Privacy medica

Alcune delle informazioni più sensibili al mondo – la nostra storia di prescrizioni, le cartelle cliniche, la storia sessuale, le informazioni sull’uso dei farmaci e altro ancora – stanno entrando nel mondo digitale. La digitalizzazione delle cartelle cliniche viene venduta come un’opportunità per rivoluzionare l’assistenza sanitaria. Ma mentre le cartelle cliniche digitali hanno sicuramente dei benefici speciali, questa innovazione tecnologica ha anche enormi ramificazioni per la nostra privacy.

Il progetto sulla privacy medica di EFF esamina i problemi emergenti nella privacy medica, guardando come le leggi sulla privacy medica in ritardo e l’innovazione tecnologica che avanza rapidamente lasciano i pazienti vulnerabili ad avere i loro dati medici esposti, abusati o mal interpretati.

• 
• 
• 
• 

• 
• 
• 

Tutti vogliamo che le nostre informazioni mediche siano private, perché crediamo che dovrebbero essere qualcosa che rimane tra noi e i nostri operatori sanitari. Sfortunatamente, questo spesso non è il caso.

Molti dati sanitari personali circolano solo nel processo di fornire e pagare per il trattamento e le prescrizioni. I rapporti obbligatori – per esempio, per scopi di salute pubblica – raccolgono un enorme volume di informazioni sanitarie identificabili. E tutti noi inconsapevolmente diamo molte informazioni sulla nostra salute volontariamente o per ricevere un beneficio percepito – pubblicando online una malattia o una condizione, usando un motore di ricerca per cercare informazioni sull’influenza, facendo domanda per un lavoro, iscrivendosi in una palestra, e agendo in una varietà di altri modi.

Le leggi sulla privacy della salute

Gli Stati Uniti non hanno una legge universale sulla privacy delle informazioni che sia paragonabile, per esempio, alla direttiva europea sulla protezione dei dati. Le leggi che esistono sono specifiche del settore e variano considerevolmente. La legge di base per le informazioni sanitarie è l’Health Insurance Portability and Accountability Act (HIPAA). L’HIPAA offre alcuni diritti ai pazienti, ma è severamente limitata perché si applica solo a un’entità se è ciò che la legge considera essere un'”entità coperta” – vale a dire: un fornitore di assistenza sanitaria, un piano sanitario o una stanza di compensazione dell’assistenza sanitaria – o un associato commerciale pertinente (BA). Questo significa che l’HIPAA non si applica a molte entità che possono ricevere informazioni mediche, come un’applicazione sul vostro telefono cellulare o un servizio di test genetici come 23andme.

Realisticamente, HIPAA è una legge di regolamentazione della divulgazione, non una legge sulla privacy: Regola come le tue informazioni sanitarie possono essere divulgate, sia con che senza il tuo consenso. Nessun consenso è necessario per il trattamento, il pagamento o le operazioni di assistenza sanitaria. Per esempio, il tuo medico può consultare un altro medico sul tuo ultimo infortunio senza ottenere il tuo consenso perché questo fa parte del trattamento del tuo infortunio.

Le informazioni mediche individuali possono anche essere divulgate senza il tuo consenso per la segnalazione della salute pubblica, per assistere le forze dell’ordine, e per scopi giudiziari e amministrativi, o per determinare la tua idoneità ai benefici e ai servizi. Possono anche essere divulgate in modi che non puoi conoscere per scopi di sicurezza nazionale.

Gli stati possono anche proteggere la privacy medica. Come legge federale, l’HIPAA stabilisce una “base” nazionale, ma permette agli stati di avere protezioni della privacy del paziente più forti. La legge della California in alcune aree è più forte dell’HIPAA.

Per comprendere argomenti specifici relativi alla privacy medica, è utile avere una comprensione del mosaico di leggi statali e federali che si applicano alle informazioni mediche. Leggete la nostra guida alla legge sulla privacy medica.

Quali informazioni sono contenute nelle cartelle cliniche?

