Gesundheitsmarktplätze wurden bei der Weitergabe von Patientendaten erwischt

Virginia und Washington D.C. haben im Rahmen einer bedeutenden Entwicklung in Bezug auf den Datenschutz im Gesundheitswesen angekündigt, dass sie nach einer umfassenden Untersuchung durch Bloomberg ihre Praktiken zur Datenerhebung und -weitergabe einstellen. Die Untersuchung ergab, dass Krankenversicherungsmarktplätze in diesen Gerichtsbarkeiten vertrauliche personenbezogene Daten ihrer Nutzer direkt an Werbetechnologieunternehmen übermittelten, was Anlass zu ernsthafter Besorgnis über Datenschutzverletzungen und die Einhaltung gesetzlicher Vorschriften gab.

Die weitergegebenen Daten umfassten laut der detaillierten Untersuchung von Bloomberg hochsensible Informationen wie den Staatsbürgerschaftsstatus der Benutzer und die Rassendemografie. Diese Informationen wurden zusammen mit anderen persönlich identifizierbaren Daten an Ad-Tech-Giganten weitergegeben, ohne dass die Patienten ausdrücklich zugestimmt oder sich der Vereinbarungen zur Datenweitergabe umfassend bewusst gewesen wären. Die Entdeckung hat zu sofortigen Maßnahmen der staatlichen Gesundheitsbehörden geführt, die die Schwere der Datenschutzverletzung und die möglichen rechtlichen Konsequenzen einer Fortsetzung solcher Praktiken erkannt haben.

Der Datenaustauschskandal verdeutlicht die wachsende Besorgnis in der Gesundheitsbranche darüber, wie Patienteninformationen durch Werbenetzwerke Dritter monetarisiert und genutzt werden. Diese Ad-Tech-Unternehmen können demografische und gesundheitsbezogene Daten nutzen, um gezielte Werbeprofile zu erstellen, die Pharmaunternehmen und Gesundheitsdienstleistern dabei helfen, bestimmte Bevölkerungsgruppen zu erreichen. Die Praxis wirft jedoch grundlegende Fragen zur Einwilligung nach Aufklärung auf und ob Patienten verstehen, wie ihre medizinischen Registrierungsdaten von Vermarktern verwendet werden.

Der Gesundheitsmarktplatz von Virginia und die Krankenversicherungsbörse von D.C. gingen davon aus, dass die Weitergabe dieser demografischen Daten und Registrierungsdaten an Werbetreibende im Rahmen ihrer bestehenden Datenverwaltungsrahmen zulässig sei. Die Bloomberg-Untersuchung deckte jedoch Lücken in ihrem Datenschutz auf und deckte Praktiken auf, von denen viele Befürworter der Privatsphäre behaupten, dass sie von vornherein nie hätten zugelassen werden dürfen. Die Marktplätze sammelten im Rahmen ihrer Registrierungsüberprüfungsprozesse Informationen zur Staatsbürgerschaft, um sicherzustellen, dass nur berechtigte Personen über ihre Plattformen eine Krankenversicherung abschließen.

Die Auswirkungen dieser Offenlegung persönlicher Gesundheitsdaten gehen über einfache Datenschutzverletzungen hinaus. Patienten, die sich auf den Krankenversicherungsmärkten von Virginia und D.C. registrierten, waren davon überzeugt, dass ihre sensiblen Daten durch den Health Insurance Portability and Accountability Act (HIPAA) und andere Datenschutzbestimmungen auf Landesebene geschützt würden. Die Datenaustauschpraktiken bewegten sich jedoch offenbar in einer Grauzone, in der Marktplatzbetreiber glaubten, sie könnten Registrierungsdaten zu Marketingzwecken an Dritte weitergeben, obwohl die betreffenden Informationen vertraulich sind.

Ad-Tech-Unternehmen suchen seit langem Zugang zu demografischen Daten im Gesundheitswesen, da diese wertvolle Marketinginformationen darstellen. Wenn Werbetreibende spezifische Details über den Krankenversicherungsstatus, die Staatsbürgerschaftsdokumente und den Rassenhintergrund einer Person kennen, können sie anspruchsvolle Targeting-Kampagnen erstellen. Diese Informationen sind besonders wertvoll für Pharmaunternehmen, die Medikamente an bestimmte Bevölkerungsgruppen vermarkten möchten, für Versicherungsanbieter, die neue Kunden gewinnen möchten, und für Gesundheitsdienstleister, die mit ihren Angeboten bestimmte Bevölkerungsgruppen erreichen möchten.

Die Entscheidung von Virginia und Washington D.C., ihre Datenerfassungspraktiken einzustellen, stellt eine wichtige Anerkennung der Datenschutzbedenken dar, die in der Untersuchung von Bloomberg hervorgehoben wurden. Staatsbeamte erkannten, dass die weitere Weitergabe dieser Informationen während der Untersuchung der Praktiken sie einer erheblichen rechtlichen Haftung und öffentlichen Gegenreaktionen aussetzen könnte. Die Pause bietet diesen Gerichtsbarkeiten auch die Möglichkeit, ihre Daten-Governance-Richtlinien zu überprüfen und strengere Datenschutzmaßnahmen für Marktplatznutzer einzuführen.

