Volgens diverse experts schenden ziekenhuizen die de tool gebruiken mogelijk de medische privacywet, de Health Insurance Portability and Accountability Act, of HIPAA. The Markup heeft uitgebreid onderzoek gedaan naar deze feiten en daaruit blijkt dat de betreffende ziekenhuizen het niet zo nauw lijken te nemen met de medische privacy van patiënten en het delen van medische data.
Ziekenhuizen mogen, ook in de VS, geen identificeerbare gezondheidsinformatie delen met derden zonder toestemming van de patiënt. Dat is nu precies wat volgens het onderzoek van The Markup wél gebeurd. De publicatie noemt enkele treffende, en onrustbarende, voorbeelden. Het (deels) goede nieuws is dat zeven van de 33 websites, nadat ze met de bevindingen geconfronteerd werden, besloten de tracking tool van hun sites te verwijderen.
Medische data gedeeld
Het gaat om de Meta Pixel, een tool van sites als Facebook en Instagram voor toegang tot analyses over Facebook- en Instagram-advertenties die ook bijhoudt hoe mensen websites gebruiken: de knoppen waarop ze klikken, de informatie die ze in formulieren plaatsen, enzovoort. Wanneer deze tool op websites van ziekenhuizen geïnstalleerd wordt, dan is de kans groot dat de verzamelde informatie ook medische gegevens bevat. In een van de gevallen werd zo informatie over een geplande afspraak van met Facebook gedeeld. Daarin stond het IP-adres van de patiënt, de naam van de arts en het onderwerp - 'Alzheimer' - van de afspraak.
Bij zeven ziekenhuizen werd de Meta Pixel gevonden in het patiëntenportaal. The Markup ontdekte dat Facebook informatie kreeg over de naam en het tijdstip van de afspraak van een patiënt en over de allergische reacties van een ander op specifieke medicijnen. Inmiddels hebben vijf van de zeven ziekenhuizen de Meta Pixel uit hun patiëntenportaal verwijderd.
Facebook filtert
Volgens Meta, het moederbedrijf van Facebook, maakt het bedrijf gebruik van speciale filters die gevoelige gezondheidsgegevens detecteren en verwijderen. Ofwel, de gegevens zouden dan wel verzameld worden, maar worden verwijderd voordat ze gebruikt kunnen worden. De vraag is echter of de betreffende gedeelde medische gegevens door deze filters ook daadwerkelijk verwijderd zijn. Maar, het feit dat ze verzameld, en naar Facebook verstuurd worden, gaat natuurlijk al te ver.
Uit het onderzoek van The Markup is niet duidelijk geworden of Facebook de gedeelde medische gegevens gebruikt heeft voor het serveren van gepersonaliseerde advertenties om advertenties of haar aanbevelingsalgoritmen te trainen.
Het is ook niet de eerste keer dat Facebook in het nieuws komt vanwege het verzamelen van medische data. In 2018 werd bekend dat het bedrijf ziekenhuizen gevraagd had anonieme, medische data te delen voor een groot onderzoeksproject. Hiervoor had Facebook informatie nodig over onder meer ziekten en medicatie. Deze informatie zou vervolgens worden gekoppeld aan de data waarover Facebook beschikt om zodoende een beter beeld van de patiënt te kunnen genereren. Dat project werd echter stopgezet nadat bleek dat derden toegang hadden tot deze data.
