Jika Anda ingin hamil, Anda dapat memasukkan data tentang menstruasi Anda ke dalam aplikasi bernama Premom, yang memberi tahu Anda saat Anda sedang berovulasi. Tetapi mengapa menyimpan berita itu untuk diri sendiri? Orang-orang baik di Premom mengenal banyak perusahaan periklanan yang ingin mengetahui lebih banyak tentang kesehatan Anda, sehingga mereka berbagi data pengguna dengan banyak perusahaan pihak ketiga termasuk Google, AppsFlyer, dan beberapa bisnis di China. Dan, ups! Premom lupa memberi tahu pengguna tentang hal itu (benci kalau itu terjadi). Komisi Perdagangan Federal mengatakan Premom melanggar hukum. Ini adalah bagian dari upaya berkelanjutan untuk melindungi orang dari perusahaan yang menganggap privasi kesehatan tidak penting.
FTC Baru Saja Meresepkan Sekaleng Whoop Ass pada Data Kesehatan
“Premom melanggar janjinya dan mengkompromikan privasi konsumen,” kata Samuel Levine, direktur Biro Perlindungan Konsumen FTC, dalam siaran pers Rabu. “Kami akan menegakkan Aturan Pemberitahuan Pelanggaran Kesehatan dengan penuh semangat untuk melindungi data kesehatan konsumen dari eksploitasi. Perusahaan yang mengumpulkan informasi ini harus menyadari bahwa FTC tidak akan mentolerir pelanggaran privasi kesehatan.”
Departemen Kehakiman mengajukan perintah yang diusulkan atas nama FTC yang melarang Easy Healthcare Corporation, yang mengoperasikan aplikasi Premom, untuk berbagi data kesehatan dengan perusahaan periklanan pihak ketiga. Easy Health juga harus mendapatkan persetujuan sebelum membagikan data lain, dan harus memberi tahu pengguna tentang semua praktik privasinya (yang diharapkan tidak terlalu menjijikkan di masa mendatang). Perintah tersebut harus disetujui oleh hakim sebelum mulai berlaku.
Kabar baiknya adalah Premom adalah satu-satunya perusahaan yang pernah melakukan hal seperti ini. Cuma bercanda! Sangat umum bagi perusahaan untuk berbagi data kesehatan pengguna. Pada tahun 2021, FTC menyelesaikan kasus serupa dengan pelacak periode Flo Health. (Flo sekarang memiliki “mode anonim” opsional, yang sebenarnya tidak anonim.) Pelacak menstruasi lainnya memiliki masalah yang sama, belum lagi aplikasi kesehatan mental. FTC mengambil tindakan serupa terhadap GoodRX, pakaian kupon resep yang sama longgarnya dengan data pengguna. Jika Anda ingin tahu apa yang terjadi pada semua data itu, mengapa tidak meninjau kembali penyelidikan Gizmodo tahun 2022, yang menemukan 32 pialang data yang menjual data kehamilan senilai 2,9 miliar profil, tepat setelah Mahkamah Agung mengatakan tidak apa-apa untuk membuat aborsi ilegal.
Dihubungi untuk berkomentar, Easy Health menunjuk ke sebuah pernyataan di situs webnya. “Kami baru-baru ini mencapai kesepakatan dengan FTC. Kesepakatan kami dengan FTC bukanlah pengakuan atas kesalahan apa pun, ”tulis Premom. “Yakinlah bahwa kami tidak, dan tidak akan, pernah menjual informasi apa pun tentang kesehatan pengguna kepada pihak ketiga, juga tidak membagikannya untuk tujuan periklanan.” Perhatikan bahwa jaminan ini ditulis dengan hati-hati dalam waktu sekarang, tidak menyebutkan apakah Premom melakukan ini di masa lalu atau tidak. Perusahaan menulis itu menepati janjinya kepada pengguna.
