Pixelated: (ciągłe) wielkie żniwa twojej dokumentacji medycznej

HISTORIA W SKRÓCIE

Do tej pory większość ludzi zdaje sobie sprawę, że jeśli „polubią” określoną stronę na Facebooku, to daje to gigantowi mediów społecznościowych informacje na ich temat. Na przykład „polubię” stronę dotyczącą konkretnej choroby, a marketerzy mogą zacząć kierować do Ciebie powiązane produkty i usługi.

Facebook może również gromadzić poufne dane dotyczące zdrowia w znacznie bardziej podstępny sposób, w tym śledzić Cię, gdy jesteś na stronach szpitalnych, a nawet gdy jesteś w osobistym, chronionym hasłem portalu informacji o zdrowiu, takim jak MyChart.¹

Robi to za pomocą pikseli, które mogą być instalowane bez Twojej wiedzy na odwiedzanych stronach internetowych. Mogą zbierać informacje o Tobie podczas przeglądania sieci, nawet jeśli nie masz konta na Facebooku.

Meta piksel znaleziony na stronach szpitali

W szczególności Meta Pixel to fragment kodu JavaScript, który programiści mogą dodać do swojej witryny, aby śledzić aktywność odwiedzających.² Według Meta:³

„Działa, ładując niewielką bibliotekę funkcji, z których można korzystać za każdym razem, gdy odwiedzający witrynę podejmuje działanie (nazywane zdarzeniem), które chcesz śledzić (nazywane konwersją). Śledzone konwersje pojawiają się w Menedżerze reklam, gdzie można ich używać do mierzenia skuteczności reklam, definiowania niestandardowych odbiorców na potrzeby kierowania reklam, dynamicznych kampanii reklamowych oraz analizowania skuteczności ścieżek konwersji w witrynie”.

Nawet szpitale decydują się na śledzenie danych, o czym świadczy dochodzenie przeprowadzone przez The Markup, które przetestowało strony internetowe ze 100 najlepszych szpitali w USA w Newsweeku. Meta piksel Facebooka został znaleziony na 33 stronach internetowych, wysyłając informacje z Facebooka powiązane z adresem IP, który identyfikuje poszczególne komputery i może być powiązany z osobą lub gospodarstwem domowym.

Piksel śledzi nie tylko adres IP używanego komputera, ale także wyszukiwanych lekarzy i wyszukiwane hasła dodawane do pól wyszukiwania lub wybierane z menu rozwijanych. Znacznik zgłosił:⁴

„Na przykład na stronie internetowej University Hospitals Cleveland Medical Center kliknięcie przycisku „Zaplanuj online” na stronie lekarza skłoniło Meta Pixel do wysłania do Facebooka tekstu przycisku, nazwiska lekarza i wyszukiwanego hasła, którego użyliśmy do znalezienia ona: „przerwanie ciąży”.

Kliknięcie przycisku „Zaplanuj online teraz” dla lekarza na stronie internetowej szpitala Froedtert Hospital w stanie Wisconsin skłoniło Meta Pixel do wysłania do Facebooka tekstu przycisku, nazwiska lekarza oraz stanu chorobowego wybranego z rozwijanego menu: „Alzheimer's” ”.

Meta Pixel zainstalowany na portalach pacjentów

Opieka zdrowotna staje się coraz bardziej cyfrowa, co sprawia, że ​​prywatność portali pacjentów, takich jak MyChart, staje się coraz ważniejsza. W 2020 r. około 6 na 10 Amerykanów otrzymało dostęp do internetowego portalu dla pacjentów — wzrost o 17 proc. od 2014 r. — a blisko 40 proc. co najmniej raz korzystało ze swoich danych online.⁵

Ogólnie rzecz biorąc, około jedna trzecia osób, które korzystały z portali dla pacjentów, pobrała swoją dokumentację medyczną online w 2020 r., czyli prawie dwukrotnie więcej niż w 2017 r.

