Privatsphäre nicht inbegriffen: Bundesgesetz hinkt neue Tech
Das eidgenössische Datenschutzgesetz bekannt als HIPAA deckt nicht nach Hause Vaterschaftstests, Fitnesstracker oder Gesundheits-apps. Wenn a Florida Frau beschwerte sich, nachdem er die DNA-Test-Ergebnisse von Tausenden von Menschen online, sagte Bundes-Regulierungsbehörden ihr, dass sie nicht zuständig sind.
Jacqueline Stokes Startseite Vaterschaftstest in ihrer lokalen Apotheke in Florida entdeckt und wusste, dass sie es versuchen. Sie hatte keine Zweifel für ihre eigene Familie, aber als Cyber-Sicherheit Berater ein Interesse in der Genetik, sie konnte nicht widerstehen, die neueste Entwicklung.
Zu Hause folgte sie sorgfältig den Anweisungen, in den Mund von ihrem Ehemann und ihrer Tochter schrubben, platzieren die Proben in der Tasche zur Verfügung gestellt und mailen sie an ein Labor.
Tage später, ging Stokes online sein, um die Ergebnisse zu erhalten. Bestandteil der Lab-Website-Adresse erwischt ihre Aufmerksamkeit und ihre professionelle Instinkte gekickt. Durch die URL leicht zwicken, erschien eine weitläufige Verzeichnis, die ihr Zugang zu den Testergebnissen von einigen 6.000 anderen Menschen gab.
Abgerissen wurde die Site nach Stokescomplained auf Twitter. Aber wenn sie der Abteilung Health And Human Services über die scheinbar offensichtliche Verletzung der Privatsphäre der Patienten kontaktiert, sie bekam eine überraschende Antwort: Beamte konnte nichts über die Verletzung tun.
Der Health Insurance Portability and Accountability Act, ein Wahrzeichen 1996 Patienten-Datenschutz Gesetz deckt nur Patienteninformationen von Gesundheitsdienstleister sowie Versicherer und Daten Clearingstellen und ihren Geschäftspartnern gehalten. At-Home Vaterschaftstests fallen nicht das Gesetz die Zuständigkeit. Für diese Angelegenheit also magst Wearables Fitbit, die Schritte und Schlaf, Messen, testen Firmen wie 23andMe und Online-Repositories, wo Einzelpersonen ihre Gesundheitsdaten speichern können.
In mehreren Fällen wurde die Privatsphäre der Menschen, die mit Hilfe dieser neuere Dienste gefährdet, Verlegenheit oder rechtlichen Auswirkungen verursachen.
Im Jahr 2011 konnte nicht zum Beispiel ein australisches Unternehmen Daten von Hunderten von Vaterschaft und Drogen-Tests richtig zu sichern durch eine Google-Suche zugänglich zu machen. Das Unternehmen erklärte, dass es das Problem schnell behoben.
Im selben Jahr, einige Nutzer des Fitbit Tracker gefunden, dass Daten, die sie in ihrem Online-Profil über ihre sexuelle Aktivität und deren Intensität eingegeben – helfen, Kalorien zu berechnen verbrannt – war für jedermann zugänglich. Fitbit versteckt schnell die Informationen.
Und letztes Jahr wurde eine öffentlich zugängliche Genealogie-Datenbank von der Polizei verwendet, um nach möglichen Verdächtigen in einem 1996 Idaho Mord zu suchen. Nach der Feststellung eines "sehr guten Spiels" mit der DNA des Samens, die am Tatort gefunden, erhalten Polizei einen Durchsuchungsbefehl, den Namen der Person zu bekommen. Nach der Untersuchung weiter, haben Behörden ein weiterer Haftbefehl Bestellung Sohn des Mannes, eine DNA-Probe bereitzustellen, die ihm der Beteiligung gelöscht.
Der Vorfall erschreckt Genealogie-Liebhaber; AncestryDNA, die die Online-Datenbank lief, zog es in diesem Frühjahr.
"Wenn Sie öffentlich verfügbar machen, Ihre genetische Information, Sie im Wesentlichen einen Verzicht auf Ihre Vergangenheit und Zukunft medizinische Aufzeichnungen, unterschreiben", sagte Erin Murphy, Professor an der New York University School of Law.
