Niektóre z najbardziej wrażliwych informacji na świecie – historia naszych recept, dokumentacja medyczna, historia seksualna, informacje o stosowaniu leków i inne – wkraczają w świat cyfrowy. Cyfryzacja dokumentacji medycznej jest sprzedawana jako okazja do zrewolucjonizowania opieki zdrowotnej. Ale chociaż cyfrowa dokumentacja medyczna z pewnością przynosi szczególne korzyści, ta innowacja technologiczna ma również ogromne konsekwencje dla naszej prywatności.
Projekt EFF dotyczący prywatności w medycynie bada pojawiające się kwestie prywatności w medycynie, patrząc na to, jak opóźnione w rozwoju prawa dotyczące prywatności w medycynie i szybko postępujące innowacje technologiczne pozostawiają pacjentów podatnymi na ujawnienie, nadużycie lub niewłaściwe interpretowanie ich danych medycznych.
Wszyscy chcemy, aby nasze informacje medyczne były prywatne, ponieważ uważamy, że powinny one pozostać między nami a naszymi dostawcami usług medycznych. Niestety, często tak nie jest.
Wiele osobistych danych zdrowotnych krąży tylko w procesie dostarczania i płacenia za leczenie i recepty. Obowiązkowe raportowanie – na przykład dla celów zdrowia publicznego – powoduje odkurzanie ogromnej ilości informacji o stanie zdrowia, które można zidentyfikować. I wszyscy bezmyślnie podajemy wiele informacji o naszym zdrowiu dobrowolnie lub w celu uzyskania postrzeganych korzyści – publikując w Internecie informacje o chorobie lub stanie zdrowia, używając wyszukiwarki w celu znalezienia informacji o grypie, ubiegając się o pracę, dołączając do siłowni i działając na wiele innych sposobów.
Prawa dotyczące prywatności w ochronie zdrowia
Stany Zjednoczone nie mają uniwersalnego prawa dotyczącego prywatności informacji, które byłoby porównywalne, na przykład, z dyrektywą UE o ochronie danych. Istniejące przepisy są specyficzne dla danego sektora i znacznie się różnią. Podstawowym prawem dotyczącym informacji zdrowotnych jest Ustawa o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (Health Insurance Portability and Accountability Act, HIPAA). HIPAA oferuje pacjentom pewne prawa, ale są one poważnie ograniczone, ponieważ mają zastosowanie do podmiotu tylko wtedy, gdy jest on tym, co prawo uznaje za „podmiot objęty” – czyli: świadczeniodawcę opieki zdrowotnej, plan opieki zdrowotnej lub dom rozliczeniowy opieki zdrowotnej – lub odpowiedniego partnera biznesowego (BA). Oznacza to, że HIPAA nie ma zastosowania do wielu podmiotów, które mogą otrzymywać informacje medyczne, takie jak aplikacja w telefonie komórkowym lub usługi badań genetycznych, takich jak 23andme.
Realistycznie rzecz biorąc, HIPAA jest prawem regulującym ujawnianie informacji, a nie prawem dotyczącym prywatności: Reguluje sposób, w jaki informacje o twoim zdrowiu mogą być ujawnione, zarówno za, jak i bez twojej zgody. Zgoda nie jest konieczna do leczenia, płatności lub operacji opieki zdrowotnej. Na przykład, lekarz może skonsultować się z innym lekarzem na temat ostatniego urazu bez uzyskania zgody pacjenta, ponieważ jest to część leczenia urazu.
Indywidualne informacje medyczne mogą być również ujawnione bez zgody pacjenta dla celów sprawozdawczości w zakresie zdrowia publicznego, pomocy w egzekwowaniu prawa oraz dla celów sądowych i administracyjnych, lub w celu określenia uprawnień do świadczeń i usług. Mogą być również ujawnione w sposób, o którym nie możesz się dowiedzieć, dla celów bezpieczeństwa narodowego.
Państwa mogą również chronić prywatność medyczną. Jako prawo federalne, HIPAA ustanawia krajową „podłogę”, ale pozwala stanom mieć silniejszą ochronę prywatności pacjenta. Prawo kalifornijskie w niektórych obszarach jest silniejsze niż HIPAA.
W celu zrozumienia konkretnych tematów związanych z prywatnością medyczną, pomocne jest zrozumienie mozaiki praw stanowych i federalnych, które odnoszą się do informacji medycznych. Przeczytaj nasz przewodnik po prawie dotyczącym prywatności medycznej.
Jakie informacje znajdują się w dokumentacji medycznej?
Informacje medyczne i niemedyczne, które są gromadzone i udostępniane w dokumentacji medycznej, obejmują:
- Podstawowe dane demograficzne, takie jak adres, numer(y) telefonu, adres e-mail, wiek, płeć i rasa.
