Pixelated: Den (kontinuerlige) store høsten av dine medisinske poster

HISTORIE PÅ ET BLIKK

Nå er de fleste klar over at hvis de «liker» en bestemt side på Facebook, gir den sosiale medier-giganten informasjon om dem. "Lik" en side om en bestemt sykdom, for eksempel, og markedsførere kan begynne å målrette deg mot relaterte produkter og tjenester.

Facebook kan imidlertid samle inn sensitive helsedata på langt mer lumske måter også, inkludert sporing av deg når du er på sykehusnettsteder og til og med når du er i en personlig, passordbeskyttet helseinformasjonsportal som MyChart.¹

Den gjør dette via piksler, som kan installeres uten din viten på nettsteder du besøker. De kan samle inn informasjon om deg mens du surfer på nettet, selv om du ikke har en Facebook-konto.

Meta Pixel funnet på sykehusnettsteder

Spesielt er Meta Pixel et stykke JavaScript-kode som utviklere kan legge til nettstedet sitt for å spore besøkendes aktivitet.² I følge Meta:³

"Det fungerer ved å laste inn et lite bibliotek med funksjoner som du kan bruke når en besøkende på nettstedet utfører en handling (kalt en hendelse) som du vil spore (kalt en konvertering). Sporede konverteringer vises i Ads Manager der de kan brukes til å måle effektiviteten til annonsene dine, for å definere tilpassede målgrupper for annonsemålretting, for dynamiske annonsekampanjer og for å analysere effektiviteten til nettstedets konverteringstrakter.»

Til og med sykehus velger datasporing, som det fremgår av en undersøkelse fra The Markup, som testet nettsteder fra Newsweeks topp 100 amerikanske sykehus. Facebooks Meta Pixel ble funnet på 33 av nettstedene, og sendte Facebook-informasjon knyttet til en IP-adresse, som identifiserer individuelle datamaskiner og kan spores tilbake til en person eller husholdning.

Pikselen sporer ikke bare IP-adressen til datamaskinen som brukes, men også hva leger blir søkt etter og søkeord lagt til i søkebokser eller valgt fra rullegardinmenyer. The Markup rapporterte:⁴

"På nettsiden til University Hospitals Cleveland Medical Center, for eksempel, ved å klikke på "Schedule Online"-knappen på en leges side fikk Meta Pixel til å sende Facebook teksten til knappen, legens navn og søkeordet vi brukte for å finne henne: «avbrudd av svangerskapet».

Ved å klikke på "Planlegg online nå"-knappen for en lege på nettstedet til Froedtert Hospital, i Wisconsin, fikk Meta Pixel å sende Facebook teksten til knappen, legens navn og tilstanden vi valgte fra en rullegardinmeny: "Alzheimers .””

Meta Pixel installert på pasientportaler

Helsevesenet blir stadig mer digitalisert, noe som gjør personvernet til pasientportaler som MyChart stadig viktigere. I 2020 ble rundt 6 av 10 amerikanere tilbudt tilgang til en nettbasert pasientportal – en økning på 17 % siden 2014 – og nærmere 40 % fikk tilgang til journalene deres på nettet minst én gang.⁵

Totalt sett lastet om lag en tredjedel av de som brukte pasientportaler ned sine elektroniske journaler i 2020, noe som er nesten dobbelt så mye som i 2017.

Dataene du får tilgang til når du bruker passordbeskyttede pasientportaler kan imidlertid også sendes til Facebook via piksler. Markup fant Meta Pixel i pasientportaler fra syv helsesystemer, inkludert Edward-Elmhurst Health, FastMed, Novant Health og Community Health Network.

Data som ble samlet inn inkluderer navn på medisiner som tas, beskrivelser av allergiske reaksjoner og kommende legebesøk.⁶ Novant Health, som fjernet pikselen etter å ha blitt kontaktet av The Markup, uttalte: «Vi setter pris på at du tar kontakt med oss ​​og deler denne informasjonen. Meta-pikselplasseringen vår ledes av en tredjepartsleverandør, og den har blitt fjernet mens vi fortsetter å se på denne saken.»⁷

Markup samarbeider nå med Mozilla Rally, ved å bruke et nettlesertillegg og crowdd-sourcing for å sende data om Meta Pixel på nettsteder besøkt av studiedeltakere. Målet med studien, som går til og med 13. juli 2022, og har blitt kalt Facebook Pixel Hunt, er å kartlegge Facebooks pikselsporingsnettverk for å bedre forstå hvilke typer informasjon som samles inn over nettet.⁸

"Ganske sannsynlig et HIPPA-brudd"

Den føderale Health Insurance Portability and Accountability Act (HIPAA) gjør det ulovlig for sykehus å dele personlig identifiserbare helsedata med Facebook og andre, med mindre en person har samtykket til det. Som et resultat er det mulig at Facebooks Meta Pixel på sykehussider er ulovlig.

