Hälsorelaterade webbsidor distribuerar information utan att berätta om det
Veckans blogg knyter an till tidigare blogginlägg om hälsoinformation och säkerhetsrisker. Dessa har exempelvis behandlat genetiska tester och testföretags hantering av dessa, sårbarheter i mjukvara som används för att tolka resultat vid DNA-sekvensering samt möjliga säkerhetskonsekvenser för amerikansk militär som nyttjat genetiska självtester. Nyligen visade forskningsresultat att webbsidor kopplat till genetiska tester samt digitala medicinska företag använder spårande verktyg och delar sin potentiellt känsliga information om kunders hälsinformation med sociala plattformar för riktad reklam. Veckans blogg sammanfattar studien och visar vad otillräcklig tydlighet i Privacy policyer kan innebära för faktisk hantering av personuppgifter, okunskap om egna åtgärder, men även en gråzon i reglering och otillräcklig tillsyn.
Vad handlar forskningen om?
Studien som nyligen publicerades beskriver hur personer som varit aktiva i bl.a. cancerstödgrupper laddade ned och analyserade sin data med hjälp av verktyget ”Off-Facebook aktivitet” funktionalitet ifrån Meta (tidigare Facebook). Verktyget sammanfattar information om ens aktivitet på andra appar och websidor som tredjeparter delar med Meta. Utöver det vanliga bruset av websidor kopplat till media eller onlinehandel som vanligtvis finns i liknande rapporter upptäcktes flera företag för genetiska tester och medicinska företag. Dessa hade delat kundinformation som genererade ”leads” för riktad marknadsföring. Vidare analys tydliggjorde vilken spårningsteknik företagen hade på sina websidor. Nästa steg för forskarna var att granska Privacy policyer hos företagen för att se om de tillät spårning av besökare som gått vidare genom länk (cross-site tracking) samt distribution av den informationen vidare till exempelvis Meta. I 60 % av fallen beskrev ej företagens Privacy policyer med tydligt språk om huruvida verktyg skulle kunna användas för att anpassa för återbesökare eller återidentifiering i marknadsföringssyften.
Varför är resultaten intressanta?
Resultaten är intressanta på flera sätt. Hur kan dessa saker inte beskrivas tydligt i policies som just har ändamålet att förtydliga för individen hur personuppgifterna hanteras? En annan möjlighet är att man faktiskt inte förstår vilken teknik man använder och därför inte kan beskriva detta på ett adekvat sätt. Spårandet av aktivitet hos patientgrupper kan potentiellt ge kännbara konsekvenser eftersom verktygen som användes bygger en bredare profil utifrån exempelvis intressen, yrke och geografisk region och sammankopplas med aktiviteter på till exempel sociala medier. Ett klassiskt exempel är riktad reklam till gravida baserat på antaganden om deras hälsostatus.
Kan man lita det man skriver under på som grund för samtycke till hanteringen av personuppgifter?
De flesta användare klickar sig igenom användaravtal och Privacy policyer utan att läsa dessa, och i dagsläget ger kombinationen av dessa en inte helt enkel bild för användare för att förstå hur dataflöden ser ut. I studien var en frågeställning huruvida individer kan lite på den försäkran som avtalet beskriver gäller, på websidor med hälsorelaterat material. Dessutom, om premissen att detta inte kan garanteras, är företagen ens själva medvetna om det? Flera av företagen som undersöktes omfattades ej av HIPAA-reglering, vilket medför att dessa hälsorelaterade uppgifter utgör en volym som inte faller under det begränsade dataskyddet som finns i amerikansk lagstiftning. Forskning har visat att flödet av sådan information i marknadsföringssyfte kan orsaka skada för populationer som kan betraktas som sårbara. FTC i USA skapade 2009 en notiferingsregel avseende incidenter kopplat till hälsorelaterade uppgifter för organisationer utanför HIPAA som aldrig hittills har agerats på. Exempel på situationer som skulle kunna omfattas handlar dock uttryckligen om då ett digitalt medicinskt företag delar användares medicinska information och datapunkter med reklamnätverk utan samtycke.
Hur var företagens reaktioner?
Forskarna fokuserade på fem företag som hanterar hälsorelaterade uppgifter kopplade till det nedladdade materialet (Color Genomics, Myriad Genetics, Health Unionn Invitae och Citizen). Invitae och Citizen beskrev relativt detaljerat i sina Privacy policyer hur de skulle kunna använda spårningsverktyg inklusive kakor för att mata data till tredjepartstjänster. Utöver detta meddelar de att de vidtar ytterligare åtgärder utifrån resultaten, dvs de stänger ned all sin reklam på Facebook och tar bort spårningsverktyg relaterade till Facebook från sin websida för att ”fullständigt förstå, bekräfta och ta bort data som skulle kunna vara i konflikt med policyer eller åtaganden”. Health union har i samband med resultaten kraftigt omarbetat sina Privacy policyer som nu t.ex. inkluderar pop-ups för acceptans av kakor och annan spårningsverksamhet samt ytterligare möjlighet för användare att välja bort datadelning vid vilken tidpunkt som helst. Myriad Genetics kommenterar att de inte kommer att utföra någon specifik granskning som följd av upptäckterna men att ingen personlig hälsoinformation från deras frågeformulär används för att hitta individer samt inte går emot Facebooks policyer. Color Genomics påstår att de inte använt två av spårningsverktygen t.ex. Leadfeeder på ett år och att de kontinuerligt ser över forskarnas upptäckter. Meta har en affärsmodell som bland annat bygger på reklam som är individanpassad. Man förbjuder organisationer som använder aktivitetsspårare från att dela hälsodata med det sociala nätverket. Vidare sägs att man automatiskt filtrerar bort sådan data innan den appliceras i reklamsyfte. Senast i november offentliggjorde Meta ett beslut att ta bort tusentals kategorier för spårande reklam relaterat till ämnen som exempelvis politisk övertygelse, sexuell läggning och religion, samt även kemoterapi.
Vilka mekanismer finns idag i USA för att offentliggöra integritetsbrister samt möjlig dataexponering?
CERT och andra organisationer koordinerar t.ex. information om specifika mjukvarusårbarheter men har inte strukturer på plats för att bedöma dataläckor och notifiera organisationer om integritetsproblematik. Det som återstår för forskare inom området är att redovisa upptäckter samt förlita sig på att företag har goda intentioner och utför förändringar som är nödvändiga. I och med att det knappt finns gränser för vad för data som kan användas för att rikta reklam gör att trender är att man inhämtar så mycket det bara går. En möjlig risk kopplat till ökning av volymer som insamlas och lagras, är att någon typ av dataläckage till slut sker. Ett sätt att bemöta detta är att utöka FTC-tillsyn kopplat till övervakningsbaserad reklam, utöver det självklara i att faktiskt skriva sanningsenliga och begripliga Privacy policyer.
https://arxiv.org/pdf/2201.07263.pdf
https://www.wired.com/story/health-site-ad-tracking/