Jednak dane, do których uzyskujesz dostęp podczas korzystania z chronionych hasłem portali pacjentów, mogą być również przesyłane do Facebooka za pośrednictwem pikseli. Markup znalazł Meta Pixel w portalach pacjentów z siedmiu systemów opieki zdrowotnej, w tym Edward-Elmhurst Health, FastMed, Novant Health i Community Health Network.

Gromadzone dane zawierały nazwy przyjmowanych leków, opisy reakcji alergicznych oraz zbliżające się wizyty lekarskie.⁶ Firma Novant Health, która usunęła piksel po skontaktowaniu się z The Markup, stwierdziła: „Doceniamy, że kontaktujesz się z nami i dzielisz się tymi informacjami. Nasze rozmieszczenie pikseli Meta jest prowadzone przez zewnętrznego dostawcę i zostało usunięte, gdy nadal badamy tę sprawę”.⁷

Markup współpracuje teraz z Mozilla Rally, używając dodatku do przeglądarki i crowdsourcingu, aby wysyłać dane o Meta Pixel na stronach odwiedzanych przez uczestników badania. Celem badania, które trwa do 13 lipca 2022 r. i zostało nazwane Facebook Pixel Hunt, jest mapowanie sieci śledzenia pikseli Facebooka, aby lepiej zrozumieć rodzaje informacji gromadzonych w sieci.⁸

„Całkiem prawdopodobne naruszenie HIPPA”

Federalna ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) zabrania szpitalom udostępniania danych osobowych umożliwiających identyfikację użytkownika Facebookowi i innym podmiotom, chyba że dana osoba wyraziła na to zgodę. W rezultacie możliwe jest, że Meta Pixel Facebooka na stronach szpitalnych jest nielegalny.

David Holtzman, były starszy doradca ds. prywatności w Biurze Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych, powiedział The Markup: „Jestem głęboko zaniepokojony tym, co [szpitale] robią z przechwytywaniem ich danych i udostępnianiem to. Nie mogę powiedzieć, że [udostępnianie tych danych] jest na pewno naruszeniem HIPAA. Jest to całkiem prawdopodobne, że jest to naruszenie HIPAA”.⁹

Do 15 czerwca 2022 r. co najmniej siedem szpitali, z którymi skontaktował się The Markup, usunęło piksele ze stron rezerwacji wizyt, podczas gdy co najmniej pięć systemów opieki zdrowotnej z Meta Pixels na portalach pacjentów usunęło piksele.

Jednak, aby zorientować się w zakresie udostępnianych danych, The Markup odkrył, że ponad 26 milionów przyjęć pacjentów i wizyt ambulatoryjnych zostało podzielonych przez 33 szpitale korzystające z Meta Pixels, i jest to prawdopodobnie konserwatywne.

„Nasze śledztwo ograniczyło się do nieco ponad 100 szpitali; udostępnianie danych prawdopodobnie dotyczy znacznie większej liczby pacjentów i instytucji niż zidentyfikowaliśmy” – donosi The Markup.¹⁰ W rzeczywistości za każdym razem, gdy przeglądasz sieć, prawdopodobnie natkniesz się na Meta Pixel, ponieważ można je znaleźć w ponad 30% najpopularniejszych witryn internetowych.¹¹

Adresy IP są wymienione jako jeden z identyfikatorów, które mogą liczyć dane jako chronione informacje o stanie zdrowia zgodnie z HIPPA. Co więcej, zalogowanie się na Facebooku podczas odwiedzania strony internetowej szpitala za pomocą Meta Pixela może umożliwić dołączenie jeszcze większej liczby mechanizmów śledzenia, takich jak pliki cookie stron trzecich, aby dane piksela mogły być połączone z kontami na Facebooku. Według znaczników:¹²

„W kilku przypadkach stwierdziliśmy – używając zarówno fałszywych kont stworzonych przez naszych reporterów, jak i danych od wolontariuszy Mozilla Rally – że Meta Pixel jeszcze bardziej ułatwił identyfikację pacjentów.

