Health Marketplaces попалися на обміні даними пацієнтів

У зв’язку з конфіденційністю даних у сфері охорони здоров’я Вірджинія та Вашингтон оголосили, що призупиняють збір і обмін даними після всебічного розслідування Bloomberg. Розслідування показало, що ринки медичного страхування в цих юрисдикціях передавали конфіденційну особисту інформацію про своїх користувачів безпосередньо рекламним технологічним компаніям, що викликало серйозні занепокоєння щодо порушень конфіденційності та дотримання нормативних вимог.

Згідно з детальним розслідуванням Bloomberg, дані, якими ділилися, включали дуже конфіденційну інформацію, таку як громадянство користувачів і расову демографію. Ця інформація в поєднанні з іншими персональними даними передавалася гігантам рекламних технологій без чіткої згоди пацієнтів або повної обізнаності про механізми обміну даними. Відкриття спонукало до негайних дій з боку посадових осіб охорони здоров’я штату, які визнали серйозність порушення конфіденційності та потенційні правові наслідки продовження такої практики.

Скандал із обміном даними підкреслює зростаюче занепокоєння в галузі охорони здоров’я щодо того, як інформація про пацієнтів монетизується та використовується рекламними мережами третіх сторін. Ці рекламні технологічні компанії можуть використовувати демографічні дані та дані про здоров’я для створення цільових рекламних профілів, які допомагають фармацевтичним компаніям і постачальникам медичних послуг охопити певні групи населення. Однак ця практика викликає фундаментальні питання щодо інформованої згоди та того, чи розуміють пацієнти, як маркетологи використовують їхні дані про реєстрацію на лікування.

Ринок охорони здоров’я Вірджинії та біржа медичного страхування округу Колумбія працювали, виходячи з припущення, що ділитися цими демографічними даними та даними про реєстрацію з рекламодавцями дозволено згідно з їхніми існуючими рамками керування даними. Однак розслідування Bloomberg виявило прогалини в їхньому захисті конфіденційності та виявило практики, які, на думку багатьох захисників конфіденційності, взагалі не слід було дозволяти. Торгові майданчики збирали інформацію про громадянство в рамках процесів перевірки реєстрації, щоб переконатися, що лише особи, які відповідають вимогам, купують медичне страхування через їхні платформи.

Наслідки цього розголошення персональних даних про здоров’я виходять за межі простих порушень конфіденційності. Пацієнти, які зареєструвалися на ринку медичного страхування у Вірджинії та округу Колумбія, вважали, що їхня конфіденційна інформація буде захищена відповідно до Закону про перенесення та підзвітність медичного страхування (HIPAA) та інших державних норм щодо конфіденційності. Однак практика обміну даними, очевидно, працювала в сірій зоні, де оператори ринку вважали, що вони можуть надавати дані про реєстрацію третім сторонам у маркетингових цілях, незважаючи на конфіденційний характер залученої інформації.

Компанії, що займаються рекламними технологіями, давно прагнуть отримати доступ до демографічних даних охорони здоров’я, оскільки вони представляють цінну маркетингову інформацію. Коли рекламодавці знають конкретні подробиці про стан медичного страхування, документи про громадянство та расову приналежність, вони можуть створювати складні кампанії з націлюванням. Ця інформація є особливо важливою для фармацевтичних компаній, які прагнуть продавати ліки певним демографічним групам, постачальників страхових послуг, які прагнуть залучити нових клієнтів, і постачальників медичних послуг, які прагнуть охопити певні групи населення своїми пропозиціями.

Рішення Вірджинії та Вашингтона, округ Колумбія, призупинити практику збору даних є важливим підтвердженням занепокоєння щодо конфіденційності, яке висвітлило розслідування Bloomberg. Державні службовці визнали, що продовження поширення цієї інформації під час перевірки може призвести до значної юридичної відповідальності та негативної реакції громадськості. Призупинення також надає цим юрисдикціям можливість переглянути свою політику керування даними та запровадити надійніший захист конфіденційності для користувачів торгової площадки.

Прихильники конфіденційності дедалі голосніше заявляють про необхідність посилення захисту медичних даних, зокрема щодо інформації про реєстрацію, зібраної через державні страхові ринки або ринки державних партнерів. Цим платформам часто довіряють уразливі верстви населення, які можуть не повністю розуміти, як їхня інформація може бути передана третім особам. Інцидент у Вірджинії та округу Колумбія підкреслює, наскільки легко конфіденційна демографічна інформація про охорону здоров’я може перетікати з державних платформ охорони здоров’я до комерційних рекламних мереж.

Розслідування Bloomberg є прикладом журналістських розслідувань, які виконують важливу функцію суспільного інтересу, викриваючи практики, які багато хто вважатиме неетичними чи незаконними. Вивчивши потоки даних між ринками охорони здоров’я та рекламними технологічними компаніями, розслідування пролило світло на практику, яка не була широко відома широкій громадськості та, ймовірно, стала несподіванкою для багатьох осіб, чию інформацію поширювали. Розслідування спонукало до негайної уваги регуляторів і зміни політики.

Оскільки Вірджинія та округ Колумбія призупинять свої домовленості про обмін даними, їм потрібно буде визначити, як обробляти інформацію, уже передану рекламним мережам, і встановити нові протоколи для політики обробки даних, які краще захищатимуть конфіденційність пацієнтів. Посадовим особам охорони здоров’я штату, ймовірно, доведеться провести ретельний аудит усіх поточних угод про обмін даними з третіми сторонами та визначити, які стосунки порушують принципи конфіденційності чи державні та федеральні норми.

Ширші наслідки цього інциденту свідчать про те, що ринкам медичного страхування в Сполучених Штатах, можливо, доведеться переглянути власні практики обміну даними. Якщо ринкові майданчики Вірджинії та округу Колумбія обмінювалися такою конфіденційною інформацією з рекламними технологічними компаніями, було б доцільно засумніватися, чи подібна практика може мати місце в інших штатах. Федеральні регулюючі органи та генеральні прокурори штату можуть бути мотивовані дослідити, чи інші ринки охорони здоров’я беруть участь у порівнянних угодах обміну даними пацієнтів, які вимагають негайного втручання.

У майбутньому цей інцидент, імовірно, спричинить обговорення того, які нові правила чи вказівки можуть знадобитися, щоб запобігти подібним порушенням конфіденційності в майбутньому. Можуть виникати вимоги щодо прийняття чіткого федерального законодавства, яке роз’яснює, які типи даних про медичне обслуговування можна, а які не можна передавати третім особам, і за яких обставин такий обмін буде допустимим. Цей інцидент також викликає запитання щодо того, чи забезпечують чинні норми HIPAA достатній захист для осіб, які реєструються на державних ринках медичного страхування.

Призупинення збирання та обміну даними Вірджинією та округом Колумбія є важливим першим кроком у вирішенні проблем конфіденційності, які виникли під час розслідування Bloomberg. Однак державні чиновники та захисники конфіденційності визнають, що попереду ще багато роботи для забезпечення належного захисту конфіденційної медичної інформації. Цей інцидент служить яскравим нагадуванням про те, що конфіденційність медичних даних вимагає постійної пильності та що навіть державні програми охорони здоров’я можуть ненавмисно наражати своїх користувачів на ризики, якщо немає відповідних гарантій конфіденційності.