Osa 2: Uusi liittovaltion terveydenhuollon tietosuoja-asetus

Johdanto

Kunnes liittovaltion terveydenhuollon yksityisyyden suojaa koskeva asetus oli julkaistu, terveystiedoille - verkossa tai offline - oli vähän oikeudellista suojaa. Toisin kuin taloudelliset tiedot, luottotiedot ja jopa videovuokraustiedot, ei ole kattavaa liittovaltion lakia, joka suojaa potilastietojen yksityisyyttä. Verkkotoiminnassa FTC: llä on valtuudet asettaa syytteeseen verkkosivustot, jotka harjoittavat epäoikeudenmukaisia ​​tai petollisia käytäntöjä, kuten rikkomuksia omien tietosuojakäytäntöjensä suhteen.28Vielä on nähtävissä, ryhtyykö FTC toimiin haastamaan sivustoja, jotka eivät sano mitään tai julkaisevatko heikosti laadittuja tietosuojakäytäntöjä.29

HIPAA vaati HHS: tä antamaan terveydenhuollon yksityisyyttä koskevia säännöksiä, koska kongressi ei antanut tällaista lainsäädäntöä säädettyyn määräaikaan. Merkittävän julkisen kommentin jälkeen osasto julkaisi lopullisen asetuksen 20. joulukuuta 2000. Yksityisyyden suoja-asetuksen oli tarkoitus alun perin tulla voimaan 26. helmikuuta 2001, mutta se viivästyi hallinnollisen valvonnan takia.3014. huhtikuuta Bushin hallinto antoi asetuksen voimaan, mutta totesi, että tulevat muutokset ovat todennäköisiä. Vaatimusten noudattamisen määräaika on huhtikuussa 2003 useimmille asetuksen soveltamisalaan kuuluville.

Kuka ja mitä kuuluvat

Tietosuojasääntö on osa HIPAA: n valtuuttamaa sääntelypakettia, joka kattaa yksityisyyden, turvallisuuden ja sähköisten tapahtumien standardit. Yhdessä nämä määräykset on suunniteltu helpottamaan yhtenäisen tietokonepohjaisen terveystietojärjestelmän kehittämistä. HIPAA asetti kuitenkin rajoituksia HHS: lle & rsquo; sääntelyviranomaisella rajoittaen yksityisyyden suojaa koskevan asetuksen soveltamisalaa. Asetusta ei sovelleta kaikkiin henkilöihin tai yhteisöihin, joilla on pääsy henkilökohtaisiin terveystietoihin. Se kattaa suoraan vain kolme erilaista terveydenhuollon yksikköä:

  • Palveluntarjoajat, kuten lääkärit, sairaalat ja apteekit, jotka välittävät sähköisesti terveysväitteisiin liittyviä tietoja31& ldquo; vakiomuodossa; & rdquo;32
  • Terveyssuunnitelmat, kuten perinteiset vakuutusyhtiöt ja HMO: t; ja
  • & ldquo; Selvitystilat, & rdquo; yhteisöt, jotka käsittelevät terveysväitteitä koskevia tietoja yhtenäisessä muodossa palveluntarjoajille ja vakuuttajille, kuten WebMD Office.33

Henkilöä tai organisaatiota, joka kuuluu johonkin näistä luokista, pidetään katettuna kokonaisuutena. & Rdquo;3. 4

Tämä on kriittinen tekijä määritettäessä, onko terveystieto suojattu asetuksen nojalla. Vain yksilöllisesti tunnistettavissa olevat terveystiedot35katettu yksikkö välittää tai ylläpitää asetusta (ts., & ldquo; suojatut terveystiedot & rdquo;). Tämä pätee riippumatta tiedon muodosta - sähköinen, paperinen tai suullinen.

Suurin osa terveydenhuollon verkkosivustoista on julkisesti työkaluja, jotka antavat kuluttajille paremman hallinnan elämästään ja terveydenhuollostaan. Monet sivustot kuitenkin edellyttävät käyttäjien antavan paljon arkaluonteisia terveystietoja, ja ne voivat myös kerätä tietoja käyttäjistä ilman käyttäjien & rsquo; tieto tai suostumus.

