Blue Shield odhalil únik zdravotních dat 4,7 milionu pacientů na Google

Zdá se, že zdravotnické instituce a pojišťovny shromažďují necitlivější informace o vás, včetně identifikačních údajů, kontaktních údajů, adres a lékařských záznamů. Často však nevěnují stejnou úroveň úsilí ochraně těchto dat.

To je patrné z rostoucího počtu narušení zabezpečení zdravotnických dat, která jsme v poslední době zaznamenali. Ve většině těchto případů byl zapojen zlý úmysl.

V nejnovějších zprávách však pojišťovací gigant Blue Shield of California potvrdil, že po dobu tří let nevědomky sdílel soukromá zdravotní data 4,7 milionu uživatelů s Googlem.

Blue Shield of California se právě přiznal k vážnému pochybení v oblasti ochrany osobních údajů, které trvalo téměř tři roky, od dubna 2021 do ledna 2024. Používal Google Analytics ke sledování způsobu, jakým uživatelé používají webové stránky členů. To je naprosto běžné, protože to dělá každá firma. Nástroj však náhodně sdílel citlivé informace s Google Ads, protože nebyl správně nastaven.

Zarážející je, že společnosti trvalo tři roky, než si uvědomila, že sdílí uživatelská data s Googlem pro zobrazování reklam. To mnoho vypovídá o tom, jak moc si tyto zdravotnické giganty váží ochrany vašich dat.

Sdílená data zahrnovala širokou škálu chráněných zdravotních informací (PHI), včetně jmen, poštovních směrovacích čísel, pohlaví, dat lékařských nároků, čísel online účtů, názvů pojistných plánů, skupinových čísel, rodinných údajů a dokonce i kritérií vyhledávání použitých ve funkci „Najít lékaře“.

„Google mohl tato data použít k provádění cílených reklamních kampaní zpět k těmto jednotlivým členům. Chceme ujistit naše členy, že nebyl zapojen žádný zlý úmysl, a podle našich znalostí Google nepoužil informace k žádnému jinému účelu než k těmto reklamám ani nesdílel chráněné informace s nikým jiným,“ uvedla společnost ve svém oznámení na svých webových stránkách.

Tato událost není ojedinělá. V posledních několika letech čelí zdravotnické a technologické společnosti kritice za podobná pochybení. Federální obchodní komise (FTC) a ministerstvo zdravotnictví a sociálních služeb (HHS) již vydaly varování ohledně používání sledovacích technologií ve zdravotnictví, zejména těch, které by mohly odhalovat data pacientů třetím stranám bez dostatečné transparentnosti nebo ochranných opatření.

Mluvčí Google poskytl CyberGuy následující komentář, když se ho zeptal na únik dat Blue Shield:

„Firmy, nikoli Google, spravují data, která shromažďují, a musí informovat uživatele o jejich shromažďování a použití. Ve výchozím nastavení žádná data odeslaná do Google Analytics pro měření neidentifikují jednotlivce a máme přísné zásady proti shromažďování soukromých zdravotních informací (PHI) nebo reklamy na základě citlivých informací.“

Vzhledem k tomu, že data byla sdílena pouze s Googlem a nikoli s jinou stranou, je celkové riziko relativně nízké, kromě zjevného porušení soukromí. Je velmi nepravděpodobné, že by k nim někdo jiný získal přístup, takže šance na zneužití dat jsou malé. Google uvádí, že nedovoluje zobrazování reklam na základě citlivých informací, jako je zdraví, takže je velká šance, že vaše data nebyla ani použita pro reklamu.

Případ Blue Shield následuje po sérii podobných narušení zabezpečení. Společnosti jako GoodRx, BetterHelp a Kaiser čelily regulačním a právním důsledkům za sdílení citlivých uživatelských dat s reklamními prodejci. Některé dokonce vyrovnaly za miliony dolarů. Navzdory rizikům mnoho zdravotnických organizací nadále používá tyto nástroje kvůli nedostatku jasných regulačních zábran, situace, která je dále komplikována rozhodnutím federálního soudu, které zablokovalo pokusy Bidenovy administrativy omezit používání online sledovačů v zdravotnických zařízeních.

