افزایش نظارت نظارتی بر استفاده شرکت‌های فناوری بهداشت از فناوری‌های تبلیغاتی – حفاظت از حریم خصوصی

گسترش اپلیکیشن‌های بهداشتی و دستگاه‌های متصل که به افراد امکان می‌دهد شرایط سلامت، درمان، داروها، تن، اندام، باروری، خواب، سلامت روان، رژیم غذایی و سایر زمینه‌های حیاتی خود را ردیابی کنند، به افزایش نظارت‌های نظارتی منجر شده است. دستورالعمل‌های نظارتی و اقدامات اجرایی اخیر با درمان‌های چند میلیون دلاری، درخواست‌های روشنی برای شرکت‌های فناوری سلامت است تا اطمینان حاصل کنند که به درستی از فناوری‌های ردیابی اینترنتی در دارایی‌های دیجیتال خود استفاده می‌کنند.

راهنمای OCR در مورد استفاده از فناوری های ردیابی

دفتر حقوق مدنی و، بهداشت و خدمات انس، (OCR)، که قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA) را اجرا می کند، اخیرا منتشر شده است. راهنمایی اخطار مبنی بر اینکه استفاده یک نهاد تحت نظارت HIPAA از فناوری‌های ردیابی اینترنتی در وب‌سایت‌ها و برنامه‌های خود مشمول قو،ن HIPAA است. قانون حفظ حریم خصوصی. این فناوری‌های ردیابی شامل ابزارهای تحلیلی و تبلیغاتی است که معمولاً مورد استفاده قرار می‌گیرند، مانند پی،ل‌های ردیابی مورد استفاده برای بازاریابی مجدد، چراغ‌های وب و اسکریپت‌های پخش مجدد جلسه. OCR توصیه می‌کند که این فناوری‌ها در قو،ن HIPAA قرار می‌گیرند، زیرا انواع داده‌هایی که جمع‌آوری می‌کنند، از جمله آدرس IP، موقعیت جغرافیایی، شناسه دستگاه، شناسه تبلیغاتی یا سایر شناسه‌های منحصربه‌فرد، می‌توانند یک وب‌سایت یا کاربر برنامه را به یک نهاد تحت نظارت HIPAA گره بزنند. عدم وجود رابطه بیمار بر این اساس، این داده ها «به سلامتی یا مراقبت های بهداشتی یا پرداخت هزینه مراقبت در گذشته، حال یا آینده فرد مربوط می شود». به ،وان مثال، هنگامی که یک نهاد تحت پوشش (مانند یک بیمارستان یا ارائه دهنده مراقبت های بهداشتی) یک پی،ل ردیابی را در صفحه زمان بندی قرار خود قرار می دهد، پی،ل آدرس IP بیمار را با ارائه دهنده پی،ل به اشتراک می گذارد. طبق دستورالعمل OCR، نهاد تحت پوشش باید اطمینان حاصل کند که آدرس IP را با ارائه دهنده پی،ل به روشی مطابق با HIPAA به اشتراک می گذارد.

FTC اجرای قانون اعلان نقض بهداشت خود

OCR تنها تنظیم کننده ای نیست که بر استفاده از فناوری های ردیابی در وب سایت ها و برنامه های سلامت متمرکز شده است. در 1 فوریه 2023، کمیسیون تجارت فدرال (FTC) یک اقدام اجرایی علیه یک پلت فرم مراقبت های بهداشتی دیجیتال به دلیل نقض بخش 5 قانون FTC و قانون اعلان نقض بهداشت FTC، 16 CFR ،مت 318 (قانون FTC). قانون FTC برای مشاغلی اعمال می شود که هستند نه مشمول HIPAA هستند، اما اطلاعات بهداشتی قابل شناسایی مصرف کنندگان را در قالب سوابق سلامت شخصی جمع آوری یا نگهداری می کنند. قانون FTC از ،ب‌وکارها می‌خواهد که افراد را در حداقل 60 روز تقویمی از دسترسی غیرمجاز به سوابق سلامت شخصی خود مطلع کنند. در سال 2021، FTC یک را صادر کرد بی،ه سیاست نصیحت ، که هربه اشتراک گذاری اطلاعات سلامت شخصی – از جمله افشای عمدی – بدون اجازه شخصی که به او مربوط می شود قانون FTC را نقض می کند. FTC همچنین هشدار داد که نقض قانون FTC می تواند منجر به جریمه مدنی تا 43792 دلار برای هر تخلف در روز شود.