- Pełne imię i nazwisko oraz numer konta, a czasami numer Social Security Number. Używanie numerów Social Security jest odradzane ze względu na ryzyko kradzieży tożsamości. Z tego powodu niektórzy, choć nie wszyscy, dostawcy usług zdrowotnych używają obecnie przypisanego numeru identyfikacyjnego pacjenta, a nie numeru Social Security Number.
- Historia medyczna: diagnozy, leczenie, wyniki testów diagnostycznych i recepty, wraz ze znanymi warunkami medycznymi, alergiami i nawykami dotyczącymi narkotyków/alkoholu/palenia.
- Informacje o rozliczeniach i płatnościach.
- Informacje podawane przez pacjenta w formularzach o członkach najbliższej rodziny, w tym historia niektórych chorób, takich jak rak lub cukrzyca.
Kiedy informacje medyczne nie są objęte przepisami HIPAA?
W wielu sytuacjach informacje medyczne posiadają podmioty, które nie są objęte przepisami HIPAA. Czasami do tych podmiotów mają zastosowanie inne przepisy dotyczące prywatności, a czasami nie.
Informacje zdrowotne, jeśli nie są kompletnymi zapisami, znajdują drogę do zapisów finansowych; na przykład, kiedy płacisz za recepty lub leczenie psychiatryczne kartą kredytową. Dokumentacja szkolna może zawierać zapisy egzaminów fizycznych, oceny zachowania lub leczenia urazów sportowych; informacje te są zazwyczaj objęte ustawą FERPA (Family Educational Rights and Privacy Act). Dokumentacja zatrudnienia może również zawierać informacje o stanie zdrowia.
Jest też cyfrowe zapadlisko informacji, które dobrowolnie podajemy. Mogą to być informacje umożliwiające identyfikację w mediach społecznościowych, stronach internetowych związanych ze zdrowiem i grupach czatowych lub mobilnych aplikacjach zdrowotnych i fitness. Mogą to być również pozbawione tożsamości informacje śledzące, które każda strona internetowa zbiera i może łączyć z innymi danymi, aby uczynić je możliwymi do zidentyfikowania.
Kto ma dostęp do twojej dokumentacji medycznej?
Dużo agencji i organizacji ma legalny dostęp do informacji medycznych na mocy HIPAA i wielu innych praw. Na początek, ubezpieczyciele generalnie mają dostęp – nie tylko plany zdrowotne, ale ubezpieczenia na życie, opieka długoterminowa, i ubezpieczenia samochodu z medycznego zwrotu za obrażenia. Liczne agencje rządowe również mają dostęp, w tym Medicare, Medicaid, Social Security Disability, Workers Comp, stanowe i federalne departamenty zdrowia publicznego – lista jest długa.
Dodatkowo, Biuro Informacji Medycznej (MIB) gromadzi wszystkie dane medyczne, które musisz udostępnić, gdy ubiegasz się o ubezpieczenie. Po roku 2014, jednak, ustawa Affordable Care Act (ACA) wyeliminuje wykorzystanie wcześniej istniejących warunków jako czynnika do uzyskania ubezpieczenia zdrowotnego, więc pacjenci nie będą musieli udostępniać dokumentacji medycznej w ramach procesu aplikacji. Ta dokumentacja pomaga ubezpieczycielom zweryfikować, że wypełniłeś swoją aplikację zgodnie z prawdą.
Istnieją również Pharmacy Benefit Managers (PBMs), które administrują programami świadczeń lekowych dla planów zdrowotnych. PBM-y mają całą historię Twoich recept – leki, daty, dawki i kto je przepisał – ponieważ częścią ich roli jest sprawdzenie Twojej kwalifikowalności i uzyskanie zgody na Twoje leki. Sprzedają również informacje pozbawione tożsamości (nieobjęte przepisami HIPAA, ponieważ usunięto z nich informacje umożliwiające identyfikację osoby) firmom zajmującym się wydobywaniem danych, które odsprzedają je w postaci różnych rodzajów raportów.
Pracodawcy mają dostęp do informacji o stanie zdrowia podczas sprawdzania przeszłości, kiedy ubiegasz się o pracę, chociaż powinni najpierw uzyskać twoją pisemną zgodę. Jeśli prowadzą lub zlecają prowadzenie programów odnowy biologicznej dla pracowników, mogą mieć dostęp do informacji o tym, czy ćwiczysz lub tracisz na wadze, czy naprawdę rzuciłeś palenie lub czy udaje ci się kontrolować swój problem z opanowaniem gniewu.
