La startup de télésanté a fourni des informations de santé privées à Google, Meta, TikTok, etc.
Bonjour, violation HIPAA !
Les startups sont notoirement mauvaises pour protéger nos données. Cerebral – une startup de télésanté qui est devenue populaire au début de la pandémie de coronavirus – a partagé les informations de santé privées de plus de 3,1 millions d’utilisateurs américains avec des annonceurs et des plateformes de médias sociaux, notamment Google, Meta et TikTok.
Dans une divulgation rapportée pour la première fois par TechCrunch, Cerebral a déclaré qu’il utilisait des technologies de suivi mises à disposition par des tiers comme Google, Meta et TikTok. Il n’est pas rare que les sites Web utilisent ces types de technologies de suivi pour la publicité et il n’est pas rare que ces pratiques se terminent par des violations de données et, oui, même des violations de la loi HIPAA.
C’est exactement ce que Cerebral a fait : après avoir examiné son utilisation de ces technologies et ses pratiques de partage de données, la société « a déterminé qu’elle avait divulgué certaines informations susceptibles d’être réglementées en tant qu’informations de santé protégées en vertu de la loi HIPAA » à certains de ces tiers. Cerebral peut avoir accidentellement donné à Google, Meta et TikTok les informations personnelles de ses utilisateurs telles que les noms, numéros de téléphone, adresses e-mail, anniversaires, adresses IP, résultats de leurs auto-évaluations de santé mentale, traitements et autres informations cliniques.
« Après avoir pris connaissance de ce problème, Cerebral a rapidement désactivé, reconfiguré et/ou supprimé les technologies de suivi sur les plates-formes de Cerebral pour empêcher toute divulgation de ce type à l’avenir et a interrompu ou désactivé le partage de données avec des sous-traitants incapables de répondre à toutes les exigences HIPAA », a déclaré Cerebral. dit dans la divulgation. « En outre, nous avons amélioré nos pratiques de sécurité de l’information et nos processus de vérification des technologies afin d’atténuer davantage le risque de partage de telles informations à l’avenir. »
L’avis de l’entreprise aux clients n’est pas facile à trouver. Vous devez faire défiler tout le chemin vers le bas du site Web où vous trouverez, en petits caractères : « Voir ici pour plus d’informations sur la violation HIPAA de mars 2023. » Les sociétés de médias sociaux qui ont désormais accès à ces données n’ont pas à les supprimer, même si les données de la violation de Cerebral sont censées être couvertes par la loi américaine HIPAA sur la protection de la vie privée en matière de santé.
Cerebral n’est que l’une des quelque 50 startups de télésanté qui ont partagé des données d’utilisateurs avec des plateformes publicitaires l’année dernière, selon une enquête conjointe de STAT et The Markup.
