[ad_1]
O Massachusetts Health Connector, outra troca, disse ao LinkedIn se os visitantes disseram estar grávidas, cegos ou deficientes.
Depois de ser contatado pela marcação e calma, a troca de saúde de Nevada parou de enviar dados dos visitantes para o Snapchat e Massachusetts pararam de enviar dados para o LinkedIn. Ou por outra, a marcação e a calma descobriram que Nevada parou de enviar dados para o LinkedIn no início de maio, enquanto estávamos testando.
A marcação e a calma descobriram o compartilhamento depois de desvendar que a troca da Califórnia, cobriu a Califórnia, contou ao LinkedIn quando um visitante indicou Eles estavam cegos, grávidos ou vítimas de violência doméstica.
Especialistas disseram que o uso de rastreadores de publicidade por trocas de saúde do estado foi preocupante, se não fosse totalmente surpreendente. Tais ferramentas podem ajudar as organizações a perceber os visitantes e adequar os anúncios para eles. O Google Analytics permite que as operadoras de sites entendam melhor quem está chegando ao seu site e otimize campanhas publicitárias. Os rastreadores do LinkedIn e Snap, porquê uma oferta semelhante da Meta, ajudam as empresas a segmentarem seus anúncios de mídia social.
Nevada usa os rastreadores para ajudar a direcionar o marketing em residentes não segurados, de convenção com Russell Cook, diretor executivo da escritório estadual que opera o intercâmbio de Nevada, Silver State Health Insurance Exchange.
Mas os serviços de saúde precisam ser principalmente cuidadosos com essas ferramentas, disse John Haskell, um jurisperito de privacidade de dados que já havia trabalhado porquê investigador do Departamento de Saúde e Serviços Humanos.
“Não me surpreende que as organizações que tenham essas enormes pilhas de tecnologia que dependam de recursos de terceiros não tenham um entendimento completo de qual é a feição, quais são os fluxos de dados e, quando vão a alguém, para que esses dados estão sendo usados”, disse Haskell. “É alguma coisa que precisa ser abordado.”
Porquê os dados de troca de estados foram vinculados às identidades dos usuários?
Depois A marcação e calma relataram No compartilhamento de dados de saúde da Cobert California no LinkedIn, a troca removeu seus rastreadores e disse que analisaria suas práticas de dados. As notícias provocado um processo de ação coletiva e perguntas dos legisladores federais.
A marcação e a calma examinaram sites operados por 18 estados que não a Califórnia, assim porquê Washington, DC, para ver quais informações compartilharam porquê os usuários os navegaram. Os sites foram estabelecidos sob a Lei de Assistência Conseguível, que exige que os estados ofereçam seguro de saúde por meio de suas próprias trocas ou uma operada pelo governo federalista.
Para testá -los, passamos os sites pela primeira vez Blacklightuma utensílio que desenvolvemos para revelar rastreadores da web. Em seguida, analisamos o tráfico de rede nos sites para ver quais dados os rastreadores receberam quando os visitantes preencheram os formulários.
Os resultados mostraram que 18 usavam qualquer tipo de rastreador. Alguns estavam cheios de eles. Nevada, por exemplo, usou quase 50 anos. Por outro lado, a Blacklight não encontrou nenhum rastreador de qualquer tipo em Washington, a troca de DC. Os sites populares usam em média sete rastreadores, de convenção com Blacklight Scanns dos 100.000 sites mais traficados na web.
Muitos dos sites usavam rastreadores de maneiras relativamente inócuas, porquê a escrutínio de visualizações de página.
As quatro trocas que encontramos compartilhando dados de saúde sensíveis enviaram respostas variadas a perguntas sobre o rastreamento.
Cook disse em transmitido que os rastreadores colocados por sua escritório de Nevada estavam “inadvertidamente obtendo informações sobre o nome e a ração de medicamentos prescritos” e enviando -os para o LinkedIn e o Snapchat.
Cook reconheceu que esses dados eram “totalmente irrelevantes para os nossos esforços de marketing” e disse que desativaram o software de rastreamento enquanto aguardava uma auditoria.
Jason Lefferts, porta -voz do Massachusetts Health Connector, disse em transmitido que “informações pessoalmente identificáveis não fazem segmento da estrutura da utensílio e nenhuma informação de identificação pessoal, nem mesmo os endereços IP dos usuários da utensílio, já foi compartilhada com qualquer segmento de alguma forma por meio dessa utensílio”. Mas o LinkedIn documentação do rastreador deixa evidente que isso correlaciona as informações que recebe com contas específicas do LinkedIn para que as empresas possam usar os dados para recursos porquê redirecionamento dos visitantes do site. A documentação da empresa também afirma que mais tarde obscurece essas informações e, eventualmente, a exclui.
