Dokter mengatakan cerita tentang kebijakan data kesehatan ini akan segera memperbaiki Anda. Foto: Image Point Fr (Shutterstock)
Ingin menghemat uang untuk obat-obatan? Anda bisa menuju ke GoodRx.com. Ketikkan nama obat, dan perusahaan akan memberi Anda kupon untuk digunakan di apotek. Tapi ada sedikit masalah, yang GoodRx lupa beri tahu pelanggannya. Kembali ke setidaknya tahun 2017, GoodRx mengirimkan detail tentang obat yang Anda minum ke Facebook, Google, dan perusahaan lain dalam bisnis teknologi, dan menggunakan data tersebut untuk iklan bertarget.
Itu mungkin terdengar ilegal, tapi, sampai kemarin, saya akan memberitahu Anda bahwa itu tidak benar. Bahkan, itu umum. Sebagian besar aplikasi dan situs web kesehatan yang dapat Anda pikirkan untuk mengirimkan data Anda ke seluruh web. Tapi pembuat peraturan di Komisi Perdagangan Federal ingin mengubahnya, dan mereka mengandalkan teori hukum yang liar dan belum teruji untuk mendapatkan apa yang mereka inginkan. Pada hari Rabu, FTC mengatakan GoodRx melanggar hukum dan mengajukan penyelesaian yang secara mendasar dapat mengubah privasi kesehatan di Amerika Serikat.
Penyelesaian FTC mengklaim bahwa berbagi data kesehatan apa pun tanpa persetujuan bertentangan dengan hukum (dan GoodRx tidak diizinkan melakukannya lagi, dalam keadaan apa pun). Itu ide baru. FTC juga mengklaim tidak dihitung sebagai “persetujuan” jika Anda menggunakan pola gelap yang rumit untuk membuat orang mengklik tombol yang salah, atau mengubur detail di halaman 30 kebijakan privasi Anda.
“Ini adalah masalah besar,” kata Andrea Downing, advokat privasi kesehatan dan salah satu pendiri Light Collective, jaringan pendukung pasien. “Banyak orang berasumsi bahwa semua informasi kesehatan Anda tercakup dalam HIPAA. Ini bukan. Ini adalah terobosan yang saya harapkan selama bertahun-tahun.”
Informasi kesehatan Anda bocor ke mana-mana, berpindah tangan seribu kali per detik dalam sistem penargetan iklan, dan dibeli dan dijual oleh siapa pun yang menginginkannya. Setelah Mahkamah Agung membuang Roe v. Wade, penyelidikan Gizmodo menemukan 32 broker data berbeda yang menjual daftar orang hamil dan keluarga. FTC mengatakan GoodRx mengirimkan data perusahaan iklan tentang obat-obatan, membuat daftar orang dengan label seperti “HIV”, “Luka Dingin”, dan “ISK”.
G/O Media dapat memperoleh komisi
Konseling kecanduan
Kesehatan Safe Haven
Dapat diakses untuk semua
Safe Haven memprioritaskan kebutuhan Anda dengan perawatan penyalahgunaan zat yang fleksibel dan individual, khususnya kecanduan opioid & alkohol.
FTC ingin Anda dapat memutuskan apakah Anda setuju dengan hal semacam itu. Terserah Anda apakah Anda mengatakan ya.
Jika hakim menyetujui penyelesaian, itu akan berdampak besar. Pakar hukum yang berbicara dengan Gizmodo mengatakan mereka tidak mengharapkan pembagian data medis berhenti sama sekali, tetapi perintah FTC memang menetapkan tujuan yang ambisius. Jika perusahaan dipaksa untuk mendapatkan persetujuan, ini bisa menyelesaikan beberapa masalah privasi yang signifikan. Meskipun, tentu saja, itu adalah jika besar. Ada banyak peraturan antara sini dan tanah yang dijanjikan privasi.
