تتبع وحدات البكسل وخرق كبير آخر للرعاية الصحية

في 12 أبريل، كايزر بيرماننتي تم تقديم إخطار بالانتهاك إلى مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية (HHS) الأمريكية (OCR).

“قررت Kaiser Permanente أن بعض التقنيات عبر الإنترنت، التي تم تثبيتها مسبقًا على مواقع الويب وتطبيقات الهاتف المحمول الخاصة بها، ربما تكون قد نقلت معلومات شخصية إلى بائعي الطرف الثالث Google وMicrosoft Bing وX (Twitter) عندما وصل الأعضاء والمرضى إلى مواقع الويب أو تطبيقات الهاتف المحمول الخاصة بها، “شارك عملاق الرعاية الصحية في بيان عبر البريد الإلكتروني.

التكنولوجيا المعنية؟ رموز التتبع، والتي يشار إليها أيضًا باسم بكسلات التتبع، مضمنة لفهم كيفية تفاعل المستخدمين مع صفحات الويب والتطبيقات.

إن استخدام كايزر لهذه التكنولوجيا والاختراق اللاحق ليس الأول من نوعه. نظام الصحة المحامي أورورا و صناديق خدمة الصحة الوطنية (NHS).، من بين آخرين، كشفوا عن انتهاكاتهم الخاصة المتعلقة باستخدام بكسلات التتبع.

لماذا تستمر هذه الأنواع من الخروقات في الحدوث؟

خرق القيصر

يقوم كايزر بإبلاغ 13.4 مليون شخص، سواء من المرضى أو الأعضاء الحاليين والسابقين، بالانتهاك. لم يكن سبب الاختراق جهة تهديد ذات نية خبيثة، بل بكسلات تتبع مضمنة في موقع Kaiser الإلكتروني وتطبيقات الهاتف المحمول. كان استخدام هذه التكنولوجيا يعني أن شركة الرعاية الصحية كانت تشارك المعلومات، مثل أسماء الأفراد وعناوين IP، بالإضافة إلى نظرة ثاقبة حول كيفية استخدام الأشخاص لمواقعها الإلكترونية وتطبيقاتها وموسوعاتها الصحية، مع البائعين الخارجيين.

متعلق ب:كيف تنتشر تداعيات برامج الفدية عبر نظام الرعاية الصحية في الولايات المتحدة

وأشارت كايزر في بيانها إلى أنها “… ليست على علم بأي سوء استخدام للمعلومات الشخصية لأي عضو أو مريض”. وأكدت أيضًا أنها أزالت التقنيات المعنية من مواقعها الإلكترونية وتطبيقاتها.

تداعيات الخرق

على الرغم من أنه ربما لم يتم إساءة استخدام معلومات 13.4 مليون شخص، إلا أن تلك المعلومات الشخصية كانت لا تزال معرضة للخطر. قد يكون للتدقيق من قبل OCR تأثير على كايزر.

“اعتمادًا على ما يجده برنامج التعرف الضوئي على الحروف، فمن المحتمل أن يفعلوا ذلك [be] “يخضع للغرامات والعقوبات… اعتمادًا على المشكلة الأساسية، ولكن مع شيء بارز كهذا… مع هذا العدد الكبير من الأفراد المتأثرين، أعتقد أنهم يمكن أن يتوقعوا رؤية بعض الإجراءات التنفيذية،” مارك سي لومباردي، رئيس قسم الخصوصية والأمن السيبراني، ومجموعة ممارسة ابتكار البيانات في مكتب محاماة شيبمان وجودوين“، يقول InformationWeek.

ويتأثر الأفراد المتورطون في الانتهاك أيضًا. “قد يرى الأشخاص… إعلانات مستهدفة بناءً على معلومات لم يعلموا أنهم يشاركونها في عملية التسويق [companies] يقول لومباردي: “ربما كان موفر البكسل يجمع المعلومات من استخدامه لمواقع الويب”.

متعلق ب:ما يحتاج القادة الأمنيون إلى معرفته حول “أم الخروقات”

قد يكون للكشف عن هذه المعلومات الشخصية أيضًا عواقب في المستقبل: فكلما زاد التعرض، زاد خطر وقوع هذه المعلومات في أيدي الجهات الفاعلة السيئة.

