Některé z nejcitlivějších informací na světě – historie předepisování léků, lékařské záznamy, sexuální historie, informace o užívání léků a další – se dostávají do digitálního světa. Digitalizace lékařských záznamů se prodává jako příležitost k revoluci ve zdravotnictví. Ale i když digitální lékařské záznamy jistě přinášejí zvláštní výhody, tato technologická inovace má také obrovské důsledky pro naše soukromí.
Projekt EFF zaměřený na ochranu soukromí v lékařství zkoumá nové problémy v oblasti ochrany soukromí v lékařství a zabývá se tím, jak zaostávající zákony o ochraně soukromí v lékařství a rychle postupující technologické inovace činí pacienty zranitelnými vůči tomu, že jejich lékařské údaje budou odhaleny, zneužity nebo nesprávně interpretovány.
Všichni chceme, aby naše zdravotní údaje byly soukromé, protože věříme, že by to mělo být něco, co je jen mezi námi a našimi poskytovateli zdravotní péče. Bohužel tomu tak často není.
Mnoho osobních zdravotních údajů koluje právě v procesu poskytování a placení léčby a receptů. Povinné hlášení – například pro účely veřejného zdraví – akumuluje obrovský objem identifikovatelných zdravotních informací. A všichni bezmyšlenkovitě poskytujeme mnoho informací o svém zdraví dobrovolně nebo proto, abychom získali domnělou výhodu – zveřejňujeme na internetu informace o své nemoci nebo stavu, používáme vyhledávač k hledání informací o chřipce, žádáme o zaměstnání, přihlašujeme se do posilovny a jednáme mnoha dalšími způsoby.
Zákony o ochraně soukromí v oblasti zdraví
Ve Spojených státech neexistuje žádný univerzální zákon o ochraně informací, který by byl srovnatelný například se směrnicí EU o ochraně údajů. Existující zákony jsou specifické pro jednotlivá odvětví a značně se liší. Základním zákonem pro zdravotnické informace je zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA). HIPAA nabízí pacientům určitá práva, ale je značně omezený, protože se na subjekt vztahuje pouze tehdy, pokud je podle zákona buď „pokrytým subjektem“ – tedy poskytovatelem zdravotní péče, zdravotním plánem nebo zúčtovacím střediskem zdravotní péče – nebo příslušným obchodním partnerem (BA). To znamená, že HIPAA se nevztahuje na mnoho subjektů, které mohou přijímat lékařské informace, jako je aplikace v mobilním telefonu nebo služba genetického testování, například 23andme.
Ve skutečnosti je HIPAA zákonem o regulaci zveřejňování informací, nikoli zákonem o ochraně osobních údajů: Upravuje způsob, jakým mohou být vaše zdravotní informace zveřejněny, a to jak s vaším souhlasem, tak bez něj. Pro léčbu, platbu nebo provoz zdravotní péče není souhlas nutný. Váš lékař může například konzultovat vaše poslední zranění s jiným lékařem, aniž by získal váš souhlas, protože to je součástí léčby vašeho zranění.
Individuální zdravotní informace mohou být také zveřejněny bez vašeho souhlasu pro účely hlášení veřejného zdraví, pro pomoc orgánům činným v trestním řízení a pro soudní a správní účely nebo pro určení vašeho nároku na dávky a služby. Mohou být také zveřejněny způsobem, o kterém se nemůžete dozvědět, pro účely národní bezpečnosti.
Státy mohou také chránit lékařské soukromí. Jako federální zákon stanovuje HIPAA národní „spodní hranici“, ale umožňuje státům silnější ochranu soukromí pacientů. Kalifornský zákon je v některých oblastech silnější než HIPAA.
Pro pochopení konkrétních témat souvisejících se soukromím lékařů je užitečné mít přehled o mozaice státních a federálních zákonů, které se vztahují na lékařské informace. Přečtěte si našeho průvodce zákony o ochraně soukromí v lékařství.
Jaké informace se nacházejí ve zdravotnické dokumentaci?
Medicínské a nemedicínské informace, které jsou shromažďovány a sdíleny ve zdravotnické dokumentaci, zahrnují:
- Základní demografické údaje, jako je adresa, telefonní číslo (čísla), e-mailová adresa, věk, pohlaví a rasa.