این مورد اولین اجرای قانون FTC توسط FTC بود. FTC ادعا کرد که این شرکت قو،ن FTC و بخش 5 قانون FTC را با به اشتراک گذاشتن اطلاعات شخصی و سلامتی کاربران خود با (1) پلت فرم های تبلیغاتی مانند Facebook، Google و Criteo نقض کرده است. و (2) اشخاص ثالث دیگر مانند Branch و Twilio، بدون اطلاع یا ،ب رضایت کاربران آن. FTC همچنین دریافت که این اقدامات برخلاف وعده‌هایی است که شرکت در سیاست‌های حفظ حریم خصوصی خود داده است مبنی بر اینکه اطلاعات سلامتی کاربران خود را به اشتراک نمی‌گذارد. طبق شرایط توافق، FTC یک جریمه مدنی 1.5 میلیون دلاری وضع کرد و شرکت را از افشای اطلاعات بهداشتی به اشخاص ثالث برای اه، تبلیغاتی برای همیشه منع کرد.

BetterHelp, Inc. FTC Enforcement

فقط یک ماه بعد، در مارس 2023، FTC یک اقدام اجرایی با ادعای آن ارائه کرد BetterHelp، یک سرویس مشاوره آنلاین سلامت روان، اطلاعات شناسایی کاربران خود را با تبلیغ کنندگان برخلاف وعده های حفظ حریم خصوصی خود در وب سایت و پرسشنامه دریافت به اشتراک گذاشت. این شکایت ادعا می‌کند که BetterHelp به تبلیغ‌کنندگان اجازه می‌دهد تا از اطلاعات کاربرانش برای ایجاد مجموعه‌های مشابه از افراد برای تبلیغات استفاده کنند. در صورت تایید، یک دستور رضایت، BetterHelp را م،م می‌کند تا 7.8 میلیون دلار به مشتری، که برای اشتراک BetterHelp پرداخت کرده‌اند، بازپرداخت کند. دستور پیشنهادی FTC به BetterHelp نیاز دارد که (1) قبل از افشای اطلاعات شخصی به اشخاص ثالث خاص برای هر هدفی، رضایت صریح مثبت را دریافت کند. (2) اجرای یک برنامه جامع حفظ حریم خصوصی؛ (3) به اشخاص ثالث هدایت کنید تا سلامت مصرف کننده و سایر اطلاعات شخصی را حذف کنند. و (4) برنامه نگهداری داده ها را برای سلامت مصرف کننده و اطلاعات شخصی اجرا کنید.

نکات کاربردی برای مشتریان سلامت دیجیتال

همه مشتریان سلامت دیجیتال که از تبلیغات هدفمند و فناوری‌های ردیابی آنلاین در وب‌سایت‌ها و برنامه‌های تلفن همراه خود استفاده می‌کنند، باید ارزیابی کنند و درباره قو،نی که ممکن است مشمول آن‌ها باشند، شفاف باشند: HIPAA، بخش 5 قانون FTC (ممنوع ، اعمال یا اقدامات ناعادلانه یا فریبنده در یا بر تجارت تأثیر می گذارد) و/یا قانون FTC. FTC در دسترس قرار داده است ابزار تعاملی برای کمک به توسعه دهندگان برنامه های تلفن همراه که به هر طریقی با اطلاعات بهداشتی مرتبط هستند، تعیین کنند که کدام قو،ن و قو،ن ممکن است اعمال شود.

آیا شما یک نهاد تحت پوشش یا شریک تجاری مشمول HIPAA هستید؟ اگر چنین است، شما باید:

1. ارزیابی کنید که از چه ابزارهای تبلیغات آنلاین (کوکی ها، پی،ل ها، بیکن های وب) در دارایی های دیجیتال خود استفاده می کنید، مانند وب سایت ها یا برنامه های تلفن همراه.




2. محل قرارگیری این ابزارهای تبلیغات آنلاین در دارایی‌های دیجیتالی شما را مشخص کنید، با توجه به بررسی دقیق در صفحات وب که ممکن است اطلاعات حساس سلامت جمع‌آوری شود (به ،وان مثال، در صفحه برنامه‌ریزی قرار ملاقات که شرایط یا علائم ممکن است وارد شود).




3. ارزیابی کنید که چه داده هایی با ارائه دهندگان شخص ثالث این ابزارها به اشتراک گذاشته می شود، توجه داشته باشید که حتی آدرس های IP تحت دستورالعمل جدید OCR، اطلاعات بهداشتی محافظت شده (PHI) محسوب می شوند.




4. تعیین کنید که آیا موافقت نامه های لازم را با ارائه دهندگان ابزار، مانند قرارداد همکاری تجاری یا قرارداد پیمانکار فرعی، دارید یا خیر.




5. مزایای استفاده از این ابزارهای تبلیغات آنلاین را در مقابل هزینه اضافی پیروی از دستورالعمل جدید OCR بسنجید. تداوم استفاده سازگار از این ابزارها احتمالاً شرکت‌ها را م،م می‌کند تا مجوز یا رضایت قبلی کاربران (از جمله بازدیدکنندگان وب‌سایت، حتی اگر هیچ رابطه‌ای با بیمار ایجاد نشده باشد) برای افشای PHI خود به ارائه‌دهندگان این ابزارهای تبلیغات آنلاین دریافت کنند.