“وفي كثير من الأحيان، في حالة الانتهاكات، قد لا يكون موطئ القدم الأولي أو الفاعل شائنًا، ولكن له عواقب حقيقية عندما تنقض عليه جهات فاعلة خبيثة أو تتم خيانة ثقة الجمهور،” جويل بورليسون ديفيس، نائب الرئيس الأول للهندسة العالمية في إمبرياتا، وهي شركة لأمن الهوية الرقمية، كما تقول في مقابلة عبر البريد الإلكتروني.

ومع لفت هذا الاختراق مزيدًا من الاهتمام لاستخدام بكسلات التتبع والمخاوف المحتملة المتعلقة بالخصوصية، فمن الممكن أن تنشأ المزيد من التحديات القانونية. على سبيل المثال، تواجه شركات Google وMeta وH&R Block بالفعل دعوى قضائية جماعية فيما يتعلق باستخدام بكسلات التتبع.

إرشادات التعرف الضوئي على الحروف

إن استخدام بكسلات التتبع في الرعاية الصحية والتعارض المحتمل مع قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) لم يفلت من انتباه الوكالات الفيدرالية. تم إصدار OCR، الذي يفرض قواعد HIPAA التوجيه المحدث للكيانات المغطاة بقانون HIPAA وأي من شركائهم التجاريين الذين يستخدمون تقنيات التتبع عبر الإنترنت في 18 مارس.

تتناول الإرشادات استخدام تقنيات التتبع على الصفحات التي تم مصادقة المستخدم عليها، وصفحات الويب غير المصادقة، وتطبيقات الهاتف المحمول.

متعلق ب:الضعف المستمر للبنية التحتية الحيوية في الولايات المتحدة

إنه ليس بالضرورة سيناريو أبيض وأسود حيث يجب على جميع مؤسسات الرعاية الصحية التوقف فورًا عن استخدام تكنولوجيا التتبع عبر الإنترنت. يشير لومباردي إلى أن “التوجيهات تخلق مسارًا لاستخدام وحدات بكسل التتبع هذه”.

“الشيء الوحيد الذي… توضحه الإرشادات تمامًا هو أن استخدام وحدات بكسل التتبع هذه على صفحاتك المصادق عليها يكون أكثر وضوحًا عندما تكون المعلومات الصحية المحمية (PHI) [protected health information] ويواصل. “سأبدأ بإعادة التفكير فيما إذا كانت وحدات بكسل التتبع ضرورية في الصفحات الموثقة أو التفاعلية، وسبب ذلك، حيث تعلم الآن أن لديك شخصًا قام بتسجيل الدخول إلى نظامك.”

تصبح مسألة تتبع التكنولوجيا على صفحات الويب غير المصادق عليها أكثر غموضا. عندما لا يقوم المستخدمون بتسجيل الدخول، لا تتمكن صفحات الويب في كثير من الأحيان من الوصول إلى المعلومات الصحية المحمية (PHI). ولكن هذا ليس هو الحال دائما. تقدم إرشادات التعرف الضوئي على الحروف (OCR) مثالاً لصفحة ويب تسمح للمستخدمين بالتحقق من الأعراض أو جدولة المواعيد.

ربما لم تكن المخاطر المحتملة لاستخدام تقنية التتبع على صفحات الويب غير المصادق عليها على رادار الكثير من مؤسسات الرعاية الصحية، وفقًا لما ذكره لومباردي. ويوضح قائلاً: “لقد كان لديهم انطباع بأنه لا يوجد نوع من المعلومات الصحية المحمية التي يتم تبادلها على مستوى الصفحة غير المصادق عليها، ولكن من الواضح أن التوجيهات تضع ذلك رأساً على عقب”.

ويخضع أي بائعين خارجيين يتعاملون مع المعلومات الصحية المحمية بالنيابة عن مؤسسة رعاية صحية لقواعد HIPAA. يحتاج هؤلاء البائعون إلى الدخول في اتفاقيات شراكة تجارية مع الكيانات المغطاة بقانون HIPAA، وفقًا لتوجيهات التعرف الضوئي على الحروف (OCR).

