A világ legérzékenyebb adatai közül néhány – a receptek, orvosi feljegyzések, szexuális előzmények, gyógyszerhasználati információk és még sok más – belép a digitális világba. Az orvosi nyilvántartások digitalizálását az egészségügyi ellátás forradalmasításának lehetőségeként adják el. De bár a digitális orvosi nyilvántartások bizonyára különleges előnyökkel járnak, ez a technológiai újítás hatalmas következményekkel jár a magánéletünkre nézve is.
Az EFF egészségügyi adatvédelmi projektje az orvosi adatvédelem újonnan felmerülő kérdéseit vizsgálja, azt vizsgálva, hogy az egészségügyi adatvédelmi törvények elmaradása és a gyorsan fejlődő technológiai innováció hogyan teszi kiszolgáltatottá a betegeket annak, hogy orvosi adataik nyilvánosságra kerülnek, visszaélnek velük, vagy félreértelmezik őket.
Mindannyian szeretnénk, ha orvosi adataink bizalmasak lennének, mert úgy gondoljuk, hogy ez csak ránk és az egészségügyi szolgáltatóinkra tartozik. Sajnos ez gyakran nem így van.
Sok személyes egészségügyi adat kering csak a kezelés és a receptek biztosítása és kifizetése során. A kötelező adatszolgáltatás – például közegészségügyi célokra – hatalmas mennyiségű azonosítható egészségügyi információt halmoz fel. És mindannyian gondolkodás nélkül rengeteg információt adunk ki az egészségünkről önkéntesen vagy valamilyen vélt előnyért – ha online posztolunk egy betegségről vagy állapotról, ha keresőmotorral keresünk információt az influenzáról, ha állásra jelentkezünk, ha belépünk egy edzőterembe, és számos más módon cselekszünk.
Egészségügyi adatvédelmi törvények
Az Egyesült Államokban nincs olyan általános adatvédelmi törvény, amely például az EU adatvédelmi irányelvéhez hasonlítható lenne. A létező törvények ágazatspecifikusak és jelentősen eltérnek egymástól. Az egészségügyi információkra vonatkozó alaptörvény az Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA). A HIPAA bizonyos jogokat biztosít a betegeknek, de erősen korlátozott, mivel csak akkor vonatkozik egy szervezetre, ha az a törvény szerint “fedezett szervezetnek” – azaz egészségügyi szolgáltatónak, egészségügyi tervnek vagy egészségügyi elszámolóháznak – vagy releváns üzleti társultnak (BA) minősül. Ez azt jelenti, hogy a HIPAA nem vonatkozik számos olyan szervezetre, amely orvosi információkat kaphat, mint például egy alkalmazás a mobiltelefonján vagy egy genetikai tesztelési szolgáltatás, például a 23andme.
Valójában a HIPAA a közzététel szabályozására vonatkozó törvény, nem pedig az adatvédelemre vonatkozó törvény: Azt szabályozza, hogy az Ön egészségügyi információit hogyan lehet nyilvánosságra hozni, mind az Ön hozzájárulásával, mind az Ön hozzájárulása nélkül. A kezeléshez, kifizetéshez vagy egészségügyi műveletekhez nincs szükség beleegyezésre. Az orvosa például konzultálhat egy másik orvossal az Ön legutóbbi sérüléséről anélkül, hogy az Ön beleegyezését kérné, mivel ez a sérülésének kezeléséhez tartozik.
Az egyes egészségügyi adatok az Ön hozzájárulása nélkül is nyilvánosságra hozhatók közegészségügyi jelentés céljából, a bűnüldözés segítése céljából, valamint igazságügyi és adminisztratív célokra, illetve az Ön ellátásokra és szolgáltatásokra való jogosultságának megállapítása céljából. Nemzetbiztonsági célokból is nyilvánosságra hozhatók olyan módon, amelyről Ön nem szerezhet tudomást.
Az államok is védhetik az egészségügyi magánéletet. Szövetségi törvényként a HIPAA egy nemzeti “alsó határt” állapít meg, de lehetővé teszi az államok számára, hogy erősebb betegjogi védelmet biztosítsanak. A kaliforniai törvények egyes területeken erősebbek a HIPAA-nál.
Az orvosi adatvédelemmel kapcsolatos konkrét témák megértéséhez hasznos, ha tisztában vagyunk az orvosi információkra vonatkozó állami és szövetségi törvények sokaságával. Olvassa el az orvosi adatvédelmi jogszabályokról szóló útmutatónkat.
Milyen információk vannak az orvosi feljegyzésekben?
Az orvosi nyilvántartásokban gyűjtött és megosztott orvosi és nem orvosi információk a következők:
- Az alapvető demográfiai adatok, mint például a cím, telefonszám(ok), e-mail cím, életkor, nem és faj.