Kiedy The Markup kliknął przycisk „Zakończ rezerwację” na stronie lekarza Scripps Memorial Hospital, piksel wysłał Facebookowi nie tylko imię i nazwisko lekarza oraz jej dziedzinę medycyny, ale także imię, nazwisko, adres e-mail, numer telefonu, kod pocztowy kod i miejscowość zamieszkania wpisaliśmy w formularzu rezerwacji.”

Pacjenci byliby „zszokowani”

Całkiem możliwe, że to, co Facebook robi z wrażliwymi danymi dotyczącymi zdrowia pacjentów, jest nielegalne, ale nawet jeśli tak nie jest, większość ludzi byłaby zszokowana, gdyby dowiedziała się, jakie rodzaje danych zbiera o nich Facebook w Internecie, kiedy używają tego, co zakłada. być prywatnymi, chronionymi witrynami zdrowotnymi i portalami dla pacjentów.

W rozmowie z The Markup, Glenn Cohen, dyrektor wydziału Petrie-Flom Center for Health Law Policy, Biotechnology and Bioethics na Harvard Law School, wyjaśnił:¹³

„Prawie każdy pacjent byłby zszokowany, gdyby dowiedział się, że Facebook zapewnia łatwy sposób powiązania recept z jego nazwiskiem. Nawet jeśli w architekturze prawnej jest coś, co pozwala na to, aby było to zgodne z prawem, jest to całkowicie poza oczekiwaniami pacjentów, którzy uważają, że przepisy dotyczące prywatności w zakresie zdrowia robią dla nich”.

Chociaż Facebook twierdzi, że wykorzystuje systemy uczenia maszynowego do wykrywania poufnych danych dotyczących zdrowia i blokowania ich gromadzenia, okazało się, że setki stron internetowych z centrów ciąż kryzysowych udostępniają informacje o odwiedzających gigantowi mediów społecznościowych, zawierają takie informacje, jak to, czy odwiedzający był poszukiwania testów ciążowych, antykoncepcji awaryjnej lub aborcji.

Dane mogą być wykorzystywane do kierowania ukierunkowanych reklam lub nawet, w najgorszym przypadku, potencjalnie w postępowaniu sądowym.

Albert Fox Cahn, założyciel i dyrektor wykonawczy Surveillance Technology Oversight Project, powiedział The Markup: „Myślę, że będzie to dzwonek alarmowy dla milionów Amerykanów na temat tego, jak duże niebezpieczeństwo naraża ich to śledzenie, gdy zmienią się prawa i ludzie może uzbroić te systemy w sposób, który kiedyś wydawał się niemożliwy”.¹⁴

Google śledzi również dane dotyczące zdrowia

W 2019 r. Google nawiązał współpracę z Centrum Medialnym Uniwersytetu w Chicago, aby gromadzić dokumentację medyczną i wykorzystywać sztuczną inteligencję do przewidywania zdarzeń medialnych. Zapisy miały być anonimowe, ale zawierały datowniki i notatki lekarzy, które pozew sądowy rzekomo Google mógł połączyć z danymi geolokalizacyjnymi w celu identyfikacji pacjentów.¹⁵

W pozwie twierdzono: „Osobiste informacje medyczne uzyskane przez Google są najbardziej wrażliwymi i intymnymi informacjami w życiu danej osoby, a ich nieuprawnione ujawnienie jest znacznie bardziej szkodliwe dla prywatności danej osoby” niż dane zwykle ujawniane podczas włamań, takie jak numery kart kredytowych.¹⁶

Czterech prawników generalnych również pozwało Google za oszukańcze praktyki zbierania danych o lokalizacji od opinii publicznej. Odrębne pozwy twierdzą, że Google kontynuował śledzenie danych o lokalizacji swoich użytkowników nawet po wyłączeniu przez nich śledzenia lokalizacji.

