Sommige van de gevoeligste gegevens ter wereld, zoals recepten, medische dossiers, seksuele voorgeschiedenis en informatie over medicijngebruik, gaan de digitale wereld in. De digitalisering van medische dossiers wordt verkocht als een kans om een revolutie in de gezondheidszorg teweeg te brengen. Maar hoewel digitale medische dossiers zeker bijzondere voordelen met zich meebrengen, heeft deze technologische innovatie ook enorme gevolgen voor onze privacy.
EFF’s medische privacy project onderzoekt opkomende kwesties in de medische privacy, kijkend naar hoe achterblijvende medische privacy wetten en snel voortschrijdende technologische innovatie patiënten kwetsbaar maken voor het blootleggen, misbruiken of verkeerd interpreteren van hun medische gegevens.
We willen allemaal dat onze medische gegevens privé zijn, omdat we vinden dat dit iets is wat tussen ons en onze zorgverleners moet blijven. Helaas is dat vaak niet het geval.
Veel persoonlijke gezondheidsgegevens circuleren alleen al in het proces van het verstrekken en betalen van behandelingen en recepten. Verplichte rapportage – bijvoorbeeld voor volksgezondheidsdoeleinden – brengt een enorme hoeveelheid identificeerbare gezondheidsinformatie met zich mee. En we geven allemaal onbewust veel informatie over onze gezondheid vrijwillig of om een vermeend voordeel te ontvangen – online posten over een ziekte of aandoening, een zoekmachine gebruiken om informatie over de griep te zoeken, solliciteren naar een baan, lid worden van een sportschool, en handelen op een verscheidenheid van andere manieren.
Wetgeving over privacy in de gezondheidszorg
De Verenigde Staten hebben geen universele wet over privacy van informatie die vergelijkbaar is met bijvoorbeeld de EU-richtlijn over gegevensbescherming. De wetten die er zijn, zijn sectorspecifiek en lopen sterk uiteen. De basiswet voor gezondheidsinformatie is de Health Insurance Portability and Accountability Act (HIPAA). De HIPAA biedt patiënten een aantal rechten, maar is zeer beperkt omdat zij alleen van toepassing is op een entiteit die door de wet wordt beschouwd als een “gedekte entiteit” – d.w.z. een zorgaanbieder, een gezondheidsplan of een clearinghouse voor de gezondheidszorg – of een relevante business associate (BA). Dit betekent dat HIPAA niet van toepassing is op veel entiteiten die medische informatie kunnen ontvangen, zoals een app op uw mobiele telefoon of een genetische testdienst zoals 23andme.
Realistisch gezien is HIPAA een wet op de openbaarmaking, niet een privacywet: Het regelt hoe uw gezondheidsinformatie openbaar mag worden gemaakt, zowel met als zonder uw toestemming. Er is geen toestemming nodig voor behandeling, betaling of gezondheidszorgactiviteiten. Uw arts kan bijvoorbeeld met een andere arts over uw laatste verwonding overleggen zonder uw toestemming te vragen, omdat dat deel uitmaakt van de behandeling van uw verwonding.
Individuele medische informatie kan ook zonder uw toestemming worden vrijgegeven voor volksgezondheidsrapportages, om de rechtshandhaving bij te staan en voor gerechtelijke en administratieve doeleinden, of om te bepalen of u in aanmerking komt voor uitkeringen en diensten. Het kan ook openbaar worden gemaakt op manieren die u niet kunt achterhalen voor nationale veiligheidsdoeleinden.
Staten kunnen ook de medische privacy beschermen. Als federale wet stelt de HIPAA een nationale “bodem” vast, maar staat toe dat staten de privacy van patiënten beter beschermen. De Californische wetgeving is op sommige gebieden sterker dan de HIPAA.
Om specifieke onderwerpen met betrekking tot medische privacy te begrijpen, is het nuttig om inzicht te hebben in de lappendeken van staats- en federale wetten die van toepassing zijn op medische informatie. Lees onze gids over de medische privacywetgeving.
Welke informatie staat er in medische dossiers?
Medische en niet-medische informatie die in medische dossiers wordt verzameld en gedeeld, omvat:
- Basis demografische gegevens zoals adres, telefoonnummer(s), emailadres, leeftijd, geslacht en ras.