- Úplné jméno a číslo účtu a někdy číslo sociálního pojištění. Používání čísel sociálního zabezpečení se nedoporučuje z důvodu rizika krádeže identity. Z tohoto důvodu nyní někteří, i když zdaleka ne všichni, poskytovatelé zdravotní péče používají spíše přidělené identifikační číslo pacienta než číslo sociálního pojištění.
- Lékařská anamnéza: diagnózy, léčba, výsledky diagnostických testů a předpisy spolu se známými zdravotními potížemi, alergiemi a návyky týkajícími se drog/alkoholu/kouření.
- Informace o fakturaci a platbách.
- Informace, které uvedete v přijímacích formulářích o svých nejbližších rodinných příslušnících, včetně anamnézy některých onemocnění, jako je rakovina nebo cukrovka.
Kdy se na zdravotní informace nevztahuje HIPAA?
V mnoha situacích mají lékařské informace subjekty, na které se nevztahuje HIPAA. Někdy se na tyto subjekty vztahují jiné zákony o ochraně osobních údajů, někdy ne.
Zdravotní informace, pokud se nejedná o kompletní záznamy, se dostanou do finančních záznamů; například když platíte za recepty nebo psychiatrickou léčbu kreditní kartou. Školní záznamy mohou obsahovat záznamy o lékařských prohlídkách, hodnocení chování nebo léčbě sportovních zranění; na tyto informace se obvykle vztahuje zákon FERPA (Family Educational Rights and Privacy Act). Informace o zdravotním stavu mohou obsahovat i záznamy o zaměstnání.
Existuje také digitální šachta informací, které dobrovolně poskytujeme. Mohou to být identifikovatelné informace na sociálních sítích, na webových stránkách a chatovacích skupinách týkajících se zdraví nebo v mobilních zdravotních a fitness aplikacích. Mohou to být také deidentifikované sledovací informace, které shromažďuje každá webová stránka a které se mohou kombinovat s jinými údaji, aby je bylo možné identifikovat.
Kdo má přístup k vašim zdravotním záznamům?
Spousta úřadů a organizací má legální přístup k lékařským informacím podle zákona HIPAA a mnoha dalších zákonů. Pro začátek mají obecně přístup pojišťovny – nejen zdravotní plány, ale i životní pojištění, pojištění dlouhodobé péče a pojištění vozidel s úhradou lékařských úrazů. Přístup mají také četné vládní agentury, včetně Medicare, Medicaid, Social Security Disability, Workers Comp, státních a federálních úřadů veřejného zdraví – seznam je dlouhý.
Biro zdravotnických informací (MIB) navíc shromažďuje veškeré zdravotní záznamy, které jste povinni vydat při žádosti o pojištění. Po roce 2014 však zákon o dostupné péči (Affordable Care Act, ACA) zruší používání již existujících stavů jako faktoru pro získání zdravotního pojištění, takže pacienti nebudou muset v rámci procesu žádosti vydávat lékařské záznamy. Tyto záznamy pomáhají pojišťovnám ověřit, že jste žádost vyplnili pravdivě.
Existují také správci lékárenských dávek (Pharmacy Benefit Managers – PBM), kteří spravují programy lékových dávek pro zdravotní plány. PBM mají k dispozici celou historii vašich receptů – léky, data, dávkování a kdo je předepsal – protože součástí jejich role je ověřit vaši způsobilost a získat souhlas s vašimi léky. Prodávají také deidentifikované informace (na které se nevztahuje HIPAA, protože z nich byly odstraněny osobní údaje) subjektům, které je dále prodávají v podobě různých typů zpráv.
Zaměstnavatelé mají přístup k informacím o zdravotním stavu při prověřování vaší minulosti, když se ucházíte o zaměstnání, ačkoli by měli nejprve získat váš písemný souhlas. Pokud provozují nebo smluvně zajišťují wellness programy pro zaměstnance, mohou mít přístup k informacím o tom, zda cvičíte nebo hubnete, zda jste skutečně přestali kouřit nebo zda se vám daří zvládat problém se zvládáním hněvu.
Jak bylo uvedeno výše, existují standardní výjimky ze souhlasu s přístupem ke zdravotnické dokumentaci pro orgány činné v trestním řízení a také výjimky pro soudní a správní řízení. Informace získané pro účely národní bezpečnosti jsou tajemnější a je nepravděpodobné, že byste se dozvěděli, že vaše záznamy byly zpřístupněny, pokud nebudete mít tu smůlu, že se stanete předmětem vládního stíhání.
