Časť 2: Nové federálne nariadenie o ochrane súkromia v zdraví

Úvod

Do vydania federálneho nariadenia o ochrane súkromia v zdravotníctve existovala iba malá právna ochrana informácií o zdraví - online alebo offline. Na rozdiel od finančných záznamov, úverových správ a dokonca ani záznamov o prenájme videa neexistuje komplexný federálny zákon, ktorý by chránil súkromie lekárskych záznamov. V prípade online aktivít má FTC oprávnenie stíhať webové stránky, ktoré sa dopúšťajú nekalých alebo klamlivých praktík, ako je napríklad nedodržiavanie ich vlastných zásad ochrany osobných údajov.28Uvidí sa, či FTC prijme opatrenia na napadnutie stránok, ktoré nič nehovoria, alebo zverejní zle vypracované zásady ochrany súkromia.29

HIPAA požaduje, aby HHS vydala nariadenia o ochrane súkromia v oblasti zdravia, pretože Kongres tieto právne predpisy nestanovil do zákonného termínu. Po zásadnom verejnom pripomienkovaní ministerstvo vydalo konečné nariadenie 20. decembra 2000. Nariadenie o ochrane súkromia malo pôvodne vstúpiť do platnosti 26. februára 2001, bolo však oneskorené kvôli administratívnemu dohľadu.3014. apríla Bushova administratíva nechala nariadenie vstúpiť do platnosti, uviedla však, že budúce zmeny sú pravdepodobné. Termín plnenia je pre väčšinu osôb, na ktoré sa vzťahuje toto nariadenie, apríl 2003.


Kto a na čo sa vzťahuje

Nariadenie o ochrane súkromia je súčasťou balíka predpisov nariadených HIPAA, ktorý sa týka štandardov ochrany súkromia, bezpečnosti a elektronických transakcií. Spoločne sú tieto nariadenia navrhnuté tak, aby uľahčili vývoj jednotného počítačového systému zdravotníckych informácií. HIPAA však uvalila na HHS obmedzenia; regulačný orgán, ktorý obmedzuje rozsah pôsobnosti nariadenia o ochrane súkromia. Nariadenie sa nevzťahuje na všetky osoby alebo subjekty, ktoré majú prístup k osobným informáciám o zdraví. Priamo pokrýva iba tri rôzne druhy subjektov zdravotnej starostlivosti:

  • Poskytovatelia, ako sú lekári, nemocnice a farmaceuti, ktorí elektronicky prenášajú informácie týkajúce sa zdravotných tvrdení31v & ldquo; štandardnom formáte; & rdquo;32
  • Zdravotné plány, ako napríklad tradiční poisťovatelia a HMO; a
  • & ldquo; Zúčtovacie strediská & rdquo; subjekty, ktoré spracúvajú informácie o zdravotných tvrdeniach v jednotnom formáte pre poskytovateľov a poisťovateľov, ako napríklad WebMD Office.33

Osoba alebo organizácia, ktorá patrí do jednej z týchto kategórií, sa považuje za „zahrnutý subjekt“.3. 4

Toto je rozhodujúci faktor pri určovaní toho, či sú informácie o zdraví chránené podľa nariadenia. Iba individuálne identifikovateľné zdravotné informácie35ktoré sú prenášané alebo udržiavané krytým subjektom, sú chránené nariadením (t.j.„chránené informácie o zdraví“). Platí to bez ohľadu na formát informácií - elektronický, papierový alebo ústny.

Väčšina webových stránok o zdraví je zverejnená ako nástroj, ktorý dáva spotrebiteľom väčšiu kontrolu nad ich životmi a ich zdravotnou starostlivosťou. Mnoho webov však vyžaduje, aby používatelia poskytovali veľké množstvo citlivých informácií o zdraví. Môžu tiež zhromažďovať informácie o používateľoch bez toho, aby používatelia & rsquo; vedomosti alebo súhlas.

