Dokter ini memiliki kabar buruk tentang data Anda. Ilustrasi: eamesBot (Shutterstock)
Pusat Medis Cedars-Sinai, rumah sakit dengan 886 tempat tidur tempat saya dilahirkan di Los Angeles, memiliki masalah privasi. Jika Anda membuka situs web Cedars hari ini, Anda akan disambut oleh enam pelacak iklan dan 17 cookie pihak ketiga—menurut alat Lampu Latar Markup—dan, tampaknya, itu merupakan peningkatan. Gugatan class action diajukan di California menuduh mega-rumah sakit berbagi data pasien dengan Google, Microsoft, dan Meta, pemilik Facebook. Ini adalah pengingat bahwa ya, data medis Anda untuk dijual.
Menurut gugatan yang terlihat oleh Register, Cedars membagikan berbagai macam data dengan Meta, termasuk jenis perawatan medis yang dicari pasien, detail tentang dokter yang mereka cari, dan bahkan fakta bahwa seorang pasien membuat janji temu. .
“Sebagai ilustrasi, jika seorang pasien membuat janji dengan dokter untuk pengobatan kanker, kode pelacakan yang dipasang Cedars-Sinai di situs webnya menyampaikan informasi tersebut ke Meta, yang pada gilirannya memungkinkan Meta untuk menyertakan pasien tersebut dalam kelompok sasaran pemasaran yang itu ditawarkan kepada klien periklanan lainnya yang ingin memasarkan ke pasien kanker, ”bunyi keluhan itu.
Cedars mengubah praktik ini pada tahun 2022, tetapi kerusakan telah terjadi, menurut penggugat John Doe (yang menggugat secara anonim, karena, Anda tahu, privasi). Cedars-Sinai tidak segera menanggapi permintaan komentar.
Ini juga bukan pertama kalinya hukum terlibat. Meta juga digugat karena berada di ujung penerima kegilaan data rumah sakit.
G/O Media dapat memperoleh komisi
Konseling kecanduan
Kesehatan Safe Haven
Dapat diakses untuk semua
Safe Haven memprioritaskan kebutuhan Anda dengan perawatan penyalahgunaan zat yang fleksibel dan individual, khususnya kecanduan opioid & alkohol.
Apakah rumah sakit yang menjual data medis Anda mengejutkan Anda? Sayangnya, seharusnya tidak.
Saat menjelajahi web, Anda terus-menerus dipantau dan dilacak untuk iklan bertarget. Sebagian besar perusahaan tidak memiliki operasi penargetan iklan sendiri, jadi mereka bermitra dengan vendor pihak ketiga, seperti Meta, Google, dan banyak lainnya, dan memasukkan alat pelacakan iklan mereka ke dalam kode situs web mereka.
Dengan kata lain, itu berarti bahwa data Anda dibagikan dengan banyak perusahaan yang mungkin belum pernah Anda dengar secara terus-menerus. Sebagian besar aplikasi dan situs web melakukan ini. Banyak orang menganggap ada pengecualian khusus untuk data medis. Tidak tepat.
Ketika saya berbicara dengan orang-orang tentang hal semacam ini di pesta (saya sangat menyenangkan), mereka akan mengatakan sesuatu tentang HIPAA dan melambaikan tangan ke udara. Lambaikan tangan semau Anda, HIPAA tidak melindungi Anda, meskipun seharusnya.
Tahun lalu, Markup melihat 100 rumah sakit teratas dan menemukan 33 situs web mereka memberi tahu Meta setiap kali Anda mencoba membuat janji temu. Setelah penyelidikan, Departemen Kesehatan dan Layanan Kemanusiaan AS menimpali untuk mengingatkan semua orang bahwa entitas yang dilindungi HIPAA tidak boleh berbagi informasi identitas pribadi dengan perusahaan luar tanpa persetujuan. Tampaknya rumah sakit tetap melakukannya, dan dalam skala besar.
Tetapi kata-kata “entitas yang dicakup oleh HIPAA” melakukan banyak pekerjaan di sini. Mari kita perjelas: HIPAA bukanlah hukum tentang data medis. Ini adalah hukum tentang dokter, perusahaan asuransi, dan rekan bisnis mereka. Perlindungan privasi HIPAA hanya berlaku untuk data medis yang dapat diidentifikasi secara pribadi saat berada di tangan penyedia perawatan, rumah sakit, perusahaan asuransi, atau bisnis lain yang bekerja secara langsung atas nama mereka. Jika Anda menggunakan aplikasi atau situs web seperti GoodRx atau WebMD, misalnya, umumnya tidak tercakup oleh HIPAA.
Jadi apa yang dicakup oleh HIPAA?