Karl A. Racine, prokurator generalny Dystryktu Kolumbii, wszczął dochodzenie w sprawie Google po tym, jak raport AP News z 2018 r. ujawnił, że Google śledzi ruchy ludzi, nawet jeśli zrezygnowali z takiego śledzenia.¹⁷ Wprowadzające w błąd twierdzenia Google dotyczące ochrony prywatności dostępnej w ustawieniach konta trwają co najmniej od 2014 r., wynika z dochodzenia Racine'a.¹⁸

Oprócz ukrywania śledzenia lokalizacji w ustawieniach, których użytkownicy nie spodziewali się, takich jak Aktywność w internecie i aplikacjach – która jest domyślnie włączona – Google jest oskarżany o zbieranie i przechowywanie informacji o lokalizacji za pośrednictwem usług Google, danych Wi-Fi i partnerów marketingowych, ponownie po urządzeniu lub ustawienia konta zostały zmienione, aby zatrzymać śledzenie lokalizacji.¹⁹

Oprócz Dystryktu Kolumbii prokuratorzy generalni z Teksasu, Waszyngtonu i Indiany złożyli również pozwy przeciwko Google za oszukańcze praktyki gromadzenia danych. Pozwy twierdzą, że Google wywierał również presję na użytkowników, aby częściej korzystali ze śledzenia lokalizacji, ponieważ twierdził – fałszywie – że jego produkty nie będą działać bez niego.²⁰

W międzyczasie dane o lokalizacji mogą być wykorzystywane do ujawniania intymnych szczegółów dotyczących Twojego życia, od członkostwa na siłowni, wizyt w opiece zdrowotnej, sklepów i restauracji, które odwiedzasz, do miejsc, w których chodzisz do kościoła. Może być również używany do dostarczania spersonalizowanych reklam na cyfrowych billboardach, gdy przechodzisz obok, a Google śledzi i dostarcza swoim klientom informacje o tym, jak dobrze działają reklamy online, aby przyciągać ludzi do sklepów stacjonarnych.²¹

Chroń swoją prywatność online

Kiedy już zdasz sobie sprawę, że jesteś śledzony online, mądrze jest świadomie zrezygnować z tego na tyle, na ile to możliwe. Dr Robert Epstein, starszy psycholog badawczy w Amerykańskim Instytucie Badań Behawioralnych i Technologii (AIBRT), przypomina ludziom, że bezpłatne usługi online, takie jak Facebook i Google, nie są tak naprawdę bezpłatne, ponieważ płaci się za nie twoja wolność.²² Aby odzyskać część swojej prywatności online, zarówno sobie, jak i swoim dzieciom, zaleca:²³

1. Pozbądź się Gmaila. Jeśli masz konto Gmail, spróbuj zamiast tego usługi poczty e-mail innej niż Google, takiej jak ProtonMail, szyfrowana usługa poczty e-mail z siedzibą w Szwajcarii.
2. Odinstaluj Google Chrome i używaj Odważny zamiast tego dostępna jest przeglądarka internetowa dla wszystkich komputerów i urządzeń mobilnych. Blokuje reklamy i chroni Twoją prywatność.
3. Przełącz wyszukiwarki. Zamiast tego wypróbuj wyszukiwarkę Brave.
4. Unikaj Androida. Telefony Google i telefony korzystające z Androida śledzą praktycznie wszystko, co robisz, i nie chronią Twojej prywatności. Możesz usunąć Google swój telefon komórkowy, kupując telefon z Androidem, który nie ma systemu operacyjnego Google, ale musisz znaleźć wykwalifikowanego informatyka, który może sformatować dysk twardy Twojego telefonu komórkowego.
5. Unikaj urządzeń Google Home. Jeśli masz inteligentne głośniki Google Home lub aplikację na smartfony Google Assistant, istnieje szansa, że ​​ludzie słuchają Twoich próśb, a nawet mogą słuchać, gdy się nie spodziewasz.
6. Wyczyść pamięć podręczną i pliki cookie. Pomoże to pozbyć się inwazyjnych kodów komputerowych, które śledzą to, co robisz online.
7. Użyj proxy lub VPN (Virtual Private Network). Ta usługa tworzy bufor między Tobą a Internetem, „oszukując wiele firm nadzorujących, że tak naprawdę nie jesteś sobą”.