Ústredným problémom, ktorým sa zaoberá táto správa, je, či sa na tieto činnosti vzťahuje HIPAA alebo nie. Naše zistenie je, že významná časť aktivít na webových stránkach týkajúcich sa zdravia nie je pokrytá z niekoľkých dôvodov. Hlavným dôvodom je, že veľmi veľa webových stránok prevádzkujú organizácie, ktoré nie sú „krytými entitami“. & Rdquo;


V skutočnosti sú to najobľúbenejšie webové stránky, napríklad eDiets.com36a drkoop.com,37zostanú nezakryté pravidlom ochrany súkromia, pretože nie sú riadené zdravotnými plánmi (napríklad zdravotné poisťovne alebo HMO) ani krytými poskytovateľmi zdravotnej starostlivosti.



Výsledkom je, že na tie isté činnosti vykonávané na rôznych webových stránkach sa bude vzťahovať odlišné právne zaobchádzanie. Na konkrétne činnosti - objednanie lekárskeho predpisu, získanie druhého posudku, konzultáciu s lekárom alebo dokonca vedenie zdravotnej dokumentácie - sa môže nové nariadenie na jednej webovej stránke vzťahovať a na inú neregulovať.


Navyše, aj webové stránky prevádzkované zahrnutými entitami sa zúčastňujú rôznych aktivít, z ktorých mnohé nie sú pokryté HIPAA. Na týchto stránkach bude pre spotrebiteľov ťažké vedieť, na aké činnosti sa vzťahuje HIPAA a ktoré nie.

Nové požiadavky

Federálne pravidlo ochrany súkromia vytvára nové práva pre jednotlivcov. Tieto práva sa premietajú do nových zodpovedností za niektoré webové stránky zaoberajúce sa zdravím, ktoré sú povinní dodržiavať toto pravidlo.


1. Prístup

Nariadenie o ochrane súkromia dáva jednotlivcom nové federálne zákonné právo vidieť, kopírovať a opravovať svoje vlastné zdravotné informácie. Ľudia budú mať tiež právo na účtovanie zverejnení, ktoré boli urobené iným. Poistené subjekty budú musieť odpovedať na konkrétnu žiadosť o prístup alebo zmenu a doplnenie do konkrétneho termínu (zvyčajne 30 dní). Ak účtovná jednotka zamietne žiadosti jednotlivca, existujú postupy na kontrolu zamietnutia. Kvôli tomuto novému právu si môžu online spotrebitelia všimnúť zmeny v zásadách ochrany osobných údajov webových stránok v oblasti zdravia, pretože pre tieto weby bude pravdepodobne potrebné vyvinúť nové zásady a postupy pre vybavovanie žiadostí.

2. Všimnite si

Nariadenie o ochrane súkromia dáva jednotlivcom právo dostávať oznámenia z krytých webových stránok o tom, ako budú ich zdravotné informácie použité a zdieľané. Takéto oznámenia umožnia ľuďom robiť informované a zmysluplné rozhodnutia o použití a zverejnení zdravotných informácií, ktoré poskytujú webovým serverom. Podľa tohto nariadenia musia byť spotrebitelia informovaní o svojich právach týkajúcich sa ich zdravotných informácií a o tom, ako môžu tieto práva uplatňovať. Toto oznámenie musí obsahovať informácie o predpokladanom použití a zverejnení osobných zdravotných informácií bez písomného súhlasu jednotlivca, ako aj o zákonných povinnostiach zahrnutej osoby. Jednotlivcom musí byť tiež uvedené meno kontaktnej osoby na webe, ktorá bude odpovedať na otázky a poskytovať informácie o tom, ako môžu podať sťažnosť u dotknutej osoby a HHS.