Jak wspomniano powyżej, istnieją standardowe wyjątki od zgody na dostęp do dokumentacji medycznej dla organów ścigania, jak również wyjątki dla procesów sądowych i administracyjnych. Informacje uzyskane dla celów bezpieczeństwa narodowego są bardziej tajemnicze i jest mało prawdopodobne, aby wiedzieć, że twoje rekordy zostały ujawnione, chyba że jesteś na tyle niefortunny, aby znaleźć się przedmiotem oskarżenia rządowego.
Innym obszarem poza granicami przepisów, w którym ludzie oddają informacje medyczne, są nieformalne badania przesiewowe, targi zdrowia i komercyjnie administrowane programy szczepień (jak szczepienia przeciw grypie w Costco lub szczepienia przeciw gontom w Walgreen’s).
Podsumowanie: Kto może mieć dostęp do twoich informacji medycznych?
Ubezpieczenie na życie
Ubezpieczenie samochodu
Długoterminowe ubezpieczenie rentowe
Pracodawcy
Biuro Informacji Medycznej
Pharmacy Benefit Managers
Agencje rządowe, takie jak Medicare, Medicaid, Social Security Disability, Workers Comp
Stanowe i federalne departamenty zdrowia publicznego
Prawo i sądy
Podmioty odpowiedzialne za bezpieczeństwo narodowe
Jakie prawa lub kontrolę ma Pan(i) nad swoimi informacjami medycznymi?
Jest Pan(i) na końcu kolejki, jeśli chodzi o możliwość decydowania o tym, co dzieje się z Pana(i) osobistymi informacjami zdrowotnymi, ale ma Pan(i) pewne prawa.
Musisz otrzymać zawiadomienie o praktykach ochrony prywatności (NPP), które mówi o tym, jak świadczeniodawcy wykorzystują twoje informacje (co oznacza, że nie masz wyboru) i jakie są twoje prawa. Świadczeniodawca potrzebuje twojego pisemnego upoważnienia do ujawnienia informacji o chorobach wenerycznych, leczeniu uzależnień i notatkach z psychoterapii. Pisemna zgoda jest również konieczna w przypadku wszelkiego rodzaju działań marketingowych innych niż przypomnienia o receptach. Pacjent może poprosić o kopie swoich danych i otrzymać je, a także zażądać wprowadzenia poprawek. Jeżeli pacjent sam płaci za swoje leczenie i prosi świadczeniodawcę, aby nie ujawniał informacji ubezpieczycielowi, nie mogą one zostać ujawnione.
W dodatku, informacje medyczne mogą być narażone w przypadku naruszenia danych, czy to przez zaniedbanie dostawcy usług zdrowotnych, działania złośliwego hakera, lub w inny sposób. W latach 2005-2013, Privacy Rights Clearinghouse zebrał raporty o 1,118 naruszeniach danych medycznych, które potencjalnie ujawniły ponad 29,000,000 wrażliwych rekordów. W niektórych przypadkach naruszenia dokumentacji medycznej mogą również skutkować znacznymi karami pieniężnymi. Obecnie rząd federalny również publikuje informacje o naruszeniach danych medycznych, które obejmują szacunkową liczbę osób dotkniętych tymi naruszeniami.
Polityki dotyczące dzielenia się informacjami zdrowotnymi drogą elektroniczną nie są jeszcze ustalone, ale domyślnie wydaje się, że nie jest wymagana żadna dodatkowa zgoda poza zakładaną zgodą HIPAA na leczenie, płatności i operacje opieki zdrowotnej w celu umieszczenia dokumentacji medycznej w strumieniu danych cyfrowych.
Czytaj więcej o prawie prywatności medycznej.
Źródła i blogi:
CalOHII (California Office of Health Information Integrity) ma przydatną i dobrze zorganizowaną sekcję na temat federalnych i kalifornijskich praw i przepisów dotyczących prywatności informacji zdrowotnych.
California Health Information Law Identification (CHILI) CHILI jest narzędziem wyszukiwania, które pomaga w identyfikacji kalifornijskich ustaw i rozporządzeń związanych z prywatnością, dostępem i bezpieczeństwem informacji zdrowotnych identyfikowalnych indywidualnie.
California Office of the Attorney General (aby uzyskać linki do wszystkich kalifornijskich ustaw dotyczących prywatności)
Center for Democracy and Technology’s Health Privacy Project
Citizens’ Council for Health Freedom
Council for Responsible Genetics
Department of Health and Human Services and Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (dla jak FERPA i HIPAA interakcji)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
The UC Berkeley Chancellor’s Office ma dobre podsumowanie Information Practices Act.
World Privacy Forum’s Patient’s Guide to HIPAA
.