Pixelated: de (continue) grote oogst van uw medische dossiers

VERHAAL IN EEN OOGOPSLAG

Inmiddels zijn de meeste mensen zich ervan bewust dat als ze een bepaalde pagina op Facebook "liken", dit de sociale media gigantische informatie over hen geeft. "Like" bijvoorbeeld een pagina over een bepaalde ziekte, en marketeers kunnen u gaan targeten met gerelateerde producten en diensten.

Facebook kan echter ook op veel verraderlijkere manieren gevoelige gezondheidsgegevens verzamelen, inclusief het volgen van u wanneer u zich op ziekenhuiswebsites bevindt en zelfs wanneer u zich in een persoonlijk, met een wachtwoord beveiligd portaal voor gezondheidsinformatie zoals MyChart bevindt.¹

Dit gebeurt via pixels, die zonder uw medeweten kunnen worden geïnstalleerd op websites die u bezoekt. Ze kunnen informatie over u verzamelen terwijl u op internet surft, zelfs als u geen Facebook-account hebt.

Metapixel gevonden op ziekenhuiswebsites

In het bijzonder is de Meta Pixel een stukje JavaScript-code die ontwikkelaars aan hun website kunnen toevoegen om bezoekersactiviteit bij te houden.² Volgens Meta:³

“Het werkt door een kleine bibliotheek met functies te laden die u kunt gebruiken wanneer een sitebezoeker een actie onderneemt (een gebeurtenis genoemd) die u wilt bijhouden (een conversie genoemd). Bijgehouden conversies worden weergegeven in Advertentiebeheer, waar ze kunnen worden gebruikt om de effectiviteit van uw advertenties te meten, om aangepaste doelgroepen te definiëren voor advertentietargeting, voor dynamische advertentiecampagnes en om die effectiviteit van de conversietrechters van uw website te analyseren."

Zelfs ziekenhuizen kiezen voor de datatrackers, zoals blijkt uit een onderzoek van The Markup, dat websites testte van de top 100 Amerikaanse ziekenhuizen van Newsweek. Op 33 van de websites is Facebook's Meta Pixel gevonden, die Facebook-informatie verstuurt die is gekoppeld aan een IP-adres, dat individuele computers identificeert en mogelijk herleidbaar is tot een persoon of huishouden.

De pixel volgt niet alleen het IP-adres van de computer die wordt gebruikt, maar ook naar welke artsen worden gezocht en zoektermen die zijn toegevoegd aan zoekvakken of zijn geselecteerd uit vervolgkeuzemenu's. De Markup meldde:⁴

“Op de website van University Hospitals Cleveland Medical Center, bijvoorbeeld, werd de Meta Pixel gevraagd om de tekst van de knop, de naam van de dokter en de zoekterm die we gebruikten om Facebook te sturen, door op de knop 'Online plannen' op een dokterspagina te klikken op de knop 'Online plannen'. haar: "zwangerschapsafbreking."

Door op de knop "Nu online plannen" voor een arts op de website van het Froedtert-ziekenhuis in Wisconsin te klikken, stuurde de Meta Pixel Facebook de tekst van de knop, de naam van de arts en de aandoening die we selecteerden in een vervolgkeuzemenu: "Alzheimer's .””

Meta Pixel geïnstalleerd op patiëntenportalen

De zorg gaat steeds meer digitaal, waardoor de privacy van patiëntenportalen als MyChart steeds belangrijker wordt. In 2020 kregen ongeveer 6 op de 10 Amerikanen toegang tot een online patiëntenportaal - een stijging van 17% sinds 2014 - en bijna 40% had minstens één keer online toegang tot hun dossiers.⁵

In totaal downloadde ongeveer een derde van degenen die patiëntenportalen gebruikten hun online medische dossier in 2020, wat bijna het dubbele is van het aantal dat dat in 2017 deed.

De gegevens waartoe u toegang hebt bij het gebruik van met een wachtwoord beveiligde patiëntenportalen, kunnen echter ook via pixels naar Facebook worden verzonden. The Markup vond de Meta Pixel in patiëntportalen van zeven gezondheidssystemen, waaronder Edward-Elmhurst Health, FastMed, Novant Health en Community Health Network.

Gegevens die werden verzameld, omvatten namen van medicijnen die werden ingenomen, beschrijvingen van allergische reacties en aanstaande doktersafspraken.⁶ Novant Health, dat de pixel verwijderde nadat The Markup contact met ons had opgenomen, verklaarde: "We stellen het op prijs dat u contact met ons opneemt en deze informatie deelt. Onze Meta-pixelplaatsing wordt geleid door een externe leverancier en deze is verwijderd terwijl we deze kwestie blijven onderzoeken."⁷

The Markup werkt nu samen met Mozilla Rally, met behulp van een browser-add-on en crowd-sourcing om gegevens over de Meta Pixel te verzenden naar websites die door studiedeelnemers worden bezocht. Het doel van het onderzoek, dat loopt tot 13 juli 2022 en de Facebook Pixel Hunt is genoemd, is om het pixeltrackingnetwerk van Facebook in kaart te brengen om beter inzicht te krijgen in de soorten informatie die op internet worden verzameld.⁸

'Heel waarschijnlijk een HIPPA-overtreding'

De federale Health Insurance Portability and Accountability Act (HIPAA) maakt het voor ziekenhuizen illegaal om persoonlijk identificeerbare gezondheidsgegevens te delen met Facebook en anderen, tenzij een persoon hiermee heeft ingestemd. Als gevolg hiervan is het mogelijk dat Facebook's Meta Pixel op ziekenhuissites illegaal is.

