Platform layanan kesehatan Cerebral mengirimkan pemberitahuan pelanggaran data kepada 3,18 juta orang yang telah berinteraksi dengan situs web, aplikasi, dan layanan telehealth-nya.
Cerebral adalah perusahaan telehealth jarak jauh yang menyediakan terapi online dan manajemen pengobatan untuk berbagai kondisi kesehatan mental, termasuk kecemasan, depresi, ADHD, Gangguan Bipolar, dan penyalahgunaan zat.
Dalam ‘Pemberitahuan Pelanggaran Privasi HIPAA’ yang diterbitkan di situs Cerebral minggu ini, perusahaan mengungkapkan bahwa mereka telah menggunakan pelacak piksel tak terlihat dari Google, Meta (Facebook), TikTok, dan pihak ketiga lainnya pada layanan online sejak 12 Oktober 2019 .
Karena fitur pencatatan data piksel pelacakan, Cerebral mengatakan informasi medis sensitif dari orang-orang yang menggunakan platform penyedia diekspos ke pihak ketiga tanpa izin pasien.
“Cerebral baru-baru ini memulai peninjauan penggunaan Teknologi Pelacakan dan praktik berbagi data yang melibatkan Subkontraktor,” memperingatkan Cerebral’s pemberitahuan pelanggaran privasi.
“Pada 3 Januari 2023, Cerebral memutuskan bahwa ia telah mengungkapkan informasi tertentu yang mungkin diatur sebagai informasi kesehatan yang dilindungi (“PHI”) di bawah HIPAA kepada Platform Pihak Ketiga tertentu dan beberapa Subkontraktor tanpa memperoleh jaminan yang diperlukan HIPAA.”
Cerebral melaporkan pada Departemen Kesehatan dan Layanan Kemanusiaan AS portal pelanggaran bahwa 3.179.835 orang telah membuka informasi mereka sebagai bagian dari pelanggaran ini.
Informasi yang diungkapkan kepada raksasa teknologi dan pengurang bervariasi untuk setiap individu, tergantung pada apa yang dimasukkan pada platform Cerebral.
Misalnya, beberapa pengguna hanya membuat akun di Cerebral, yang lain menyelesaikan penilaian mental online, dan sebagian membeli paket berlangganan.
Secara umum, perusahaan mencantumkan informasi berikut yang berpotensi terekspos:
- Nama lengkap
- Nomor telepon
- Alamat email
- Tanggal lahir
- alamat IP
- Nomor ID klien otak
- Informasi demografis
- Tanggapan penilaian diri dan informasi kesehatan terkait
- Jenis paket langganan
- Tanggal janji temu
- Rincian pengobatan dan informasi klinis lainnya
- Informasi manfaat asuransi kesehatan/farmasi
Informasi ini mungkin telah bocor ke pihak ketiga dari 12 Oktober 2019 hingga 3 Januari 2023, ketika perusahaan menyadari bahwa data diekspos melalui piksel pelacakan.
Cerebral mengklarifikasi bahwa terlepas dari tingkat interaksi pengguna dengan platformnya, nomor Jaminan Sosial, informasi kartu kredit, dan informasi rekening bank mereka tidak terpengaruh.
Semua pelacak yang aktif di platform Cerebral kini telah dihapus atau dikonfigurasi ulang untuk mencegah pengungkapan data sensitif kepada pihak ketiga yang tidak memenuhi persyaratan HIPAA.
Perusahaan mengatakan tidak mengetahui adanya penyalahgunaan informasi kesehatan yang sensitif. Namun, ini menunjukkan bahwa semua orang yang terkena dampak menyetel ulang kata sandi akun pengguna Cerebral mereka karena sangat berhati-hati.
Selain itu, perusahaan akan menanggung biaya pemantauan kredit gratis untuk individu yang berisiko mengalami pencurian identitas dan penipuan.
Pengungkapan ini datang hanya beberapa hari setelah FTC mencapai a pelunasan $7,8 juta dengan layanan konseling online BetterHelp untuk berbagi data kesehatan medis sensitif dengan pengiklan seperti Facebook, Snapchat, Criteo, dan Pinterest.
Tahun lalu, terungkap bahwa banyak rumah sakit Amerika menggunakan portal layanan pasien online bernama ‘MyChart’, yang menghosting pelacak Meta Pixel JavaScript yang tidak terlihat, yang pada dasarnya memberi pengiklan akses ke data medis jutaan.
Pada Juli 2022, a gugatan class action diajukan terhadap Meta, UCSF Medical Center, dan Dignity Health Medical Foundation, menuduh bahwa organisasi tersebut secara tidak sah mengumpulkan data perawatan kesehatan yang sensitif tentang pasien untuk iklan bertarget.