- Volledige naam en rekeningnummer en soms sofinummer. Het gebruik van sofi-nummers is af te raden vanwege het risico van ID-diefstal. Daarom gebruiken sommige, maar lang niet alle, zorgverleners nu een toegewezen patiënt ID-nummer, in plaats van een sofinummer.
- Medische voorgeschiedenis: diagnoses, behandelingen, diagnostische testresultaten, en recepten, samen met bekende medische aandoeningen, allergieën, en drugs / alcohol / roken gewoonten.
- Factuur- en betalingsgegevens.
- Informatie die u op intakeformulieren verstrekt over uw naaste familieleden, met inbegrip van de voorgeschiedenis van bepaalde ziekten, zoals kanker of diabetes.
Wanneer valt medische informatie niet onder de HIPAA?
In veel situaties beschikken instanties die niet onder de HIPAA vallen over medische informatie. Soms zijn op die entiteiten andere privacywetten van toepassing, soms niet.
Gezondheidsinformatie, zo niet volledige dossiers, vindt zijn weg in financiële dossiers; bijvoorbeeld wanneer u betaalt voor recepten of psychiatrische behandeling met een creditcard. Schooldossiers kunnen dossiers bevatten van lichamelijke onderzoeken, gedragsbeoordelingen, of behandeling voor sportblessures; deze informatie valt meestal onder FERPA (Family Educational Rights and Privacy Act). Arbeidsdossiers kunnen ook gezondheidsinformatie bevatten.
Er is ook de digitale sinkhole van informatie die we vrijwillig prijsgeven. Dit kan identificeerbare informatie zijn op sociale media, gezondheidsgerelateerde websites en chatgroepen, of mobiele gezondheids- en fitnessapps. Het kan ook niet-geïdentificeerde tracking-informatie zijn die elke website verzamelt en mogelijk combineert met andere gegevens om het identificeerbaar te maken.
Wie heeft toegang tot uw medische gegevens?
Veel instanties en organisaties hebben op grond van de HIPAA en vele andere wetten toegang tot medische gegevens. Om te beginnen hebben verzekeraars over het algemeen toegang – niet alleen ziektekostenverzekeringen, maar ook levensverzekeringen, langdurige zorg, en autoverzekeringen met medische vergoeding voor verwondingen. Talrijke overheidsinstanties hebben ook toegang, waaronder Medicare, Medicaid, socialezekerheidsuitkeringen, arbeidsongevallenverzekering, staats- en federale volksgezondheidsdiensten – de lijst gaat maar door.
Bovendien verzamelt het Medisch Informatie Bureau (MIB) alle medische dossiers die u moet vrijgeven wanneer u een verzekering aanvraagt. Na 2014 zal de Affordable Care Act (ACA) echter het gebruik van reeds bestaande aandoeningen als een factor voor het krijgen van een ziektekostenverzekering elimineren, zodat patiënten geen medische dossiers hoeven vrij te geven als onderdeel van het aanvraagproces. Deze gegevens helpen verzekeraars te controleren of u uw aanvraag naar waarheid hebt ingevuld.
Er zijn ook Pharmacy Benefit Managers (PBM’s), die geneesmiddelenprogramma’s voor ziektekostenverzekeringen beheren. PBM’s hebben uw hele receptgeschiedenis – geneesmiddelen, datums, dosering en wie ze heeft voorgeschreven – omdat een deel van hun rol is om te controleren of u in aanmerking komt en goedkeuring te krijgen voor uw medicatie. Ze verkopen ook ongeïdentificeerde informatie (die niet onder de HIPAA valt omdat persoonlijk identificeerbare informatie is verwijderd) aan datamijnwerkers, die het doorverkopen in de vorm van verschillende soorten rapporten.
Werkgevers hebben toegang tot gezondheidsinformatie bij achtergrondcontroles wanneer u solliciteert naar een baan, hoewel ze geacht worden eerst uw schriftelijke toestemming te krijgen. Als ze exploiteren of uitbesteden werknemer wellness-programma’s, kunnen ze toegang hebben tot informatie over de vraag of je sport of gewicht te verliezen, zijn echt gestopt met roken, of slagen in het beheersen van uw woede management probleem.
