veel wetten regelen de privacy van medische informatie. Hoewel zij enige bescherming bieden, zijn zij over het algemeen meer gericht op het waarborgen van de informatiestroom in de gezondheidszorg dan op het waarborgen van de privacy van individuen.
ook zijn deze wetten meestal alleen van toepassing op persoonlijke medische informatie in de handen van specifieke soorten entiteiten, zoals uw arts of een andere entiteit in de gezondheidszorg. Zo wordt bijvoorbeeld informatie die je geeft aan een sociaal netwerk of zoekmachine, een chatroom of website discussie over een ziekte, vaak niet beschermd door bestaande medische privacywetten.
De Health Insurance Portability and Accountability Act (HIPAA) is de basisreeks van federale regelgeving voor medische informatie. Het doet drie dingen:
- creëert een structuur voor de manier waarop persoonlijke gezondheidsinformatie kan worden bekendgemaakt en stelt de rechten vast die individuen hebben met betrekking tot hun gezondheidsinformatie.
- bevat beveiligingsnormen voor het onderhouden en doorgeven van elektronische patiëntinformatie.
- vereist een gemeenschappelijk formaat en gegevensstructuur voor de elektronische uitwisseling van gezondheidsinformatie.
HIPAA reguleert alleen de gezondheidsindustrie en is dus alleen van toepassing op wat de wet als “gedekte entiteiten” en hun “zakenpartners” beschouwt.”De categorieën van de gedekte entiteit zijn: zorgverlener, health plan (zorgverzekeraar of HMO), en health care clearinghouse. Een business associate (BA) behandelt beschermde gezondheidsinformatie (PHI) namens een gedekte entiteit. Als u uw medische informatie aan iemand anders bekendmaakt, is HIPAA niet van toepassing.
daarnaast zijn er tal van uitzonderingen voor het vrijgeven van medische informatie zonder uw toestemming, wat ook kan betekenen zonder uw medeweten.
- de eis van schriftelijke toestemming om informatie over de behandeling van geestelijke gezondheid en drugsmisbruik openbaar te maken, geldt alleen in door de overheid gefinancierde instellingen, niet in particuliere instellingen.
- persoonlijke medische informatie wordt zonder toestemming openbaar gemaakt voor veel toegestane en verplichte volksgezondheidsrapportagedoeleinden, zoals ziektebewaking en in gevallen van misbruik van kinderen en ouderen en huiselijk geweld.
- gezondheidsinformatie kan worden bekendgemaakt in gerechtelijke en administratieve procedures door middel van dagvaarding of als onderdeel van een ontdekkingsproces in geschillen.
- Er zijn uitzonderingen voor rechtshandhaving, voor gezondheidsinformatie die bij dagvaarding of gerechtelijk bevel wordt gevraagd, of als onderdeel van een onderzoek of melding van een misdrijf.
- informatieverschaffing is toegestaan voor gespecialiseerde overheidsfuncties, met inbegrip van nationale veiligheids-en inlichtingenoperaties.
- gezondheidsinformatie mag worden verstrekt aan een werkgever die de ziektekostenverzekering van de werknemers betaalt, maar moet strikt gescheiden worden gehouden van alle andere personeelsdossiers.
- persoonlijke gezondheidsinformatie kan niet worden verkocht zonder uw toestemming, behoudens uitzonderingen met betrekking tot volksgezondheid, onderzoek, of als onderdeel van de verkoop, overdracht, fusie of consolidatie van de gedekte entiteit die de gegevens heeft.informatie over de gezondheid van gevangenen buiten de gevangenis kan worden verstrekt aan een gevangenis waar zij zijn opgesloten.
- persoonlijke gezondheidsgegevens kunnen openbaar worden gemaakt als u een aanvraag indient voor een algemeen voordeel.
- informatie over de gezondheid kan worden bekendgemaakt in het proces van het aanvragen van de vergoeding van de werknemer.
het gedeelte van HIPAA dat zich bezighoudt met informatieprivacy wordt de privacyregel genoemd. Het machtigt brede, onbewuste openbaarmaking van persoonlijke gezondheidsgegevens voor behandeling, betaling, en routinematige gezondheidszorg operaties, terwijl het vereisen van schriftelijke toestemming voor informatie als gevoelig, zoals poliklinische psychotherapie notities. Uw toestemming is ook noodzakelijk voor uw gezondheid informatie te worden gebruikt voor elke vorm van marketing anders dan het voorschrijven van geneesmiddelen herinneringen.
u hebt wel enkele rechten onder HIPAA. U hebt het recht om op de hoogte te worden gesteld van uw rechten met betrekking tot uw eigen medische informatie. U heeft ook het recht om uw gegevens in te zien en te ontvangen, om correcties aan te vragen en op de hoogte te worden gesteld van datalekken. Informatie over behandelingen waarvoor u uit eigen zak betaalt, mag niet aan verzekeraars worden verstrekt. Op dit moment kunt u alleen leren aan wie uw gezondheidsinformatie is bekendgemaakt voor andere doeleinden dan behandeling, betaling en gezondheidszorg operaties.
federale regels die strenger zijn dan HIPAA—bekend als “deel 2” —zijn van toepassing op de openbaarmaking en het gebruik van alcohol-en drugsmisbruik patiëntendossiers die worden bijgehouden in verband met de uitvoering van een federaal geassisteerd alcohol-en drugmisbruikprogramma.