Inilah fakta aneh dan menyedihkan tentang privasi kesehatan di Amerika Serikat: kami tidak memiliki banyak hal. Sampai baru-baru ini, undang-undang tersebut meninggalkan lubang menganga yang dilalui oleh para penimbun data medis selama beberapa dekade. HIPAA, undang-undang yang sebelumnya dikenal sebagai Undang-Undang Portabilitas dan Akuntabilitas Informasi Kesehatan, tidak melindungi Anda seperti yang Anda pikirkan. Pada dasarnya, HIPAA hanya berlaku untuk penyedia layanan kesehatan (kebanyakan dokter dan perawat), perusahaan asuransi, dan rekan bisnis mereka. Orang lain, seperti aplikasi pelacakan periode, Google, WebMD, dan sebagian besar aplikasi dan situs web maaf lainnya tempat Anda memberikan detail kesehatan bebas melakukan apa pun yang mereka inginkan dengan informasi paling pribadi tentang hidup Anda.
Kedengarannya buruk? FTC berpikir demikian. Itulah mengapa bereksperimen dengan teori hukum baru untuk memukul hantu yang melanggar privasi kesehatan Anda.
Beberapa tahun lalu, FTC membuat peraturan baru tentang pemberitahuan pelanggaran kesehatan. Aturan mengatakan perusahaan yang memiliki catatan kesehatan harus memberitahu konsumen, dan dalam beberapa kasus media, bila ada “akses tidak sah” ke informasi kesehatan tersebut. Pada saat itu, sepertinya undang-undang ini ditujukan untuk pelanggaran data, yaitu peretasan atau kebocoran yang tidak disengaja lainnya.
Namun pada bulan Februari, FTC membuat argumen yang berani. Komisi mengatakan itu dianggap sebagai “pelanggaran” ketika perusahaan berbagi informasi kesehatan dengan perusahaan periklanan tanpa persetujuan Anda. Ini pada dasarnya adalah perebutan kekuasaan pro-konsumen yang memberi FTC wewenang untuk mengatur pelanggar privasi kesehatan. Sangat menyenangkan bagi reporter ini, FTC mendasarkan langkahnya pada penyelidikan yang saya lakukan di GoodRX untuk Laporan Konsumen pada tahun 2020, diikuti oleh laporan serupa di Gizmodo.
Argumen hukum ini, bagaimanapun, sedikit berlebihan. Jika pemilik GoodRX atau Premom, Easy Health, ingin melawan, mereka dapat membawa FTC ke pengadilan dan berpendapat bahwa Aturan Pemberitahuan Pelanggaran Kesehatan (dikapitalisasi untuk formalitas) tidak berlaku dalam situasi ini. FTC bisa saja kehilangan kasus seperti itu, membawa kita kembali ke data medis yang memberi makan status quo yang hiruk pikuk.
Tetapi GoodRX dan Premom tidak menantang pemerintah, mungkin karena FTC memberikan denda kecil pada masalah ini sehingga lebih masuk akal bagi perusahaan untuk membatalkannya. (Mungkin juga terlihat buruk menghabiskan waktu bertahun-tahun di pengadilan untuk mendukung praktik privasi creepazoid Anda). FTC menghasilkan GoodRX hanya $1,5 juta dolar, hanya 0,2% dari pendapatan GoodRx tahun 2021 sebesar $745 juta. Dalam pesanan terbaru yang diusulkan, pemilik Premom, Easy Health, akan membayar denda impoten sebesar $100.000. FTC mengatakan Easy Health juga setuju untuk membayar $100.000 ke Connecticut, Washington, DC, dan Oregon, yang bekerja sama dengan FTC dalam kasus tersebut, karena melanggar undang-undang masing-masing.
Dengan kata lain, FTC tampaknya membuat contoh dari perilaku bozo privasi kesehatan ini, menetapkan preseden untuk memberikan otoritas lebih besar kepada dirinya sendiri, dan mencoba menakut-nakuti perusahaan lain agar memperlakukan data medis orang dengan rasa hormat yang mereka anggap sudah mereka miliki. Sebagai gantinya, FTC mengorbankan denda yang berarti, membiarkan GoodRX dan Easy Health menyelinap dengan tamparan di pergelangan tangan dan pers yang buruk.
Pembaruan, 18 Mei, 14:28 EST: Kisah ini telah diperbarui dengan komentar dari Premom.