FTC, sağlık uygulaması patlamasında bir korkuluk olarak on yıllık bir kuralı diriltiyor

0
31

Federal Ticaret Komisyonu geçen hafta bir politika açıklamasında, sağlık uygulamalarının kullanıcılarına herhangi bir veri ihlali hakkında bilgi vermesi veya ağır bir para cezası riskiyle karşı karşıya kalması gerektiğini açıkladı. Şeffaflığı gerektiren kural on yıllıktır, ancak daha önce uygulanmamıştır. Yeni kılavuz, sağlık uygulaması alanına giren birçok şirkete bir uyarı görevi görüyor: FTC, sağlık verilerinin gizliliğiyle ilgili sorunları ciddiye alıyor – tüm gizlilik boşluklarını kendi başına çözemeyecek olsa bile.

FTC’nin Sağlık İhlal Bildirimi Kuralı, doktorlar ve sigorta şirketleri gibi şeyleri kapsayan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’na (HIPAA) tabi olmayan tüm kuruluşları kapsar. HIPAA, bu grupların herhangi bir veri ihlali olduğunda ifşa etmelerini şart koşar. FTC kuralı, sağlık bilgileriyle ilgilenen diğer tüm grupları kapsar.

FTC Başkanı Lina Khan, kural hakkında yaptığı açıklamada, sağlık uygulamalarının genellikle güçlü veri gizliliği korumalarına sahip olmadığını söyledi. Uygulamalar genellikle zayıf veri koruma sistemlerine sahiptir veya kullanıcılara haber vermeden dış gruplarla veri paylaşarak kendi gizlilik politikalarını ihlal eder. Bu uygulamalar, kural ilk yazıldığında dijital sağlık resminin bir parçası değildi. Ancak o zamandan beri sağlık uygulamalarında bir patlama oldu – her yıl on binlerce kişi yayınlanıyor ve COVID-19 salgını sırasında indirmeler arttı. Giderek daha fazla insan sağlık bilgilerine bu ürünlere güveniyor. Yeni kılavuz, Sağlık İhlali Bildirim Kuralının, daha önce bunları kapsamadığını düşünmeseler bile, bu platformlar için de geçerli olduğunu açıklığa kavuşturuyor.

Bir raporu tetikleyebilecek ihlaller, yalnızca bilgisayar korsanlarını veya saldırıları içermez. Bu kuruluşlar, kullanıcıların izni olmadan paylaşılan herhangi bir bilgiyi ifşa etmek zorunda kalacaktı. Bu, kullanıcıların bilgisi olmadan Facebook, Google ve pazarlama şirketlerine veri paylaşan dönem izleme uygulaması Flo tarafından yakın zamanda yaşanan gizlilik ihlali gibi durumlar için geçerli olabilir. FTC, Flo’dan Sağlık İhlali Bildirim Kuralını ihlal ettiği için alıntı yapmadı – şirketin gizlilik politikaları hakkında yaptığı yanlış açıklamalara odaklandı – ancak iki FTC üyesi olması gerektiğini savundu.

Harvard Hukuk Okulu’nda Petrie-Flom Sağlık Hukuku Politikası, Biyoteknoloji ve Biyoetik Merkezi’nde araştırma görevlisi olan David Simon, FTC’nin şirketlerin kurallara uymasını sağlamaya yönelik yeni odağının sağlık uygulamalarında dahili değişiklikleri tetikleyebileceğini söylüyor. Simon, “Onları, halihazırda yerinde değillerse, en azından sistemleri yerleştirmeye, bu ihlallerin ne zaman meydana geldiğini anlamaya ve ardından insanları bilgilendirmeye zorlayacak” diyor. Kural, grupların yalnızca bildiklerini değil, bilmeleri gereken tüm veri ihlallerini bildirmeleri gerektiğini söylüyor – bu nedenle verileri izleme yollarına sahip olmaları gerekiyor.

“Bir uygulama geliştiricisi veya bağlantılı bir platformun satıcısı iseniz bu kurala dikkat etmeniz sizin yararınızadır”

Kuralı çiğnemenin cezaları oldukça önemlidir: ihlal başına günlük 43.792 dolar. Pennsylvania Eyalet Üniversitesi’nde hukuk, politika ve mühendislik yardımcı doçenti Jennifer Wagner, “Bu çok hızlı bir şekilde toplanabilir” diyor. “Bence, ‘bakın, eğer bir uygulama geliştiricisiyseniz veya bağlı bir platformun satıcısıysanız, bu kurala dikkat etmeniz ve bir tür yanıt mekanizmanız olduğunu belirtmeniz sizin yararınızadır. yerinde.’”

FTC kuralı, bir veri ihlali olduğunda kullanıcılara haber verir, ancak sağlık uygulamalarıyla ilgili tüm veri gizliliği sorunlarını çözemez. Şirketlerin kullanıcı verileriyle yapabileceklerini sınırlamaz; sadece kullanıcılara ne yaptıklarını söylemeleri gerektiğini söylüyor. Simon, “Bu bir tür şeffaflık, ancak bunun sınırlamaları var” diyor. Bazı uzmanlar, kullanıcıların ilk etapta uygulamaların verileri kullanma ve paylaşma yolları üzerinde daha aktif kontrole sahip olması gerektiğini savunuyor. Ancak FTC’nin bu değişiklikleri yapma yetkisi yok. Simon, “Yapmak istediği her şeyi yapacak araçlara sahip olduğunu düşünmüyorum” diyor.

FTC’nin kuralı, sağlık bilgileriyle ilgilenen dijital sağlık ürünleriyle de sınırlıdır. Ancak son zamanlarda, özellikle sağlık için tasarlanmamış platformların aslında bu amaç için kullanılabileceği açıktı: Örneğin, meme kanserinden kurtulanlar için bir Facebook destek grubu, bir sağlık kaydı olarak kabul edilmeyebilir, ancak kullanılabilecek bilgileri topluyor. Wagner, üyelerin sağlığı hakkında bilgi edinmek için diyor. Bu platformda bir veri ihlali olsaydı, mutlaka kurala tabi olmazdı. “FTC’nin terminolojiyle yapabilecekleri biraz sınırlı, ancak kesinlikle ellerinden gelen her şeyi yapmaya çalışıyorlar” diyor.

Sınırlamalara rağmen, rehberlik, veri koruma etrafındaki daha geniş manzara, insanlara bilgileri üzerinde daha fazla kontrol sağlamak için değiştiği için de geliyor. Wagner, Kongre’den, eyaletlerden ve başsavcılardan veri gizliliği konusunda artan bir ilgi olduğunu söylüyor. Şirketler hepsine dikkat ediyor ve FTC kararı bu bulmacanın yeni bir parçası. “Gerekli olarak atabilecekleri adımları düşünmeleri ve ileriyi düşünmeleri gerekiyor, çünkü bu düzenleyici alan ortadan kalkmayacak” diyor.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz