En del av den känsligaste informationen i världen – vår recepthistorik, medicinska journaler, sexuella historia, information om läkemedelsanvändning med mera – är på väg in i den digitala världen. Digitaliseringen av medicinska journaler säljs som en möjlighet att revolutionera sjukvården. Men även om digitala medicinska journaler säkert kommer med särskilda fördelar har denna tekniska innovation också enorma konsekvenser för vår integritet.
EFF:s projekt om medicinsk integritet undersöker nya frågor om medicinsk integritet och tittar på hur eftersatta lagar om medicinsk integritet och snabbt framskridande teknisk innovation gör patienterna sårbara för att deras medicinska uppgifter ska exponeras, missbrukas eller missuppfattas.
Vi vill alla att vår medicinska information ska vara privat, eftersom vi anser att det ska vara något som är något som är mellan oss och våra vårdgivare. Tyvärr är detta ofta inte fallet.
Många personliga hälsouppgifter cirkulerar bara i processen att tillhandahålla och betala för behandling och recept. Obligatorisk rapportering – t.ex. för folkhälsoändamål – samlar en enorm mängd identifierbar hälsoinformation. Och vi alla ger utan att tänka efter frivilligt eller för att få en upplevd fördel upp en hel del information om vår hälsa – vi skriver på nätet om en sjukdom eller ett tillstånd, använder en sökmotor för att söka information om influensa, söker jobb, går med i ett gym och agerar på en mängd andra sätt.
Lagar om hälsoskydd
USA har ingen universell lag om skydd av information som är jämförbar med till exempel EU:s dataskyddsdirektiv. De lagar som finns är sektorspecifika och varierar avsevärt. Den grundläggande lagen för hälsoinformation är Health Insurance Portability and Accountability Act (HIPAA). HIPAA ger patienterna vissa rättigheter, men den är starkt begränsad eftersom den endast gäller för en enhet om den är vad lagen anser vara antingen en ”täckt enhet” – det vill säga en vårdgivare, en hälsoplan eller ett clearinghus för hälso- och sjukvård – eller en relevant affärspartner (BA). Detta innebär att HIPAA inte gäller för många enheter som kan ta emot medicinsk information, t.ex. en app på din mobiltelefon eller en gentesttjänst som 23andme.
Egentligen är HIPAA en lag om reglering av utlämnande av information, inte en sekretesslag: Den reglerar hur din hälsoinformation får lämnas ut, både med och utan ditt samtycke. Inget samtycke är nödvändigt för behandling, betalning eller hälso- och sjukvårdsverksamhet. Din läkare kan till exempel samråda med en annan läkare om din senaste skada utan att få ditt samtycke eftersom det är en del av behandlingen av din skada.
Individuell medicinsk information kan också lämnas ut utan ditt samtycke för folkhälsorapportering, för att bistå brottsbekämpning och för rättsliga och administrativa ändamål eller för att fastställa din rätt till förmåner och tjänster. Den kan också avslöjas på ett sätt som du inte kan få reda på för nationella säkerhetsändamål.
Staterna kan också skydda den medicinska integriteten. Som federal lag fastställer HIPAA ett nationellt ”golv”, men tillåter delstaterna att ha starkare skydd för patienternas integritet. Kaliforniens lagstiftning är på vissa områden starkare än HIPAA.
För att förstå specifika ämnen som rör medicinsk integritet är det bra att ha en förståelse för det lapptäcke av delstatliga och federala lagar som gäller för medicinsk information. Läs vår guide till lagstiftningen om medicinsk sekretess.
Vilken information finns i medicinska journaler?
Medicinsk och icke-medicinsk information som samlas in och delas i medicinska journaler omfattar:
- Basiska demografiska uppgifter som adress, telefonnummer, e-postadress, ålder, kön och ras.
- Fullständigt namn och kontonummer och ibland socialförsäkringsnummer. Användning av personnummer är ogynnsamt på grund av risken för ID-stöld. På grund av detta använder vissa, men långt ifrån alla, vårdgivare numera ett tilldelat patient-ID-nummer i stället för ett personnummer.
- Medicinsk historia: diagnoser, behandlingar, resultat av diagnostiska tester och recept, tillsammans med kända medicinska tillstånd, allergier och drog-, alkohol- och rökvanor.
- Fakturerings- och betalningsinformation.
- Information som du lämnar på intagningsblanketter om dina närmaste familjemedlemmar, inklusive eventuell historia av vissa sjukdomar, som cancer eller diabetes.
När omfattas medicinsk information inte av HIPAA?
I många situationer har enheter som inte omfattas av HIPAA medicinsk information. Ibland gäller andra sekretesslagar för dessa enheter, ibland inte.
Hälsoinformation, om än inte fullständiga journaler, hamnar i ekonomiska journaler; till exempel när du betalar för recept eller psykiatrisk behandling med ett kreditkort. Skoljournaler kan innehålla uppgifter om fysiska undersökningar, beteendebedömningar eller behandling av idrottsskador; dessa uppgifter omfattas vanligtvis av FERPA (Family Educational Rights and Privacy Act). Anställningsjournaler kan också innehålla hälsoinformation.
Det finns också den digitala sänkan med information som vi frivilligt lämnar ut. Det kan vara identifierbar information på sociala medier, hälsorelaterade webbplatser och chattgrupper eller mobila hälso- och fitnessappar. Det kan också vara avidentifierad spårningsinformation som varje webbplats samlar in och kanske kombinerar med andra uppgifter för att göra den identifierbar.
Vem har tillgång till dina medicinska uppgifter?
Många myndigheter och organisationer har laglig tillgång till medicinsk information enligt HIPAA och många andra lagar. Till att börja med har försäkringsbolag i allmänhet tillgång – inte bara hälsoplaner, utan även livförsäkringar, långtidsvård och bilförsäkringar med medicinsk ersättning för skador. Ett stort antal statliga organ har också tillgång till information, bland annat Medicare, Medicaid, Social Security Disability, Workers Comp, statliga och federala hälsovårdsmyndigheter – listan kan göras lång.
Den medicinska informationsbyrån (Medical Information Bureau, MIB) samlar dessutom in alla medicinska journaler som du är skyldig att lämna ut när du ansöker om försäkring. Efter 2014 kommer dock Affordable Care Act (ACA) att avskaffa användningen av redan existerande tillstånd som en faktor för att få sjukförsäkring, så patienterna kommer inte att behöva lämna ut medicinska journaler som en del av ansökningsprocessen. Dessa journaler hjälper försäkringsbolagen att verifiera att du har fyllt i din ansökan på ett sanningsenligt sätt.
Det finns också Pharmacy Benefit Managers (PBM), som administrerar program för läkemedelsförmåner för sjukförsäkringar. PBM har hela din recepthistorik – läkemedel, datum, dosering och vem som skrivit ut dem – eftersom en del av deras roll är att kontrollera din behörighet och få godkännande för dina läkemedel. De säljer också avidentifierad information (som inte omfattas av HIPAA eftersom personligt identifierbar information har tagits bort) till dataminingföretag som säljer den vidare som olika typer av rapporter.
Arbetsgivare har tillgång till hälsoinformation i bakgrundskontroller när du ansöker om ett jobb, även om de ska få ditt skriftliga tillstånd först. Om de driver eller lägger ut hälsoprogram för anställda på entreprenad kan de ha tillgång till information om huruvida du tränar eller går ner i vikt, om du verkligen har slutat röka eller om du lyckas kontrollera ditt problem med att hantera ilska.
Som nämnts ovan finns det standardmässiga undantag från samtycke till tillgång till medicinska journaler för brottsbekämpning, liksom undantag för rättsliga och administrativa processer. Information som erhålls för nationella säkerhetsändamål är mer mystisk, och det är osannolikt att du får veta att dina journaler har lämnats ut om du inte är olycklig nog att bli föremål för statliga åtal.
Ett annat område utanför regelverkets gränser där människor lämnar ut medicinsk information är vid informella hälsoundersökningar, på hälsomässor och genom kommersiellt administrerade vaccinprogram (som influensavaccinationer på Costco eller vaccinationer mot bältros på Walgreen’s).
Sammanfattning: Vem kan ha tillgång till dina medicinska uppgifter?
Livsförsäkring
Bilförsäkring
Långtidsinvaliditetsförsäkring
Arbetsgivare
Medical Information Bureau
Pharmacy Benefit Managers
Statliga organ, som Medicare, Medicaid, Social Security Disability, Workers Comp
State and federal public health department
Law enforcement and courts
National security entities
Vilka rättigheter eller kontroll har du över dina medicinska uppgifter?
Du står längst bak i kön när det gäller att ha något att säga till om när det gäller vad som händer med din personliga hälsoinformation, men du har vissa rättigheter.
Du måste få ett meddelande om sekretessrutiner (NPP) som talar om hur leverantörerna använder dina uppgifter (vilket innebär att du inte har något val) och vilka dina rättigheter är. En leverantör behöver ditt skriftliga tillstånd för att lämna ut information om könssjukdomar, missbruksbehandling och anteckningar om psykoterapi. Skriftligt tillstånd är också nödvändigt för all slags marknadsföring förutom påminnelser om recept. Du kan begära och få kopior av dina journaler och begära rättelser. Om du betalar för din egen behandling och ber en leverantör att inte lämna ut informationen till ett försäkringsbolag kan den inte lämnas ut.
Den medicinska informationen kan dessutom avslöjas i ett dataintrång, oavsett om det sker genom vårdgivarens försumlighet, en illvillig hackares handlingar eller på något annat sätt. Från 2005-2013 samlade Privacy Rights Clearinghouse in rapporter om 1 118 intrång i medicinska uppgifter som potentiellt exponerade över 29 000 000 känsliga uppgifter. I vissa fall kan överträdelser av medicinska uppgifter också leda till betydande böter. Den federala regeringen publicerar numera också information om överträdelser av medicinska uppgifter, vilket inkluderar en uppskattning av hur många personer som berörs.
Policies for sharing health information electronically are not settled yet, but the default seems to be that no additional consent is required beyond the assumed HIPAA consent for treatment, payment, and health care operations for putting your medical records into the digital data stream.
Läs mer om lagstiftning om medicinsk integritet.
Resurser och bloggar:
CalOHII (California Office of Health Information Integrity) har ett användbart och välorganiserat avsnitt om federala och kaliforniska lagar och bestämmelser om sekretess för hälsoinformation.
California Health Information Law Identification (CHILI) CHILI är ett sökverktyg som hjälper till att identifiera Kaliforniens lagar och förordningar som rör sekretess, tillgång och säkerhet för individuellt identifierbar hälsoinformation.
California Office of the Attorney General (för länkar till Kaliforniens alla integritetslagar)
Center for Democracy and Technology’s Health Privacy Project
Citizens’ Council for Health Freedom
Council for Responsible Genetics
Departement of Health and Human Services and Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (om hur FERPA och HIPAA samverkar)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update
National Human Genome Research Institute Genome Statute and Legislation Database
Patient Privacy Rights
Privacy Rights Clearinghouse’s Medical Privacy Project
The UC Berkeley Chancellor’s Office har en bra sammanfattning av Information Practices Act.
World Privacy Forum’s Patient’s Guide to HIPAA