Viele Gesetze regeln die Privatsphäre medizinischer Informationen. Obwohl sie einen gewissen Schutz bieten, dienen sie im Großen und Ganzen eher der Gewährleistung des Informationsflusses in der gesamten Gesundheitsbranche als der Wahrung der Privatsphäre des Einzelnen. Außerdem gelten diese Gesetze normalerweise nur für persönliche medizinische Informationen in den Händen bestimmter Arten von Entitäten, wie Ihrem Arzt oder einer anderen Gesundheitseinrichtung. So sind beispielsweise Informationen, die Sie einem sozialen Netzwerk oder einer Suchmaschine, einem Chatroom oder einer Website-Diskussion über eine Krankheit geben, oft nicht durch bestehende medizinische Datenschutzgesetze geschützt. Der Health Insurance Portability and Accountability Act (HIPAA) ist die Grundlage der bundesstaatlichen Vorschriften für medizinische Informationen. Es tut drei Dinge:
- Schafft eine Struktur für die Offenlegung persönlicher Gesundheitsinformationen und legt die Rechte fest, die Einzelpersonen in Bezug auf ihre Gesundheitsinformationen haben.
- Legt Sicherheitsstandards für die Pflege und Übermittlung elektronischer Patienteninformationen fest.
- Erfordert ein gemeinsames Format und eine gemeinsame Datenstruktur für den elektronischen Austausch von Gesundheitsinformationen.
HIPAA regelt nur die Gesundheitsbranche und gilt daher nur für das, was das Gesetz als „abgedeckte Unternehmen“ und deren „Geschäftspartner“ betrachtet.“ Die Kategorien der abgedeckten Einheit sind: Gesundheitsdienstleister, Gesundheitsplan (Krankenversicherer oder HMO) und Health Care Clearinghouse. Ein Business Associate (BA) behandelt geschützte Gesundheitsinformationen (PHI) im Namen eines abgedeckten Unternehmens. Wenn Sie Ihre medizinischen Informationen an Dritte weitergeben, gilt HIPAA nicht. Darüber hinaus gibt es zahlreiche Ausnahmen für die Weitergabe von medizinischen Informationen ohne Ihre Zustimmung, was auch ohne Ihr Wissen bedeuten kann. Das Erfordernis einer schriftlichen Zustimmung zur Offenlegung von Informationen zur psychischen Gesundheit und zur Behandlung von Drogenmissbrauch gilt nur für staatlich finanzierte Einrichtungen, nicht für private.
Der Teil von HIPAA, der sich mit dem Datenschutz von Informationen befasst, wird als Datenschutzregel bezeichnet. Es erlaubt eine breite, nicht einvernehmliche Offenlegung personenbezogener Gesundheitsdaten für die Behandlung, Zahlung, und Routineoperationen im Gesundheitswesen, Für Informationen, die als sensibel gelten, ist eine schriftliche Zustimmung erforderlich, wie ambulante Psychotherapienotizen. Ihre Zustimmung ist auch erforderlich, damit Ihre Gesundheitsinformationen für jede Art von Marketing verwendet werden können, außer für verschreibungspflichtige Arzneimittelerinnerungen.
Sie haben einige Rechte gemäß HIPAA. Sie haben das Recht, über Ihre Rechte in Bezug auf Ihre eigenen medizinischen Informationen informiert zu werden. Sie haben auch das Recht, auf Kopien Ihrer Aufzeichnungen zuzugreifen und diese zu erhalten, Korrekturen anzufordern und über Datenschutzverletzungen informiert zu werden. Informationen über Behandlungen, die Sie aus eigener Tasche bezahlen, werden möglicherweise nicht an Versicherer weitergegeben. Derzeit können Sie nur erfahren, an wen Ihre Gesundheitsinformationen zu anderen Zwecken als der Behandlung, Zahlung und Gesundheitsversorgung weitergegeben wurden. Bundesvorschriften, die strenger als HIPAA sind – bekannt als „Teil 2“ — gelten für die Offenlegung und Verwendung von Patientenakten über Alkohol- und Drogenmissbrauch, die im Zusammenhang mit der Durchführung eines staatlich unterstützten Alkohol- und Drogenmissbrauchsprogramms geführt werden. GINA (the Genetic Information Non-discrimination Act) verbietet genetische Diskriminierung in der Kranken- und Lebensversicherung sowie in der Beschäftigung. GINA hat jedoch einige große Lücken: Es deckt beispielsweise keine Langzeitpflege- oder Autoversicherung mit gesundheitlichen Vorteilen ab. HIPAA hat kürzlich genetische Informationen als PHI bezeichnet, so dass es jetzt die zusätzlichen Schutzmaßnahmen — und Ausnahmen — hat, die HIPAA bietet. Erfahren Sie mehr über den Datenschutz von