Das wahre Ausmaß des Problems ist unklar, da viele Unternehmen nicht wissen, wann die Informationen, die sie speichern unangemessen, zugegriffen wurde Experten sagen. Eine Reihe von potenziell vertrauliche Daten ist gefährdet, einschließlich medizinische Diagnosen, Krankheitsmarker in einer Person Gene und Kinder Vaterschaft.
Was bekannt ist, dass das Amt für die Bürgerrechte, die HHS-Agentur, der HIPAA, erzwingt auf 60 Prozent der Beschwerden gehandelt hat nicht, die es erhalten hat, weil sie zu spät oder zurückgezogen eingereicht wurden oder weil die Agentur Autorität über die Stelle fehlte, die beschuldigt wird. Die letzteren Konten für einen wachsenden Anteil der Beschwerden, eine OCR-Sprecherin sagte.
Ein 2009 Gesetz fordert HHS mit der Federal Trade Commission zu arbeiten – die zielt auf unlautere Geschäftspraktiken und Identitätsdiebstahl – und Empfehlungen an den Kongress innerhalb eines Jahres zum Umgang mit Personen, die Umgang mit Gesundheitsdaten, die außerhalb der HIPAA fällt zu unterbreiten. Sechs Jahre später, wurden jedoch keine Empfehlungen erlassen.
Der Bericht in "den letzten Beinen abgeschlossen,", sagte Lucia Savage, chief Privacy Officer von HHS Büro des nationalen Koordinators für Gesundheit Information Technology.
Nichts davon war nützlich, um die 30-j hrige Stokes, ein principal Consultant bei der Cyber-Sicherheit-Firma Mandiant. Vier Monate nachdem sie ihre mit OCR Beschwerde, schlug es, sie wenden die FTC. Zu diesem Zeitpunkt gab sie.
"Es irgendwie wie ein Wild-West jetzt scheint", sagte sie.
Schutz der Verbraucher-app-Daten variiert
Fortschritte in der Technologie bieten Patienten Möglichkeiten, die eigene Gesundheit zu überwachen, die unmöglich bis vor kurzem waren: internetfähige Waage verfolgen ihr Gewicht; Elektroden angebracht auf ihren iPhones, Herzrhythmus zu überwachen; virtuelle Aktenschränke, ihre medizinischen Aufzeichnungen zu speichern.
"Consumer generated Gesundheitsinformationen vermehren," sagte FTC Kommissar Julie Brill auf einem Forum im vergangenen Jahr. Aber viele Benutzer nicht bewusst, dass vieles davon gespeichert ist "außerhalb der HIPAA-Silo."
HIPAA soll den Informationsfluss e-Health, gleichzeitig die Privatsphäre und Sicherheit auf dem Weg geschützt sind. Es gilt nur für Anbieter von Gesundheitsleistungen, die Informationen elektronisch zu übermitteln; ein Gesetz 2009 hinzugefügt Geschäftspartner, die Gesundheitsinformationen im Namen dieser Entitäten zu behandeln. Zuwiderhandlungen können Bußgelder und sogar Gefängniszeit konfrontiert werden.
"Wenn Sie versuchen, ein Datenschutzgesetz von Grund auf neu zu entwerfen, ist dies nicht die Art und Weise Sie es tun würde", sagte Adam Greene, ein ehemaliger Beamter der OCR, der jetzt einen privaten Anwalt in Washington.
Im Jahr 2013 studierte die Privacy Rights Clearinghouse 43 kostenlose und kostenpflichtige Gesundheits- und Fitness-apps. Die Gruppe gefunden, dass einige keines Link zu einer Datenschutzrichtlinie bieten und viele mit einer Politik nicht genau beschreiben, wie die apps Informationen übertragen. Zum Beispiel viele apps zu Drittanbieter-Websites ohne Wissen der Benutzer verbunden und übermittelt Daten in unverschlüsselter Weise, die möglicherweise persönliche Informationen offen gelegt.
"Verbraucher sollten nicht davon ausgehen, ihre Daten sind privat in der mobilen app Umgebung – sogar Gesundheitsdaten, die sie der Auffassung sind empfindlich," sagte die Gruppe.
