چگونه روزنامه نگاران دریافتند که برخی از استارتاپ های بهداشت از راه دور اطلاعات بیماران را با ردیاب های رسانه های اجتماعی به اشتراک می گذارند

در سپتامبر 2022، در مورد اینکه چگونه روزنامه نگاران با The Markup دریافتند که بسیاری از وب سایت های بیمارستانی اطلاعات پزشکی بیماران را از طریق ابزار ردیابی به نام Meta Pixel به اشتراک می گذارند، نوشتم. سپس در ماه دسامبر، وزارت بهداشت و خدمات انسانی ایالات متحده اعلام کرد که نهادهای تحت پوشش HIPAA نمی توانند از ردیاب های پیکسلی استفاده کنند، اگر اطلاعات بهداشتی محافظت شده را بدون رضایت بیمار منتقل کنند یا توافق نامه امضا شده ای با فروشندگان ردیابی فناوری نداشته باشند. Becker’s Health IT گزارش داد.

در یک داستان بعدی که در ماه دسامبر منتشر شد، تیم تحقیقاتی Markup/STAT دریافتند که وب‌سایت‌هایی که توسط ده‌ها شرکت راه‌اندازی بهداشت از راه دور اداره می‌شوند، حاوی ابزارهای ردیابی هستند که اطلاعات بالقوه حساس سلامتی کاربران را با سازمان‌های فناوری بزرگ به اشتراک می‌گذارند.

از 50 شرکت بهداشت از راه دور مستقیم به مصرف کننده که آنها ارزیابی کردند، 13 شرکت حداقل یک ردیاب داشتند که پاسخ های بیماران را به سؤالات مصرف پزشکی جمع آوری می کرد، و 25 شرکت حداقل به یک پلت فرم بزرگ فناوری گفتند که یک کاربر موردی مانند یک داروی تجویزی را به آنها اضافه کرده است. سبد خرید، یا با یک اشتراک برای یک طرح درمانی پرداخت شده است. و 49 شرکت از 50 شرکت، URL هایی را که کاربران در سایت بازدید کرده بودند، حداقل به یک شرکت فناوری ارسال کردند. ردیاب‌های یافت شده در اینجا فقط متا پیکسل فیس‌بوک نبودند، بلکه ردیاب‌های دیگری از گوگل، بینگ، تیک تاک، اسنپ چت، پینترست، لینکدین و توییتر بودند.

به عنوان بخشی از تحقیقات خود، اعضای تیم حساب های جعلی ایجاد کردند و فرم های دریافت را تکمیل کردند. برای اینکه ببینند چه داده‌هایی به اشتراک گذاشته می‌شوند، آنها ترافیک شبکه بین ردیاب‌ها را با استفاده از Chrome DevTools، ابزاری که در مرورگر کروم گوگل تعبیه شده است، بررسی کردند. در آنجا متوجه شدند که ردیاب‌ها در یک سایت، برای مثال، پاسخ‌هایی در مورد آسیب‌رسانی به خود، مصرف مواد مخدر و الکل و اطلاعات شخصی مانند نام کاربر، آدرس ایمیل و شماره تلفن به فیس‌بوک ارسال می‌کنند. هنوز مشخص نیست که شرکت های دریافت کننده چنین اطلاعاتی با آن چه می کنند.

کیتی پالمر از STAT به همراه تاد فیرز و سایمون فوندری تیتلر از The Markup در کتاب جدید «How I Did It» توضیح می‌دهند که چگونه داستان را به دست آورده‌اند و چه چیزی بیشتر از همه آنها را شگفت زده کرده است.

برای اختصار و وضوح، پاسخ ها کمی ویرایش شده اند.

چگونه به این ایده رسیدید که به شرکت‌های بهداشت از راه دور نگاه کنید؟

پالمر: من حدود شش ماه است که شرکت‌های مراقبت‌های بهداشتی مستقیم به مصرف‌کننده را در STAT ردیابی کرده‌ام و متوجه گسترش آزمون‌ها و نظرسنجی‌ها برای جمع‌آوری اطلاعات پزشکی شده‌ام. Markup کار بزرگی انجام داده بود و اطلاعات ارسال شده از طریق ردیاب ها در سایت های بیمارستان را نشان می داد، و من فکر کردم که آیا در اینجا هم همینطور است. من از ابزار Blacklight آنها برای انجام تجزیه و تحلیل اولیه برخی از این وب‌سایت‌های بهداشت از راه دور استفاده کردم و دیدم که تعداد ردیاب‌هایی که در چندین مورد از آنها ظاهر می‌شوند بسیار بالاتر از میانگین هستند. آن وقت بود که دست دراز کردیم [to The Markup] و یک همکاری رسمی‌تر ایجاد کنید تا ببینید واقعاً چه اطلاعاتی ممکن است توسط آن ردیاب‌ها جمع‌آوری شود.