GINA (Genetic Information Non-discrimination Act) verbiedt genetische discriminatie in de gezondheidszorg, levensverzekeringen en werkgelegenheid. GINA heeft echter een aantal grote lus-gaten: het dekt bijvoorbeeld geen langdurige zorg of autoverzekering met gezondheidsvoordelen. HIPAA heeft onlangs genetische informatie aangeduid als PHI, dus het heeft nu de extra bescherming – en uitzonderingen-die HIPAA biedt. Meer informatie over privacy van genetische informatie.
De gemeenschappelijke regel is van toepassing op federaal gefinancierd onderzoek op menselijke proefpersonen; particuliere onderzoeksinstellingen kunnen vrijwillig overeenkomen om federale normen na te leven. De gemeenschappelijke regel bevat onder meer expliciete normen voor geïnformeerde toestemming door proefpersonen, hoewel een ethische Raad van deze eisen kan afzien. Hoe ver de schriftelijke toestemming van een onderzoeksonderwerp reikt is verward; de toestemming kan worden verleend voor een specifiek project of breed genoeg zijn om een reeks toekomstige onderzoeksprojecten te omvatten, mits het onderwerp “adequaat” is geïnformeerd over dergelijk toekomstig onderzoek.
California-Specific Laws
California ‘ s medical privacy laws, voornamelijk de Confidentiality of Medical Information Act (CMIA), de datalek secties van het Burgerlijk Wetboek en secties van de Health and Safety Code, Bieden HIPAA-achtige bescherming, hoewel de terminologie anders is. HIPAA creëert een federale “vloer” en is van toepassing waar er een gat in de Californische wet. HIPAA bepaalt ook uitdrukkelijk dat strengere staatswetten HIPAA zullen overschrijven of overtroeven.
de Californische wet is sterker in het vereisen van toestemming voor de openbaarmaking van gegevens over soa ‘ s (hoewel positieve AIDS-tests moeten worden gemeld), behandeling van middelenmisbruik, en poliklinische psychotherapie notities. de medische privacywetten van Californië zijn van toepassing op verkopers van een persoonlijk gezondheidsdossier (PHR), terwijl HIPAA alleen van toepassing is als de verkoper een zakenpartner is van een gedekte entiteit.
federale wet kent geen individueel recht toe om een rechtszaak aan te spannen in het geval van een datalek (alleen een procureur-generaal kan een rechtszaak aanspannen), maar de Californische wet wel.
Dit betekent dat de Californische wet een hogere standaard stelt voor medische privacy, en individuen in Californië genieten sterkere wettelijke bescherming en meer manieren om entiteiten die hun medische privacy schenden verantwoordelijk te houden.
andere Californische wetten die enige extra bescherming bieden aan medische informatie:
- De Insurance Information and Privacy Protection Act (IPPA) verbiedt ongeoorloofde openbaarmaking van persoonlijke informatie, met inbegrip van medische dossiers, verzameld in verband met verzekeringsaanvragen en claims resolution. Verzekeraars moeten u op de hoogte brengen van privacypraktijken die u vertellen met wie uw gegevens kunnen worden gedeeld en uw rechten om het delen te beperken.
- De Information Practices Act (IPA) is van toepassing op overheidsinstellingen. Het beperkt hun verzameling, onderhoud en verspreiding van persoonlijke informatie, waaronder medische informatie. Het geeft ook individuen het recht om persoonlijke informatie die in staat agentschap records te bekijken, om uit te vinden wie er toegang tot heeft, en om wijzigingen in onjuiste of irrelevante informatie te vragen.
- De Online Privacy Protection Act is van toepassing op websites die persoonlijk identificeerbare informatie van welke aard dan ook verzamelen, met inbegrip van medische informatie. “Bescherming “is een verkeerde benaming hier, aangezien de belangrijkste eis van de wet is dat de websites” opvallend ” een privacybeleid dat gebruikers op de hoogte welke gegevens de site verzamelt en met wie het deelt gegevens te plaatsen. Lees meer.
voor meer informatie over federale en Californische wetten met betrekking tot de privacy van medische informatie, zie het CalOHII (California Office of Health Information Integrity) overzicht met betrekking tot staats-en federale gezondheidswetten met betrekking tot Records, Privacy, Veiligheid en het recht van de patiënt op toegang.
omdat de voorschriften die betrekking hebben op gezondheidsinformatie meer gericht zijn op wie de gegevens behandelt (gedekte entiteiten) dan op de gegevens zelf, hebben medische gegevens die buiten de muren van HIPAA en andere gerelateerde wetten vallen over het algemeen geen specifieke bescherming van de medische privacy.
een groot deel van de blootstelling komt van de online activiteiten van individuen. Dit kan informatie omvatten die u zelf openbaar maakt via chat of deelname aan affiniteitsgroepen op basis van ziekten of medische aandoeningen, of via sociale media. Dit is een steeds ernstiger probleem omdat technologie het voor individuen gemakkelijker maakt om medische informatie te delen en op te slaan.
veel toepassingen op het gebied van gezondheid en fitness (mobiel en online) verzamelen ook medische of medische gegevens en vergemakkelijken en stimuleren het delen ervan.
Er is ook een constante, infinitesimaal gekalibreerde gedragsgerichte targeting die, zonder uw medeweten, niet-geïdentificeerde klikgegevens kan verbinden met identificeerbare medische informatie.
het eindresultaat? Een lappendeken van wetten die gevoelige medische informatie maar al te vaak onbeschermd laten.