Einige der sensibelsten Informationen der Welt – unsere Verschreibungshistorie, medizinische Aufzeichnungen, sexuelle Vorgeschichte, Informationen über die Einnahme von Medikamenten und vieles mehr – gelangen in die digitale Welt. Die Digitalisierung von Krankenakten wird als Chance verkauft, das Gesundheitswesen zu revolutionieren. Doch während digitale Krankenakten sicherlich besondere Vorteile mit sich bringen, hat diese technologische Innovation auch enorme Auswirkungen auf unsere Privatsphäre.
Das EFF-Projekt zum Schutz der Privatsphäre in der Medizin untersucht neu aufkommende Probleme im Bereich der Privatsphäre in der Medizin und zeigt auf, wie schleppende Gesetze zum Schutz der Privatsphäre in der Medizin und schnell fortschreitende technologische Innovationen Patienten anfällig dafür machen, dass ihre medizinischen Daten offengelegt, missbraucht oder missverstanden werden.
Wir alle wollen, dass unsere medizinischen Daten privat bleiben, weil wir glauben, dass sie etwas sind, das zwischen uns und unseren Gesundheitsdienstleistern bleiben sollte. Leider ist das oft nicht der Fall.
Viele persönliche Gesundheitsdaten zirkulieren allein bei der Bereitstellung und Bezahlung von Behandlungen und Rezepten. Durch die Meldepflicht – zum Beispiel für Zwecke der öffentlichen Gesundheit – wird eine riesige Menge identifizierbarer Gesundheitsdaten angesammelt. Und wir alle geben unbewusst viele Informationen über unsere Gesundheit preis, freiwillig oder um einen vermeintlichen Vorteil zu erhalten – indem wir im Internet über eine Krankheit oder ein Leiden berichten, eine Suchmaschine benutzen, um nach Informationen über die Grippe zu suchen, uns um eine Stelle bewerben, einem Fitnessstudio beitreten und auf vielfältige andere Weise handeln.
Gesundheitsdatenschutzgesetze
In den Vereinigten Staaten gibt es kein allgemeines Datenschutzgesetz, das beispielsweise mit der EU-Datenschutzrichtlinie vergleichbar wäre. Die Gesetze, die es gibt, sind sektorspezifisch und sehr unterschiedlich. Das grundlegende Gesetz für Gesundheitsinformationen ist der Health Insurance Portability and Accountability Act (HIPAA). Der HIPAA bietet den Patienten einige Rechte, ist jedoch stark eingeschränkt, da er nur dann auf eine Einrichtung Anwendung findet, wenn diese nach dem Gesetz entweder eine „abgedeckte Einrichtung“ ist – d. h. ein Gesundheitsdienstleister, ein Gesundheitsplan oder eine Clearingstelle für das Gesundheitswesen – oder ein relevanter Geschäftspartner (BA). Das bedeutet, dass HIPAA nicht für viele Einrichtungen gilt, die medizinische Informationen erhalten können, wie z. B. eine App auf Ihrem Mobiltelefon oder ein Gentestdienst wie 23andme.
Realistisch gesehen ist der HIPAA ein Gesetz zur Regelung der Offenlegung, kein Datenschutzgesetz: Es regelt, wie Ihre Gesundheitsdaten offengelegt werden dürfen, sowohl mit als auch ohne Ihre Zustimmung. Für die Behandlung, die Bezahlung oder die Gesundheitsversorgung ist keine Zustimmung erforderlich. Ihr Arzt kann sich beispielsweise mit einem anderen Arzt über Ihre jüngste Verletzung beraten, ohne Ihre Zustimmung einzuholen, da dies zur Behandlung Ihrer Verletzung gehört.
Individuelle medizinische Informationen können auch ohne Ihre Zustimmung für die öffentliche Gesundheitsberichterstattung, zur Unterstützung der Strafverfolgung und für gerichtliche und administrative Zwecke oder zur Feststellung Ihres Anspruchs auf Leistungen und Dienste weitergegeben werden. Sie können auch für Zwecke der nationalen Sicherheit auf eine Art und Weise offengelegt werden, von der Sie nichts erfahren können.
Auch die Staaten können die medizinische Privatsphäre schützen. Als Bundesgesetz legt der HIPAA eine nationale „Untergrenze“ fest, erlaubt aber den Bundesstaaten einen stärkeren Schutz der Privatsphäre von Patienten. Die kalifornischen Gesetze sind in einigen Bereichen strenger als der HIPAA.
Um bestimmte Themen im Zusammenhang mit dem medizinischen Datenschutz zu verstehen, ist es hilfreich, das Flickwerk der einzelstaatlichen und bundesstaatlichen Gesetze zu kennen, die für medizinische Informationen gelten. Lesen Sie unseren Leitfaden zum medizinischen Datenschutzrecht.
Welche Informationen sind in Krankenakten enthalten?