Befürworter des Datenschutzes äußern zunehmend die Notwendigkeit eines stärkeren Schutzes von Gesundheitsdaten, insbesondere im Zusammenhang mit Registrierungsinformationen, die über staatliche oder mit dem Staat verbundene Versicherungsmärkte gesammelt werden. Diese Plattformen genießen häufig das Vertrauen schutzbedürftiger Bevölkerungsgruppen, die möglicherweise nicht vollständig verstehen, wie ihre Informationen an Dritte weitergegeben werden könnten. Der Vorfall in Virginia und D.C. unterstreicht, wie leicht sensible demografische Informationen im Gesundheitswesen von staatlichen Gesundheitsplattformen an kommerzielle Werbenetzwerke gelangen können.

Die Bloomberg-Untersuchung stellt ein Beispiel dafür dar, dass investigativer Journalismus eine wichtige Funktion im öffentlichen Interesse erfüllt, indem er Praktiken aufdeckt, die viele als unethisch oder illegal betrachten würden. Durch die Untersuchung des Datenflusses zwischen Gesundheitsmarktplätzen und Ad-Tech-Unternehmen brachte die Untersuchung Licht auf eine Praxis, die der breiten Öffentlichkeit nicht allgemein bekannt war und für viele Personen, deren Informationen weitergegeben wurden, wahrscheinlich eine Überraschung war. Die Untersuchung löste sofortige Aufmerksamkeit der Aufsichtsbehörden und politische Änderungen aus.

Während Virginia und D.C. mit der Aussetzung ihrer Vereinbarungen zum Datenaustausch fortfahren, müssen sie festlegen, wie mit den bereits an Werbenetzwerke übermittelten Informationen umgegangen werden soll, und neue Protokolle für Datenverarbeitungsrichtlinien erstellen, die die Privatsphäre der Patienten besser schützen. Staatliche Gesundheitsbehörden müssen wahrscheinlich gründliche Prüfungen aller derzeit bestehenden Datenaustauschvereinbarungen mit Dritten durchführen und feststellen, welche Beziehungen gegen Datenschutzgrundsätze oder staatliche und bundesstaatliche Vorschriften verstoßen.

Die umfassenderen Auswirkungen dieses Vorfalls legen nahe, dass Krankenversicherungsmärkte in den Vereinigten Staaten möglicherweise ihre eigenen Datenaustauschpraktiken überdenken müssen. Wenn die Marktplätze in Virginia und D.C. diese Art von sensiblen Informationen an Ad-Tech-Unternehmen weitergeben würden, ist die Frage berechtigt, ob ähnliche Praktiken auch in anderen Bundesstaaten vorkommen könnten. Bundesregulierungsbehörden und Generalstaatsanwälte der Bundesstaaten könnten motiviert sein, zu untersuchen, ob andere Gesundheitsmarktplätze vergleichbare Vereinbarungen zum Patientendatenaustausch treffen, die ein sofortiges Eingreifen rechtfertigen.

Mit Blick auf die Zukunft wird dieser Vorfall wahrscheinlich Diskussionen darüber auslösen, welche neuen Vorschriften oder Leitlinien möglicherweise erforderlich sind, um zu verhindern, dass es in Zukunft zu ähnlichen Datenschutzverletzungen kommt. Möglicherweise wird eine explizite Bundesgesetzgebung gefordert, die klarstellt, welche Arten von Registrierungsdaten im Gesundheitswesen an Dritte weitergegeben werden dürfen und welche nicht und unter welchen Umständen eine solche Weitergabe zulässig wäre. Der Vorfall wirft auch die Frage auf, ob die aktuellen HIPAA-Vorschriften ausreichenden Schutz für Personen bieten, die sich auf staatlichen Krankenversicherungsmärkten anmelden.

Die Pause bei der Datenerhebung und -weitergabe durch Virginia und D.C. stellt einen wichtigen ersten Schritt dar, um die durch Bloombergs Untersuchung aufgeworfenen Datenschutzbedenken auszuräumen. Staatsbeamte und Befürworter des Datenschutzes sind sich jedoch darüber im Klaren, dass noch viel Arbeit vor uns liegt, um sicherzustellen, dass sensible Gesundheitsinformationen ordnungsgemäß geschützt werden. Der Vorfall ist eine deutliche Erinnerung daran, dass der Datenschutz im Gesundheitswesen ständige Wachsamkeit erfordert und dass selbst staatliche Gesundheitsprogramme ihre Benutzer unbeabsichtigt Risiken aussetzen können, wenn keine angemessenen Datenschutzmaßnahmen vorhanden sind.