Sağlık uygulamaları, endişelerinizi reklamverenlerle paylaşır. HIPAA bunu durduramaz.



‘Depresyon’dan ‘HIV’e, düzinelerce reklam şirketiyle potansiyel sağlık endişelerini ve kullanıcı tanımlayıcılarını paylaşan popüler sağlık uygulamaları bulduk

(Video: The Washington Post için Katty Huertas)

Dijital sağlık hizmetlerinin avantajları vardır. Gizlilik bunlardan biri değil.

Milyonlarca sigortasız aile ve sağlık uzmanı sıkıntısı olan bir ülkede, çoğumuz erişilebilir bilgi ve hatta potansiyel tedavi için sağlık uygulamalarına ve web sitelerine başvuruyoruz. Ancak bir semptom kontrol veya dijital terapi uygulamasını çalıştırdığınızda, endişelerinizi bilmeden uygulama üreticisinden daha fazlasıyla paylaşıyor olabilirsiniz.

Facebook’un sahip olduğu yakalandı takip aracı aracılığıyla hastane web sitelerinden hasta bilgilerini almak. Google, sağlıkla ilgili internet aramalarımızı depolar. Akıl sağlığı uygulamaları odayı terket Verileri listelenmemiş üçüncü taraflarla paylaşmak için gizlilik politikalarında. Dijital veriler söz konusu olduğunda, kullanıcıların Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında çok az koruması vardır ve araştırmamıza göre, popüler sağlık uygulamaları geniş bir reklamveren koleksiyonuyla bilgi paylaşır.

Kürtaj planladınız. Planned Parenthood’un web sitesi Facebook’a söyleyebilir.

Paylaşılan verilerin çoğu bizi doğrudan tanımlamaz. Örneğin, uygulamalar, adlarımız yerine telefonlarımıza bağlı, “tanımlayıcı” adı verilen bir dizi numarayı paylaşabilir. Bu verilerin tüm alıcıları reklam işinde değildir – bazıları geliştiricilere kullanıcıların uygulamalarında nasıl hareket ettiğini gösteren analizler sağlar. Ve şirketler, “depresyon” başlıklı bir sayfa gibi ziyaret ettiğiniz sayfaları paylaşmanın, hassas sağlık sorunlarını ortaya çıkarmakla aynı şey olmadığını savunuyor.

Ancak gizlilik uzmanları, ziyaret ettiğimiz içerikten anahtar kelimelerle birlikte kullanıcı tanımlayıcılarını göndermenin tüketicileri gereksiz risklere açtığını söylüyor. Brokerler veya reklam şirketleri gibi büyük veri toplayıcıları, birden fazla bilgi veya tanımlayıcı kullanarak birinin davranışını veya endişelerini bir araya getirebilir. Bu, “depresyonun”, şirketlerin bizi hedeflemesine veya profilini çıkarmasına yardımcı olan bir veri noktası daha olabileceği anlamına geliyor.

Perde arkasında devam eden veri paylaşımı hakkında size bir fikir vermek için The Washington Post, çeşitli çevrimiçi gizlilik araçları yapan DuckDuckGo’daki araştırmacılar da dahil olmak üzere birçok gizlilik uzmanı ve şirketinden yardım aldı. Bulguları bizimle paylaşıldıktan sonra, web trafiğinin içeriğini görmemizi sağlayan mitmproxy adlı bir araç kullanarak iddialarını bağımsız olarak doğruladık.

Öğrendiğimiz şey, Drugs.com İlaç Rehberi, WebMD: Belirti Denetleyicisi ve Dönem Takvimi Takipçisi dahil olmak üzere birçok popüler Android sağlık uygulamasının, reklamverenlere sağlık sorunlarına dayalı olarak kişilere veya tüketici gruplarına pazarlamak için ihtiyaç duyacakları bilgileri verdiğiydi.

