De Amerikaanse Federal Trade Commission (FTC) heeft het mentale telezorgbedrijf Cerebral gelast persoonlijke gegevens te gebruiken of openbaar te maken voor reclamedoeleinden.
Het bedrijf heeft ook een boete gekregen van meer dan $7 miljoen wegens beschuldigingen dat het gevoelige persoonlijke gezondheidsinformatie en andere gegevens van gebruikers aan derden heeft onthuld voor reclamedoeleinden en dat het zijn gemakkelijke annuleringsbeleid niet heeft nageleefd.
“Cerebral en zijn voormalige CEO, Kyle Robertson, hebben herhaaldelijk hun privacybeloften aan consumenten gebroken en hen misleid over het annuleringsbeleid van het bedrijf”, aldus de FTC in een persverklaring.
Hoewel het bedrijf beweert ‘veilige, beveiligde en discrete’ diensten aan te bieden om consumenten ertoe aan te zetten zich aan te melden en hun gegevens te verstrekken, maakte het bedrijf, zo beweerde de FTC, niet duidelijk bekend dat de informatie met derden zou worden gedeeld voor reclame.
Het bureau beschuldigde het bedrijf er ook van zijn praktijken voor het delen van gegevens te begraven in een compact privacybeleid, waarbij het bedrijf zich bezighield met misleidende praktijken door te beweren dat het de gegevens van gebruikers niet zou delen zonder hun toestemming.
Het bedrijf zou de gevoelige informatie van bijna 3,2 miljoen consumenten hebben verstrekt aan derde partijen zoals LinkedIn, Snapchat en TikTok door trackingtools te integreren in zijn websites en apps die zijn ontworpen om reclame- en data-analysefuncties te bieden.
De informatie omvatte namen; medische geschiedenis en receptgeschiedenis; thuis- en e-mailadressen; telefoonnummers; geboortedata; demografische informatie; IP-adressen; informatie over apotheek en zorgverzekering; en andere gezondheidsinformatie.
De FTC-klacht beschuldigde Cerebral er verder van dat het er niet in was geslaagd adequate beveiligingsmaatregelen af te dwingen door voormalige werknemers toegang te geven tot de medische dossiers van gebruikers van mei tot december 2021, door gebruik te maken van onveilige toegangsmethoden die patiëntinformatie blootlegden, en door de toegang tot consumentengegevens niet te beperken tot alleen die werknemers die had nodig.
“Cerebral stuurde promotionele ansichtkaarten, die niet in enveloppen zaten, naar meer dan 6.000 patiënten met hun naam en taal die hun diagnose en behandeling leken te onthullen aan iedereen die de ansichtkaarten zag”, aldus de FTC.
Op grond van het voorgestelde bevel, dat nog moet worden goedgekeurd door een federale rechtbank, mag het bedrijf de persoonlijke en gezondheidsinformatie van consumenten niet gebruiken of openbaar maken aan derden voor marketingdoeleinden, en is het bedrijf opgedragen een alomvattend privacy- en gegevensbeveiligingsprogramma te implementeren. .
Cerebral is ook gevraagd om een bericht op zijn website te plaatsen waarin gebruikers worden gewaarschuwd voor het FTC-bevel, een schema voor het bewaren van gegevens aan te nemen en de meeste consumentengegevens te verwijderen die niet worden gebruikt voor behandeling, betaling of gezondheidszorg, tenzij ze ermee hebben ingestemd. Het is ook vereist om een mechanisme te bieden waarmee gebruikers hun gegevens kunnen laten verwijderen.
De ontwikkeling komt dagen nadat het alcoholverslavingsbehandelingsbedrijf Monument door de FTC werd verboden om tussen 2020 en 2022 gezondheidsinformatie vrij te geven aan platforms van derden zoals Google en Meta voor advertenties zonder toestemming van gebruikers, ondanks het feit dat dergelijke gegevens “100% vertrouwelijk” zouden zijn. “
Het in New York gevestigde bedrijf heeft de opdracht gekregen om gebruikers op de hoogte te stellen van de openbaarmaking van hun gezondheidsinformatie aan derden en ervoor te zorgen dat alle gedeelde gegevens worden verwijderd.
“Monument kon er niet voor zorgen dat het zijn beloften nakwam en maakte in feite gezondheidsinformatie van gebruikers bekend aan externe advertentieplatforms, waaronder zeer gevoelige gegevens waaruit bleek dat zijn klanten hulp kregen om te herstellen van hun alcoholverslaving”, aldus de FTC.
Het afgelopen jaar heeft de FTC soortgelijke handhavingsmaatregelen aangekondigd tegen zorgaanbieders als BetterHelp, GoodRx en Premom, omdat zij zonder hun toestemming gebruikersgegevens delen met externe analysebedrijven en sociale-mediabedrijven.
Er werd ook gewaarschuwd [PDF] Amazon is tegen het gebruik van patiëntgegevens voor marketingdoeleinden nadat het een overname ter waarde van $3,9 miljard van de op lidmaatschap gebaseerde eerstelijnszorgpraktijk One Medical had afgerond.