Incident Blue Shield of California je připomínkou, že i renomovaní poskytovatelé zdravotní péče mohou nesprávně nakládat s citlivými daty. I když nemůžete vždy kontrolovat, co se děje za oponou, existují kroky, které můžete podniknout ke snížení vaší expozice a ochraně vašeho soukromí:

1. Omezte, co sdílíte na zdravotních portálech: Vyhněte se zadávání více osobních údajů, než je naprosto nezbytné na webových stránkách pojišťovny nebo poskytovatele. Nástroje, jako je „Najít lékaře“, mohou zaznamenávat vaše vyhledávací výrazy, takže pokud je to možné, uchovávejte vstupy neurčité.

2. Používejte prohlížeče zaměřené na soukromí: Prohlížeče, jako je Brave nebo Firefox, nabízejí integrovanou ochranu soukromí, například blokování sledovačů třetích stran, které by mohly odhalit aktivity prohlížení související se zdravím.

3. Vypněte personalizaci reklam: Navštivte Nastavení reklam Google a vypněte personalizaci reklam. To nezastaví sledování, ale může snížit způsob, jakým se vaše data používají k cílení.

4. Pokud je to možné, odhlaste se ze sledování: Mnoho zdravotnických stránek používá soubory cookie a nástroje pro sledování. Vyberte „odmítnout vše“ nebo nejpřísnější nastavení ochrany osobních údajů v banneru souborů cookie. Pokud je k dispozici nástroj pro odhlášení ze sledování, použijte ho.

5. Přečtěte si zásady ochrany osobních údajů (ano, opravdu): Hledejte výrazy jako „sdílení třetích stran“, „reklama“ nebo „analytika“. Pokud poskytovatel zdravotní péče zmiňuje nástroje jako Google Analytics nebo Meta Pixel, je to signál k opatrnosti.

6. Sledujte své účty a kredit: Dávejte pozor na neobvyklé pojistné nároky nebo lékařské poplatky. Nastavte si upozornění na kredit nebo monitorovací služby, pokud je váš poskytovatel nabízí, zejména po narušení zabezpečení.

7. Klást otázky: Zavolejte nebo e-mailem kontaktujte svého poskytovatele zdravotní péče nebo pojišťovnu. Zeptejte se, jaké sledovací nástroje používají a jak chrání vaše data. Čím více spotřebitelů bude tlačit na transparentnost, tím větší bude tlak na zlepšení standardů.

Pokud chcete jít nad rámec základů, zde je několik dalších kroků, které vám pomohou snížit vaši digitální stopu a brzy zachytit zneužití:

Používejte službu pro odstraňování osobních údajů: I když žádná služba nemůže zaručit úplné odstranění vašich dat z internetu, služba pro odstraňování dat je opravdu chytrá volba. Nejsou levné – a ani vaše soukromí není levné. Tyto služby provedou veškerou práci za vás aktivním monitorováním a systematickým mazáním vašich osobních údajů ze stovek webových stránek.

Zvažte služby ochrany před krádeží identity: Pokud máte obavy z podvodu nebo krádeže zdravotní identity, budete chtít zvážit použití služeb ochrany před krádeží identity. Společnosti zabývající se krádeží identity mohou sledovat osobní údaje, jako je vaše rodné číslo, telefonní číslo a e-mailová adresa, a upozorní vás, pokud se prodávají na temném webu nebo se používají k otevření účtu. Mohou vám také pomoci zmrazit vaše bankovní a kreditní účty, abyste zabránili dalšímu neoprávněnému používání ze strany zločinců.

Používejte silný antivirový software: Abyste se chránili před malwarovým nebo phishingovým útokem, který by mohl ohrozit přístup k vašim online zdravotním účtům, ujistěte se, že používáte silný antivirový software.

Je mi záhadou, jak nedbalé jsou většina společností, pokud jde o ochranu uživatelských dat. Blue Shield „omylem“ sdílel vaše data s Googlem, který je poté použil k zobrazování personalizovaných reklam. Společnosti trvalo tři roky, než si to uvědomila. Zatímco většina kybernetických incidentů zahrnuje útočníka, toto narušení zabezpečení ho nepotřebovalo. Potřebujeme odpovědnost v praxi nakládání s daty, zejména když lidská chyba nebo technický dohled mohou způsobit škody v rozsahu.