Kata-kata “entitas tertutup HIPAA” melakukan banyak pekerjaan di sini. Mari kita perjelas: HIPAA bukanlah hukum tentang data medis. Ini adalah hukum tentang dokter, perusahaan asuransi, dan rekan bisnis mereka. Perlindungan privasi HIPAA hanya berlaku untuk data medis yang dapat diidentifikasi secara pribadi saat berada di tangan penyedia layanan kesehatan, rumah sakit, perusahaan asuransi, atau bisnis lain yang bekerja secara langsung atas nama mereka. Jika Anda menggunakan aplikasi atau situs web seperti GoodRx atau WebMD, misalnya, umumnya tidak tercakup oleh HIPAA.
Itu meninggalkan lubang menganga dalam privasi medis yang pada dasarnya telah dilalui oleh setiap perusahaan teknologi kesehatan sejak awal internet. Di tahun tuan kita 2023, regulator baru saja mulai menangani masalah ini.
Pada awal Februari, Komisi Perdagangan Federal terlibat dan mengatakan bahwa membagikan data kesehatan orang tanpa persetujuan adalah ilegal, bahkan jika Anda adalah perusahaan yang tidak dicakup oleh HIPAA. Berdasarkan penyelidikan reporter ini, FTC mendenda GoodRx, layanan kupon resep, $1,5 juta karena melakukan hal itu, dan membuat perusahaan berjanji untuk tidak pernah lagi menggunakan data medis untuk iklan.
Bahkan tidak jelas apakah FTC memiliki wewenang untuk mengatur di sini. Menurut Clinton Mikel, mantan ketua grup American Bar Association tentang e-health dan privasi, FTC akan kalah dalam kasus ini jika harus melawannya di pengadilan, dan menyelesaikan dengan GoodRx untuk denda yang relatif kecil adalah upaya untuk membangun preseden dalam “perebutan kekuasaan” untuk kontrol lebih besar atas privasi medis.
FTC, tidak mengherankan, menyangkal bahwa ini adalah strategi mereka, dan mengatakan itu secara resmi adalah polisi baru dalam masalah privasi kesehatan. Masih harus dilihat apakah pembenaran hukum FTC untuk mengatur data medis akan bertahan di pengadilan.
Apakah FTC berhasil atau tidak, Anda dapat berasumsi bahwa untuk saat ini informasi kesehatan Anda siap diperebutkan. Butuh waktu lama sampai jelas apa yang diizinkan dan tidak diizinkan oleh undang-undang, dan bahkan lebih lama lagi sebelum perusahaan memperbaiki aplikasi dan situs web mereka untuk mengatasi masalah ini—jika mereka pernah bersusah payah untuk memperbaikinya sejak awal.
Mengapa rumah sakit membagikan data saya dengan Google dan Facebook?
Anda mungkin bertanya-tanya apa yang dilakukan rumah sakit seperti Cedars dan perusahaan dengan harta karun catatan medis ini. Yah itu sederhana … semacam itu. Sebuah rumah sakit ingin menargetkan iklan kepada orang-orang yang mengunjungi situs webnya. Itu berbagi data dengan perusahaan periklanan untuk melacak pengunjung situs web dan mencatat apa yang mereka lakukan. Kemudian, rumah sakit tersebut dapat kembali ke mitra iklannya, memilih orang dari kumpulan data tersebut, dan mengirimi mereka iklan kecil yang cantik ke seluruh web.
Secara hukum, ini dianggap sebagai menjual data Anda. Setidaknya, itulah yang dikatakan Undang-Undang Privasi Konsumen California (CCPA), dan Cedars ada di California. Bisnis data lebih suka kita menggunakan kata “berbagi”. Kedengarannya lebih bagus, bukan? Ini seperti prasekolah, tetapi alih-alih balita, ini adalah perusahaan multi-miliar dolar. Dan bukannya mainan, ini adalah data tentang rahasia paling pribadi Anda.
Jika Anda ingin memahaminya secara literal, “berbagi” itu akurat. Pelacak iklan biasanya tidak membayar untuk jenis data yang diledakkan Cedars ke dalam ekosistem periklanan. Sebaliknya, Cedar’s “berbagi” dengan mereka. Sebagai imbalan atas layanan periklanan, perusahaan seperti Meta atau Google dapat berbalik dan menggunakan data tersebut untuk hal-hal menyenangkan lainnya. Meta mungkin akan mengambil keuntungan lebih besar dari alat ini jika tidak mendapatkan uang tambahan di samping.
Ini bagus (mungkin)! Semua orang berbagi, dan semua orang menghasilkan uang. Kecuali kamu. Anda masih harus membayar tagihan medis Anda.