David Holtzman, een voormalig senior privacyadviseur bij het Amerikaanse ministerie van Volksgezondheid en Human Services' Office for Civil Rights, vertelde The Markup: "Ik ben diep verontrust over wat [de ziekenhuizen] doen met het vastleggen van hun gegevens en het delen van het. Ik kan niet zeggen dat [het delen van deze gegevens] met zekerheid een HIPAA-schending is. Het is vrij waarschijnlijk een HIPAA-overtreding.”⁹

Op 15 juni 2022 hadden ten minste zeven van de ziekenhuizen waarmee The Markup contact had opgenomen pixels verwijderd van hun pagina's voor het boeken van afspraken, terwijl ten minste vijf van de gezondheidssystemen met Meta Pixels op hun patiëntenportalen de pixels hadden verwijderd.

Om een ​​idee te krijgen van de omvang van de gegevens die worden vrijgegeven, ontdekte The Markup dat meer dan 26 miljoen patiëntopnames en poliklinische bezoeken waren gedeeld door de 33 ziekenhuizen die Meta Pixels gebruikten, en dat is waarschijnlijk conservatief.

“Ons onderzoek was beperkt tot iets meer dan 100 ziekenhuizen; het delen van gegevens treft waarschijnlijk veel meer patiënten en instellingen dan we hebben geïdentificeerd, "meldde The Markup.¹⁰ Elke keer dat u op internet surft, komt u waarschijnlijk een Meta Pixel tegen, aangezien ze op meer dan 30% van de meest populaire websites online te vinden zijn.¹¹

IP-adressen worden vermeld als een van de identificatiegegevens die ervoor kunnen zorgen dat gegevens onder HIPPA als beschermde gezondheidsinformatie gelden. Verder kan het zijn dat u bent ingelogd op Facebook wanneer u een ziekenhuiswebsite bezoekt met een metapixel, dat er mogelijk nog meer trackingmechanismen, zoals cookies van derden, kunnen worden toegevoegd, zodat pixelgegevens kunnen worden gekoppeld aan Facebook-accounts. Volgens The Markup:¹²

"In verschillende gevallen ontdekten we - met behulp van zowel dummy-accounts gemaakt door onze verslaggevers als gegevens van Mozilla Rally-vrijwilligers - dat de Meta Pixel het nog gemakkelijker maakte om patiënten te identificeren.

Toen The Markup op de knop "Boeking voltooien" op een dokterspagina van het Scripps Memorial Hospital klikte, stuurde de pixel Facebook niet alleen de naam van de arts en haar vakgebied, maar ook de voornaam, achternaam, e-mailadres, telefoonnummer, zip code en woonplaats hebben we op het boekingsformulier ingevuld.”

Patiënten zouden 'geschokt' zijn

Het is heel goed mogelijk dat wat Facebook doet met gevoelige gezondheidsgegevens van patiënten illegaal is, maar zelfs als dat niet het geval is, zouden de meeste mensen geschokt zijn als ze zouden ontdekken welk soort gegevens Facebook over hen online verzamelt, wanneer ze gebruiken wat wordt verondersteld om privé, beschermde gezondheidswebsites en patiëntenportalen te zijn.

Sprekend met The Markup, legde Glenn Cohen, faculteitsdirecteur van het Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics van de Harvard Law School uit:¹³

"Bijna elke patiënt zou geschokt zijn om te ontdekken dat Facebook een gemakkelijke manier wordt geboden om hun recepten aan hun naam te koppelen. Zelfs als er misschien iets in de juridische architectuur is waardoor dit wettig is, gaat het totaal buiten de verwachtingen van wat patiënten denken dat de gezondheidsprivacywetten voor hen doen.

Terwijl Facebook beweert dat het machine learning-systemen gebruikt om gevoelige gezondheidsgegevens te detecteren en te voorkomen dat deze worden verzameld, bleken honderden websites van crisiszwangerschapscentra bezoekersinformatie te delen met de socialemediagigant, waaronder informatie zoals of de bezoeker was op zoek zijn naar zwangerschapstesten, noodanticonceptie of abortus.

De gegevens kunnen worden gebruikt om gerichte advertenties te sturen of zelfs, in het ergste geval, mogelijk in juridische procedures.

