Nettrådgivningsselskapet BetterHelp har gått med på å betale 7,8 millioner dollar for å avgjøre anklagene fra Federal Trade Commission for at det feilaktig delte kunders sensitive data med selskaper som Facebook og Snapchat, selv etter å ha lovet å holde det privat. Den foreslåtte rekkefølgen, annonsert av FTC torsdagvil forby samme oppførsel i fremtiden og kreve at BetterHelp gjør noen endringer i hvordan den håndterer kundedata.
I følge regulatoren lovet registreringsprosessen for selskapets tjeneste “forbrukerne at de ikke ville bruke eller avsløre deres personlige helsedata unntatt for begrensede formål.” Imidlertid hevder FTC at selskapet i stedet “brukte og avslørte forbrukernes e-postadresser, IP-adresser og helsespørreskjemainformasjon til Facebook, Snapchat, Criteo og Pinterest for reklameformål.”
FTC sier også at selskapet ga kundeserviceagenter falske skript for å prøve å forsikre brukerne om at de ikke delte personlig identifiserbar eller personlig helseinformasjon etter en februar 2020 rapport fra Jesabel avslørt noen av praksisene. Kommisjonens klage anklager selskapet for å villede kunder ved å sette et HIPAA-stempel på nettsiden deres, til tross for at “ingen statlige organer eller annen tredjepart er anmeldt [BetterHelp]sin informasjonspraksis for overholdelse av HIPAA, enn si fastslått at praksisen oppfylte kravene til HIPAA.»
“BetterHelp forrådte forbrukernes mest personlige helseinformasjon for profitt,” sa Samuel Levine, FTC-byrået for forbrukerbeskyttelsesdirektør, ifølge byråets pressemelding. Kommisjonen sier at “brukte forbrukernes e-postadresser og det faktum at de tidligere hadde vært i terapi for å instruere Facebook om å identifisere lignende forbrukere og målrette dem med annonser,” og hjalp det med å få inn “titusenvis av nye betalende brukere og millioner av dollar” i inntekter.»
Hvis FTCs ordre ender opp med å gå igjennom, vil $7,8 millioner gå til kunder som registrerte seg for tjenesten mellom 1. august 2017 og 31. desember 2020. Her er noen av de andre tingene BetterHelp må gjøre:
- Slutt å dele individuelt identifiserbar informasjon om forbrukerens mentale helse med tredjeparter
- Slutt å gi en feilaktig fremstilling av retningslinjene for datainnsamling og bruk
- Varsle kunder som opprettet kontoer før 1. januar 2021, om at deres personlige opplysninger kan ha blitt brukt til annonsering
- Innhent “bekreftende uttrykkelig samtykke” fra en kunde før du deler informasjon med en tredjepart
- Ta kontakt med tredjeparter som har mottatt kundeinformasjon og be om at den blir slettet
- Etabler et «omfattende personvernprogram» og la en uavhengig tredjepart utføre personvernvurderinger
Kravene vil stort sett være på plass de neste 20 årene. FTC sier at avtalen vil gå gjennom en 30-dagers offentlig kommentarperiode før den tar en endelig beslutning om hvorvidt den skal settes i kraft. Det er imidlertid verdt å merke seg at forslaget vedtok kommisjonen med 4 mot 0 stemmer, så det ser ut til å ha en god del støtte.
Ved å godta ordren, innrømmer eller benekter ikke BetterHelp mange av påstandene som er fremsatt mot den av FTC. I en uttalelse lagt ut på nettstedet, kaller selskapet sin praksis “industristandard”, men sier: “vi forstår FTCs ønske om å skape nye presedenser rundt forbrukermarkedsføring, og vi er glade for å avgjøre denne saken med byrået.” Det presiserer også at det aldri deles informasjon som “medlemmers navn eller kliniske data fra terapisesjoner” med “annonsører, utgivere, sosiale medieplattformer eller andre lignende tredjeparter.”
Det er langt fra første gang det har blitt reist bekymringer om BetterHelp eller andre online leverandører av psykisk helsevern. I fjor sendte lovgivere, inkludert senator Elizabeth Warren (D-MA) og Ron Wyden (D-OR), et brev til BetterHelp der de ba om informasjon om hvilke data tjenesten samlet inn, hvordan den ble brukt og hvordan den samhandlet og avslørte sin kontakt med nettbaserte annonsører og sosiale medieselskaper. Mozilla har også sagt at da den gjennomgikk 32 apper for psykisk helse, fant den at 28 av dem delte folks informasjon med andre selskaper.
Selv om det ikke nødvendigvis er ulovlig å selge folks psykiske helsedata – selv om de ikke har gitt samtykke, ifølge en rapport fra Washington Post — FTC har slått ned på selskaper som den fastslår gjør det på feil måte. Tidligere i år ga den GoodRx en bot på 1,5 millioner dollar for å ha sendt helsedata til selskaper som Google og Facebook og hindret selskapet i å gjøre det igjen i fremtiden.
Rettelse 2. mars kl. 17.57 ET: En tidligere overskrift for denne artikkelen sa at BetterHelp solgte dataene, når FTC bare har anklaget den for å dele dataene. Overskriften er oppdatert, og kontekst om hvordan dataene ble brukt er lagt til artikkelen. Vi beklager feilen.