Os porta -vozes das trocas de saúde de Rhode Island e Maine disseram que pagam a um fornecedor, o talão de cheques dos consumidores, para comandar um site separado que permite aos visitantes explorar quais planos estão disponíveis através das trocas de seus estados. Foi nesses sites que informações confidenciais foram compartilhadas no Google. Os sites do talão de cheques dos consumidores estão em diferentes endereços da Web dos sites de intercâmbio, mas estão proeminentemente vinculados aos sites de intercâmbio e exibem marcas idênticas porquê o logotipo da Bolsa de Saúde do Estado, tornando improvável que um visitante médio percebesse que não estivesse mais em um domínio estatal.
Christina Spaight O’Reilly, porta -voz da HealthSource RI, disse que a empresa usa o Google Analytics para estudar tendências, mas não para atender anúncios, e “desativa o Google Signals Signals Collection, garantindo que nenhum oferecido seja compartilhado com anúncios do Google para geração de audiência ou personalização de anúncios, e nenhum oferecido de sessão é vinculado aos cookies de publicidade do Google ou identificadores”. Os termos de uso da HealthSource RI mencionam o uso do Google Analytics, observou ela. Um porta -voz da Coverme.gov fez pontos semelhantes, dizendo que a escritório “não coleta ou retém nenhum oferecido inserido na utensílio”.
O talão de cheques dos consumidores se recusou a comentar além das declarações das trocas.
Todas as trocas disseram que informações de saúde identificáveis individualmente, porquê nomes e endereços, não foram enviadas a terceiros. Mas o objetivo dos rastreadores é aprimorar as informações enviadas sobre um usuário com dados que as plataformas já possuem sobre esse usuário, e todos os rastreadores encontrados pela marcação e calma registraram detalhes sobre visitantes individuais, porquê seu sistema operacional, navegador, dispositivo e tempos de visitante.
Em resposta aos pedidos de comentários, as empresas de tecnologia cujos rastreadores examinamos uniformemente disseram que não desejam que as organizações enviem dados de saúde potencialmente sensíveis e que isso é contra seus termos de uso.
Steve Ganem, diretor de gerenciamento de produtos da Google Analytics, disse que “, por padrão, todos os dados enviados ao Google Analytics não identificam indivíduos e temos políticas rigorosas contra a coleta de informações privadas de saúde ou publicidade com base em informações confidenciais”. Um porta -voz do LinkedIn, Brionna Ruff, disse que os anunciantes não têm permissão para “segmentar anúncios com base em categorias de dados sensíveis”, porquê problemas de saúde. Um porta -voz do proprietário do Snapchat Snap disse o mesmo, observando que o envio de compras de suprimentos porquê prescrições entraria em conflito com as regras da empresa sobre dados confidenciais.
Uma página de informações do Google Analytics Discute especificamente porquê as organizações que usam as ferramentas da empresa devem satisfazer a Lei de Portabilidade e Responsabilidade do Seguro de Saúde, que protege os dados de saúde. A página observa que “o Google não faz representações que o Google Analytics atende aos requisitos da HIPAA”.
“É importante prometer que sua implementação do Google Analytics e os dados coletados sobre os visitantes de suas propriedades atendam a todos os requisitos legais aplicáveis”, diz a página.
(Divulgação completa: a CalmTatters usa o Google Analytics em nosso site. Leia mais sobre porquê.)
Mais incidentes
As trocas estaduais não são os únicos sites de saúde que enviaram informações médicas para empresas de mídia social.
Em 2022, A marcação revelou Que dezenas de sites hospitalares compartilhavam informações com a empresa controladora do Facebook, Meta, através de uma utensílio chamada Meta Pixel. Os hospitais enfrentaram escrutínio do Congresso e ação permitido. Outra investigação de marcação Encontraram os rastreadores registrando informações sobre os visitantes on -line de farmácias que compram testes de HIV e projecto B.
Em 2023, um hospital de Novidade York concordou em remunerar uma multa de US $ 300.000 por violações da Lei de Portabilidade e Responsabilidade do Seguro de Saúde, ou HIPAA.
Em resposta a uma série de incidentes, o Departamento de Saúde e Serviços Humanos disse em 2023 O uso de rastreadores de mídia social para registrar informações sobre saúde pode violar a HIPAA, embora as recentes decisões judiciais tenham reduzido porquê a lei pode ser aplicada contra empresas que usam esses rastreadores.
Alguns autores usaram leis estaduais, porquê as da Califórnia, para discutir que devem ser compensadas por receber seus dados de saúde a terceiros sem consentimento. Outros argumentaram que esse tipo de rastreamento corre em grande segmento Leis de escutas telefônicas ou até de roubo.
“As organizações não estão investindo tempo e recursos suficientes para examinar adequadamente tudo”, disse Haskell, que aconselha os clientes a ter muito zelo com as informações que rastreiam em seus sites. “Quando as organizações estão dizendo: ‘Não entendemos que há uma certa feição dessa utensílio que estamos usando’ muito, eu realmente não posso não Coloque isso em você. ”
Oriente cláusula foi publicado originalmente em calma e foi republicado sob o Creative Commons Attribution-não-comercial-noderivados licença.
[ad_2]
Source link