Betrachten Sie eine Frau, die einen fetalen Monitor unter ihrer Kleidung trägt, der Benachrichtigungen auf ihr Handy sendet. Das Gerät "spricht" mit ihr Smartphone über Bluetooth Funktechnik und seine Präsenz in einem Netzwerk konnte nachgewiesen werden, von anderen, sie warnen, auf die Tatsache, dass sie schwanger ist oder dass sie Bedenken hinsichtlich der Gesundheit ihres Babys haben kann.
"Das ist eine Tatsache, die Sie möglicherweise nicht, um Sie mit anderen Teilen – co-Arbeiter oder Familienmitglieder oder fremde in einem Café," sagte David Kotz, ein Informatik-Professor am Dartmouth College, principal Investigator des staatlich geförderten Projekts ist, die sicheren Technologie für Gesundheit und Wohlbefinden entwickelt.
"Wir in der Tech-Markt immer und immer wieder gesehen habe,", fügte er hinzu. "Was verkauft Geräte oder Anwendungen sind die Funktionen zum größten Teil, und es sei denn, es eine wirklich starke wirtschaftliche Vernunft oder Verbraucher Push oder Bundesverordnung ist, Sicherheit und Datenschutz sind in der Regel einen zweiten Gedanken."
"Fuß durch eine offene Tür"
In Florida ist Stokes einer jener Menschen, die mit neuen Technologien im Gesundheitswesen verliebt. Vor einigen Jahren lief sie für 23andMe anmelden, um ihr genetisches Profil zu analysieren. Und wenn sie mit ihrer Tochter schwanger war, kaufte sie einen Test, der sagte, dass es das Geschlecht des Fötus vorhersagen könnte. (Es war falsch.)
Der DNA-Test-Kit, das ihr Interesse, früher in diesem Jahr geweckt beworben "Genauigkeit garantiert" für "1 angebliche Vater und 1 Kind." Das Kit kostet ca. $80 in einem nahe gelegenen Walgreens, erinnert sie sich. Solche Tests für ungefähr $100 online zu verkaufen.
"Es war irgendwie ein nerdy Ding, dass ich daran interessiert war," sagte Stokes.
Der Test wurde in New Mexiko durch genetische Testing Laboratories GTLDNA verarbeitet, dann eine Abteilung von General Genetics Corp. Stokes gerichtet war, in eine Website anmelden und geben einen eindeutigen Code für ihre Ergebnisse. Als sie erschien, sie eine ungewöhnliche Webadresse auf ihrem Bildschirm bemerkte und sie fragte sich, was passieren würde, wenn sie es entfernen Sie die ihr zugewiesene ID geändert.
Sie versucht, und sah einen Ordner, der die Ergebnisse von Tausenden von anderen Menschen. Sie war in der Lage, klicken sich durch und lesen sie. "Sie würde nicht nenne, dass Hacker", sagte sie. "Sie würde nennen, dass das gehen durch eine offene Tür."
Stokes heruntergeladen öffentlich zugängliche Datensätze, so dass sie die lax Sicherheit hätte. "Es gab keine Garantien," sagte sie. Sie beklagte sich bei der HHS-Büro für Bürgerrechte Anfang Februar. Es beantwortet im Juni, schriftlich, dass das Büro "nicht befugt, Ihre Beschwerde zu untersuchen, und daher, dieser Angelegenheit schließt."
Bud Thompson, der bis zum letzten Monat der Chief Executive von allgemeine Genetik war, sagte zunächst, dass er nicht über Stokes Entdeckung gehört hatte. Eine nachfolgende e-Mail lieferte eine Erklärung.
"Es gab ein Codierungsfehler in der Software, die in der Person die Möglichkeit, Ergebnisse der anderen Kunden geführt. Person benachrichtigt das Labor und die Website wurde sofort heruntergenommen, um dieses Problem zu lösen"schrieb er. "Seit diesem Vorfall wir haben verkauft der Branche und effektiv alle Vorgänge des Labors aufgehört haben."
Die DNA-Tests Firma 23andMe, die Menschen hilft, erfahren Sie mehr über ihre genetische Hintergründe und verwandte anhand dieser Profile finden, hatte eine stark beachteten Lab Verwechslung in der weniger als 96 Kunden die falschen DNA-Testergebnisse, manchmal für Menschen unterschiedlichen Geschlechts gegeben wurden. Eine Sprecherin des kalifornischen Unternehmens sagte, dass sie seit diesem Vorfall 2010 keine Privatsphäre oder Sicherheitsverletzungen nicht bewusst war.
