Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ επέβαλε πρόστιμο 7 εκατ. δολαρίων στην εταιρεία ψυχικής υγείας Cerebral, για χρήση και αποκάλυψη προσωπικών δεδομένων για διαφημιστικούς λόγους.

«Η εταιρεία Cerebral και ο πρώην CEO της, Kyle Robertson, απέτυχαν επανειλημμένως να τηρήσουν τις υποσχέσεις τους για την προστασία του απορρήτου των ανθρώπων και τους πελάτες τους σε παραπλανητικές τακτικές σχετικά με τις πολιτικές ακύρωσης των υπηρεσιών», ανέφερε η FTC σε Δελτίο Τύπου.

Δείτε επίσης: Ευπάθεια στην εφαρμογή Unjected αποκαλύπτει ευαίσθητα δεδομένα χρηστών

Παρά τον ισχυρισμό ότι προσφέρει υπηρεσίες “ασφαλείς και διακριτικές” για να πείσει τους καταναλωτές να εγγραφούν και να μοιραστούν τα δεδομένα τους, η εταιρεία δεν κατέστησε σαφές, σύμφωνα με την FTC, ότι οι πληροφορίες αυτές θα μοιράζονταν με τρίτους για διαφημιστικούς σκοπούς.

Ο οργανισμός κατηγόρησε την εταιρεία για τον ενταφιασμό των πρακτικών κοινής χρήσης δεδομένων μέσα σε περίπλοκες πολιτικές απορρήτου, κατηγορώντας την για παραπλανητικές δράσεις με τη δικαιολογία ότι δεν θα μοιραζόταν ποτέ τα δεδομένα των χρηστών χωρίς την συγκατάθεσή τους.

Η εταιρεία φέρεται να κοινοποίησε τα ευαίσθητα δεδομένα περίπου 3,2 εκατομμυρίων καταναλωτών σε τρίτους, όπως το LinkedIn, το Snapchat και το TikTok. Αυτό επιτεύχθηκε μέσω της ενσωμάτωσης εργαλείων παρακολούθησης στις ιστοσελίδες και τις εφαρμογές της, τα οποία είναι διαμορφωμένα για να προσφέρουν λειτουργίες σχετικές με τη διαφήμιση και την ανάλυση δεδομένων.

Οι πληροφορίες που συλλέχθηκαν περιλαμβάνουν τα ονόματα των ατόμων, το ιατρικό τους ιστορικό, καθώς και τις διευθύνσεις κατοικίας και ηλεκτρονικής αλληλογραφίας. Περιέχονται επίσης τηλεφωνικοί αριθμοί, ημερομηνίες γέννησης, δημογραφικές λεπτομέρειες, διευθύνσεις IP, πληροφορίες σχετικά με φαρμακεία και ασφάλιση υγείας, όπως και άλλα δεδομένα που αφορούν την υγεία.

Η FTC κατήγγειλε τη Cerebral, κατηγορώντας την ότι δεν κατάφερε να εφαρμόσει αποτελεσματικά μέτρα προστασίας, επιτρέποντας σε πρώην εργαζομένους να αποκτούν πρόσβαση στα ιατρικά δεδομένα των χρηστών από Μάιο έως Δεκέμβριο 2021. Αυτό επιτεύχθηκε μέσω μεθόδων πρόσβασης που δεν εγγυώνται την ασφάλεια των πληροφοριών, εκθέτοντας τα στοιχεία των ασθενών και αποτυγχάνοντας να περιορίσουν την πρόσβαση στα δεδομένα αυστηρά σε εκείνους τους εργαζομένους που χρειάζονταν πρόσβαση.

«Η εταιρεία Cerebral απέστειλε διαφημιστικές κάρτες σε περισσότερους από 6.000 ασθενείς, χωρίς να τις τοποθετήσει μέσα σε φακέλους. Αυτές οι κάρτες εκθέτουν ευθέως τα ονόματα και τις γλώσσες των ασθενών, αποκαλύπτοντας έτσι πιθανώς τη διάγνωσή τους και τη θεραπεία που ακολουθούν σε τυχαίους παρατηρητές», ανέφερε η FTC.