6. سیاست حفظ حریم خصوصی و اطلاعیه اقدامات حفظ حریم خصوصی خود را بازبینی کنید تا شیوه های تبلیغات آنلاین شما به طور دقیق منع، شود. بخش 5 قانون FTC ایجاب می کند که افشای اقدامات حفظ حریم خصوصی اطلاعات بهداشتی نباید فریبنده یا گمراه کننده باشد.

اگر اطلاعات سلامت شخصی را جمع آوری می کنید، اما یک نهاد تحت پوشش HIPAA یا شریک تجاری نیستید:

1. اگر سایت یا برنامه شما اطلاعات سلامتی قابل شناسایی در مورد یک فرد را از منابع متعدد، مانند ،یبی از ورودی‌های مصرف‌کننده و APIها جمع‌آوری کند، مشمول قانون FTC هستید. و مانند ،ب‌وکارهای تحت نظارت HIPAA، بخش 5 قانون FTC بی،ه‌هایی را برای مصرف‌کنندگان در مورد نحوه استفاده و اشتراک‌گذاری اطلاعات سلامتی آنها ا،امی می‌کند که نباید گمراه‌کننده باشد.




2. در صورت وجود، ارزیابی کنید که از چه ارائه دهندگان تبلیغاتی شخص ثالثی استفاده می کنید.




3. یک ممیزی داخلی انجام دهید تا مشخص شود در صورت وجود چه اطلاعات شخصی را با ارائه دهندگان تبلیغات شخص ثالث به اشتراک می گذارید.




4. همه وب‌سایت‌ها و سایر ویژگی‌های دیجیتالی خود را بررسی کنید تا مطمئن شوید که خط‌مشی رازداری شما به‌صورت برجسته نمایش داده می‌شود و به راحتی برای مصرف‌کنندگان در هر کدام قابل دسترسی است. مصرف کنندگان باید قبل از پر ، پرسشنامه های دریافتی، خط مشی رازداری شما را تایید کنند.




5. تمام اظهارات و وعده‌هایی را که در مورد استفاده و افشای اطلاعات شخصی و بهداشتی در پرسشنامه‌های دریافت مشتری، در خط‌مشی‌های حفظ حریم خصوصی، در وب‌سایت‌ها و برنامه‌های تلفن همراه خود، و در دیگر انجمن‌ها و پلتفرم‌های عمومی (مثلاً توییتر) داده‌اید، مرور کنید. و هر گونه ضمانت نامه حفظ حریم خصوصی یا نمایندگی هایی را که دقیقاً منع، کننده رویه های شرکت نیست حذف کنید.




6. قبل از افشای اطلاعات بهداشتی به ارائه دهندگان شخص ثالث فناوری های تبلیغاتی، رضایت صریح مثبت را دریافت کنید. Affirmative Express Consent باید خاص و جدا از شرایط عمومی ،ب و کار باشد.




7. کارمندان را در مورد بهترین شیوه های حفظ حریم خصوصی و امنیت برای مدیریت یا تصمیم گیری در مورد به اشتراک گذاری اطلاعات شخصی یا سلامتی آموزش دهید.




8. استفاده تبلیغ‌کنندگان از اطلاعات شخصی را برای اه، تجاری مستقل خود، از جمله تحقیق و توسعه و بهینه‌سازی تبلیغات، به‌صورت قراردادی محدود کنید.




9. توسعه و اجرای سیاست‌های داخلی حاکم بر اشتراک‌گذاری اطلاعات شخصی و بهداشتی را در نظر بگیرید، از جمله نیاز به بررسی قانونی قبلی و تأیید هرگونه اشتراک‌گذاری داده با ارائه‌دهندگان شخص ثالث ابزارهای تبلیغات آنلاین.

محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. در مورد شرایط خاص خود باید از یک متخصص مشاوره بگیرید.

استارت آپ ها مراقب باشید! بی،ه حریم خصوصی مشکلاتی که باید از آنها اجتناب کنید

پارسونز بهله و لاتیمر

اغلب اوقات، یک استارت‌آپ خوش‌نیت که به دنبال اجتناب از هزینه‌ها در مراحل اولیه است، اشتباه می‌کند که بی،ه حریم خصوصی را اتخاذ کند – اغلب بی،ه‌ای را از یک شرکت دیگر «قرض گرفتن» می‌کند.

SEC Record Keeping V. Privacy: Recent Opinion باعث ایجاد بحث می شود

Akin Gump Strauss Hauer & Feld LLP

در سال 2018، یک متخصص سرمایه‌گذاری از شرکتی که یکی از بنیانگذاران آن بود به دلیل فسخ غیرقانونی و نقض قو،ن فدرال حریم خصوصی مرتبط با دسترسی از راه دور کارفرمای سابق به دسکتاپ شکایت کرد.