Health Insurance Portability and Accountability Act (HIPAA) antogs 1996 för att skydda känslig skyddad hälsoinformation (PHI) från att avslöjas utan patientens samtycke. Men en studie publicerad 15 augusti i tidskriften Patterns visar att en del PHI inte är så säker som förväntat. Forskare granskade taktiken för fem digitala medicinföretag och åtgärderna för spårningsmjukvara över flera webbplatser för att visa hur webbläsardata relaterade till hälsoämnen delas med Facebook för att generera potentiella kunder och annonsera.

"Vi började göra den här forskningen för att vi vill se till att människor förstår hur de är riktade och följs över olika digitala plattformar, inklusive hälsotjänster online och appar för sociala medier som Facebook", säger medförfattaren Andrea Downing, en oberoende säkerhetsforskare och co. -grundare av Light Collective, en grupp skapad för att studera cybersäkerhetsrisker inom patientintegritetsområdet. "Enligt min mening är datainsamling och prediktiva algoritmer som används för reklam och andra syften ett av de största hoten mot patientgrupper online."

För att genomföra analysen rekryterade utredarna tio patientförespråkare och bad dem att dela data om hur vissa av deras onlineaktiviteter spårades. Utredarna fokuserade på patientförespråkare som arbetar i det ärftliga cancersamhället, särskilt moderatorer av Facebook-baserade stödgrupper. Deltagarna ombads att ladda ner och dela sina JavaScript Object Notation-filer (JSON). Dessa filer avslöjar hur data delas mellan webbservrar och webbappar. Utredarna använde dessa filer för att fastställa hur information flödar från hälsorelaterade webbplatser och appar till Facebook i syfte att rikta reklam.

Utredarna fokuserade på fem kliniska tjänster som användes av deltagarna. De granskade företagens webbplatser för tredjepartsannonsspårare och tittade på om användningen av dessa annonsspårare överensstämde med företagens egna sekretesspolicyer. De tittade också på Facebooks annonsbibliotek för varje deltagare för att avgöra om hälsodata som erhållits genom dessa företag påverkade vilka typer av annonser som deltagarna såg.

"Vi blir ständigt bombarderade av dessa annonser," säger Downing. "Vår fråga är varför de visas för oss och vilken information har dessa tredje parter för att visa dessa annonser?"

De fem företag som ingår i analysen tillhandahåller information eller tjänster (inklusive genetisk testning) relaterad till ärftlig cancerrisk. Utredarna fastställde att två av företagen riktade annonser men var förenliga med deras egen sekretesspolicy. De andra tre följde inte sin egen policy och integritetskrav. "Denna förlust av integritet kan orsaka skada i fel händer, från människor som vill lura patientgemenskapen eller rikta in sig på desinformation", säger Downing.

Detta är den första peer-reviewed studien från Light Collective, som grundades 2019 för att studera frågor kring patientintegritet och digitala medier. Tidigare i somras tog Light Collective sin forskning till Markup, en ideell nyhetsorganisation med fokus på skärningspunkten mellan teknik och samhälle. The Markup publicerade en relaterad studie om hur sjukhus delar känslig medicinsk information som samlats in på deras webbplatser med annonsörer.

"Vi inser att det här är ett litet urval som bara repade ytan, och det behövs helt klart mycket mer forskning här," säger Downing. "Vi vill lägga den här studien i händerna på dataforskare och samarbeta med forskare som kan utöka den. Det finns helt klart en välbehövlig dialog i det här landet om tillståndet för hälsoskydd och hur det påverkar alla patientpopulationer." + Utforska vidare

9 av 10 amerikaner vill att deras hälsoinformation ska hållas privat