Security.nl, 2 maart 2023
Een Amerikaans digitaal zorgplatform dat gezondheidsgegevens van gebruikers met Facebook, Google en andere bedrijven deelde moet een boete van 1,5 miljoen dollar betalen en verschillende corrigerende maatregelen doorvoeren, zo heeft het Amerikaanse ministerie van Justitie bekendgemaakt. Het gaat om GoodRx, een grote Amerikaanse prijsvergelijker voor medicijnen en een ’telemedicine platform’.
Via de GoodRx-app kunnen Amerikanen prijzen van allerlei medicijnen en behandelingen bij apotheken vergelijken. Alleen de Android-app heeft volgens de Google Play Store meer dan tien miljoen downloads. Tenminste sinds 2017 beloofde GoodRx aan gebruikers dat het persoonlijke gezondheidsgegevens nooit met adverteerders of andere derde partijen zou delen. Deze belofte werd echter herhaaldelijk overtreden door gevoelige persoonlijke gezondheidsinformatie, waaronder voorgeschreven medicijnen en gezondheidsaandoeningen, met advertentiebedrijven en -platformen zoals Facebook, Google en Criteo te delen.
GoodRx gebruikte de persoonlijke gezondheidsinformatie ook voor financieel gewin. Gegevens die het bedrijf met Facebook deelde gebruikte het om GoodRx-gebruikers op Facebook en Instagram met gepersonaliseerde medicijnadvertenties te benaderen. Zo stelde het bedrijf in 2019 een lijst samen met gebruikers die specifieke medicatie voor hartklachten en hoge bloeddruk hadden aangeschaft, uploadde hun e-mailadres, telefoonnummers en mobiel advertentie-ID naar Facebook, zodat het techbedrijf hun profielen kon identificeren. Vervolgens gebruikte GoodRx die informatie voor gezondheidsgerelateerde advertenties.
Het bedrijf stelde ook geen beperkingen aan het gebruik van de gedeelde gezondheidsgegevens door derde partijen. Zo werd toegestaan dat derde partijen de gegevens voor hun eigen doeleinden gebruikten, waaronder voor onderzoek en ontwikkeling en het verbeteren van advertenties. Ook beweerde GoodRx ten onrechte dat het aan advertentierichtlijnen voldeed en toestemming had gekregen voordat het de gezondheidsinformatie voor advertenties gebruikte. Verder bleek dat het bedrijf geen beleid en procedures had voor het beveiligen van de persoonlijke gezondheidsinformatie van gebruikers.
Volgens het Amerikaanse ministerie van Justitie zijn door het handelen van GoodRx de persoonlijke gegevens van vermoedelijk miljoenen gebruikers zonder hun toestemming of medeweten met derde partijen gedeeld. Naast persoonlijke identificeerbare informatie gaat het ook om informatie over medicatie en gevoelige gezondheidsaandoeningen. Daarmee heeft het bedrijf wetgeving van de Amerikaanse toezichthouder FTC overtreden.
De overname van iRobot, maker van de Roomba-robotstofzuigers, gaat dan ook niet om de stofzuiger, maar om de data die het bedrijf in bezit heeft. Roomba’s maken namelijk gedetailleerde plattegronden van huishoudens, kunnen ook binnen kijken en het gedrag van de eigenaar in de gaten houden.
Begin februari meldde de FTC dat er een gerechtelijk bevel was voorgesteld om de zaak af te handelen. Dat bevel is nu definitief geworden en houdt in dat GoodRx naast een boete van 1,5 miljoen dollar ook verschillende maatregelen moet doorvoeren om het zonder toestemming delen van gevoelige gezondheidsgegevens van gebruikers te voorkomen en dat het zich aan wet- en regelgeving zal houden. Verder moet GoodRx onder andere gebruikers informeren dat hun gegevens zijn gedeeld en mag het bedrijf gezondheidsgegevens niet meer voor advertentiedoeleinden gebruiken.
Alle teksten, afbeeldingen, logo’s en andere informatie behoren aan de respectievelijke rechtmatige eigenaren en worden hier alleen getoond als informatie van derden ten behoeve van het informeren van consumenten. Via de vermelde links kunnen de bronnen van deze informatie worden bekeken en de rechtmatige eigenaren worden benaderd. De verantwoordelijkheid voor de juistheid van de informatie behoort aan de vermelde bronnen. Prifora neemt geen stelling of verantwoordelijkheid voor de getoonde informatie.