Các bệnh viện đối mặt vấn đề bảo vệ dữ liệu cá nhân: bắt đầu ngay từ các website (Phần I)
Theo thông tư 46/2018/TT-BYT quy định về hồ sơ bệnh án điện tử do Bộ trưởng Bộ Y tế ban hành, giai đoạn từ năm 2024 - 2028, tất cả các cơ sở khám chữa bệnh (KCB) trên toàn quốc phải triển khai hồ sơ bệnh án điện tử; trường hợp cơ sở KCB chưa triển khai được phải thực hiện báo cáo cho cơ quan quản lý trực thuộc, văn bản báo cáo phải nêu rõ lý do, lộ trình triển khai hồ sơ bệnh án điện tử nhưng phải hoàn thành trước ngày 31/12/2030. Việc triển khai hồ sơ bệnh án điện tử trên toàn quốc sẽ đặt các bệnh viện trước những thách thức lớn về bảo vệ dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm. Nhưng trước đó, các website với tính năng đặt lịch khám bệnh cũng đã là một vấn đề không nhỏ vì sự hiện diện của các công nghệ theo dõi người dùng phục vụ quảng cáo.
Website của các bệnh viện Hoa Kỳ giúp Meta theo dõi người dùng
Một nghiên cứu được thực hiện vào năm 2021, xem xét các trang web của 3.747 bệnh viện ở Hoa Kỳ cho thấy 98,6% bệnh viện đã sử dụng ít nhất một loại mã theo dõi trên trang web của họ để chuyển dữ liệu cho bên thứ ba. Một phân tích vào năm 2022 về các trang web của 100 trang web hàng đầu các bệnh viện ở Hoa Kỳ (theo danh sách của Newsweek ở Mỹ) của The Markup/STAT tiết lộ một phần ba số bệnh viện đó đã sử dụng công nghệ theo dõi trên trang web của họ để truyền dữ liệu về khách truy cập, bao gồm cả thông tin sức khỏe được bảo vệ (PHI), cho bên thứ ba. Công nghệ đó được gọi là Meta Pixel, gửi cho Facebook một gói dữ liệu bất cứ khi nào một người nhấp vào nút để lên lịch cuộc hẹn với bác sĩ. Dữ liệu được kết nối với một địa chỉ IP - một số nhận dạng giống như một địa chỉ gửi thư của máy tính và thường có thể được liên kết với một cá nhân hoặc hộ gia đình cụ thể - tạo ra một liên kết chặt về yêu cầu cuộc hẹn cho Facebook.
Ví dụ: trên trang web của Bệnh viện Đại học Trung tâm Y tế Cleveland, việc nhấp vào nút "Đặt lịch trực tuyến" trên trang của bác sĩ đã khiến Meta Pixel gửi cho Facebook nội dung của nút lệnh, tên bác sĩ và cụm từ tìm kiếm được sử dụng để tìm kiếm: "Đình chỉ thai nghén".
Nhấp vào nút “Đặt lịch trực tuyến ngay bây giờ” cho một bác sĩ trên trang web của Bệnh viện Froedtert, ở Wisconsin, đã khiến Meta Pixel gửi cho Facebook nội dung của nút, tên bác sĩ và tình trạng đã chọn từ menu thả xuống: “Bệnh Alzheimer”.
The Markup cũng tìm thấy Meta Pixel được cài đặt bên trong các cổng thông tin bệnh nhân được bảo vệ bằng mật khẩu của bảy hệ thống y tế. Trên năm trang, họ đã nhận thấy Pixel gửi dữ liệu cho Facebook về những bệnh nhân thực tình nguyện tham gia vào dự án Pixel Hunt, một sự hợp tác giữa The Markup và Mozilla Rally. Đây là dự án kêu gọi đóng góp từ cộng đồng, trong đó bất kỳ ai cũng có thể cài đặt tiện ích bổ sung trình duyệt Rally của Mozilla để gửi dữ liệu về Meta Pixel khi nó xuất hiện trên các trang web mà họ truy cập. Dữ liệu được gửi đến các bệnh viện bao gồm tên thuốc của bệnh nhân, mô tả về phản ứng dị ứng của họ và thông tin chi tiết về các cuộc hẹn với bác sĩ sắp tới của họ.
Các người từng tham gia cơ quản quản lý nhà nước, các chuyên gia bảo mật dữ liệu y tế và những người ủng hộ quyền riêng tư đã xem xét những phát hiện của The Markup cho biết các bệnh viện được đề cập có thể đã vi phạm Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế liên bang (HIPAA). Luật cấm các tổ chức được bảo hiểm như bệnh viện chia sẻ thông tin sức khỏe nhận dạng cá nhân với các bên thứ ba như Facebook, trừ khi một cá nhân đã thể hiện sự đồng thuận rõ ràng từ trước hoặc theo một số hợp đồng nhất định.
