Gudang data ObamaCare yang besar menimbulkan masalah privasi

Gudang data pemerintah selamanya menyimpan informasi pribadi tentang jutaan orang yang mencari perlindungan kesehatan berdasarkan undang-undang layanan kesehatan Presiden Obama, termasuk mereka yang membuka akun di HealthCare.gov tetapi tidak mendaftar untuk mendapatkan perlindungan kesehatan.

Pada saat pelanggaran besar sudah menjadi hal yang umum terjadi, banyaknya informasi – dan kurangnya rencana yang jelas untuk menghancurkan catatan-catatan lama – telah menimbulkan kekhawatiran mengenai privasi dan penilaian pemerintah terhadap teknologi.

“Prinsip dasar privasi adalah Anda tidak menyimpan data lebih lama dari yang seharusnya,” kata Lee Tien, staf pengacara senior di Electronic Frontier Foundation. “Semakin banyak data yang Anda simpan, semakin besar kerusakan yang dapat ditimbulkan oleh penyerang atau orang yang tidak berkepentingan.”

Sistem pencatatan elektronik adalah standar untuk bisnis dan lembaga pemerintah. Namun mereka seharusnya memiliki batasan berapa lama data disimpan.

Sistem layanan kesehatan, yang dikenal sebagai MIDAS, digambarkan di situs web federal sebagai “penyimpanan pusat abadi” untuk informasi yang diberikan wewenang oleh Undang-Undang Perawatan Terjangkau kepada lembaga-lembaga federal.

“Data di MIDAS dipertahankan tanpa batas waktu saat ini,” kata dokumen lain, penilaian privasi pemerintah tertanggal 15 Januari.

Ini mencantumkan jenis informasi yang disimpan, termasuk nama, nomor jaminan sosial, tanggal lahir, alamat, nomor telepon, nomor paspor, status pekerjaan dan rekening keuangan.

Sebelum HealthCare.gov diluncurkan pada tahun 2013, pejabat pemerintahan Obama meyakinkan anggota parlemen dan masyarakat bahwa informasi pribadi seseorang akan digunakan terutama untuk menentukan kelayakan untuk mendapatkan cakupan, dan bahwa program sosial terbaru negara tersebut akan memiliki dampak terbatas pada privasi.

Marilyn Tavenner, administrator Medicare pada saat itu, mengatakan pada sidang kongres bahwa infrastruktur teknologi program ini dirancang “untuk meminimalkan semua kemungkinan kerentanan keamanan.”

“Dan kami secara khusus fokus pada penyimpanan data pribadi dalam jumlah seminimal mungkin,” tambahnya.

Di dunia kabel yang baru, setiap beberapa minggu selalu ada berita tentang pelanggaran keamanan lainnya. Catatan personel jutaan pegawai federal, termasuk informasi latar belakang untuk izin keamanan, dibobol dalam serangan terbaru untuk menjadi berita utama. Awal tahun ini, perusahaan asuransi kesehatan Anthem melaporkan bahwa informasi 80 juta pelanggan telah diretas.

Pemerintahan Obama mengatakan MIDAS sangat penting untuk kelancaran operasi pasar asuransi undang-undang layanan kesehatan dan memenuhi atau melampaui standar keamanan dan privasi federal. “MIDAS adalah bagian penting dari ekosistem pasar,” kata juru bicaranya Aaron Albright dalam sebuah pernyataan.

MIDAS telah dikritik dalam opini oleh mantan Komisaris Jaminan Sosial Michael Astrue, seorang Republikan yang tidak menyetujui kebijakan pemerintahan Obama. Pakar teknologi dan privasi independen juga menyuarakan beberapa kekhawatiran tersebut.

“Saya akui mereka punya alasan operasional, jika bukan kewajiban hukum, untuk menyimpan data dalam jangka waktu yang wajar,” kata Astrue, komisaris periode 2007-2013. Namun tidak ada pembenaran untuk menyimpan data tanpa batas waktu, tambahnya. “Saya rasa mereka tidak boleh melakukan hal itu.”

