September 24, 2022

Dua tuntutan hukum baru menuduh bahwa Meta, perusahaan induk Facebook, dan sejumlah rumah sakit AS melanggar hukum privasi medis HIPAA, menurut The Verge. Tuntutan hukum ini mengikuti laporan dari Markup diterbitkan Juni ini mendokumentasikan bagaimana Meta Pixel, alat pelacakan analitik iklan yang dipasang di banyak situs web, berpotensi dibagikan untuk mengidentifikasi data pasien dengan cara yang melanggar HIPAA. Kedua tuntutan hukum diajukan di Northern District of California dan berargumen bahwa penggunaan Meta Pixel di situs web rumah sakit memungkinkan informasi kesehatan yang sensitif dikirim ke Facebook. Pengacara penggugat mencoba untuk membuat mereka diklasifikasikan sebagai gugatan class action dan menuntut pengadilan juri.

Tapi mari kita mundur sedikit dan menjawab beberapa pertanyaan kunci: Apa itu Meta Pixel, bagaimana cara kerjanya, dan mengapa rumah sakit memasangnya di situs web mereka? Dan karena memang demikian, apakah itu mungkin merupakan pelanggaran HIPAA?

Meta Pixel adalah alat pelacak iklan gratis dari Facebook. Menurut penelitian yang dilakukan oleh Markup, kira-kira sepertiga dari 80.000 situs web paling populer telah menginstal Meta Pixel. (Pengungkapan penuh: PopSci adalah salah satunya). Alat ini memungkinkan pemilik situs web untuk melihat analitik dari iklan Facebook dan Instagram yang mereka jalankan, dan menargetkan pengguna Facebook dan Instagram yang telah mengunjungi situs mereka dengan iklan.

Meta Pixel secara otomatis dipicu ketika seseorang mengunjungi situs web dengan itu diinstal. Jika mereka masuk ke Facebook (dan tidak menggunakan browser yang melindungi dari pelacakan pihak ketiga), itu akan mengirimkan informasi tentang siapa mereka dan apa yang mereka lakukan di situs tersebut ke Facebook. (Bahkan jika mereka tidak masuk, Facebook memiliki cara lain untuk mencoba mengumpulkan informasi tentang pengunjung melalui Meta Pixel). Informasi apa yang dikirim ke Facebook dikendalikan oleh operator situs web, dan di sinilah masalah HIPAA dimulai.

See also  Sensor di rumah ini memantau gejala Parkinson

Bagian dari MarkupInvestigasi Pixel Hunt ke pelacakan iklan Facebook, menguji situs web 100 rumah sakit AS teratas Newsweek untuk tahun 2022. Ditemukan bahwa Meta Pixel diinstal pada 33 dari mereka, dan semuanya mengirim data sensitif ke Facebook, termasuk mengidentifikasi informasi seperti alamat IP pengunjung, dan saat mereka mencoba menjadwalkan janji temu.

[Related: How data brokers threaten your privacy]

“Di situs web University Hospitals Cleveland Medical Center, misalnya, mengklik tombol ‘Jadwal Online’ di halaman dokter mendorong Meta Pixel untuk mengirim teks tombol, nama dokter, dan istilah pencarian yang kami gunakan ke Facebook. dia: ‘penghentian kehamilan,’” Markup dilaporkan.

Untuk tujuh rumah sakit, situasinya bahkan lebih buruk. Meta Pixel tidak hanya dipasang di halaman web yang terbuka untuk umum, tetapi juga di portal pasien yang dilindungi kata sandi. Untuk lima situs web tersebut, ia mendokumentasikan data pasien yang sebenarnya—disediakan oleh sukarelawan yang mendaftar untuk membantu investigasi Pixel Hunt menggunakan plugin pelacak iklan Mozilla Rally—dikirim ke Facebook. Beberapa informasi itu termasuk “nama obat pasien, deskripsi reaksi alergi mereka, dan detail tentang janji dokter mereka yang akan datang.”

Berdasarkan Markup, “mantan regulator, pakar keamanan data kesehatan, dan pendukung privasi” semuanya menyatakan keprihatinan bahwa rumah sakit yang menggunakan Meta Pixel di portal pasien mereka mungkin telah melanggar peraturan HIPAA. David Holtzman, konsultan privasi kesehatan yang sebelumnya menjabat sebagai penasihat privasi senior untuk badan pemerintah AS yang memberlakukan HIPAA, mengatakan Markup bahwa meskipun dia tidak bisa mengatakan dengan pasti, “kemungkinan besar itu merupakan pelanggaran HIPAA.”

Penting untuk dicatat bahwa Facebook sendiri tidak tunduk pada HIPAA karena bukan penyedia layanan kesehatan. Namun, ada alasan untuk pengawasan yang sah tentang bagaimana Meta menangani data sensitif. Mengikuti laporan di Jurnal Wall Street dan investigasi Departemen Layanan Keuangan New York pada tahun 2019, Meta mengatakan bahwa mereka memperkenalkan alat untuk secara otomatis menyaring data medis sensitif yang dikirim oleh situs web melalui Meta Pixel. Namun, menurut laporan sebelumnya oleh Markup dan membocorkan dokumen internal Facebook, kecil kemungkinan alat itu 100 persen efektif menyaring data medis sensitif.

See also  Saksikan manusia dan robot militer berlatih bersama

Penyedia medis, di sisi lain, terikat oleh HIPAA. Mereka tidak seharusnya berbagi data dengan pihak ketiga tanpa persetujuan tertulis dari pasien yang bersangkutan. Dari Markup‘s, tampaknya tidak mungkin ada rumah sakit yang memperolehnya.

Sementara sebagian besar rumah sakit didokumentasikan oleh MarkupInvestigasi menghapus Meta Pixel dari portal pasien mereka setelah mereka dihubungi (dan beberapa juga menghapusnya dari situs publik mereka), tindakan masa lalu mereka mengatur panggung untuk dua tuntutan hukum ini.

Selain Meta, salah satu tuntutan hukum menyebut portal pasien University of California San Francisco dan Dignity Health sebagai tergugat. Rupanya, seorang pasien mengklaim informasi medisnya dikirim ke Facebook di mana dia kemudian disajikan iklan bertarget yang berkaitan dengan kondisi jantung dan lututnya. Gugatan lainnya tidak menyebutkan terdakwa lain, tetapi mengklaim setidaknya 664 penyedia layanan kesehatan telah mengirim data medis ke Meta.

Kita tidak akan tahu apakah kedua kasus tersebut akan menjadi class action atau bahkan dilanjutkan untuk sementara waktu, tapi ini adalah cerita buruk lainnya untuk Meta—yang sepertinya tidak bisa dihentikan.