Medizinische und nicht-medizinische Informationen, die in Krankenakten gesammelt und weitergegeben werden, umfassen:
- Grundlegende demografische Daten wie Adresse, Telefonnummer(n), E-Mail-Adresse, Alter, Geschlecht und Rasse.
- Vollständiger Name und Kontonummer und manchmal Sozialversicherungsnummer. Die Verwendung von Sozialversicherungsnummern ist wegen des Risikos eines Identitätsdiebstahls nicht zu empfehlen. Aus diesem Grund verwenden einige, wenn auch bei weitem nicht alle, Gesundheitsdienstleister jetzt eine zugewiesene Patienten-ID-Nummer anstelle einer Sozialversicherungsnummer.
- Medizinische Vorgeschichte: Diagnosen, Behandlungen, diagnostische Testergebnisse und Rezepte sowie bekannte Krankheiten, Allergien und Drogen-/Alkohol-/Rauchgewohnheiten.
- Abrechnungs- und Zahlungsinformationen.
- Informationen, die Sie auf den Aufnahmeformularen über Ihre unmittelbaren Familienangehörigen angeben, einschließlich einer Vorgeschichte bestimmter Krankheiten wie Krebs oder Diabetes.
Wann fallen medizinische Informationen nicht unter den HIPAA?
In vielen Fällen verfügen Stellen, die nicht unter den HIPAA fallen, über medizinische Daten. Manchmal gelten für diese Stellen andere Datenschutzgesetze, manchmal nicht.
Gesundheitsdaten, wenn auch nicht vollständig, finden ihren Weg in Finanzunterlagen, z. B. wenn Sie Rezepte oder psychiatrische Behandlungen mit einer Kreditkarte bezahlen. Schulakten können Aufzeichnungen über ärztliche Untersuchungen, Verhaltensbeurteilungen oder die Behandlung von Sportverletzungen enthalten; diese Informationen fallen in der Regel unter den FERPA (Family Educational Rights and Privacy Act). Auch Arbeitsunterlagen können Gesundheitsinformationen enthalten.
Außerdem gibt es noch das digitale Sinkloch von Informationen, die wir freiwillig preisgeben. Dabei kann es sich um identifizierbare Informationen in sozialen Medien, gesundheitsbezogenen Websites und Chat-Gruppen oder mobilen Gesundheits- und Fitness-Apps handeln. Es kann sich auch um de-identifizierte Tracking-Informationen handeln, die jede Website sammelt und möglicherweise mit anderen Daten kombiniert, um sie identifizierbar zu machen.
Wer hat Zugang zu Ihren medizinischen Daten?
Viele Behörden und Organisationen haben nach dem HIPAA und vielen anderen Gesetzen rechtmäßigen Zugang zu medizinischen Daten. Zunächst einmal haben Versicherer in der Regel Zugriff – nicht nur Krankenversicherungen, sondern auch Lebensversicherungen, Pflegeversicherungen und Kfz-Versicherungen mit medizinischer Erstattung bei Verletzungen. Zahlreiche staatliche Stellen haben ebenfalls Zugriff, darunter Medicare, Medicaid, Sozialversicherungsinvalidität, Workers Comp, staatliche und bundesstaatliche Gesundheitsämter – die Liste geht weiter.
Außerdem sammelt das Medical Information Bureau (MIB) alle medizinischen Daten, die Sie bei der Beantragung einer Versicherung angeben müssen. Ab 2014 wird das Affordable Care Act (ACA) jedoch die Berücksichtigung von Vorerkrankungen als Kriterium für den Abschluss einer Krankenversicherung abschaffen, so dass die Patienten im Rahmen des Antragsverfahrens keine medizinischen Unterlagen mehr vorlegen müssen. Anhand dieser Unterlagen können die Versicherer überprüfen, ob Sie Ihren Antrag wahrheitsgemäß ausgefüllt haben.
Es gibt auch Pharmacy Benefit Managers (PBMs), die Arzneimittelprogramme für Krankenkassen verwalten. PBMs verfügen über Ihre gesamte Verschreibungshistorie – Medikamente, Daten, Dosierung und wer sie verschrieben hat -, da es zu ihren Aufgaben gehört, Ihre Anspruchsberechtigung zu prüfen und die Genehmigung für Ihre Medikamente zu erhalten. Sie verkaufen auch de-identifizierte Informationen (die nicht unter den HIPAA fallen, weil persönlich identifizierbare Informationen entfernt wurden) an Data Miner, die sie als verschiedene Arten von Berichten weiterverkaufen.
Arbeitgeber haben Zugang zu Gesundheitsinformationen, wenn Sie sich um eine Stelle bewerben, obwohl sie zuerst Ihre schriftliche Erlaubnis einholen müssen. Wenn sie Wellness-Programme für ihre Mitarbeiter durchführen oder unter Vertrag nehmen, haben sie möglicherweise Zugang zu Informationen darüber, ob Sie Sport treiben oder abnehmen, ob Sie wirklich mit dem Rauchen aufgehört haben oder ob Sie Ihr Aggressionsproblem erfolgreich in den Griff bekommen.
