پرسش و پاسخ: اقدام FTC در مورد به اشتراک گذاری داده های بهداشتی می تواند سلامت دیجیتال را “در معرض خطر” قرار دهد

کمیسیون تجارت فدرال شروع به سرکوب شرکت‌های سلامت دیجیتال به اتهام اشتراک‌گذاری داده‌های سلامت مصرف‌کنندگان برای اهداف تبلیغاتی کرده است.

ماه گذشته، آژانس گفت GoodRx داشته است اطلاعات سلامت شخصی را با اشخاص ثالثی مانند گوگل و فیس بوک به اشتراک گذاشته است. این شرکت که بیشتر به دلیل ابزارهای شفاف سازی هزینه دارو شناخته می شود، موافقت کرد برای حل و فصل این پرونده جریمه 1.5 میلیون دلاری بپردازد، اما هیچ تخلفی را اعتراف نکرد.

و همین دیروز، FTC دستور پیشنهادی را اعلام کرد که شرکت درمان آنلاین BetterHelp را از افشای اطلاعات سلامتی برای تبلیغات، از جمله پرداخت ۷.۸ میلیون دلاری به مصرف‌کنندگانی که داده‌هایشان به اشتراک گذاشته شده است، منع می‌کند. BetterHelp همچنین هیچ تخلفی را اعتراف نکرد و خاطرنشان کرد که چندین سال پیش در مورد اقدامات ادعایی حل شده است.

اسکات لافلین، یکی از شرکای هوگان لاولز که همچنین مدیریت حریم خصوصی و امنیت سایبری جهانی این شرکت حقوقی را بر عهده دارد، با MobiHealthNews برای بحث در مورد اقدامات اجرایی آژانس علیه GoodRx و آنچه شرکت های سلامت دیجیتال باید از این پرونده بیاموزند.

یادداشت سردبیر: این مصاحبه قبل از اعلام سفارش پیشنهادی FTC در مورد BetterHelp انجام شد.

موبی سلامت نیوز: برخی از نکات مهم شما از اقدام FTC علیه GoodRx چه بود؟ در مختصر خود، آن را «پیشگامانه» نامیدید. به نظر شما برخی از مهم ترین تغییرات در اینجا چیست؟

اسکات لافلین: من فکر می کنم چندین چیز از دستور پیشنهادی بیرون آمد که راهگشا بود. اولین مورد این بود که FTC رفت و عمدا سعی کرد حفره ای را که در چشم انداز قانونی HIPAA ایجاد شده بود پر کند. HIPAA کاربرد مستقیمی برای انواع خاصی از ارائه‌دهندگان مراقبت‌های بهداشتی و برنامه‌های مراقبت‌های بهداشتی دارد، اما تعدادی از سازمان‌هایی را که اطلاعات حساس سلامت را اداره و پردازش می‌کنند، پوشش نمی‌دهد. و OCR [Office for Civil Rights]، که تنظیم کننده اصلی برای اجرای HIPAA است، بر تعدادی از سازمان های مراقبت بهداشتی مصرف کننده گرا صلاحیت ندارد. بنابراین زمانی که OCR راهنمایی‌هایی را در مورد اینکه چگونه نهادهای مشمول HIPAA می‌توانند فناوری‌های ردیابی مختلف را بر روی پلتفرم‌های دیجیتال خود استقرار دهند، منتشر کرد، این امر برای تعدادی از سازمان‌ها که اطلاعات حساسی از طریق ویژگی‌های دیجیتال خود دریافت می‌کنند، اعمال نمی‌شد. و FTC، از طریق تصمیم GoodRx، این شکاف را کاهش داد و روشن کرد که از دیدگاه آنها، بدون توجه به اینکه آیا شما مشمول HIPAA هستید یا خیر، همان نوع استانداردها اعمال خواهند شد.

بنابراین چیز دیگری که فکر می‌کنم پیشرفت بسیار مهمی بود این بود که، در ترتیب پیشنهادی، تعدادی از زمینه‌ها وجود داشت که FTC نشان داده است که از GoodRx به صورت پیشرو انتظار می‌رود، از جمله توسعه و اجرا. کنترل های جامع حریم خصوصی اینها انواع تعهداتی هستند که در گذشته با توجه به موارد امنیتی توسط FTC اجرا شده اند. و این منطقه ای است که آنها برخی از همان نوع درمان ها و همان نوع تعهداتی را که FTC در موارد امنیتی استفاده کرده است، به کار گرفته اند، اما اکنون در یک پرونده حفظ حریم خصوصی.

این یک پیشرفت مهم است زیرا تعهدات مورد نیاز آنها از همه چیز ناشی می شود، از داشتن مجموعه ای جامع از سیاست های حفظ حریم خصوصی که برای استفاده داخلی آنها از داده ها اعمال می شود تا انتصاب فردی که مسئول رعایت حریم خصوصی است. ارتباط مستقیم گزارش‌دهی به مدیر عامل، به سمت داشتن کنترل‌های حریم خصوصی بسیار خاص که از توانایی GoodRx برای پیروی از تعهدات حریم خصوصی پشتیبانی می‌کند.