Cả bệnh viện và Meta đều không cho biết họ có hợp đồng như vậy và The Markup không tìm thấy bằng chứng nào cho thấy bệnh viện hoặc Meta đang có được sự đồng ý rõ ràng của bệnh nhân.
David Holtzman, một nhà tư vấn về quyền riêng tư sức khỏe, người từng là cố vấn quyền riêng tư cao cấp của Bộ Y tế và Con người Hoa Kỳ cho biết: “Tôi vô cùng lo lắng về những gì [các bệnh viện] đang làm với việc thu thập dữ liệu của họ và chia sẻ dữ liệu đó”. Bộ Y tế và Dịch vụ Nhân sinh, cơ quan thực thi HIPAA, thì nói rằng đó rất có thể là một vi phạm HIPAA.
Sau khi xem xét các phát hiện của The Markup, Bệnh viện Froedtert đã xóa Meta Pixel khỏi trang web của mình “vì cố gắng tránh các rủi ro”, Steve Schooff, người phát ngôn của bệnh viện, viết trong một tuyên bố.
Người phát ngôn của Trung tâm Y tế Cleveland của Bệnh viện Đại học Cleveland đã không trả lời các câu hỏi của The Markup nhưng cho biết trong một tuyên bố ngắn gọn rằng bệnh viện “tuân thủ tất cả các luật liên bang và tiểu bang hiện hành và các quy định”.
Kể từ ngày 15/6/2021, sáu bệnh viện khác cũng đã xóa Pixel khỏi các trang đặt lịch hẹn của họ và ít nhất năm trong số bảy hệ thống y tế có cài đặt Meta Pixels trong cổng thông tin bệnh nhân của họ đã xóa Pixel.
33 bệnh viện mà The Markup phát hiện gửi thông tin chi tiết cuộc hẹn của bệnh nhân cho Facebook đã báo cáo tổng hợp hơn 26 triệu bệnh nhân nhập viện và khám ngoại trú vào năm 2020, theo dữ liệu gần đây nhất có sẵn từ Hiệp hội Bệnh viện Hoa Kỳ. Cuộc điều tra của The Markup chỉ giới hạn ở hơn 100 bệnh viện; việc chia sẻ dữ liệu có thể ảnh hưởng đến nhiều bệnh nhân và tổ chức hơn thế nhiều.
Bản thân Facebook không phải tuân theo HIPAA, nhưng các chuyên gia được phỏng vấn về câu chuyện này bày tỏ lo ngại về cách gã khổng lồ quảng cáo có thể sử dụng dữ liệu sức khỏe cá nhân mà họ thu thập vì mục đích lợi nhuận.
Nicholson Price, giáo sư luật của Đại học Michigan, người nghiên cứu về dữ liệu lớn và chăm sóc sức khỏe, cho biết: “Đây là một ví dụ điển hình về mức độ chính xác mà các xúc tu của Big Tech tiếp cận với những gì chúng ta nghĩ là không gian dữ liệu được bảo vệ. Tôi nghĩ đây là điều đáng sợ, có vấn đề và có khả năng là bất hợp pháp” từ góc nhìn của các bệnh viện.
The Markup không thể xác định liệu Facebook có sử dụng dữ liệu để nhắm mục tiêu quảng cáo, đào tạo thuật toán đề xuất hay thu lợi nhuận theo những cách khác hay không.
Công ty mẹ của Facebook, Meta, đã không trả lời các câu hỏi. Thay vào đó, người phát ngôn Dale Hogan đã gửi một email ngắn gọn diễn giải chính sách về dữ liệu sức khỏe nhạy cảm của công ty.
“Nếu hệ thống lọc tín hiệu của Meta phát hiện ra rằng một doanh nghiệp đang gửi dữ liệu sức khỏe nhạy cảm tiềm ẩn từ ứng dụng hoặc trang web của họ thông qua việc sử dụng Công cụ kinh doanh của Meta, điều này trong một số trường hợp có thể xảy ra do nhầm lẫn, thì dữ liệu nhạy cảm tiềm ẩn đó sẽ bị xóa trước khi có thể được lưu trữ trong hệ thống quảng cáo của chúng tôi”, Hogan viết.