Keskeinen kysymys, jota tässä raportissa käsitellään, on se, kuuluuko tällainen toiminta HIPAA: n piiriin vai ei. Tuloksemme on, että merkittävä osa terveydelle liittyvien verkkosivustojen toiminnoista ei kuulu useista syistä. Suurin syy on se, että hyvin monia verkkosivustoja ylläpitävät organisaatiot, jotka eivät ole & ldquo; suojattuja kokonaisuuksia. & Rdquo;

Itse asiassa suosituimmat verkkosivustot, kuten eDiets.com36ja drkoop.com,37jää yksityisyyden suojan ulkopuolelle, koska niitä eivät yllä terveydenhuoltosuunnitelmat (kuten sairausvakuutusyhtiöt tai sairausvakuutusyhtiöt) tai vakuutetut terveydenhuollon tarjoajat.



Tuloksena on, että samoille eri verkkosivustoilla suoritettaville toimille sovelletaan erilaista oikeudellista kohtelua. Erityiset toiminnot - lääkemääräyksen tilaaminen, toisen lausunnon saaminen, lääkärin kuuleminen tai jopa potilastietojen ylläpito - voivat kuulua uuden asetuksen soveltamisalaan yhdellä verkkosivustolla ja sääntelemättömällä toisella.

Lisäksi jopa katettujen yksiköiden ylläpitämät verkkosivustot harjoittavat monipuolista toimintaa, joista monet eivät kuulu HIPAA: n piiriin. Näillä sivustoilla kuluttajien on vaikea tietää, mitkä toiminnot kuuluvat HIPAA: n piiriin ja mitkä eivät.

Uudet vaatimukset

Liittovaltion terveyssäännöstö luo yksilöille uusia oikeuksia. Nämä oikeudet johtavat uusiin vastuisiin joillekin terveydenhoitosivustoille, joiden on noudatettava sääntöä.

1. Pääsy

Yksityisyyden suoja antaa ihmisille uuden liittovaltion laillisen oikeuden nähdä, kopioida ja korjata omia terveystietojaan. Ihmisillä on myös oikeus kirjanpitoon muille tehdyistä tiedoista. Katettujen yksiköiden on vastattava yksilön pääsypyyntöön tai muutokseen tietyssä määräajassa (yleensä 30 päivää). Jos yhteisö hylkää yksittäisen pyynnön, hylkäämisen tarkistamiseksi on olemassa menettelytapoja. Tämän uuden oikeuden vuoksi verkkokuluttajat saattavat huomata muutoksia suojatun verkkosivuston tietosuojakäytännössä, koska näiden sivustojen on ehkä kehitettävä uusia käytäntöjä ja menettelyjä pyyntöjen käsittelyä varten.

2. Huomaa

Yksityisyyden suoja antaa ihmisille oikeuden saada ilmoituksia katetuilta verkkosivustoilta siitä, miten heidän terveystietojaan käytetään ja jaetaan. Tällaiset ilmoitukset antavat ihmisille mahdollisuuden tehdä tietoisia, mielekkäitä valintoja verkkosivustoille tarjoamiensa terveystietojen käytöstä ja paljastamisesta. Asetuksen mukaan kuluttajille on tiedotettava heidän oikeuksistaan ​​terveystietoihinsa ja siitä, miten he voivat käyttää näitä oikeuksia. Ilmoituksen on sisällettävä tietoja henkilökohtaisten terveystietojen ennakoidusta käytöstä ja ilmaisemisesta ilman henkilön kirjallista lupaa sekä katetun yksikön laillisista velvollisuuksista. Yksilöille on myös annettava verkkosivustolla olevan yhteyshenkilön nimi, joka vastaa kyselyihin ja antaa tietoja siitä, kuinka he voivat tehdä valituksia katetulle yhteisölle ja HHS: lle.

Koska yksilöille on ilmoitettava heidän oikeuksistaan ​​ja uusista yksityisyydensuojastaan, joidenkin verkkosivustojen on todennäköisesti muutettava nykyisiä tietosuojakäytäntöjään liittovaltion vaatimusten täyttämiseksi. Vuonna 1999 tehdyssä tutkimuksessa, jossa tutkittiin 21 johtavaa terveydenhoitoon liittyvää verkkosivustoa, oli havaittu, että monien sivustojen käytännöt ja käytännöt eivät vastanneet vähimmäisvaatimuksia oikeudenmukaisille tiedoille.38Raportin julkaisemisen jälkeen useat kongressin jäsenet pyysivät FTC: tä aloittamaan välittömästi tutkimuksen siitä, voivatko tietyt terveydenhoitosivustot harjoittaa epäoikeudenmukaisia ​​tai petollisia tekoja tai käytäntöjä. & Rdquo;39Yhdeksän kuukautta myöhemmin FTC lopetti tutkimuksensa ja päätyi siihen, että sivustot olivat tehneet useita parannuksia tietosuojakäytäntöönsä, vaikka lisätoimenpiteitä voitaisiinkin toteuttaa tarkoituksenmukaisen yksityisyyden suojan kehittämiseksi kuluttajille.40Jotkut vuoden 1999 raportissa mainituista sivustoista, kuten drugstore.com,41on noudatettava tietosuojasäännön ilmoitusvaatimuksia huhtikuuhun 2003 mennessä.