Albert Fox Cahn, oprichter en uitvoerend directeur van het Surveillance Technology Oversight Project, vertelde The Markup: "Ik denk dat dit een wake-up call zal zijn voor miljoenen Amerikanen over hoeveel gevaar deze tracking hen oplevert wanneer wetten veranderen en mensen kunnen deze systemen bewapenen op manieren die ooit onmogelijk leken.”¹⁴

Google houdt ook gezondheidsgegevens bij

In 2019 werkte Google samen met het University of Chicago Medial Center om medische dossiers te verzamelen en kunstmatige intelligentie te gebruiken om mediale gebeurtenissen te voorspellen. De gegevens zouden anoniem zijn, maar ze bevatten datumstempels en doktersnotities, die Google volgens de rechtszaak zou kunnen combineren met geolocatiegegevens om patiënten te identificeren.¹⁵

De rechtszaak beweerde: "De persoonlijke medische informatie die door Google wordt verkregen, is de meest gevoelige en intieme informatie in het leven van een persoon, en de ongeoorloofde openbaarmaking ervan is veel schadelijker voor de privacy van een persoon" dan gegevens die doorgaans worden blootgelegd in hacks, zoals creditcardnummers.¹⁶

Vier procureurs-generaal hebben Google ook aangeklaagd voor zijn misleidende praktijken bij het verzamelen van locatiegegevens van het publiek. De afzonderlijke rechtszaken beweren dat Google locatiegegevens van zijn gebruikers bleef volgen, zelfs nadat ze locatietracering hadden uitgeschakeld.

Karl A. Racine, procureur-generaal van het District of Columbia, startte een onderzoek naar Google nadat een AP News-rapport uit 2018 onthulde dat Google de bewegingen van mensen volgde, zelfs als ze zich hadden afgemeld voor dergelijke tracking.¹⁷ De misleidende beweringen van Google aan gebruikers met betrekking tot privacybeschermingen die beschikbaar zijn in hun accountinstellingen zijn al sinds ten minste 2014 aan de gang, zo bleek uit onderzoek van Racine.¹⁸

Afgezien van het verbergen van locatietracking onder instellingen die gebruikers niet zouden verwachten, zoals Web- en app-activiteit - die standaard is ingeschakeld - wordt Google beschuldigd van het verzamelen en opslaan van locatie-informatie via Google-services, wifi-gegevens en marketingpartners, opnieuw na het apparaat of accountinstellingen zijn gewijzigd om het volgen van locaties te stoppen.¹⁹

Naast het District of Columbia hebben de procureurs-generaal van Texas, Washington en Indiana ook rechtszaken aangespannen tegen Google vanwege hun misleidende praktijken voor het verzamelen van gegevens. De rechtszaken beweren dat Google gebruikers ook onder druk heeft gezet om vaker locatietracking te gebruiken omdat het beweerde - ten onrechte - dat zijn producten zonder dit niet goed zouden werken.²⁰

Locatiegegevens kunnen ondertussen worden gebruikt om intieme details over je leven te onthullen, van je sportschoollidmaatschappen, gezondheidsbezoeken, winkels en restaurants die je vaak bezoekt tot waar je naar de kerk gaat. Het kan ook worden gebruikt om gepersonaliseerde advertenties weer te geven op digitale billboards terwijl u langskomt, en Google volgt en geeft aan zijn klanten informatie over hoe goed online advertenties werken om mensen naar fysieke winkels te lokken.²¹

Bescherm uw privacy online

Zodra u herkent dat u online wordt gevolgd, is het verstandig om er zoveel mogelijk bewust van af te zien. Robert Epstein, Ph.D., een senior onderzoekspsycholoog bij het American Institute for Behavioural Research and Technology (AIBRT), herinnert mensen eraan dat gratis online diensten, zoals Facebook en Google, niet echt gratis zijn, omdat je ervoor betaalt met jouw vrijheid.²² Om een ​​deel van uw online privacy terug te nemen, zowel voor uzelf als voor uw kinderen, raadt hij het volgende aan:²³

1. Weg met Gmail. Als je een Gmail-account hebt, probeer dan een e-mailservice die niet van Google is, zoals: ProtonMail, een gecodeerde e-mailservice in Zwitserland.
2. Verwijder Google Chrome en gebruik Dapper browser, beschikbaar voor alle computers en mobiele apparaten. Het blokkeert advertenties en beschermt uw privacy.
3. Wissel van zoekmachine. Probeer in plaats daarvan de Brave-zoekmachine.
4. Vermijd Android. Google-telefoons en telefoons die Android gebruiken, houden vrijwel alles bij wat u doet en beschermen uw privacy niet. Het is mogelijk om uw mobiele telefoon te de-Googlen door een Android-telefoon te kopen die geen Google-besturingssysteem heeft, maar u zult een ervaren IT-persoon moeten vinden die de harde schijf van uw mobiele telefoon kan formatteren.
5. Vermijd Google Home-apparaten. Als je slimme Google Home-speakers of de Google Assistent-smartphone-app hebt, bestaat de kans dat mensen naar je verzoeken luisteren en zelfs luisteren wanneer je het niet zou verwachten.
6. Cache en cookies wissen. Dit helpt bij het verwijderen van invasieve computercodes die bijhouden wat u online doet.
7. Gebruik een proxy of VPN (Virtual Private Network). Deze service creëert een buffer tussen jou en het internet, "waardoor veel van de bewakingsbedrijven voor de gek worden gehouden door te denken dat je niet echt jezelf bent."