Meta đã không trả lời các câu hỏi tiếp theo, nhưng Hogan dường như đang tham khảo một hệ thống lọc thông tin sức khỏe nhạy cảm mà công ty đã khởi chạy vào tháng 7/2020 để phản hồi một bài báo của Wall Street Journal và cuộc điều tra của Sở Dịch vụ Tài chính New York. Meta nói với các nhà điều tra rằng hệ thống lọc "vẫn chưa hoạt động với độ chính xác hoàn toàn", theo báo cáo cuối cùng vào tháng 2/2021 của Sở Dịch vụ Tài chính New York.
Markup không thể xác nhận liệu bất kỳ dữ liệu nào được tham chiếu trong câu chuyện này trên thực tế đã bị xóa trước khi được Meta lưu trữ hay chưa. Tuy nhiên, một cuộc điều tra chung gần đây với trang tin Reveal của tổ chức phi lợi nhuận The Center for Investigative Reporting (Hoa Kỳ) cho thấy hệ thống lọc thông tin sức khỏe nhạy cảm của Meta không chặn thông tin về các cuộc hẹn mà một phóng viên yêu cầu với các trung tâm thuyết phục phụ nữ không phá thai.
Trong nội bộ, nhân viên của Facebook đã thẳng thừng về mức độ tốt hay không tốt của công ty trong việc bảo vệ dữ liệu nhạy cảm.
“Chúng tôi không có mức độ kiểm soát và khả năng giải thích đầy đủ về cách hệ thống của chúng tôi sử dụng dữ liệu, và do đó chúng tôi không thể tự tin thực hiện các thay đổi chính sách có kiểm soát hoặc các cam kết bên ngoài chẳng hạn như 'chúng tôi sẽ không sử dụng dữ liệu X cho mục đích Y'”, các kỹ sư của Facebook trong nhóm quảng cáo và sản phẩm kinh doanh đã viết trong một tổng quan về quyền riêng tư năm 2021 đã bị rò rỉ cho Vice Media Group.
“Hầu như bất kỳ bệnh nhân nào cũng sẽ bị sốc”
Meta Pixel là một đoạn mã theo dõi người dùng khi họ điều hướng qua một trang web, ghi lại trang họ truy cập, họ nhấp vào nút nào và thông tin mà họ nhập vào biểu mẫu. Theo phân tích của The Markup, đây là một trong những công cụ theo dõi phổ biến nhất trên internet - có mặt trên hơn 30% các trang web phổ biến nhất.
Để đổi lấy việc cài đặt Pixel của nó, Meta cung cấp cho chủ sở hữu trang web phân tích về các quảng cáo họ đã đặt trên Facebook và Instagram và các công cụ để nhắm mục tiêu những người đã truy cập trang web của họ.
Meta Pixel gửi thông tin đến Facebook thông qua các tập lệnh chạy trong trình duyệt internet của khách truy cập, vì vậy mỗi gói dữ liệu được gắn nhãn địa chỉ IP có thể được sử dụng kết hợp với dữ liệu khác để xác định một cá nhân hoặc hộ gia đình.
HIPAA liệt kê địa chỉ IP là một trong 18 mã nhận dạng, mà khi được liên kết với thông tin về tình trạng sức khỏe, dịch vụ chăm sóc hoặc thanh toán của một người, có thể coi dữ liệu đó là thông tin sức khỏe cần được bảo vệ. Không giống như dữ liệu y tế tổng hợp hoặc ẩn danh, các bệnh viện không thể chia sẻ thông tin y tế cần được bảo vệ với bên thứ ba trừ khi có các điều khoản nghiêm ngặt của thỏa thuận liên kết kinh doanh để hạn chế cách dữ liệu có thể được sử dụng.
Ngoài ra, nếu bệnh nhân đăng nhập Facebook khi họ truy cập trang web của bệnh viện nơi cài đặt Meta Pixel, một số trình duyệt sẽ đính kèm cookie của bên thứ ba một cơ chế theo dõi khác cho phép Meta liên kết dữ liệu pixel với tài khoản Facebook cụ thể.
Và trong một số trường hợp, bằng cách sử dụng cả tài khoản giả do các phóng viên của tạo ra và dữ liệu từ các tình nguyện viên của Mozilla Rally, The Markup phát hiện rằng Meta Pixel giúp xác định bệnh nhân dễ dàng hơn.
Khi The Markup nhấp vào nút "Hoàn tất đặt lịch khám" trên trang của bác sĩ Bệnh viện Scripps Memorial, Pixel đã gửi cho Facebook không chỉ tên của bác sĩ và lĩnh vực y khoa của cô này mà còn cả tên, họ, địa chỉ email, số điện thoại, mã zip mã và thành phố cư trú mà phóng viên đã nhập vào biểu mẫu đặt lịch khám.