Další oblastí mimo hranice předpisů, kde lidé poskytují zdravotní informace, jsou neformální zdravotní prohlídky, zdravotní veletrhy a programy komerčně podávaných vakcín (např. očkování proti chřipce v Costco nebo očkování proti pásovému oparu ve Walgreen’s).
Shrnutí: Kdo může mít přístup k vašim zdravotním informacím?
Životní pojištění
Pojištění automobilů
Dlouhodobé pojištění invalidity
Zaměstnavatelé
Burza zdravotnických informací
Správci lékárenských dávek
Vládní agentury, jako je Medicare, Medicaid, Social Security Disability, Workers Comp
Státní a federální ministerstvo veřejného zdraví
Vymáhání práva a soudy
Subjekty národní bezpečnosti
Jaká máte práva nebo kontrolu nad svými zdravotními informacemi?
Jste na konci řady, pokud jde o možnost rozhodovat o tom, co se děje s vašimi osobními zdravotními údaji, ale určitá práva máte.
Musíte dostat oznámení o postupech ochrany osobních údajů (NPP), které vás informuje o tom, jak poskytovatelé používají vaše informace (což znamená, že nemáte na výběr) a jaká jsou vaše práva. Poskytovatel potřebuje vaše písemné povolení ke zveřejnění informací o pohlavně přenosných chorobách, léčbě zneužívání návykových látek a poznámek o psychoterapii. Písemný souhlas je také nutný pro jakýkoli druh marketingu kromě upomínek na lékařský předpis. Můžete si vyžádat a obdržet kopie svých záznamů a požadovat opravy. Pokud si léčbu platíte sami a požádáte poskytovatele, aby informace neposkytoval pojišťovně, nemohou být zveřejněny.
Kromě toho mohou být lékařské informace odhaleny při úniku dat, ať už v důsledku nedbalosti poskytovatele zdravotní péče, jednání zákeřného hackera nebo jiným způsobem. V letech 2005-2013 shromáždila organizace Privacy Rights Clearinghouse zprávy o 1 118 případech narušení bezpečnosti zdravotnických údajů, které potenciálně odhalily více než 29 000 000 citlivých záznamů. V některých případech může narušení bezpečnosti zdravotnických záznamů vést také k uložení značných pokut. Federální vláda nyní také zveřejňuje informace o narušení bezpečnosti lékařských údajů, které zahrnují odhad počtu postižených osob.
Politika elektronického sdílení zdravotních informací zatím není ustálená, ale zdá se, že standardně se pro vložení zdravotních záznamů do digitálního datového toku nevyžaduje žádný další souhlas nad rámec předpokládaného souhlasu HIPAA pro léčbu, platby a zdravotnické operace.
Přečtěte si další informace o zákoně o ochraně osobních údajů ve zdravotnictví.
Zdroje a blogy:
CalOHII (California Office of Health Information Integrity) má užitečnou a přehlednou sekci o federálních a kalifornských zákonech a předpisech týkajících se ochrany soukromí zdravotnických informací.
California Health Information Law Identification (CHILI) CHILI je vyhledávací nástroj, který pomáhá identifikovat kalifornské zákony a předpisy týkající se ochrany soukromí, přístupu a zabezpečení individuálně identifikovatelných zdravotních informací.
Kalifornský úřad generálního prokurátora (odkazy na všechny kalifornské zákony o ochraně osobních údajů)
Projekt Centra pro demokracii a technologie na ochranu soukromí v oblasti zdraví
Občanská rada pro svobodu zdraví
Rada pro odpovědnou genetiku
Ministerstvo zdravotnictví a sociálních služeb a ministerstvo školství: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records (Společné pokyny k uplatňování zákona o rodinných právech na vzdělávání a ochraně soukromí (FERPA) a zákona o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 (HIPAA) na zdravotní záznamy studentů). (pro vzájemné působení FERPA a HIPAA)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
Úřad rektora Kalifornské univerzity v Berkeley má dobré shrnutí zákona o informačních postupech.
Světové fórum pro ochranu soukromí (World Privacy Forum’s Patient’s Guide to HIPAA)
.