Le informazioni mediche e non mediche che vengono raccolte e condivise nelle cartelle cliniche includono:

• Dati demografici di base come indirizzo, numero(i) di telefono, indirizzo e-mail, età, sesso e razza.
• Nome completo e numero di conto corrente e a volte numero di previdenza sociale. L’uso dei numeri di previdenza sociale è sconsigliato a causa del rischio di furto di identità. A causa di questo, alcuni, anche se non tutti, fornitori di servizi sanitari ora usano un numero di identificazione del paziente assegnato, piuttosto che un numero di previdenza sociale.
• Anamnesi medica: diagnosi, trattamenti, risultati di test diagnostici, e prescrizioni, insieme a condizioni mediche note, allergie, e abitudini di droga/alcol/fumo.

• Informazioni su fatturazione e pagamento.

• Informazioni che fornisci sui moduli di assunzione sui tuoi familiari più stretti, inclusa qualsiasi storia di certe malattie, come cancro o diabete.

Quando le informazioni mediche non sono coperte da HIPAA?

In molte situazioni, entità che non sono coperte da HIPAA hanno informazioni mediche. A volte si applicano altre leggi sulla privacy a queste entità, a volte no.

Le informazioni sanitarie, se non sono registri completi, trovano la loro strada nei registri finanziari; per esempio, quando si pagano le prescrizioni o il trattamento psichiatrico con una carta di credito. I registri scolastici possono contenere registrazioni di esami fisici, valutazioni comportamentali o trattamenti per lesioni sportive; queste informazioni sono di solito coperte dal FERPA (Family Educational Rights and Privacy Act). Anche i documenti di lavoro possono contenere informazioni sanitarie.

C’è anche la voragine digitale delle informazioni che diamo volontariamente. Queste possono essere informazioni identificabili sui social media, siti web e gruppi di chat relativi alla salute, o applicazioni mobili di salute e fitness. Possono anche essere informazioni di tracciamento de-identificate che ogni sito web raccoglie e può combinare con altri dati per renderli identificabili.

Chi ha accesso alle tue cartelle cliniche?

Molte agenzie e organizzazioni hanno accesso legale alle informazioni mediche secondo l’HIPAA e molte altre leggi. Per cominciare, gli assicuratori hanno generalmente accesso – non solo i piani sanitari, ma l’assicurazione sulla vita, l’assistenza a lungo termine, e l’assicurazione auto con rimborso medico per le lesioni. Anche numerose agenzie governative hanno accesso, tra cui Medicare, Medicaid, Social Security Disability, Workers Comp, dipartimenti statali e federali di salute pubblica – la lista continua.

Inoltre, il Medical Information Bureau (MIB) raccoglie tutte le cartelle cliniche che siete tenuti a rilasciare quando fate domanda di assicurazione. Dopo il 2014, tuttavia, l’Affordable Care Act (ACA) eliminerà l’uso di condizioni preesistenti come fattore per ottenere l’assicurazione sanitaria, quindi i pazienti non avranno bisogno di rilasciare le cartelle cliniche come parte del processo di applicazione. Queste registrazioni aiutano gli assicuratori a verificare che avete compilato la vostra domanda in modo veritiero.

Ci sono anche i Pharmacy Benefit Managers (PBM), che amministrano i programmi di benefici farmacologici per i piani sanitari. I PBM hanno tutta la storia delle tue prescrizioni – farmaci, date, dosaggio, e chi li ha prescritti – perché parte del loro ruolo è quello di verificare la tua idoneità e ottenere l’approvazione per i tuoi farmaci. Vendono anche informazioni de-identificate (non coperte dall’HIPAA perché le informazioni di identificazione personale sono state rimosse) ai data miners, che le rivendono confezionate come diversi tipi di rapporti.

I datori di lavoro hanno accesso alle informazioni sulla salute nei controlli dei precedenti quando ti candidi per un lavoro, anche se dovrebbero prima ottenere il tuo permesso scritto. Se gestiscono o appaltano programmi di benessere per i dipendenti, possono avere accesso a informazioni sul fatto che stai facendo esercizio o perdendo peso, che hai davvero smesso di fumare o che stai riuscendo a controllare il tuo problema di gestione della rabbia.