David Holtzman, en tidligere senior personvernrådgiver i US Department of Health and Human Services' Office for Civil Rights, sa til The Markup: «Jeg er dypt bekymret over hva [sykehusene] gjør med innhentingen av dataene deres og deling av den. Jeg kan ikke si at [deling av disse dataene] med sikkerhet er et HIPAA-brudd. Det er ganske sannsynlig et HIPAA-brudd.»⁹

Innen 15. juni 2022 hadde minst syv av sykehusene som The Markup kontaktet, fjernet piksler fra avtalebestillingssidene sine, mens minst fem av helsesystemene med metapiksler på pasientportalene deres hadde fjernet piksler.

For å få en ide om omfanget av dataene som ble utgitt, fant The Markup imidlertid at mer enn 26 millioner pasientinnleggelser og polikliniske besøk hadde blitt delt av de 33 sykehusene som brukte Meta Pixels, og det er sannsynligvis konservativt.

«Undersøkelsen vår var begrenset til litt over 100 sykehus; datadelingen påvirker sannsynligvis mange flere pasienter og institusjoner enn vi har identifisert," rapporterte The Markup.¹⁰ Faktisk, når du surfer på nettet er det sannsynlig at du kommer over en Meta Pixel, siden de finnes på mer enn 30 % av de mest populære nettstedene på nettet.¹¹

IP-adresser er oppført som en av identifikatorene som kan få data til å telle som beskyttet helseinformasjon under HIPPA. Videre kan det å være logget på Facebook når du besøker et sykehusnettsted med en Meta Pixel tillate enda flere sporingsmekanismer, for eksempel tredjeparts informasjonskapsler, slik at pikseldata kan kobles til Facebook-kontoer. I følge The Markup:¹²

«[I]i flere tilfeller fant vi – ved å bruke både dummy-kontoer opprettet av våre reportere og data fra Mozilla Rally-frivillige – at Meta Pixel gjorde det enda enklere å identifisere pasienter.

Da The Markup klikket på "Fullfør booking"-knappen på en legeside til Scripps Memorial Hospital, sendte pikselen Facebook ikke bare navnet på legen og medisinfeltet hennes, men også fornavn, etternavn, e-postadresse, telefonnummer, postnummer. kode og bosted vi skrev inn i bestillingsskjemaet.»

Pasienter ville bli "sjokkert"

Det er ganske mulig at det Facebook gjør med sensitive pasienthelsedata er ulovlig, men selv om det ikke er det, vil de fleste bli sjokkert over å finne ut hvilke typer data Facebook samler inn om dem på nettet, når de bruker det som antas. å være private, beskyttede helsenettsteder og pasientportaler.

I samtale med The Markup forklarte Glenn Cohen, fakultetsdirektør ved Harvard Law Schools Petrie-Flom Center for Health Law Policy, Biotechnology and Bioethics:¹³

«Nesten enhver pasient ville bli sjokkert over å finne ut at Facebook blir gitt en enkel måte å knytte reseptene deres til navnet deres. Selv om det kanskje er noe i den juridiske arkitekturen som tillater at dette er lovlig, er det helt utenfor forventningene til hva pasienter tror helsepersonvernlovene gjør for dem.»

Mens Facebook hevder at de bruker maskinlæringssystemer for å oppdage sensitive helsedata og blokkere dem fra å bli samlet inn, ble det funnet at hundrevis av nettsteder fra krisegraviditetssentre deler besøksinformasjon med den sosiale mediegiganten, inkludert informasjon som om den besøkende var søker graviditetstester, nødprevensjon eller abort.

Dataene kan brukes til å dirigere målrettede annonser eller til og med, i verste fall, potensielt i rettslige prosesser.