DuckDuckGo, örneğin Drugs.com Android uygulamasının, reklam şirketleri de dahil olmak üzere 100’den fazla dış kuruluşa veri gönderdiğini söyledi. Bu veri aktarımlarının içindeki terimler arasında “herpes”, “HIV”, “adderall” (dikkat eksikliği/hiperaktivite bozukluğunu tedavi eden bir ilaç), “diyabet” ve “hamilelik” vardı. Bu anahtar kelimeler, gizlilik ve hedeflemeyle ilgili soruları gündeme getiren cihaz tanımlayıcılarıyla birlikte geldi.

Drugs.com, “hassas kişisel bilgi” olarak sayılan herhangi bir veri iletmediğini ve reklamlarının o sayfayı görüntüleyen kişiyle değil, sayfa içeriğiyle alakalı olduğunu söyledi. The Post, bir vakada, Drugs.com’un, kullanıcının adını ve soyadını (DuckDuckGo’nun testi için kullandığı sahte bir ad) dışarıdan bir şirkete gönderdiğini belirttiğinde, kullanıcıların adlarını “profil”e asla girmelerini amaçlamadığını söyledi. name” alanını ve o alanın içeriğini aktarmayı durduracağını belirtir.

DuckDuckGo’ya göre, WebMD’nin reklam şirketleriyle ve kullanıcı tanımlayıcılarıyla paylaştığı terimler arasında “bağımlılık” ve “depresyon” vardı. WebMD yorum yapmayı reddetti.

Dönem Takvimi, araştırmamıza göre, reklamcılar da dahil olmak üzere düzinelerce şirket dışı şirketle tanımlayıcılar da dahil olmak üzere bilgileri paylaştı. Geliştirici, yorum taleplerine yanıt vermedi.

Reklam şirketlerinde neler olup bittiği genellikle bir gizemdir. Ancak WebMD’den veri alan bir reklam teknolojisi şirketi olan ID5, işinin, uygulamaların reklamlarını “daha değerli” hale getirmesine yardımcı olan kullanıcı kimlikleri oluşturmak olduğunu söyledi.

ID5’in kurucu ortağı ve CEO’su Mathieu Roche, “Bizim işimiz müşterileri tanımlamak, kim olduklarını bilmek değil” dedi.

O zamandan beri iki reklam teknolojisi firmasını satın alan ve Equativ olarak yeniden markalaşan adtech şirketi Smart’ın başkan yardımcısı Jean-Christophe Peube, Drugs.com’dan aldığı verilerin tüketicileri “ilgi kategorilerine” sokmak için kullanılabileceğini söyledi.

Peube, The Post ile paylaşılan bir açıklamada, ilgi alanına dayalı reklam hedeflemenin, bireyleri hedeflemek için çerezler gibi teknolojileri kullanmaktan daha iyi gizlilik sağladığını söyledi. Ancak bazı tüketiciler, sağlık endişelerinin reklam için kullanılmasını hiç istemeyebilir.

Kar amacı gütmeyen araştırma grubu World Privacy Forum’un yönetici direktörü Pam Dixon, sizi bir isim yerine bir sayı veya ilgi grubuyla tanımanın, reklamverenlerin belirli sağlık sorunları veya koşulları olan kişileri hedeflemesini engellemeyeceğini söyledi.

Sağlık bilgilerimizi nasıl koruyabiliriz?

Gizlilik politikalarını kabul ettiğimizde, bu uygulamaların gizlilik uygulamalarına izin vermiş oluyoruz. Ancak Demokrasi ve Teknoloji Merkezi’nin kıdemli danışmanı Andrew Crawford, çok azımızın hukuk bilgisini gözden geçirecek vaktimiz olduğunu söylüyor.

Kırmızı bayrakları tespit etmek için bir gizlilik politikası nasıl gözden geçirilir

“Hızlı bir şekilde tıklıyoruz ve aşağı yöndeki potansiyel takasları gerçekten düşünmeden ‘kabul et’i kabul ediyoruz” dedi.