چگونه انتخاب کردید که کدام شرکت‌های سلامت از راه دور را هدف قرار دهید؟

پالمر: ما می‌خواستیم روی سایت‌های مستقیم به مصرف‌کننده تمرکز کنیم، نه سایت‌های بهداشت از راه دور که توسط ارائه‌دهنده فعلی‌تان به آنها هدایت می‌شوید. به طور کلی، آن‌ها کسانی هستند که بر مراقبت‌های فرعی مانند میگرن یا سلامت باروری تمرکز می‌کنند که بیشتر بر روی نسخه‌ها متمرکز است. ما نمی‌خواستیم از شرکت‌های بهداشت از راه دور استفاده کنیم که مراقبت‌های اولیه، مراقبت‌های فوری یا مراقبت‌های جامع‌تر را ارائه می‌کنند، با این ایده که هدف شما به‌عنوان یک بیمار خاص‌تر و نگرانی‌های شما که برای آن به این شرکت‌ها می‌روید، می‌توانند به طور بالقوه افزایش خطر برای بیمار از نظر قرار گرفتن در معرض اطلاعات سلامتی آنها.

این تحقیق بیش از ردیاب متا پیکسلی را که قبلاً در مورد آن گزارش کرده‌اید، از جمله ردیاب‌هایی از Google، TikTok و دیگر برنامه‌های رسانه‌های اجتماعی پیدا کرد. این تعجب آور بود؟

پر: من حدس می‌زنم که نباید آنقدر تعجب‌آور می‌بود، اما انتظار ردیاب‌های Pinterest یا LinkedIn را نداشتم، مثلاً در این سایت‌ها، یا حتی تیک‌تاک. ما شروع نکردیم که به دنبال آنها برویم. ما فقط مشغول بازی در این سایت ها بودیم و دیدیم که تعدادی از آنها اطلاعاتی را به این پلتفرم های مختلف ارسال می کنند.

Foundrie-Teitler: وقتی مقاله بیمارستان را انجام می‌دادیم، متوجه حضور برخی از این موارد، به‌ویژه گوگل آنالیتیکس شدیم، اما خارج از محدوده آن داستان بود. وقتی برگشتیم به همه اینها خیلی علاقه مند بودیم. برخی از مواردی که آنجا بودند من به آنها فکر نکرده بودم، یا فکر نمی کردم که در فضای تبلیغاتی، به ویژه لینکدین، بزرگ باشند. پینترست که می‌دانم بزرگ است، اما در دنیایی که من در آن هستم نیست، بنابراین برای من تا حدودی تعجب‌آور بود. فکر کنم اضافه شدند [to the sites] به همان روشی که همه این ردیاب‌های دیگر اضافه شده‌اند، که برای ردیاب‌های متمرکز بر تبلیغات، می‌خواهند در این پلتفرم‌ها تبلیغ کنند، و این مرحله‌ای است که پلتفرم‌ها شما را مجبور به انجام آن می‌کنند تا تبدیل‌ها را ردیابی کنید و ببینید چگونه تبلیغات انجام می‌شود. . یا آنها تجزیه و تحلیل می خواهند و ردیاب هایی را در آن قرار داده اند.

پالمر: چیزی که برای من تعجب آور بود وجود ردیاب ها نبود، بلکه سطح جزئیات ارسال شده توسط برخی از آنها بود. همان سطح از اطلاعات دقیق توسط متا پیکسل ارسال می شد که برخی از این ردیاب های دیگر.