Pretože jednotlivci musia byť informovaní o svojich právach a novej ochrane súkromia, niektoré webové stránky budú pravdepodobne musieť zmeniť svoje súčasné zásady ochrany osobných údajov tak, aby vyhovovali federálnym požiadavkám. Štúdia z roku 1999 zameraná na dvadsaťjeden popredných webových stránok týkajúcich sa zdravia zistila, že zásady a postupy mnohých z týchto serverov nespĺňali minimálne postupy spravodlivých informácií.38Po zverejnení správy niekoľko členov Kongresu požiadalo FTC, aby okamžite začala vyšetrovanie toho, či niektoré webové stránky venujúce sa zdraviu môžu byť zapojené do „nekalých alebo klamlivých činov alebo praktík“.39O deväť mesiacov neskôr FTC ukončila vyšetrovanie a dospela k záveru, že stránky vykonali niekoľko vylepšení svojich zásad ochrany osobných údajov, aj keď je možné podniknúť ďalšie kroky na vyvinutie zmysluplnej ochrany súkromia pre spotrebiteľov.40Niektoré zo stránok spomenutých v správe z roku 1999, napríklad drugstore.com,41budú povinní vyhovieť požiadavkám oznámenia o ochrane osobných údajov do apríla 2003.

3. Administratívne požiadavky

Spotrebitelia tiež profitujú z administratívnych požiadaviek nového nariadenia. Podľa pravidla ochrany súkromia sa od krytého subjektu bude vyžadovať, aby určil úradníka pre ochranu súkromia s cieľom vypracovať a implementovať politiky a postupy subjektu;42školiť svojich zamestnancov; implementovať administratívne, technické a fyzické záruky;43vyvinúť spôsob vybavovania sťažností; a rozvíjať sankcie pre členov jej pracovnej sily, ktorí nedodržiavajú jej zásady alebo postupy ochrany súkromia alebo požiadavky pravidla. Nariadenie ukladá také požiadavky, aby sa zabezpečilo, že príslušní členovia krytého subjektu sú oboznámení s pravidlom ochrany súkromia a sú v súlade s ním, a že kryté subjekty budú zodpovedné za konanie svojich zamestnancov.

Obmedzenia používania a zverejnenia

Nové nariadenie ukladá obmedzenia v tom, ako môže krytý subjekt používať a zdieľať osobné údaje o zdraví s ostatnými. Toto pravidlo vo všeobecnosti zakazuje krytému subjektu používať alebo zdieľať zdravotné informácie o pacientovi, pokiaľ krytý subjekt nemá písomné povolenie pacienta alebo ak nariadenie výslovne neumožňuje použitie alebo zverejnenie.44

1. Liečba, platby a operácie zdravotnej starostlivosti

Jedným z najvýznamnejších obmedzení poskytovaných zdravotných služieb, či už tehál a mált alebo internetu, je požiadavka na získanie pacientov. písomné povolenie na použitie alebo zverejnenie svojich zdravotných informácií na účely liečby, platby alebo zdravotnej starostlivosti. Napríklad miestne kamenné obchody s drogami CVS a CVS.comŠtyri, päťbude musieť získať písomné povolenie na použitie informácií jednotlivca na vyplnenie jej predpisu. Naproti tomu online lekáreň, ktorá plní rovnaký recept, ale nevzťahuje sa na ňu nariadenie, ako napríklad ABeeWell Pharmacy,46nebude vyžadované získanie písomného súhlasu pacienta, pretože neprijíma poistenie.47

2. Obchodní spolupracovníci

Zdravotné plány a poskytovatelia bežne najímajú ďalšie spoločnosti a konzultantov, aby pre nich vykonávali najrôznejšie funkcie, ako sú právne, finančné a administratívne služby (podľa pravidla ochrany osobných údajov sa jedná o „obchodných spoločníkov“). Informácie o zdraví dostávajú v mene alebo od krytého subjektu. Nariadenie o ochrane súkromia sa na ne vo všeobecnosti nevzťahuje priamo.

Aby sa zabezpečilo, že ochrana údajov bude nasledovať po údajoch, pravidlo ochrany súkromia vyžaduje, aby kryté subjekty uzatvárali zmluvy s obchodnými partnermi, ktorí od príjemcov zdravotných informácií požadujú, aby nepoužívali alebo nezverejňovali informácie inak, ako povoľuje alebo vyžaduje zmluva alebo ako vyžaduje zákon a implementovať príslušné ochranné opatrenia, aby sa zabránilo nevhodnému použitiu a zverejneniu. Nariadenie ustanovuje konkrétne podmienky, kedy a ako môžu kryté subjekty zdieľať informácie s obchodnými partnermi.48Na obchodného partnera sa však priamo nevzťahuje pravidlo ochrany osobných údajov. Za porušenie zmluvy je zodpovedný skôr krytý subjekt, a to iba za predpokladu, že mal skutočné vedomosti o porušení, a napriek tomu neurobil nič pre nápravu.49