Come detto sopra, ci sono eccezioni standard al consenso di accesso alle cartelle cliniche per le forze dell’ordine, così come eccezioni per processi giudiziari e amministrativi. Le informazioni ottenute per scopi di sicurezza nazionale sono più misteriose, ed è improbabile che sappiate che i vostri registri sono stati divulgati a meno che non siate abbastanza sfortunati da trovarvi oggetto di un’azione penale da parte del governo.

Un’altra area al di fuori dei confini dei regolamenti in cui le persone danno informazioni mediche è negli screening informali della salute, alle fiere della salute, e attraverso programmi di vaccinazione amministrati commercialmente (come i vaccini antinfluenzali da Costco o le vaccinazioni per l’herpes zoster da Walgreen).

Quali diritti o controllo hai sulle tue informazioni mediche?

Sei in fondo alla fila quando si tratta di avere voce in capitolo su ciò che accade con le tue informazioni sanitarie personali, ma hai alcuni diritti.

Ti deve essere dato un avviso sulle pratiche di privacy (NPP) che ti dice come i fornitori usano le tue informazioni (il che significa che non hai scelta) e quali sono i tuoi diritti. Un fornitore ha bisogno della vostra autorizzazione scritta per divulgare informazioni sulle malattie sessualmente trasmissibili, sul trattamento dell’abuso di sostanze e sulle note di psicoterapia. L’autorizzazione scritta è necessaria anche per qualsiasi tipo di marketing diverso dai promemoria delle prescrizioni. Puoi chiedere e ricevere copie dei tuoi registri e richiedere correzioni. Se si paga il proprio trattamento e si chiede a un fornitore di non divulgare le informazioni a un assicuratore, non possono essere divulgate.

Inoltre, le informazioni mediche possono essere esposte in una violazione dei dati, sia per la negligenza di un fornitore di assistenza sanitaria, sia per gli atti di un hacker malintenzionato, o per qualche altro mezzo. Dal 2005-2013, la Privacy Rights Clearinghouse ha raccolto i rapporti di 1.118 violazioni di dati medici che hanno potenzialmente esposto oltre 29.000.000 di record sensibili. In alcuni casi, le violazioni dei dati medici possono anche comportare multe significative. Il governo federale ora pubblica anche informazioni sulle violazioni dei dati medici, che includono una stima del numero di individui interessati.

Le politiche per la condivisione delle informazioni sanitarie per via elettronica non sono ancora definite, ma sembra che per default non sia richiesto alcun consenso aggiuntivo oltre a quello presunto dell’HIPAA per il trattamento, il pagamento e le operazioni sanitarie per mettere le cartelle cliniche nel flusso di dati digitali.

Leggi di più sulla legge sulla privacy medica.

Risorse e blog:

CalOHII (California Office of Health Information Integrity) ha una sezione utile e ben organizzata sulle leggi e i regolamenti federali e della California riguardanti la privacy delle informazioni sanitarie.

California Health Information Law Identification (CHILI) CHILI è uno strumento di ricerca che aiuta a identificare gli statuti e i regolamenti della California relativi alla privacy, all’accesso e alla sicurezza delle informazioni sanitarie identificabili individualmente.

California Office of the Attorney General (per link a tutte le leggi sulla privacy della California)

Center for Democracy and Technology’s Health Privacy Project

Citizens’ Council for Health Freedom

Council for Responsible Genetics

Department of Health and Human Services and Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (per come FERPA e HIPAA interagiscono)

Genetic Alliance

GeneWatch UK

Genomic Law Report

HealthLawProf Blog

Indiana University Center for Bioethics Newborn Blood Spot Banking: Approcci al consenso – PredictER Law and Policy Update

National Human Genome Research Institute Genome Statute and Legislation Database

Patient Privacy Rights

Privacy Rights Clearinghouse’s Medical Privacy Project

The UC Berkeley Chancellor’s Office has a good summary of the Information Practices Act.

Guida del paziente del World Privacy Forum all’HIPAA

.