Gizlilik uzmanlarına göre bu takaslar, veri satıcılarının, işverenlerin, sigortacıların, emlakçıların, kredi verenlerin veya kanun uygulayıcıların eline geçen bilgilerimiz gibi birkaç şekilde olabilir.

Gizlilik organizasyonu Electronic Frontier Foundation’da kıdemli bir avukat olan Lee Tien, küçük bilgi parçalarının bile hayatlarımız hakkında büyük şeyler çıkarmak için birleştirilebileceğini söylüyor. Bu küçük bilgiler proxy verileri olarak adlandırılır ve on yıldan fazla bir süre önce Target’in anlamasına yardımcı oldu Kimin kokusuz losyon aldığına bakarak müşterilerinden hangisinin hamile olduğunu.

Tien, “Yeterli veriye sahipseniz insanları tanımlamak çok, çok kolay” dedi. “Şirketler çoğu zaman size ‘Eh, bu doğru, ancak hiç kimse tüm verilere sahip değil’ diyecektir. Aslında şirketlerin ne kadar veriye sahip olduğunu bilmiyoruz.”

Bazı milletvekilleri sağlık verilerinin paylaşımını dizginlemeye çalışıyor. California Eyalet Meclisi üyesi Rebecca Bauer-Kahan, Şubat ayında, eyaletin tıbbi mahremiyet yasasındaki “tıbbi bilgileri”, ruh sağlığı uygulamaları tarafından toplanan verileri içerecek şekilde yeniden tanımlayabilecek bir yasa tasarısı sundu. Diğer şeylerin yanı sıra, bu, uygulamaların bakım sağlamaktan başka amaçlar için “tüketicinin tahmin edilen veya teşhis edilen akıl sağlığı veya madde kullanım bozukluğunu” kullanmasını yasaklayacaktır.

Endüstri grubu eSağlık Girişimi ile birlikte Demokrasi ve Teknoloji Merkezi, sağlık uygulamalarının kullanıcıları hakkındaki bilgileri korumasına yardımcı olmak için gönüllü bir çerçeve önerdi. “Sağlık verileri” tanımını bir profesyonelden alınan hizmetler veya korunan koşullar listesiyle sınırlamaz, ancak reklam verenlerin bir kişinin sağlık endişelerini öğrenmesine veya bu konuda çıkarım yapmasına yardımcı olabilecek tüm verileri içerir. Ayrıca şirketlere, “kimliği gizlenmiş” verileri herhangi bir kişi veya cihazla ilişkilendirmemeye ve yüklenicilerinden de aynı sözü vermelerini istemeye açık ve bariz bir şekilde söz vermeleri çağrısında bulunuyor.

Google, hamilelik ve kilo vermeyle ilgili reklamları sınırlamanıza izin veriyor

Ne yapabilirsin? Oturum açma sırasında uygulamayı Facebook veya Google hesabınıza bağlamamak gibi, bilgi sağlığı uygulamalarının paylaşımını sınırlamanın birkaç yolu vardır. Bir iPhone kullanıyorsanız, istendiğinde “uygulamanın izlememesini iste”yi seçin. Android kullanıyorsanız, Android Reklam Kimliğinizi sık sık sıfırlayın. İster iPhone ister Android kullanın, telefonunuzun gizlilik ayarlarını sıkılaştırın.

Uygulamalar ekstra veri paylaşım izinleri isterse, hayır deyin. Sağladığınız verilerle ilgili endişeleriniz varsa, bir veri silme isteği göndermeyi deneyebilirsiniz. Eyaletin gizlilik yasası nedeniyle Kaliforniya’da yaşamadığınız sürece şirketler talebi yerine getirmekle yükümlü değildir, ancak bazı şirketler herkes için verileri sileceğini söylüyor.


Kaynak : https://www.washingtonpost.com/technology/2022/09/22/health-apps-privacy/?utm_source=rss&utm_medium=referral&utm_campaign=wp_business-technology

Yorum yapın