Meta Pixel “băm” những chi tiết cá nhân đó - che giấu chúng thông qua một dạng mật mã - trước khi gửi chúng đến Facebook. Nhưng điều đó không ngăn Facebook sử dụng dữ liệu. Trên thực tế, Meta sử dụng thông tin băm một cách rõ ràng để liên kết dữ liệu Pixel với hồ sơ Facebook.
Sử dụng một công cụ trực tuyến miễn phí, The Markup cũng có thể đảo ngược hầu hết thông tin kiểm tra đã băm của phóng viên mà Pixel trên trang web của Bệnh viện Scripps Memorial đã gửi đến Facebook.
Scripps Memorial không trả lời các câu hỏi của The Markup nhưng đã xóa Meta Pixel khỏi các trang web cuối cùng trong quy trình đặt lịch hẹn sau khi trang tin chia sẻ phát hiện của mình với bệnh viện.
Trên các trang web của các bệnh viện khác, The Markup đã ghi nhận Meta Pixel thu thập thông tin riêng tư tương tự của những bệnh nhân thực.
Khi một bệnh nhân thực sự tham gia vào nghiên cứu Pixel Hunt đăng nhập vào cổng MyChart của Piedmont Healthcare, một hệ thống y tế ở Georgia, Meta Pixel được cài đặt trong cổng đó cho Facebook biết tên bệnh nhân, tên bác sĩ của họ và thời gian của cuộc hẹn sắp tới (theo dữ liệu được thu thập bởi tiện ích mở rộng trình duyệt Mozilla Rally của người tham gia).
Meta Pixel thu thập thông tin sức khỏe nhạy cảm và chia sẻ với Facebook
Khi một người tham gia Pixel Hunt khác sử dụng cổng MyChart cho Novant Health, một hệ thống y tế có trụ sở tại Bắc Carolina, Pixel đã cho Facebook biết loại phản ứng dị ứng mà bệnh nhân gặp phải với một loại thuốc cụ thể.
The Markup đã tạo tài khoản MyChart của phóng viên thông qua Novant Health để điều tra thêm và nhận thấy Meta Pixel thu thập nhiều thông tin nhạy cảm khác.
Nhấp vào một nút đã khiến Pixel cho Facebook biết tên và liều lượng của một loại thuốc trong hồ sơ sức khỏe của phóng viên, cũng như bất kỳ ghi chú nào phóng viên đã nhập về đơn thuốc. Pixel cũng cho Facebook biết phóng viên đã nhấp vào nút nào để trả lời câu hỏi về xu hướng tình dục.
“Việc đặt Meta Pixel của chúng tôi được hướng dẫn bởi một nhà cung cấp bên thứ ba và nó đã bị xóa trong khi chúng tôi tiếp tục xem xét vấn đề này”, Megan Rivers - người phát ngôn của Novant - viết trong một email.
Epic Systems, công ty phần mềm đứng sau MyChart, đã “đặc biệt khuyến nghị nên thận trọng khi sử dụng các tập lệnh phân tích tùy chỉnh”, Stirling Martin, phó chủ tịch cấp cao của công ty, viết trong một email.
Facebook có thể suy ra các chi tiết riêng tư về tình trạng sức khỏe của mọi người bằng các phương tiện khác, ví dụ: việc một người “thích” một nhóm Facebook liên quan đến một căn bệnh cụ thể - nhưng dữ liệu thu thập bằng Pixel trên trang web của bệnh viện cụ thể hơn. Và khi chia sẻ nó với Facebook, các nhà cung cấp dịch vụ chăm sóc sức khỏe có nguy cơ gây tổn hại đến lòng tin của bệnh nhân đối với hệ thống y tế ngày càng được số hóa.
Glenn Cohen, trưởng khoa của Trung tâm Petrie-Flom về Chính sách Luật Y tế, Công nghệ Sinh học và Đạo đức Sinh học của Trường Luật Harvard cho biết: “Hầu như bất kỳ bệnh nhân nào cũng sẽ bị sốc khi biết rằng Facebook đang được cung cấp một cách dễ dàng để liên kết đơn thuốc với tên của họ. Ngay cả khi có lẽ có điều gì đó trong cấu trúc pháp lý cho phép thực hiện điều này hợp pháp, nó hoàn toàn nằm ngoài dự đoán của những gì bệnh nhân nghĩ rằng luật bảo mật sức khỏe đang làm cho họ".
Ngụ ý về pháp lý
Việc thu thập dữ liệu của Facebook trên các trang web của bệnh viện đã trở thành chủ đề của các vụ kiện tập thể ở một số bang, với nhiều kết quả khác nhau.
