חברות בריאות דיגיטליות מעבירות נתונים רגישים של מטופלים לפייסבוק כדי לסייע בטירגוט פרסומות, כך עולה ממחקר חדש של קבוצת המחקר Light Collective. במקרים מסוימים שיתוף זה סותר את מדיניות הפרטיות של החברות עצמן ומעלה חששות לגבי הפרות בוטות של רגולציית HIPAA – חקיקה אמריקנית הקובעת צורה אחידה לניהול, אחסון, העברה ומניעת דליפה של מידע רפואי דיגיטלי אל גורמים לא מורשים.
המחקר, שפורסם מוקדם יותר החודש ב-Patterns, כתב עת למדעי הנתונים, בוחן את האופן שבו עוקבים אחר מידע מפעילות הקשורה לבריאות של אנשים באינטרנט ולאחר מכן משמשים בו למטרות פרסום בפייסבוק.
החוקרים בחנו את הפעילויות המקוונות של 10 משתתפים שהשתמשו באפליקציות בריאות של חמש חברות שונות: Color Genomics, Myriad Genetics, Invitae, Health Union ו-Ciitizen. הם גילו שספקי מעקב של צד שלישי עקבו אחר הפעילות של המטופלים באינטרנט ושווקו להם פרסומות בהתאם. שלוש מהחברות פעלו נגד מדיניות הפרטיות שלהן בתהליך.
בפנייה לחמשת החברות, רק Ciitizen ו-Invitae הגיבו, ואמרו שהם חוקרים את בעיות הפרטיות. (איגוד הבריאות אמר לפורבס לאחר הפרסום כי אין להם תיעוד של פנייה מהחוקרים.)
מנכ"לית Health Union, לורן לוהון, אמרה כי הבטיחות של אנשים בקהילת הבריאות המקוונת היא בראש סדר העדיפויות שלה וכי היא נוקטת בצעדים כדי להבטיח שמדיניות פרטיות הנתונים שלהם "שקופים ותואמים את הרגולציה המתפתחת".
היא עוד ציינה בהצהרה, כי Health Union החלה להשתמש בתוכנת ניהול פרטיות המציגה פופ-אפים למבקרים באתר המעניקים להם את הבחירה לקבל או לדחות איסוף ומעקב אחר נתונים מבוססי Cookies. (יש גם קישור "אל תמכור את המידע שלי" בתחתית העמודים שלהם, אמרה).
"Health Union אוספת ועוקבת אחר נתונים הנוגעים לצריכת תוכן והאופן שבו אנשים משתמשים באתרי האינטרנט שלנו", כתבה לוהון. "זה נעשה כדי להבין טוב יותר את הנושאים המעניינים ביותר עבור האנשים בקהילות שלנו, כדי שנוכל להמשיך ולספק תוכן מרתק ורלוונטי בעתיד". היא גם הדגישה כי Health Union לא נמצאת תחת חוקי HIPAA מכיוון שהיא לא ספקית שירותי בריאות, אלא חברה בעלת אתרי אינטרנט שונים הקשורים לבריאות.
ארבע חברות הבריאות הדיגיטליות האחרות לא הגיבו לבקשות לתגובה.
דובר Meta, דייל הוגאן, אמר שהחברות הללו לא צריכות לחלוק מידע בריאותי אישי עם פלטפורמת המדיה החברתית מלכתחילה, כי זה מפר את הכללים של פייסבוק. "מפרסמים לא צריכים לשלוח מידע רגיש על אנשים דרך הכלים העסקיים שלנו מכיוון שזה נוגד את המדיניות שלנו", כתב בהצהרה. "אנו מלמדים מפרסמים על הגדרה נכונה של כלים עסקיים כדי למנוע זאת. המערכת שלנו גם נועדה לזהות ולסנן נתונים שעלולים להיות רגישים."
למרות קנה המידה המצומצם יחסית של המחקר, הוא מעיד על מגמות גדולות יותר של שיתוף נתונים במרחב הבריאות הדיגיטלית והמדיה החברתית. תחקיר שפורסם מוקדם יותר הקיץ על ידי The Markup, למשל, חשף כיצד אתרי בתי החולים משתמשים בכלי מעקב כדי לאסוף מידע רגיש של חולים ולשתף אותו עם פייסבוק לצורכי טירגוט, תוך הפרה אפשרית של חוקי HIPAA.
מדיניות פרטיות ארוכה ומעורפלת של האפליקציות האלה מותירה את המשתמשים ללא הבנה ממשית לגבי איסוף, שיתוף ושימוש הנתונים הרגישים שלהם. המחקר החדש, שנכתב במשותף על ידי אריק פרקליס, מנהל מכון המחקר הקליני של אוניברסיטת דיוק, נועד כדי להעלות את המודעות לסוגייה.
"פרטיות היא דרישה בסיסית ברפואה דיגיטלית ומשמשת להפחתת ניצול לרעה של כוח והגנה על האוטונומיה של המטופל", כותבים מחברי המחקר.
"בעוד שהרפואה הדיגיטלית מסתמכת על מדיה חברתית כדי לגייס ולבנות את העסקים שלהם באמצעות מודעות ושיווק", הם מוסיפים, "פרקטיקות אלה סותרות לפעמים את מדיניות הפרטיות המוצהרת וההבטחות שלהם למשתמשים."