3. Hallinnolliset vaatimukset

Kuluttajat hyötyvät myös uuden asetuksen hallinnollisista vaatimuksista. Tietosuojasäännön mukaan piiriin kuuluvan yksikön on nimettävä tietosuojavastaava, joka kehittää ja toteuttaa yhteisön käytäntöjä ja menettelyjä.42kouluttaa työntekijöitä; panemaan täytäntöön hallinnolliset, tekniset ja fyysiset suojatoimet;43kehittää menetelmä valitusten käsittelemiseksi; ja kehittää seuraamuksia sen henkilöstön jäsenille, jotka eivät noudata yksityisyyden suojaa koskevia käytäntöjä tai menettelyjä tai säännön vaatimuksia. Asetuksessa asetetaan tällaisia ​​vaatimuksia sen varmistamiseksi, että katetun yhteisön asianmukaiset jäsenet tuntevat yksityisyyttä koskevan säännön ja noudattavat sitä, ja että katetut yhteisöt ovat vastuussa työntekijöidensä toiminnasta.

Käyttöä ja julkistamista koskevat rajoitukset

Uusi asetus asettaa rajoituksia sille, miten katettu yksikkö voi käyttää ja jakaa henkilökohtaisia ​​terveystietoja muiden kanssa. Yleensä sääntö kieltää kattavan yksikön käyttämästä tai jakamasta potilaan terveystietoja, ellei piiriin kuuluvalla yksiköllä ole joko potilaan kirjallista lupaa tai asetus sallii nimenomaisen käytön tai paljastamisen.44

1. Hoito-, maksu- ja terveydenhoitotoimet

Yksi merkittävimmistä rajoituksista katettuihin terveydenhuollon tarjoajiin, olivatpa ne tiiliä tai laastia tai Internet-pohjaisia, on vaatimus heidän hankkimisesta potilaille & rsquo; kirjallinen lupa käyttää tai paljastaa terveystietojaan hoitoon, maksamiseen tai terveydenhoitotoimenpiteisiin. Esimerkiksi sekä paikalliset tiilet että laasti CVS-apteekki ja CVS.comNeljä viisihäneltä vaaditaan kirjallinen lupa käyttää yksilön tietoja lääkemääräyksen täyttämiseen. Sitä vastoin verkkoapteekki, joka täyttää saman reseptin mutta ei kuulu asetuksen soveltamisalaan, kuten ABeeWell Pharmacy,46ei vaadita potilaan kirjallista lupaa, koska se ei hyväksy vakuutusta.47

2. Liikekumppanit

Terveyssuunnitelmat ja palveluntarjoajat palkkaavat säännöllisesti muita yrityksiä ja konsultteja suorittamaan heille monenlaisia ​​toimintoja, kuten oikeudelliset, taloudelliset ja hallinnolliset palvelut (tietosuojasäännössä näitä kutsutaan liikekumppaneiksi). He saavat terveystietoja katetun yksikön puolesta tai siltä. Yleensä yksityisyydensuoja-asetus ei koske niitä suoraan.

Sen varmistamiseksi, että yksityisyyden suoja suojaa tietoja, tietosuojasäännössä vaaditaan, että katetut yhteisöt tekevät liikekumppaneiden kanssa sopimuksia, jotka vaativat terveystietojen vastaanottajia olemaan käyttämättä tai luovuttamasta tietoja muulla kuin sopimuksen sallimalla tai vaatimalla tai lain edellyttämällä tavalla. ja toteuttamaan asianmukaiset suojatoimenpiteet sopimattoman käytön ja paljastamisen estämiseksi. Asetuksessa vahvistetaan erityisedellytykset sille, milloin ja miten katetut yhteisöt voivat jakaa tietoja liikekumppaneiden kanssa.48Liikekumppaniin ei kuitenkaan suoraan sovelleta yksityisyyden suojaa. Pikemminkin kyseessä oleva yksikkö on vastuussa sopimuksen rikkomisista ja sitten vain, jos sillä oli tosiasiallisia tietoja rikkomuksesta, mutta ei vielä tehnyt mitään sen korjaamiseksi.49