3. Marketing

Jedným z kontroverznejších aspektov pravidla ochrany súkromia je to, že umožňuje použitie informácií o zdraví na marketingové účely bez súhlasu pacienta s potvrdením a informovaním.päťdesiatKeď pacientka písomne ​​udelí súhlas s použitím svojich zdravotných informácií na & ndquo; ošetrenie, platby a operácie zdravotnej starostlivosti & rdquo; na účely môže poskytovateľ (napríklad lekárnik online) použiť svoje zdravotné informácie na uvedenie svojich vlastných produktov a služieb, ako aj produktov tretích strán na trh. Nie je potrebné, aby tento formulár súhlasu informoval pacienta, že podpísaním formulára dáva súhlas na použitie svojich informácií na marketingové účely. Poskytovateľ môže ďalej podmieniť poskytnutie liečby, napríklad vyplnením lekárskeho predpisu, podpisom pacienta na tomto formulári. Pri počiatočnom marketingovom kontakte musí poskytovateľ dať pacientovi možnosť v budúcnosti sa odhlásiť z prijímania takýchto materiálov. Táto schéma v zásade poskytuje poskytovateľom & ldquo; jednu snímku zadarmo & rdquo; pri marketingu bez informovaného súhlasu pacienta.

Napríklad CVS alebo CVS.com môžu zostaviť zoznam spotrebiteľov Prozacu a zaslať im marketingové informácie o alternatívnom antidepresíve v mene farmaceutickej spoločnosti, pokiaľ pôvodné marketingové informácie informovali pacientov, že môžu odmietnuť budúce marketingové materiály.51Pravidlo ochrany súkromia však určuje hranicu pri zdieľaní informácií sinéna marketingové účely. To neumožňuje krytým subjektom zdieľať informácie o zákazníkoch s inými stranami na účely marketingu, pokiaľ pacientka nepodpísala iný podrobný formulár, v ktorom uvedie, že dáva súhlas na zdieľanie svojich informácií týmto spôsobom. Napríklad CVS nemoholpredaťjeho zoznam používateľov Prozacu k farmaceutickej spoločnosti alebo k telemarketingu bez všetkých pacientov & rsquo; osobitné povolenie na použitie a zdieľanie ich informácií na marketing. Naproti tomu online lekáreň, na ktorú sa toto nariadenie nevzťahuje, môže zostavovať a predávať zoznamy pacientov, iba s výhradou obmedzení svojich vlastných zásad ochrany osobných údajov.

Vymáhanie a pokuty

HIPAA stanovuje občianske a trestné sankcie za porušenie nariadenia o ochrane súkromia. Civilné pokuty sa pohybujú od 100 do maximálne 25 000 dolárov ročne za každú normu, ktorá je porušená. Trestné pokuty sa ukladajú za určité neoprávnené zverejnenie informácií o zdravotnom stave s maximálnym trestom odňatia slobody na 10 rokov a / alebo trestom 250 000 dolárov, v závislosti od spáchaného trestného činu.

Podľa nariadenia neexistuje federálne zákonné právo pacienta žalovať, ale vytvára sa tak nová federálna povinnosť starostlivosti. pokiaľ ide o informácie o zdraví. To znamená, že porušenie pravidla ochrany súkromia môže byť dôvodom pre konanie vo veci deliktu štátu.

Ktokoľvek, kto sa domnieva, že krytý subjekt nedodržiava pravidlo ochrany súkromia, môže tiež podať sťažnosť u tajomníka HHS. Zahrnuté webové stránky budú musieť spolupracovať s HHS a poskytovať ministerstvu záznamy a správy o súlade. Úrad pre občianske práva pri HHS dostal oprávnenie na vykonávanie tohto nariadenia.