Διαβάστε ακόμη: Η ομάδα RansomHub δημοσιεύει δεδομένα της Change Healthcare

Σύμφωνα με την εντολή που βρίσκεται υπό την αξιολόγηση ενός ομοσπονδιακού δικαστηρίου, η εταιρία έχει απαγορευτεί να χρησιμοποιεί ή να αποκαλύπτει προσωπικά και υγειονομικά δεδομένα των πελατών της σε τρίτους για σκοπούς μάρκετινγκ. Επιπλέον, έχει λάβει εντολή να υλοποιήσει ένα αυστηρό πρόγραμμα που θα εξασφαλίζει την προστασία

της ιδιωτικότητας και την ασφάλεια των δεδομένων.

Η Cerebral κλήθηκε να αναρτήσει στον ιστότοπό της μια ειδοποίηση που να ενημερώνει τους χρήστες για την εντολή της FTC, να εφαρμόσει ένα σχέδιο για τη διατήρηση των δεδομένων και να προχωρήσει στη διαγραφή των περιττών δεδομένων καταναλωτών που δεν απαιτούνται για θεραπεία, πληρωμή ή υπηρεσίες υγειονομικής φροντίδας, εκτός και αν υπάρχει ρητή συγκατάθεση. Απαιτείται επιπλέον η διαθεσιμότητα ενός μηχανισμού που επιτρέπει στους χρήστες να διαγράφουν τα δικά τους δεδομένα.

Η εξέλιξη αυτή σημειώνεται λίγες ημέρες αφού η FTC επέβαλε απαγόρευση στην εταιρεία Monument, ειδικευμένη στη θεραπεία απεξάρτησης από το αλκοόλ, απαγορεύοντάς της να μοιράζεται προσωπικά δεδομένα υγείας με άλλες πλατφόρμες όπως η Google και η Meta για διαφημιστικούς σκοπούς χωρίς τη συγκατάθεση των χρηστών, για περιστατικά που έλαβαν χώρα μεταξύ του 2020 και του 2022, παρά τον ισχυρισμό ότι τέτοια δεδομένα θα ήταν «100% εμπιστευτικά».

Η εταιρεία με έδρα τη Νέα Υόρκη έλαβε οδηγία να ενημερώσει τους χρήστες για την αποκάλυψη των προσωπικών τους στοιχείων υγείας σε τρίτους και να εξασφαλίσει την πλήρη διαγραφή όλων των δεδομένων που έχουν κοινοποιηθεί.

«Η Monument απέτυχε να εξασφαλίσει τη συμμόρφωσή της με τις δεσμεύσεις που είχε αναλάβει, εκθέτοντας στοιχεία για την υγεία των χρηστών σε διαφημιστικές πλατφόρμες, συμπεριλαμβανομένων ιδιαιτέρως ευαίσθητων πληροφοριών που αποκάλυπταν την αναζήτηση βοήθειας από πελάτες της για την ανάρρωση από τον εθισμό τους στο αλκοόλ», δήλωσε η FTC.

Το προηγούμενο έτος, η FTC προχώρησε σε ανακοινώσεις για παρόμοιες κινήσεις επιβολής κανονισμών ενάντια σε παρόχους υπηρεσιών υγειονομικής περίθαλψης όπως η BetterHelp, η GoodRx και η Premom. Το αδίκημα αφορούσε τη μοιρασιά δεδομένων χρηστών με τρίτες εταιρείες ανάλυσης και κοινωνικών δικτύων χωρίς την προαπαιτούμενη συγκατάθεση των χρηστών.

Δείτε περισσότερα: Η Acuity επιβεβαιώνει ότι hackers έκλεψαν κυβερνητικά δεδομένα

Επιπλέον, προειδοποίησε την Amazon να αποφύγει τη χρήση δεδομένων ασθενών για δραστηριότητες μάρκετινγκ, μετά την ολοκλήρωση της αγοράς του ιατρείου πρωτοβάθμιας φροντίδας One Medical, αξίας 3,9 δισεκατομμυρίων δολαρίων, το οποίο λειτουργεί με βάση τα μέλη του.

Πηγή: thehackernews