Michelle De Mooy, wakil direktur privasi konsumen di Pusat Demokrasi dan Teknologi, mengatakan konsumen tidak tahu bahwa data mereka sedang dikirim ke MIDAS. Hal ini tidak disebutkan di situs HealthCare.gov.

“Tidak masuk akal jika hal itu tidak dicantumkan dalam kebijakan privasi,” kata De Mooy.

Meskipun kebijakan tersebut tidak menyebutkan MIDAS secara spesifik, pemerintah mengatakan bahwa fungsi umumnya telah dijelaskan.

MIDAS adalah singkatan dari Sistem Analisis Data Asuransi Multidimensi. Dimiliki oleh Pusat Layanan Medicare dan Medicaid federal dan dioperasikan oleh kontraktor teknologi besar pemerintah, CACI. Pemerintah mengatakan kontrak tersebut saat ini bernilai lebih dari $110 juta dari tahun 2011-2017. Jumlah tersebut meningkat lebih dari 85 persen dari $59 juta saat diberikan.

Beberapa rincian tentang MIDAS, diperoleh dari wawancara dan dokumen yang tersedia untuk umum:

–Administrasi meluncurkan MIDAS tanpa penilaian privasi penuh.

Kantor Akuntabilitas Pemerintah non-partisan mengatakan dalam sebuah laporan tahun lalu bahwa sistem tersebut diterapkan tanpa pemeriksaan menyeluruh terhadap risiko privasi. Tanpa analisis seperti itu, “akan sulit bagi (pemerintah) untuk menunjukkan bahwa mereka telah menilai potensi (informasi pribadi) untuk ditampilkan kepada pengguna… dan mengambil langkah-langkah untuk memastikan bahwa privasi data tersebut dilindungi, ” kata GAO.

Penilaian privasi baru selesai pada pertengahan Januari, menjelang musim pelaporan kedua undang-undang kesehatan.

— Analisis privasi tidak menjelaskan detail penting.

Pada bagian yang menanyakan berapa banyak individu yang memiliki data pribadi dalam sistem, penilaian privasi pemerintah mengatakan “1 juta atau lebih.”

Mungkin lebih dari itu. Selain 10 juta yang terdaftar saat ini, MIDAS juga menyimpan informasi tentang mantan pelanggan, konsumen yang memulai aplikasi tetapi tidak pernah menyelesaikannya, dan tentang orang-orang yang bertekad memenuhi syarat untuk Medicaid.

Pemerintah mengatakan “1 juta atau lebih” adalah kategori standar – tetapi tidak akan menentukan jumlahnya.

“Ini menimbulkan tanda bahaya,” kata Tien, pengacara teknologi.

–MIDAS memiliki beberapa misi yang terus berkembang.

Laporan pemerintah menggambarkan MIDAS sebagai sumber daya untuk menghasilkan laporan analitis. Namun tampaknya juga telah berkembang menjadi pusat kesepakatan data dengan perusahaan asuransi kesehatan dan lembaga Medicaid negara.

MIDAS mengumpulkan informasi dari banyak sistem lain, termasuk bursa asuransi federal dan negara bagian, “pusat data” federal yang memverifikasi kelayakan untuk mendapatkan manfaat, perusahaan asuransi, dan sistem kerja kasus pemerintah untuk pengaduan konsumen.

Penilaian privasi MIDAS mengatakan kebijakan data pribadi telah berubah seiring waktu untuk memungkinkan penggunaan dan pengungkapan tambahan di luar apa yang diperlukan untuk fungsi minimum bursa asuransi. Cakupan data yang dikumpulkan juga diperluas.

–Informasi MIDAS dapat dibagikan.

Pemerintah mengatakan MIDAS ditempatkan di pusat data yang aman.

Setelah disetujui, informasi pribadi dapat dibagikan dengan berbagai pihak, termasuk lembaga penelitian Departemen Kesehatan dan Layanan Kemanusiaan, negara bagian, dan perusahaan asuransi swasta. Pemerintah mengatakan sejumlah pegawai pemerintah dan kontraktor memiliki akses rutin, dan akses tersebut dipantau dan dilacak.

Namun para pejabat tidak mau menyebutkan berapa banyak orang yang memiliki akses langsung.