- Teljes név és számlaszám és néha társadalombiztosítási szám. A társadalombiztosítási számok használata a személyazonossági lopás veszélye miatt nem ajánlott. Emiatt egyes – bár messze nem minden – egészségügyi szolgáltatók ma már nem társadalombiztosítási számot, hanem hozzárendelt betegazonosító számot használnak.
- Kórelőzmény: diagnózisok, kezelések, diagnosztikai vizsgálati eredmények és receptek, valamint ismert egészségügyi állapotok, allergiák és drog/alkohol/dohányzási szokások.
- Számlázási és fizetési információk.
- A felvételi űrlapokon megadott információk a közvetlen családtagjairól, beleértve bizonyos betegségek, például rák vagy cukorbetegség előfordulását.
Mikor nem tartoznak a HIPAA hatálya alá az egészségügyi információk?
Sok esetben a HIPAA hatálya alá nem tartozó szervezetek is rendelkeznek orvosi információkkal. Néha más adatvédelmi törvények vonatkoznak ezekre a szervezetekre, néha nem.
Az egészségügyi információk, ha nem is teljes nyilvántartások, de bekerülnek a pénzügyi nyilvántartásokba; például amikor Ön hitelkártyával fizet a receptekért vagy a pszichiátriai kezelésért. Az iskolai nyilvántartások tartalmazhatnak fizikai vizsgálatokról, viselkedési értékelésekről vagy sportsérülések kezeléséről szóló feljegyzéseket; ezek az információk általában a FERPA (Family Educational Rights and Privacy Act) hatálya alá tartoznak. A munkaügyi nyilvántartások is tartalmazhatnak egészségügyi információkat.
Létezik az általunk önkéntesen átadott információk digitális süllyesztője is. Ezek lehetnek azonosítható információk a közösségi médiában, egészséggel kapcsolatos weboldalakon és csevegőcsoportokban, vagy mobil egészségügyi és fitneszalkalmazásokban. Ez lehet azonosítástól megfosztott nyomkövető információ is, amelyet minden weboldal összegyűjt, és esetleg más adatokkal kombinálva azonosíthatóvá tesz.
Ki férhet hozzá az egészségügyi adataihoz?
A HIPAA és számos más törvény értelmében számos ügynökség és szervezet rendelkezik törvényes hozzáféréssel az orvosi adatokhoz. Kezdjük azzal, hogy a biztosítók általában hozzáféréssel rendelkeznek – nem csak az egészségügyi tervek, hanem az életbiztosítások, a hosszú távú ápolás és a sérülések orvosi térítésével járó gépjármű-biztosítások is. Számos kormányzati ügynökség is hozzáféréssel rendelkezik, beleértve a Medicare, a Medicaid, a társadalombiztosítási rokkantsági rendszer, a Workers Comp, az állami és szövetségi közegészségügyi hivatalok – a lista folytatható.
Az Orvosi Információs Iroda (MIB) emellett összegyűjti az összes orvosi adatot, amelyet biztosítási kérelem benyújtásakor ki kell adnia. 2014 után azonban a Megfizethető egészségügyi ellátásról szóló törvény (Affordable Care Act, ACA) megszünteti a már meglévő állapotok alkalmazását, mint az egészségbiztosítás megszerzésének tényezőjét, így a betegeknek nem kell majd kiadniuk az orvosi feljegyzéseket az igénylési folyamat részeként. Ezek a feljegyzések segítenek a biztosítóknak ellenőrizni, hogy Ön a valóságnak megfelelően töltötte-e ki a kérelmét.
Léteznek gyógyszerellátási menedzserek (Pharmacy Benefit Managers, PBM) is, amelyek az egészségügyi tervek gyógyszerellátási programjait kezelik. A PBM-ek rendelkeznek az Ön teljes vénytörténetével – gyógyszerekkel, dátumokkal, adagolással és azzal, hogy ki írta fel azokat -, mivel az ő szerepükhöz tartozik az Ön jogosultságának ellenőrzése és a gyógyszerek jóváhagyása. Az azonosítatlan információkat (amelyek nem tartoznak a HIPAA hatálya alá, mivel a személyazonosításra alkalmas adatokat eltávolították) eladják adatbányászoknak, akik ezeket különböző típusú jelentések formájában csomagolva értékesítik tovább.
A munkáltatók hozzáférhetnek az egészségügyi információkhoz a háttérellenőrzések során, amikor Ön állásra jelentkezik, bár ehhez előbb írásos engedélyt kell kérniük. Ha munkavállalói wellness-programokat működtetnek vagy szerződnek velük, akkor hozzáférhetnek azokhoz az információkhoz, amelyek arról szólnak, hogy Ön sportol-e vagy fogy-e, valóban leszokott-e a dohányzásról, vagy sikerül-e kordában tartania dühkezelési problémáját.