Zoals hierboven vermeld, zijn er standaard uitzonderingen op de toestemming voor toegang tot medische dossiers ten behoeve van de rechtshandhaving, alsmede uitzonderingen voor gerechtelijke en administratieve processen. Informatie die is verkregen voor nationale veiligheidsdoeleinden is meer mysterieus, en het is onwaarschijnlijk dat u weet dat uw gegevens zijn vrijgegeven, tenzij u de pech hebt dat u het onderwerp bent van vervolging door de overheid.
Een ander gebied buiten de grenzen van de regelgeving waar mensen medische informatie afstaan, is bij informele gezondheidsonderzoeken, op gezondheidsbeurzen en via commercieel beheerde vaccinatieprogramma’s (zoals griepprikken bij Costco of gordelroosvaccinaties bij Walgreen’s).
Samenvatting: wie kan toegang hebben tot uw medische gegevens?
Levensverzekering
autoverzekering
langetermijn arbeidsongeschiktheidsverzekering
werkgevers
Medisch Informatiebureau
Pharmacy Benefit Managers
overheidsinstanties, zoals Medicare, Medicaid,
staats- en federale gezondheidsdiensten
wetshandhaving en rechtbanken
nationale veiligheidsdiensten
Welke rechten of zeggenschap hebt u over uw medische gegevens?
U staat achteraan in de rij als het gaat om zeggenschap over wat er met uw persoonlijke gezondheidsinformatie gebeurt, maar u hebt wel enkele rechten.
U moet een kennisgeving van privacypraktijken (NPP) krijgen die u vertelt hoe providers uw informatie gebruiken (wat betekent dat u geen keuze hebt) en wat uw rechten zijn. Een provider heeft uw schriftelijke toestemming nodig om informatie over SOA’s, behandeling van middelenmisbruik en psychotherapienotities openbaar te maken. Schriftelijke toestemming is ook nodig voor elke vorm van marketing, behalve voor herinneringen aan recepten. U kunt kopieën van uw gegevens opvragen en ontvangen en om correcties vragen. Als u voor uw eigen behandeling betaalt en een zorgverlener vraagt om de informatie niet aan een verzekeraar door te geven, kan deze niet worden doorgegeven.
Bovendien kan medische informatie worden vrijgegeven bij een datalek, hetzij door nalatigheid van een zorgverlener, de daden van een kwaadwillende hacker, of op een andere manier. In de periode 2005-2013 heeft het Privacy Rights Clearinghouse meldingen verzameld van 1 118 inbreuken op medische gegevens waarbij mogelijk meer dan 29 000 000 gevoelige dossiers zijn blootgesteld. Inbreuken op medische dossiers kunnen in sommige gevallen ook resulteren in aanzienlijke boetes. De federale overheid publiceert nu ook informatie over inbreuken op medische gegevens, met inbegrip van een schatting van het aantal getroffen personen.
Het beleid voor het elektronisch delen van gezondheidsinformatie is nog niet geregeld, maar de standaard lijkt te zijn dat er geen extra toestemming nodig is naast de veronderstelde HIPAA-toestemming voor behandeling, betaling en gezondheidszorgactiviteiten voor het plaatsen van uw medische dossiers in de digitale gegevensstroom.
Lees meer over de medische privacywetgeving.
Bronnen en blogs:
CalOHII (California Office of Health Information Integrity) heeft een nuttige en overzichtelijke sectie over federale en Californische wet- en regelgeving met betrekking tot de privacy van gezondheidsinformatie.
California Health Information Law Identification (CHILI) CHILI is een zoekhulpmiddel dat helpt bij het identificeren van Californische wet- en regelgeving met betrekking tot de privacy, toegang en beveiliging van individueel identificeerbare gezondheidsinformatie.
California Office of the Attorney General (voor links naar alle privacywetten van Californië)
Center for Democracy and Technology’s Health Privacy Project
Citizens’ Council for Health Freedom
Council for Responsible Genetics
Department of Health and Human Services en Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (voor de wisselwerking tussen FERPA en HIPAA)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
The UC Berkeley Chancellor’s Office heeft een goede samenvatting van de Information Practices Act.
World Privacy Forum’s Patient’s Guide to HIPAA