3. Markkinointi

Yksi tietosuojasäännön kiistanalaisimmista näkökohdista on, että se sallii terveystietojen käytön markkinointitarkoituksiin ilman potilaan myöntävää ja tietoon perustuvaa lupaa.viisikymmentäKun potilas on antanut kirjallisen luvan käyttää terveystietojaan hoitoon, maksamiseen ja terveydenhoitotoimenpiteisiin & ldquo; Palveluntarjoaja (kuten verkkoapteekki) voi sitten käyttää terveystietojaan markkinoimaan omia ja kolmansien osapuolten tuotteita ja palveluja. Ei ole vaatimusta, että tämä suostumuslomake ilmoittaa potilaalle, että allekirjoittamalla lomakkeen hän antaa luvan käyttää tietojaan markkinointitarkoituksiin. Lisäksi palveluntarjoaja voi asettaa ehdolliseksi hoidon, kuten reseptin täyttämisen, potilaan allekirjoittamaan tämän lomakkeen. Ensimmäisessä markkinointikontaktissaan palveluntarjoajan on annettava potilaalle mahdollisuus kieltäytyä tällaisten materiaalien vastaanottamisesta tulevaisuudessa. Tämä järjestelmä antaa palveluntarjoajille olennaisesti yhden ilmaisen laukauksen & rdquo; markkinoinnissa ilman potilaan tietoon perustuvaa lupaa.

Esimerkiksi CVS tai CVS.com voisi koota luettelon Prozac-asiakkaista ja lähettää heille markkinointitietoja vaihtoehtoisesta masennuslääkkeestä lääkeyhtiön puolesta, kunhan alkuperäiset markkinointitiedot kertoivat potilaille, että he voisivat kieltäytyä tulevista markkinointimateriaaleista.51Tietosuojasääntö vetää kuitenkin linjan tietojen jakamiselletoisetmarkkinointitarkoituksiin. Se ei salli kuuluvien tahojen jakaa asiakastietoja muiden osapuolten kanssa markkinointia varten, ellei potilas ole allekirjoittanut toisen yksityiskohtaisen lomakkeen, jonka mukaan hän antaa luvan tietojen jakamiseen tällä tavalla. Esimerkiksi CVS ei voinutmyydäsen luettelo Prozac-käyttäjistä lääkeyritykselle tai telemarkkinoijalle ilman kaikkia potilaita & rsquo; erityinen lupa käyttää ja jakaa tietojaan markkinointiin. Sitä vastoin verkkoapteekki, joka ei kuulu asetuksen soveltamisalaan, voi laatia ja myydä potilasluetteloita vain omien tietosuojakäytäntöjensä rajoitusten mukaisesti.

Täytäntöönpano ja seuraamukset

HIPAA määrää siviilioikeudelliset ja rikosoikeudelliset seuraamukset yksityisyyden suojaa koskevan asetuksen rikkomisesta. Siviilirangaistukset vaihtelevat 100 dollarista enintään 25 000 dollariin vuodessa jokaisesta rikkomuksesta. Rikosoikeudellisista seuraamuksista määrätään tietyistä laittomista terveystietojen ilmaisemisesta, enintään 10 vuoden vankeusrangaistuksella ja / tai 250 000 dollarin rangaistuksella tehdystä rikoksesta riippuen.

Potilaalla ei ole liittovaltion lakisääteistä oikeutta nostaa kanne asetuksen nojalla, mutta se luo uuden liittovaltion hoitovelvollisuuden. terveystietojen osalta. Tämä tarkoittaa, että yksityisyyden suojan rikkominen voi olla peruste valtion vahingonkorvauskanteille.

Jokainen henkilö, joka uskoo, että katettu yhteisö ei noudata yksityisyyden suojaa koskevia sääntöjä, voi myös tehdä valituksen HHS: n sihteerille. Katettujen verkkosivustojen on tehtävä yhteistyötä HHS: n kanssa ja toimitettava tietueita ja vaatimustenmukaisuusraportteja osastolle. HHS: n kansalaisoikeusvirastolle on annettu valtuudet panna täytäntöön asetus.

Facebook   twitter