Amint fentebb említettük, a bűnüldöző szervek számára az egészségügyi adatokhoz való hozzáféréshez való hozzájárulás tekintetében vannak szokásos kivételek, valamint a bírósági és közigazgatási eljárásokra vonatkozó kivételek. A nemzetbiztonsági célokból szerzett információk sokkal titokzatosabbak, és Ön valószínűleg nem fogja megtudni, hogy az adatait nyilvánosságra hozták, kivéve, ha elég szerencsétlen ahhoz, hogy kormányzati büntetőeljárás tárgyát képezze.
Egy másik terület, ahol az emberek a szabályozások határain kívül egészségügyi információkat adnak ki, az informális egészségügyi szűrések, az egészségügyi vásárok és a kereskedelmi forgalomba hozott oltási programok (mint például az influenza elleni oltás a Costco-ban vagy az övsömör elleni oltás a Walgreen’s-ben).
Összefoglaló: Ki férhet hozzá az Ön egészségügyi adataihoz?
életbiztosítás
autóbiztosítás
hosszú távú rokkantsági biztosítás
munkaadók
egészségügyi információs iroda
gyógyszertári előnykezelők
kormányzati szervek, például Medicare, Medicaid, Social Security Disability, Workers Comp
State and federal public health department
Law enforcement and courts
National security entities
What right or control have you have on your medical information?
Ön a sor végén áll, amikor arról van szó, hogy beleszólása legyen abba, mi történik az Ön személyes egészségügyi adataival, de vannak bizonyos jogai.
Meg kell kapnia az adatvédelmi gyakorlatról szóló értesítést (NPP), amelyből megtudhatja, hogy a szolgáltatók hogyan használják fel az adatait (ami azt jelenti, hogy nincs választási lehetősége), és hogy milyen jogai vannak. A szolgáltatónak szüksége van az Ön írásos engedélyére a nemi betegségekkel, a kábítószerrel való visszaéléssel kapcsolatos kezelésekkel és a pszichoterápiás feljegyzésekkel kapcsolatos információk nyilvánosságra hozatalához. Írásos engedélyre van szükség a vényre vonatkozó emlékeztetőkön kívüli bármilyen marketingtevékenységhez is. Ön kérhet és kaphat másolatot a nyilvántartásairól, és kérheti azok helyesbítését. Ha Ön maga fizeti a kezelését, és megkéri a szolgáltatót, hogy ne adja át az információt egy biztosítónak, akkor az nem adható át.
Az orvosi információk ezen túlmenően adatsértés során is nyilvánosságra kerülhetnek, akár az egészségügyi szolgáltató hanyagsága, akár egy rosszindulatú hacker cselekménye, akár más módon. 2005-2013 között az Adatvédelmi Jogok Információs Központja (Privacy Rights Clearinghouse) 1118 olyan egészségügyi adatbetörésről szóló jelentést gyűjtött össze, amelyek potenciálisan több mint 29 000 000 érzékeny adatot tettek közzé. Egyes esetekben az egészségügyi adatok megsértése jelentős bírságokat is eredményezhet. A szövetségi kormány most már az egészségügyi adatok megsértésére vonatkozó információkat is közzéteszi, amelyek az érintett személyek becsült számát is tartalmazzák.
Az egészségügyi információk elektronikus megosztására vonatkozó irányelvek még nem rendeződtek, de az alapértelmezettnek az tűnik, hogy a kezelésre, fizetésre és egészségügyi műveletekre vonatkozó feltételezett HIPAA hozzájáruláson túl nem szükséges további hozzájárulás ahhoz, hogy az orvosi feljegyzéseket a digitális adatfolyamba helyezzék.
Bővebben az egészségügyi adatvédelmi jogszabályokról.
Források és blogok:
A CalOHII (California Office of Health Information Integrity) hasznos és jól rendszerezett részleggel rendelkezik az egészségügyi információk védelmére vonatkozó szövetségi és kaliforniai törvényekről és rendeletekről.
California Health Information Law Identification (CHILI) A CHILI egy keresőeszköz, amely segítséget nyújt az egyénileg azonosítható egészségügyi információk adatvédelmével, hozzáférésével és biztonságával kapcsolatos kaliforniai törvények és rendeletek azonosításában.
California Office of the Attorney General (az összes kaliforniai adatvédelmi törvényre mutató linkekért)
Center for Democracy and Technology’s Health Privacy Project
Citizens’ Council for Health Freedom
Council for Responsible Genetics
Department of Health and Human Services and Department of Education: Közös útmutató a családi oktatási jogokról és az adatvédelemről szóló törvény (FERPA) és az 1996. évi egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA) alkalmazásáról a diákok egészségügyi adataira. (a FERPA és a HIPAA kölcsönhatásáról)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
The UC Berkeley Chancellor’s Office has a good summary of the Information Practices Act.
World Privacy Forum’s Patient’s Guide to HIPAA