يعد الإفصاح عنصرًا حاسمًا في حماية بيانات المرضى. هل الأفراد على دراية بكيفية استخدام بياناتهم واحتمال تعرضها لأطراف ثالثة؟

“إنه من مصلحة شركات البيانات الضخمة التي تشتري وتبيع هذه البيانات وتستخدم هذه البيانات ليس للتعليم والإعلام حقًا،” بلير كوهين، مؤسس ورئيس شركة AuthenticIDتشير شركة حلول منع الاحتيال والتحقق من الهوية.

في أعقاب اختراق Kaiser، يمكن لمؤسسات الرعاية الصحية الأخرى تقييم استخدامها لوحدات بكسل التتبع وسياسات الخصوصية. هل يتم إعلام المستهلكين؟ يقول لومباردي: “يجب على أي كيان مغطى أو منظم يستخدم وحدات بكسل التتبع التأكد من مراجعة سياسات الخصوصية الخاصة به وإشعارات HIPAA الخاصة بممارسات الخصوصية لضمان وجود كشف هناك”.

المخاطرة مقابل المكافأة

هل يعد تتبع وحدات البكسل أداة تسويقية مفيدة أم كابوسًا للخصوصية؟ تتطلب الإجابة على هذا السؤال من مؤسسات الرعاية الصحية أن تزن المخاطر مقابل المكافأة الناتجة عن استخدام هذه التكنولوجيا.

إن مؤسسات الرعاية الصحية، مثل Kaiser، هي عبارة عن شركات تجارية، والرؤى التسويقية التي توفرها وحدات البكسل التتبعية لها قيمة، على سبيل المثال، في تحسين تجربة المريض.

ولكن أولاً وقبل كل شيء، يقع على عاتق منظمات الرعاية الصحية التزام بحماية بيانات المرضى. يقول بورليسون-ديفيس: “تحتاج مؤسسات الرعاية الصحية في جميع أنحاء الصناعة إلى توخي الحذر الشديد فيما يتعلق بالفصل بين أنشطة رعاية المرضى وأنشطة التسويق والعلامات التجارية الخاصة بها”.

أين تستخدم منظمة الرعاية الصحية وحدات بكسل التتبع؟ ما القيمة التي تقدمها تلك البكسلات؟ هل هذه مشاركة التكنولوجيا وكشف البيانات المحمية مع الكيانات التي لا ينبغي أن تكون كذلك؟

يقول لومباردي: “أود أن أنصح أيًا من عملائي بالموازنة بين الفوائد والمخاطر… إما انتهاك قواعد الخصوصية والأمان عن غير قصد أو حدوث شكل من أشكال خرق البيانات نتيجة لترتيب مع مزود بكسل التتبع”.

ومع استمرار حدوث هذا النوع من الانتهاك، فمن المرجح أن يتزايد التدقيق فيما يتعلق باستخدام بكسلات التتبع في الرعاية الصحية.

“من الواضح أنه إذا كان هناك نمط هنا، فهو شيء يحتاج إلى النظر فيه ومعالجته. يقول كوهين: “لا يمكننا أن نغض الطرف إذا حدث هذا بشكل متكرر باستخدام بكسلات التتبع”.

هذه الأنواع من الانتهاكات، مثل تلك التي شهدها كايزر، لا ترجع بالضرورة إلى الافتقار إلى الوضوح التنظيمي، وفقًا لبورليسون-ديفيس. قد تنبع هذه الحوادث من قيود الموارد.

ويقول: “إن كايزر هي واحدة من أكبر مجموعات الرعاية الصحية وتبذل قصارى جهدها لحماية مرضاها، وإذا كانت تعاني من نقص الموارد، أعتقد أنه من الآمن أن نقول إن هذه مشكلة على مستوى الصناعة”. “يجب أن يكون هناك المزيد من الحوافز والتوجيه من الحكومة للمساعدة في منع هذه الأنواع من الانتهاكات.”