Ketika Anda mengunjungi dokter baru, Anda harus mengisi banyak formulir tentang HIPAA, Undang-Undang Portabilitas dan Akuntabilitas Informasi Kesehatan. Banyak orang, termasuk orang yang seharusnya lebih tahu, berpikir bahwa undang-undang melindungi semua data kesehatan Anda. Tidak! Anda akan melihat bahwa “P” di HIPAA bukan berarti “privasi”. Pada dasarnya, hanya dokter, perusahaan asuransi, dan rekan bisnis mereka yang harus mengikuti aturan privasi HIPAA. Tidak ada orang lain yang perlu mengkhawatirkannya, meskipun mereka menangani jenis informasi medis yang sama persis.
FTC tidak diizinkan untuk mengatur HIPAA. Departemen Kesehatan dan Layanan Kemanusiaan, tetapi, sebaliknya dan sebaliknya, badan tersebut tidak dapat mengatur apa pun yang bukan merupakan “Entitas yang Dicakup HIPAA”. Itu membuat perusahaan seperti GoodRx, WebMD, FitBit, dan jutaan lainnya dalam limbo hukum. Perusahaan-perusahaan itu menangani informasi yang menurut kebanyakan orang yang saya kenal memiliki perlindungan hukum tetapi kenyataannya tidak. Sepertinya tidak ada yang bertanggung jawab. Dengan ketentuan penyelesaian GoodRx, FTC mengklaim otoritas atas perusahaan di area abu-abu tersebut. FTC mendeklarasikan dirinya sebagai sheriff privasi kesehatan baru di kota, dan bersiap untuk mengumpulkan semua pencuri data kesehatan di padang rumput digital.
“FTC melakukan ini sebagai perebutan kekuasaan,” kata Clinton Mikel, mitra di firma hukum Health Law Partners dan mantan ketua kelompok American Bar Association tentang e-health dan privasi.
Untuk membuat perebutan kekuasaan itu, FTC tidak dapat menggunakan HIPAA, tetapi dapat mempersenjatai sesuatu yang disebut Aturan Pemberitahuan Pelanggaran Kesehatan (HBNR). Ini adalah aturan dari tahun 2009 yang jarang ditegakkan, tetapi pada tahun 2021 FTC membersihkan HBNR dan mengatakan jika Anda berbagi data kesehatan tanpa persetujuan, komisi akan menyebutnya sebagai pelanggaran data. Kasus GoodRx adalah bukti bahwa agensi tidak menggertak.
“Saya pikir FTC akan kalah dalam kasus ini” jika harus mengajukan tuntutan ke pengadilan, kata Mikel. “FTC mengambil sendiri untuk masuk dan menegaskan standar tanpa benar-benar memiliki alasan hukum untuk melakukannya.”
Mungkin, mungkin tidak, tetapi karena FTC mengenakan dendanya pada GoodRx melalui penyelesaian alih-alih pertempuran pengadilan, tindakan tersebut dapat menjadi preseden yang dapat digunakan FTC untuk jenis peraturan privasi kesehatan yang lebih sama.
Itu sebabnya denda untuk GoodRx sangat rendah. FTC menagih perusahaan $1,5 juta dolar, sangat sedikit 0,002% dari pendapatan GoodRx $745 juta tahun 2021. Ada kemungkinan FTC menurunkan tagihan agar GoodRx menandatangani penyelesaian yang dapat digunakan pemerintah sebagai preseden dalam pertempuran di masa mendatang. Seorang pejabat FTC membantah teori itu ketika dimintai komentar, mengatakan bahwa penyelesaian itu tidak akan mendapat persetujuan bulat dari komisaris bipartisannya jika ini semacam perebutan kekuasaan kaum kiri. GoodRx, pada bagiannya, mengatakan menyetujui penyelesaian untuk menghindari pertempuran hukum yang mahal dan menyelesaikan masalah (dan menyangkal kesalahan apa pun.)
“Sementara beberapa orang mengatakan mereka menginginkan penalti yang lebih tinggi, biaya ini menetapkan standar untuk tindakan di masa depan,” kata Phyllis Marcus, yang menangani kepatuhan FTC di firma hukum Hunton Andrews Kurth. “Penegakan ini memiliki dampak yang lebih besar pada perusahaan lain dan dapat menjadi dasar bagi FTC untuk membuat rekor untuk aspek tertentu. Sudah pasti akan mencari orang lain yang melanggar aturan ini.”