Foundrie-Teitler: اطلاعات خاصی برای ارسال وجود دارد، بسیار بیشتر از آنچه در مورد بیمارستان ها دیدیم. در مورد بیمارستان‌ها، اطلاعات پیش‌فرضی وجود دارد که متا پیکسل به فیس‌بوک ارسال می‌کند و اگر چیزی در مورد آن تغییر ندهید، مجموعه‌ای از موارد ارسال می‌شود. در این مورد، به نظر می رسید که شخصی یا نرم افزاری پیکسل های مختلف را بر اساس مشخصات و اطلاعات بالاتر از پیش فرض پیکربندی کرده است.

زمانی که این داستان را گزارش می کردید بیشتر از چه چیزی نگران شدید؟

پر: برای من این عدم درک از سوی همه این شرکت‌های بهداشتی از راه دور در مورد آنچه که در وب‌سایت‌هایشان انجام می‌دهند، نه تنها این واقعیت بود که آنها این ردیاب‌ها را نصب کردند و ردیاب‌ها اطلاعات پزشکی را جمع‌آوری می‌کردند، بلکه زمانی که به این موارد رسیدیم. شرکت‌ها، یافته‌های بسیار دقیقی از جمله تصاویر و توضیحات را به آنها ارائه کردیم. مجبور شدیم چند بار به عقب برگردیم و به آنها توضیح دهیم که نه، اطلاعاتی که شما ارسال می کنید ناشناس نیست و مانع از اتصال شرکت ها به پروفایل های کاربر نمی شود.

پالمر: من انتظار نداشتم که در برخی موارد پاسخ های واقعاً دقیق را به طور کامل ببینم، و علاوه بر آن، بیماران لزوماً متوجه نمی شوند که اطلاعات آنها از این طریق به اشتراک گذاشته می شود. خط‌مشی‌های حفظ حریم خصوصی برای هر شرکت معمولاً می‌گویند که اشتراک‌گذاری در حال انجام است، اما منابع ما ابراز تردید کردند که هر مصرف‌کننده یا بیمار معمولی می‌داند که اگر بگوید مطابق با HIPAA است، به این معنی نیست که اطلاعات پزشکی که به اشتراک می‌گذارند نیست. یکنواخت محافظت می شود

Foundrie-Teitler: چیز دیگری که من را شگفت زده کرد این است که این شرکت ها چگونه ساختار یافته اند. سایتی که به آن می روید یک موجودیت است و ارائه دهندگان فرعی فقط برای مدیریت وب سایت راه اندازی شده اند. به دلیل قوانین مختلف ایالتی، بازاریابی و ارائه مراقبت به چندین نهاد تقسیم می شود و این پیامدهای HIPAA دارد.

چه احتیاط هایی را به افرادی که از این سایت ها استفاده می کنند ارائه می دهید؟

پالمر: این واقعاً یک محاسبه سود-ریسک است که همه باید خودشان آن را اجرا کنند. مردم نیاز به دسترسی سریع، آسان و مقرون به صرفه تر به مراقبت دارند، و این سایت ها در بسیاری از موارد این را ارائه می دهند. … ما به رویکردهای بهتر از بالا به پایین، نظارتی یا غیرقانونی، برای محافظت از اطلاعات آنلاین به روشی شفاف و قابل فهم تر نیاز داریم تا مردم بتوانند آن تصمیم آگاهانه را اتخاذ کنند.

Foundrie-Teitler: برخی از مرورگرها در پایین آوردن سطح ردیابی بهتر عمل می کنند. فایرفاکس و سافاری به طور پیش فرض انواع خاصی از ردیابی را مسدود یا متوقف می کنند. افزونه هایی نیز وجود دارد که به مرورگر خود اضافه می کنید. uBlock Origin یک مسدودکننده تبلیغات است که به طور پیش‌فرض دارای برخی قابلیت‌های مسدودکننده نیز می‌باشد. Privacy Badger افزونه ای است که به طور خاص انواع خاصی از ردیابی را مسدود می کند. مرورگرهایی مانند Brave و DuckDuckGo بیشتر روی حریم خصوصی متمرکز هستند.

کارن بلوم رهبر موضوع اصلی AHCJ در زمینه فناوری اطلاعات سلامت است. او که یک روزنامه‌نگار مستقل در منطقه بالتیمور است، داستان‌های فناوری اطلاعات سلامت را برای نشریاتی مانند اخبار عمل داروسازی، اخبار بالینی انکولوژی، اخبار گوارش و آندوسکوپی، اخبار جراحی عمومی و نسخه ویژه بیماری عفونی.