MHN: آیا از دیدن این اقدام اجرایی توسط FTC، که به گفته آنها اولین موردی بود که قانون اعلان نقض بهداشت را اجرا کردند، شگفت زده شدید؟ آیا فکر می کنید که این امر بر اساس اقدامات و اخبار نظارتی قبلی انجام شده است؟

لافلین: جای تعجب نیست که FTC وارد این فضا شد. من فکر می کنم اگر به این دستور نگاه کنید، دو زمینه قابل توجه وجود دارد که آنها اجرا کرده اند. اولین مورد، اختیارات سنتی بخش 5 آنها برای تنظیم یا ممنوعیت اقدامات تجاری ناعادلانه یا فریبنده است. این حوزه ای است که FTC بارها آن را اجرا کرده است. و آنچه در اینجا قابل توجه است این است که آنها برای اولین بار اختیارات بخش 5 خود را در رابطه با ردیابی وب برای سازمان های مراقبت های بهداشتی اعمال کردند. جای تعجب نیست که این حوزه ای است که آنها به دنبال آن بوده اند، زیرا تمام توجه رسانه ها بر استفاده از این فناوری ها توسط سازمان های مراقبت های بهداشتی متمرکز شده است. سیگزارش های مصرف کننده مقاله ای در مورد GoodRx به طور خاص منتشر کرده بود و سپس نشانه گذاری [and STAT] اوایل سال گذشته تعدادی از ارائه دهندگان مراقبت های بهداشتی را شناسایی کرده بود که از انواع مختلف ردیابی در دارایی های دیجیتال خود استفاده کرده بودند. اینها مواردی بودند که FTC از یک رویه تجاری ناعادلانه یا فریبنده نگران آن بود، به ویژه زمانی که آنها این اقدامات را با اظهارات عمومی که آن شرکت ها انجام داده اند مقایسه می کنند.

بخش دوم، که در مورد قانون اعلان نقض بهداشت بود، هرگز توسط FTC اجرا نشد. اما جای تعجب نیست که آنها در این مورد این کار را انجام می دهند. الف را آزاد کرده بودند بیانیه عمومی که نشان می دهد آنها گزارش های بسیار کمی از نقض تحت قانون اعلان نقض بهداشت دریافت کرده اند، و آنها مشکوک هستند که گزارش کمتری وجود داشته است. بنابراین آنها به طور مؤثر به جامعه بهداشت یا جامعه ای که مشمول این قوانین هستند یادآوری می کردند که می خواهند در صورت لزوم این گزارش ها را دریافت کنند. من فکر می‌کنم این مورد خاص، در حالی که می‌توانست فقط تحت بخش 5 پیش برود، آنها از این فرصت استفاده کرده‌اند تا واقعاً این پیام را به خانه برسانند که در مورد گزارش‌دهی سازمان‌ها تحت قانون اعلان نقض سلامت جدی هستند.

MHN: فکر می‌کنید دیگر شرکت‌های سلامت دیجیتال یا شرکت‌های سلامت مصرف‌کننده باید از این تصمیم در آینده چه برداشتی داشته باشند؟

لافلین: یکی، در مورد آنچه که به کاربران خود می گویید و به طور خاص نحوه استفاده و افشای اطلاعات سلامت آنها را بسیار مراقب باشید. به اطلاعات بهداشتی محدود فکر نکنید. در این مورد، این واقعیت که یک فرد به دنبال مراقبت یا جستجوی خدمات از یک پلت فرم سلامت دیجیتال است، می تواند اطلاعات مربوط به سلامت باشد. بنابراین مطمئن شوید که افشای اطلاعات شما با شیوه های شما مطابقت دارد.

دوم، مراقب نحوه استفاده از فناوری ردیابی باشید تا عمداً از آن استفاده کنید. من نمونه‌های متعددی را می‌بینم، و تصمیم GoodRx تأکید می‌کند که گروه‌های مختلفی در سازمان‌ها وجود دارند که مسئول استقرار فناوری‌های ردیابی هستند. و آن گروه ها با قانونی و انطباق تفاوت دارند. دستور FTC به GoodRx نیاز دارد که ساختار حاکمیتی را اجرا کند، به طوری که تصمیمات مربوط به استفاده از فناوری های ردیابی از طریق یک نوع سنتی بازبینی قانونی یا انطباق انجام شود. و این چیزی است که اکنون بخشی از یک روش عملیاتی استاندارد خواهد بود.

من فکر می کنم سومین چیز این است که واقعاً روش های تبلیغاتی و بازاریابی خود را که بر اساس اطلاعات حساس است بررسی کنید. در این پرونده، GoodRx به استفاده از اطلاعات حساس برای هدف قرار دادن افراد با انواع مختلف تبلیغات، انواع مختلف داروها و محصولات دارویی متهم شد. و FTC گفته است که شما نمی توانید بدون رضایت قبلی افراد را با استفاده از اطلاعات حساس تبلیغ یا هدف قرار دهید. و در نتیجه، این یک عمل مهم برای سازمان‌های سلامت دیجیتال است که به فکر پیاده‌سازی در اقدامات خود باشند.

MHN: آیا فکر می کنید ما شاهد اجرای FTC بیشتری مانند این خواهیم بود؟

لافلین: بله، من فکر می کنم که FTC واقعاً به این موضوع ادامه خواهد داد. FTC معمولا قوانین و مقرراتی را صادر نمی کند. در عوض، آنها اغلب راهنمایی می کنند. و سپس آنها از این راهنمایی از طریق انواع خاصی از اقدامات اجرایی پشتیبانی می کنند، تقریباً یک قانون مشترک برای اجرای FTC ایجاد می کنند، که جامعه را متوجه می کند که این انتظارات در مورد شیوه های تجاری است که ناعادلانه یا فریبنده تلقی نمی شوند.

بنابراین من فکر می‌کنم احتمالا زمانی فرا خواهد رسید که سازمان‌ها باید رویه‌های کسب‌وکار خود را ادامه دهند تا با مجموعه انتظارات GoodRx همخوانی بیشتری داشته باشند. اما مانند آنچه FTC در مورد موارد امنیتی انجام داده است، اگر آنها به طور مداوم رفتارهایی را مشاهده کنند که فکر می کنند با اصولی که در GoodRx بیان کرده اند مغایرت دارد، احتمالاً شاهد اعمال اضافی خواهید بود.