Albert Fox Cahn, grunnlegger og administrerende direktør for Surveillance Technology Oversight Project, sa til The Markup: "Jeg tror dette kommer til å være en vekker for millioner av amerikanere om hvor stor fare denne sporingen setter dem i når lovene endres og folk kan bevæpne disse systemene på måter som en gang virket umulige.»¹⁴

Google sporer også helsedata

I 2019 samarbeidet Google med University of Chicago Medial Center for å samle medisinske journaler og bruke kunstig intelligens til å forutsi medialle hendelser. Postene skulle være anonyme, men de inkluderte datostempler og legenotater, som søksmålet påsto at Google kunne kombinere med geolokaliseringsdata for å identifisere pasienter.¹⁵

Søksmålet hevdet: "Den personlige medisinske informasjonen innhentet av Google er den mest sensitive og intime informasjonen i en persons liv, og dens uautoriserte avsløring er langt mer skadelig for en persons personvern" enn data som vanligvis avsløres i hacks, for eksempel kredittkortnumre.¹⁶

Fire riksadvokater har også saksøkt Google for sin villedende praksis med å samle inn stedsdata fra offentligheten. De separate søksmålene hevder at Google fortsatte å spore posisjonsdata til brukerne selv etter at de hadde deaktivert posisjonssporing.

Karl A. Racine, riksadvokat for District of Columbia, startet en etterforskning av Google etter at en AP News-rapport fra 2018 avslørte at Google sporet folks bevegelser selv når de hadde valgt bort slik sporing.¹⁷ Googles villedende påstander til brukere angående personvern som er tilgjengelig i kontoinnstillingene deres har pågått siden minst 2014, fant Racines undersøkelse.¹⁸

Bortsett fra å skjule posisjonssporing under innstillinger brukere ikke ville forvente, som nett- og appaktivitet - som er slått på som standard - er Google anklaget for å samle inn og lagre posisjonsinformasjon via Google-tjenester, Wi-Fi-data og markedsføringspartnere, igjen etter enheten eller kontoinnstillingene var endret for å stoppe posisjonssporing.¹⁹

I tillegg til District of Columbia har riksadvokatene i Texas, Washington og Indiana også anlagt søksmål mot Google for deres villedende datainnsamlingspraksis. Søksmålene hevder at Google også presset brukere til å bruke posisjonssporing oftere fordi de hevdet – feilaktig – at produktene deres ikke ville fungere ordentlig uten den.²⁰

Plasseringsdata kan i mellomtiden brukes til å avsløre intime detaljer om livet ditt, fra treningsmedlemskap, helsebesøk, butikker og restauranter du besøker til hvor du går i kirken. Den kan også brukes til å vise personlig tilpassede annonser på digitale reklametavler når du går forbi, og Google sporer og gir kundene sine informasjon om hvor godt nettannonser fungerer for å lede folk inn i fysiske butikker.²¹

Beskytt ditt personvern på nettet

Når du erkjenner at du blir sporet på nettet, er det lurt å bevisst velge bort det så mye som mulig. Robert Epstein, Ph.D., seniorforskerpsykolog ved American Institute for Behavioral Research and Technology (AIBRT), minner folk om at gratistjenester på nettet, som Facebook og Google, egentlig ikke er gratis, siden du betaler for dem med din frihet.²² For å ta tilbake noe av personvernet ditt på nettet, både for deg selv og barna dine, anbefaler han:²³

1. Bli kvitt Gmail. Hvis du har en Gmail-konto, prøv en ikke-Google e-posttjeneste i stedet som ProtonMail, en kryptert e-posttjeneste basert i Sveits.
2. Avinstaller Google Chrome og bruk Modig nettleser i stedet, tilgjengelig for alle datamaskiner og mobile enheter. Det blokkerer annonser og beskytter personvernet ditt.
3. Bytt søkemotor. Prøv Brave søkemotor i stedet.
4. Unngå Android. Google-telefoner og -telefoner som bruker Android sporer praktisk talt alt du gjør og beskytter ikke personvernet ditt. Det er mulig å fjerne Google mobilen din ved å få en Android-telefon som ikke har et Google-operativsystem, men du må finne en dyktig IT-person som kan formatere mobiltelefonens harddisk på nytt.
5. Unngå Google Home-enheter. Hvis du har Google Home-smarthøyttalere eller Google Assistant-smarttelefonappen, er det en sjanse for at folk lytter til forespørslene dine, og til og med kan lytte når du ikke hadde forventet det.
6. Tøm hurtigbuffer og informasjonskapsler. Dette vil bidra til å bli kvitt invasive datakoder som sporer hva du gjør på nettet.
7. Bruk en proxy eller VPN (Virtual Private Network). Denne tjenesten skaper en buffer mellom deg og internett, og «lurer mange av overvåkingsselskapene til å tro at du egentlig ikke er deg».