Kate Black, der betriebliche Datenschutzbeauftragte und Unternehmensjuristen, sagte, dass 23andMe versucht mehr Schutz als HIPAA erfordern würde zu schaffen.
"Egal was, kein Gesetz jemals zu schmal genug, oder spezifisch genug, um jedes Geschäft Modell und Consumer Health Company, angemessen zu schützen sein" sagte sie.
California Gesetzgeber haben zweimal ein Maß an niemandem verbieten, sammeln, analysieren oder die genetische Information von einer anderen Person ohne schriftliche Genehmigung, mit einigen Ausnahmen Teilen betrachtet.
Dann-Senator Alex Padilla, der die Rechnung gesponsert, zitiert eine kalifornische Firma, die vermarktet, DNA-Tests, einschließlich auf Proben von Personen ohne deren wissen. In einem kürzlichen Interview sagte er, dass er war erstaunt Landesgesetz nicht geschützt hat, "Was ist wohl das persönlichste unserer Informationen und das ist unser Erbgut, unsere genetische Profil."
Die Gesetzgebung ist fehlgeschlagen. Und Peters, jetzt Kaliforniens Secretary Of State ist weiterhin besorgt: "Ich glaube nicht, dieses Problem ist jederzeit bald weggehen."
Zu viele Beschwerden zu verfolgen
Während Stokes durch ihre Erfahrungen geplagt wurde, war sie vor allem durch die OCR Reaktion entmutigt. "Es war schockierend für mich um diese Botschaft wieder von der Regierung sagen, dies ist nicht durch die aktuelle Gesetzgebung abgedeckt und infolgedessen nicht wir darum kümmern", sagte sie.
Stellvertretender Direktor der Agentur für Gesundheit Informationen Privatsphäre sagt, es gibt keinen Mangel an Interesse. Während es bestimmte Fälle an die Strafverfolgungsbehörden bezieht, kann OCR kaum mit diesen Beschwerden mithalten, die in seine Zuständigkeit fallen.
"Ich wünschte, wir hätten die Bandbreite zu tun," sagte Deven McGraw. "Wir würde gerne in der Lage, ein Ort sein, wo Menschen können persönliche Unterstützung auf jede Beschwerde, die in die Tür kommt, aber die Ressourcen einfach nicht erlauben, uns zu tun."
Seinerseits hat die FTC Maßnahmen gegen ein paar Unternehmen wegen Nichtumsetzung der Patienten-Informationen, einschließlich einer 2013-Siedlung mit Cbr Systems Inc., einer Blutbank, wo Eltern das Nabelschnurblut von Neugeborenen speichern, für den Fall, dass sie jemals benötigt wird zur Behandlung von folgenden Erkrankungen bei Kindern oder Verwandten, zu sichern. Diese Siedlung erfordert Cbr umfassenden Sicherheit zu implementieren und legt sie unabhängige Audits jährlich seit 20 Jahren. Es bars auch das Unternehmen von misrepresenting ihre Privatsphäre und Sicherheitspraktiken.
Aber FTC Beamten sagen, dass die Zahl der Beschwerden kaum verfolgt die Tragweite des Problems widerspiegelt. Die meisten Verbraucher nie gesagt werden, wenn ein Unternehmen verkauft oder sonst ihre Gesundheitsinformationen ohne ihre Zustimmung teilt, sagte Maneesha Mithal, stellvertretender Direktor der FTC Division der Schutz der Privatsphäre und Identität.
"Es hinter den Kulissen, ohne Verbraucher wissen getan werden kann", bemerkte sie. "Das sind die Fälle, wo Verbraucher gar nicht wissen vielleicht, sich zu beschweren."
Wurde Ihre medizinische Privatsphäre gefährdet? ProPublica untersuchen, indem Sie einen kurzen Fragebogen ausfüllen zu helfen. Sie können auch andere Geschichten in unserer Polizei Patient Privatsphäre Serie lesen.
Dieser Artikel erschien am ProPublica und ist unter Creative Commons Lizenz hier wiedergegeben.
Bild von Erica Zabowski unter Creative Commons Lizenz.