Wie bereits erwähnt, gibt es Standardausnahmen für die Zustimmung zum Zugang zu medizinischen Unterlagen für die Strafverfolgung sowie Ausnahmen für Gerichts- und Verwaltungsprozesse. Informationen, die zu Zwecken der nationalen Sicherheit eingeholt werden, sind eher geheimnisvoll, und es ist unwahrscheinlich, dass Sie erfahren, dass Ihre Unterlagen offengelegt wurden, es sei denn, Sie haben das Pech, von der Regierung verfolgt zu werden.
Ein weiterer Bereich, in dem Menschen außerhalb der Grenzen von Vorschriften medizinische Informationen preisgeben, sind informelle Gesundheitsuntersuchungen, Gesundheitsmessen und kommerziell durchgeführte Impfprogramme (wie Grippeimpfungen bei Costco oder Gürtelroseimpfungen bei Walgreen’s).
Zusammenfassung: Wer kann Zugang zu Ihren medizinischen Daten haben?
Lebensversicherungen
Kfz-Versicherungen
Langzeit-Invaliditätsversicherungen
Arbeitgeber
Medizinisches Informationsbüro
Apotheken-Leistungsmanager
Regierungsbehörden wie Medicare, Medicaid, Social Security Disability, Workers Comp
Landes- und Bundesgesundheitsämter
Gesetzesvollzug und Gerichte
Nationale Sicherheitsbehörden
Welche Rechte oder Kontrolle haben Sie über Ihre medizinischen Daten?
Wenn es darum geht, mitzubestimmen, was mit Ihren persönlichen Gesundheitsdaten geschieht, stehen Sie hinten an, aber Sie haben einige Rechte.
Sie müssen einen Datenschutzhinweis erhalten, der Sie darüber informiert, wie die Anbieter Ihre Daten verwenden (das heißt, Sie haben keine Wahl) und welche Rechte Sie haben. Ein Anbieter benötigt Ihre schriftliche Genehmigung, um Informationen über Geschlechtskrankheiten, Behandlung von Drogenmissbrauch und psychotherapeutische Aufzeichnungen weiterzugeben. Eine schriftliche Genehmigung ist auch für jede Art von Marketing erforderlich, mit Ausnahme von Verschreibungserinnerungen. Sie können Kopien Ihrer Unterlagen anfordern und erhalten und Korrekturen verlangen. Wenn Sie für Ihre Behandlung selbst aufkommen und einen Anbieter bitten, die Informationen nicht an eine Versicherung weiterzugeben, können sie nicht weitergegeben werden.
Außerdem können medizinische Informationen bei einem Datenschutzverstoß preisgegeben werden, sei es durch die Nachlässigkeit eines Gesundheitsdienstleisters, die Handlungen eines böswilligen Hackers oder auf andere Weise. Von 2005 bis 2013 sammelte das Privacy Rights Clearinghouse Berichte über 1.118 Verletzungen medizinischer Daten, bei denen potenziell über 29.000.000 sensible Datensätze offengelegt wurden. In einigen Fällen können Verletzungen von Gesundheitsdaten auch zu erheblichen Geldstrafen führen. Die Bundesregierung veröffentlicht jetzt auch Informationen über Verletzungen medizinischer Daten, die eine Schätzung der Anzahl der betroffenen Personen enthalten.
Die Richtlinien für die elektronische Weitergabe von Gesundheitsdaten sind noch nicht festgelegt, aber es scheint so zu sein, dass neben der angenommenen HIPAA-Zustimmung für Behandlung, Zahlung und Gesundheitsfürsorge keine zusätzliche Zustimmung erforderlich ist, um Ihre medizinischen Daten in den digitalen Datenstrom zu stellen.
Lesen Sie mehr über das medizinische Datenschutzrecht.
Ressourcen und Blogs:
CalOHII (California Office of Health Information Integrity) hat einen nützlichen und gut organisierten Abschnitt über Bundes- und kalifornische Gesetze und Vorschriften zum Datenschutz von Gesundheitsinformationen.
California Health Information Law Identification (CHILI) CHILI ist ein Suchwerkzeug, das bei der Identifizierung kalifornischer Gesetze und Verordnungen zum Datenschutz, zum Zugang und zur Sicherheit von individuell identifizierbaren Gesundheitsinformationen hilft.
California Office of the Attorney General (für Links zu allen kalifornischen Datenschutzgesetzen)
Center for Democracy and Technology’s Health Privacy Project
Citizens‘ Council for Health Freedom
Council for Responsible Genetics
Department of Health and Human Services and Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (zum Zusammenspiel von FERPA und HIPAA)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
The UC Berkeley Chancellor’s Office has a good summary of the Information Practices Act.
World Privacy Forum’s Patient’s Guide to HIPAA