распознает все, что может быть близко к личной информации, и не хранит эти данные».
На самом деле Meta прямо заявляет в своих условиях использования бизнес-инструментов, что пиксель и другие трекеры собирают личную информацию для различных целей.
Хьюстонская методистская больница в Техасе была единственным учреждением, которое предоставило подробные ответы на вопросы The Markup.
Как написала пресс-секретарь Стефани Асин, больница начала использовать пиксель в 2017 году и «уверена» в мерах безопасности Facebook и в том, что передаваемые данные не являются защищенной медицинской информацией.
Когда The Markup тестировал веб-сайт Houston Methodist, нажатие кнопки «Записаться на прием» на странице врача побудило Meta Pixel отправить в Facebook текст кнопки, имя врача и поисковый запрос, который мы использовали для поиска врача: « Домашний аборт».
Хьюстонский методист не классифицирует эти данные как защищенную медицинскую информацию, пишет Асин, потому что человек, который нажимает кнопку «Записаться на прием», может не выполнить и не подтвердить встречу, или он может записаться на прием для члена семьи, а не для себя.
«Клик не означает, что они запланированы», — написала она. "Стоит также отметить, что люди часто ищут супруга, друга, пожилого родителя".
Асин добавил, что хьюстонский методист считает, что Facebook «использует инструменты для обнаружения и отклонения любой медицинской информации, создавая барьер, предотвращающий передачу [защищенной медицинской информации]».
Несмотря на защиту использования метапикселя, Хьюстонская методистская больница удалила пиксель со своего веб-сайта через несколько дней после ответа на вопросы The Markup.
«Поскольку наше дальнейшее изучение темы продолжается, мы решили пока удалить пиксель, чтобы быть уверенными, что делаем все возможное для защиты конфиденциальности наших пациентов во время оценки», — написал Асин в последующем электронном письме. /p>
Согласно расследованию Департамента финансовых услуг Нью-Йорка, Facebook не запускал свою систему фильтрации конфиденциальных медицинских данных до июля 2020 года, через три года после того, как Houston Methodist начал использовать пиксель.
А совсем недавно, в феврале прошлого года, департамент сообщил, что точность системы была низкой.
По словам защитников конфиденциальности, такой вид исправления Band-Aid является ярким примером неспособности индустрии интернет-рекламы контролировать себя.
«Злой гений системы Facebook заключается в том, что они создают небольшой фрагмент кода, который отслеживает их действия за них, а затем просто выкладывают его во вселенную, и Facebook может попытаться заявить о правдоподобном отрицании», — сказал Алан Батлер, исполнительный директор Electronic Информационный центр конфиденциальности.
«Тот факт, что это широко распространено на веб-сайтах больниц, свидетельствует о том, насколько нарушаются правила». Эта статья была опубликована совместно с STAT, национальным изданием, которое публикует надежные и авторитетные журналистские материалы о здоровье, медицине и науках о жизни. Подпишитесь на их информационный бюллетень о медицинских технологиях, который доставляется утром во вторник и четверг, здесь: https://www.statnews.com/signup. /медицинские технологии/ После публикации этой истории Duke Health сообщил The Markup, что удалил Meta Pixel со своего веб-сайта.
Представитель Duke Health Сара Эйвери сказала: «Duke Health стремится защищать конфиденциальность медицинской информации наших пациентов. После изучения проблемы, поднятой в отчете, опубликованном сегодня утром, мы удалили изображение MetaPixel». Источники: Тодд Фезерс, Саймон Фондри-Тейтлер, Энджи Уоллер, Сурья Матту, Миха Горелик , Габриэль Хонгсдусит, Джилл Жарофф , Рина Палта, Mozilla Rally
Также опубликовано здесь
Фото Солен Фейисса на UnsplashMeta Pixel собирает конфиденциальную информацию о состоянии здоровья и делится ею с Facebook
Meta Pixel, установленный на портале MyChart компании Piedmont Healthcare, отправлял в Facebook сведения о предстоящем визите к врачу реального пациента, включая дату, время, имя пациента и имя его врача
Юридические последствия
"Правдоподобное отрицание"
Обновить
Оригинал