Facebook dostaje wrażliwe dane medyczne ze stron szpitali. Wszystko przez trackery

Dane, które pozyskuje ze stron szpitali Facebook, to m.in. daty wizyt lekarskich, informacje o przepisywanych lekach oraz stanie zdrowia osób korzystających z usług 33 spośród 100 wytypowanych jako najlepsze przez magazyn „Newsweek" szpitali w USA.

Skąd Facebook wie, na co chorujesz?

Według redakcji The Markup, na stronach 33 spośród 100 topowych szpitali w USA działa Meta Pixel, tracker znany wcześniej jako Facebook Pixel. Przesyła on do koncernu Marka Zuckerberga pakiet informacji za każdym razem, kiedy pacjent kliknie na jeden z przycisków w witrynie, np. po to, aby umówić wizytę lekarską.

Dane łączone są z adresem IP użytkownika korzystającego ze strony, co de facto przekłada się na możliwość identyfikacji konkretnej osoby lub gospodarstwa domowego.

W witrynie jednego ze szpitali, kliknięcie w przycisk „zarezerwuj spotkanie online" uruchamiało tracker Meta Pixel, który wysyłał Facebookowi informację nie tylko o tym, jaki przycisk kliknął pacjent, ale też dane o tym, z jakim lekarzem się umawia i co wpisywał w wyszukiwarkę, aby znaleźć medyka określonej specjalizacji (zazwyczaj jest to fraza opisująca chorobę lub problem, z którym pacjenci chcą przyjść do doktora).

Tracker Facebooka w systemach z danymi wrażliwymi

W śledztwie dziennikarskim serwis The Markup wykazał, że tracker Meta Pixel był zainstalowany w siedmiu systemach obsługujących dane medyczne, do których pacjenci mogli logować się z użyciem swoich indywidualnych, zabezpieczanych hasłem kont.

Również stamtąd Facebook czerpał zatem informacje o pacjentach i ich chorobach, ale też przyjmowanych lekach, receptach, opisach reakcji alergicznych i szczegółach wizyt lekarskich.

Szpitale naruszyły prawo federalne

Według ekspertów, z którymi rozmawiał serwis, szpitale stosujące Meta Pixel na swoich stronach internetowych mogły złamać obowiązujące w USA na poziomie federalnym prawo ochrony danych medycznych (HIPAA), które zabrania placówkom medycznym dzielić się danymi medycznymi mogącymi pozwalać na identyfikację konkretnych osób z podmiotami zewnętrznymi, takimi jak np. koncern Meta. Wyjątkiem są sytuacje, w których osoby, których dane dotyczą, wyraziły na to zgodę – jednak tu o takiej sytuacji nie może być mowy.

W całym 2020 roku 33 placówki, na których stronach działa Meta Pixel, zarejestrowały ponad 26 mln wizyt pacjentów oraz przyjęć do szpitali.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].