genetischen Informationen. Die gemeinsame Regel gilt für vom Bund finanzierte Forschung am Menschen; Private Forschungseinrichtungen können freiwillig zustimmen, Bundesstandards einzuhalten. Die Gemeinsame Regel legt unter anderem explizite Standards für die Einwilligung nach Aufklärung durch Forschungsthemen fest, obwohl eine Ethikkommission auf diese Anforderungen verzichten kann. Wie weit die schriftliche Zustimmung eines Forschungssubjekts reicht, ist unklar; die Zustimmung kann entweder für ein bestimmtes Projekt oder breit genug sein, um eine Reihe zukünftiger Forschungsprojekte einzubeziehen, solange das Thema „angemessen“ über diese zukünftige Forschung informiert ist. Kaliforniens medizinische Datenschutzgesetze, vor allem der Confidentiality of Medical Information Act (CMIA), die Data Breach Abschnitte des Civil Code und Abschnitte des Health and Safety Code, bieten HIPAA-ähnlichen Schutz, obwohl die Terminologie unterschiedlich ist. HIPAA schafft einen föderalen „Boden“ und gilt, wo es eine Lücke im kalifornischen Recht gibt. HIPAA sieht auch ausdrücklich vor, dass strengere staatliche Gesetze HIPAA außer Kraft setzen oder übertrumpfen. Kalifornisches Recht ist stärker in der Genehmigung für die Offenlegung von Daten über sexuell übertragbare Krankheiten (obwohl positive AIDS-Tests gemeldet werden müssen), Drogenmissbrauch Behandlung und ambulante Psychotherapie Notizen. Die kalifornischen medizinischen Datenschutzgesetze gelten für Anbieter der persönlichen Gesundheitsakte (PHR) einer Person, während HIPAA nur gilt, wenn der Anbieter ein Geschäftspartner eines abgedeckten Unternehmens ist. Das Bundesgesetz gewährt kein individuelles Recht, im Falle einer Datenschutzverletzung zu klagen (nur ein Generalstaatsanwalt kann eine Klage erheben), aber das kalifornische Recht tut es. Dies bedeutet, dass das kalifornische Recht einen höheren Standard für die medizinische Privatsphäre festlegt und Einzelpersonen in Kalifornien einen stärkeren rechtlichen Schutz genießen und mehr Möglichkeiten haben, Unternehmen, die ihre medizinische Privatsphäre verletzen, zur Rechenschaft zu ziehen. Andere kalifornische Gesetze, die medizinischen Informationen zusätzlichen Schutz bieten: Der Insurance Information and Privacy Protection Act (IPPA) verbietet die unbefugte Offenlegung personenbezogener Daten, einschließlich medizinischer Aufzeichnungen, die im Zusammenhang mit Versicherungsanträgen und Schadensbeilegung erhoben werden. Versicherer müssen Ihnen einen Hinweis auf Datenschutzpraktiken geben, der Ihnen mitteilt, mit wem Ihre Informationen geteilt werden können, und Ihre Rechte, die Weitergabe einzuschränken.
Weitere Informationen zu Bundes- und kalifornischen Gesetzen zum Schutz medizinischer Informationen finden Sie in der CalOHII-Übersicht (California Office of Health Information Integrity) zu staatlichen und bundesstaatlichen Gesundheitsgesetzen in Bezug auf Aufzeichnungen, Datenschutz, Sicherheit und Patientenrecht auf Zugang. Da die Vorschriften, die Gesundheitsinformationen abdecken, mehr darauf abzielen, wer mit den Daten umgeht (abgedeckte Entitäten) als auf die Daten selbst, haben medizinische Daten, die außerhalb der Mauern von HIPAA und anderen verwandten Gesetzen landen, im Allgemeinen keinen spezifischen medizinischen Datenschutz.
Ein großer Teil der Exposition kommt von Einzelpersonen Online-Aktivitäten. Dies kann Informationen umfassen, die Sie selbst durch Chat oder Teilnahme an Affinitätsgruppen, die auf Krankheiten oder Erkrankungen basieren, oder über soziale Medien veröffentlichen. Dies ist ein zunehmend ernstes Problem, da die Technologie es Einzelpersonen erleichtert, medizinische Informationen auszutauschen und zu speichern.
Viele Gesundheits- und Fitnessanwendungen (mobil und online) sammeln auch medizinische oder medizinische Daten und erleichtern und fördern deren Austausch.
Es gibt auch ein konstantes, unendlich kalibriertes Behavioral Targeting, das ohne Ihr Wissen anonymisierte Klickdaten mit identifizierbaren medizinischen Informationen verbinden kann.
Das Endergebnis? Ein Flickenteppich von Gesetzen, die zu oft sensible medizinische Informationen ungeschützt lassen.