Những trường hợp đó liên quan đến các loại dữ liệu mà các chuyên gia luật y tế cho biết là nhạy cảm nhưng ít được quản lý hơn so với thông tin sức khỏe mà The Markup phát hiện là Meta Pixel thu thập.
Vào năm 2016, một nhóm nguyên đơn đã kiện Facebook và một số hệ thống và tổ chức y tế, cáo buộc rằng các tổ chức này đã vi phạm chính sách quyền riêng tư của chính họ cũng như một số luật của tiểu bang và liên bang - bao gồm nghe lén và xâm nhập vào quy chế ẩn danh - bằng cách thu thập dữ liệu thông qua công nghệ theo dõi trên trang web của các nhà cung cấp dịch vụ chăm sóc sức khỏe.
Tòa án Quận phía Bắc California của Hoa Kỳ đã bác bỏ trường hợp đó vào năm 2017 vì nhiều lý do, bao gồm cả việc các nguyên đơn không chứng minh được rằng Facebook đã thu thập “thông tin sức khỏe được bảo vệ” theo định nghĩa của HIPAA. Thay vào đó, tòa án nhận thấy, Facebook đã theo dõi các nguyên đơn trên các trang công khai của các trang web - chẳng hạn như trang chủ hoặc các trang thông tin về bệnh - nơi không có bằng chứng cho thấy các nguyên đơn đã thiết lập mối quan hệ bệnh nhân với nhà cung cấp dịch vụ.
Vào năm 2019, các nguyên đơn đã đưa ra một vụ kiện tập thể tương tự tại Tòa án Cấp cao Hạt Suffolk chống lại Hệ thống chăm sóc sức khỏe Partners có trụ sở tại Massachusetts, sau đó đã đổi tên thành Mass General Brigham, cáo buộc rằng hệ thống đã vi phạm quyền riêng tư của bệnh nhân và các chính sách của chính họ bằng cách cài đặt Meta Pixel và các công cụ theo dõi khác trên các trang web.
Các bên đã giải quyết vụ việc vào tháng Giêng, với Mass General Brigham phủ nhận các cáo buộc và thừa nhận không có hành vi sai trái hoặc trách nhiệm pháp lý nhưng trả 18,4 triệu đô la cho các nguyên đơn và luật sư của họ. Sau khi dàn xếp xong, Mass General Brigham dường như đã xóa Meta Pixel và các công cụ theo dõi khác khỏi nhiều trang web của bệnh viện - nhưng không phải tất cả.
Khi The Markup kiểm tra trang web của Bệnh viện Brigham và Women's Faulkner, việc nhấp vào nút "Yêu cầu cuộc hẹn" trên trang của một bác sĩ đã khiến Meta Pixel gửi cho Facebook nội dung của nút, tên bác sĩ và lĩnh vực y học của bác sĩ. Mass General đã không trả lời yêu cầu bình luận của The Markup.
Tất cả dữ liệu kiểu đó mà phóng viên nhận thấy Meta Pixel thu thập được gửi đến Facebook cùng với địa chỉ IP công khai trên máy tính của phóng viên.
“Khi một cá nhân đã tìm kiếm một nhà cung cấp và cho biết rằng họ muốn đặt lịch hẹn, tại thời điểm đó, mọi thông tin sức khỏe có thể nhận dạng cá nhân mà họ đã cung cấp trong phiên này, trong quá khứ hoặc chắc chắn trong tương lai, đều được bảo vệ theo HIPAA và không thể được chia sẻ với bên thứ ba như Facebook”, Holtzman nói.
“Nói chung, các pháp nhân và cộng sự kinh doanh có trách nhiệm tuân thủ HIPAA không được chia sẻ thông tin định danh với các công ty truyền thông xã hội trừ khi họ được sự cho phép của HIPAA [từ cá nhân] và sự đồng ý theo luật tiểu bang”, Iliana Peters, một luật sư về quyền riêng tư của công ty Polsinelli, người trước đây đã đứng đầu cơ quan Thực thi HIPAA cho Văn phòng Quyền dân sự, cho biết.
Bệnh nhân có quyền nộp đơn khiếu nại HIPAA với các nhà cung cấp dịch vụ y tế của họ, những người được yêu cầu điều tra các khiếu nại, Peters nói và bổ sung thêm “Tôi hy vọng rằng các tổ chức sẽ nhanh chóng trả lời những loại khiếu nại đó để chúng không bị đưa lên đến tiểu bang hoặc cơ quan quản lý liên bang”.
Nguyễn Anh Tuấn
