wiele przepisów reguluje prywatność informacji medycznych . Chociaż oferują one pewną ochronę, ogólnie rzecz biorąc działają bardziej z korzyścią dla zapewnienia przepływu informacji w całej branży opieki zdrowotnej niż dla zapewnienia prywatności osób fizycznych.
ponadto przepisy te zwykle dotyczą tylko osobistych informacji medycznych w rękach określonych rodzajów podmiotów, takich jak lekarz lub inny podmiot opieki zdrowotnej. Tak więc, na przykład, informacje, które podajesz do sieci społecznościowej lub Wyszukiwarki, czatu lub dyskusji na stronie internetowej o chorobie, często nie są chronione przez obowiązujące przepisy dotyczące prywatności medycznej.
ustawa Health Insurance Portability and Accountability Act (HIPAA) jest podstawowym zestawem przepisów federalnych regulujących informacje medyczne. Robi trzy rzeczy:
- tworzy strukturę, w jaki sposób dane osobowe mogą być ujawniane i ustanawia prawa osób fizycznych w odniesieniu do ich informacji zdrowotnych.
- ustanawia standardy bezpieczeństwa w zakresie przechowywania i przekazywania elektronicznych informacji o pacjencie.
- wymaga wspólnego formatu i struktury danych dla elektronicznej wymiany informacji zdrowotnych.
HIPAA reguluje tylko branżę medyczną, a zatem stosuje się tylko do tego, co prawo uważa za „podmioty objęte ochroną” i ich „partnerów biznesowych.”Kategorie podmiotów objętych ubezpieczeniem to: Zakład Opieki Zdrowotnej, Zakład Opieki Zdrowotnej (ubezpieczyciel zdrowotny lub HMO) oraz Zakład Opieki Zdrowotnej. Współpracownik biznesowy (BA) zajmuje się chronionymi informacjami zdrowotnymi (PHI) w imieniu podmiotu objętego ochroną. Jeśli ujawnisz swoje dane medyczne komukolwiek innemu, HIPAA nie będzie miało zastosowania.
ponadto istnieją liczne wyjątki dotyczące ujawniania informacji medycznych bez Twojej zgody, co może również oznaczać bez Twojej wiedzy.
- wymóg pisemnej zgody na ujawnienie informacji o zdrowiu psychicznym i leczeniu uzależnień obowiązuje tylko w placówkach finansowanych ze środków federalnych, a nie w placówkach prywatnych.
- osobiste informacje medyczne są ujawniane bez zgody w wielu dozwolonych i obowiązkowych celach raportowania zdrowia publicznego, takich jak monitorowanie chorób oraz w przypadkach znęcania się nad dziećmi i osobami starszymi oraz przemocy domowej.
- informacje zdrowotne mogą być ujawniane w postępowaniu sądowym i administracyjnym w drodze wezwania lub w ramach procesu sądowego.
- istnieją wyjątki w zakresie egzekwowania prawa, informacji zdrowotnych wymaganych na podstawie wezwania do sądu lub nakazu sądowego, lub w ramach dochodzenia lub zgłoszenia przestępstwa.
- Ujawnianie informacji jest dozwolone w przypadku wyspecjalizowanych funkcji rządowych, w tym operacji bezpieczeństwa narodowego i wywiadu.
- informacje zdrowotne mogą być ujawniane pracodawcy, który płaci za ubezpieczenie zdrowotne pracowników, ale muszą być ściśle oddzielone od wszystkich innych dokumentów pracowniczych.
- dane osobowe dotyczące zdrowia nie mogą być sprzedawane bez Twojej zgody, z zastrzeżeniem wyjątków obejmujących zdrowie publiczne, badania lub w ramach sprzedaży, transferu, fuzji lub konsolidacji podmiotu objętego ochroną, który posiada dane.
- Informacje o stanie zdrowia więźniów poza więzieniem mogą zostać ujawnione w więzieniu, w którym są osadzeni.
- Informacje o stanie zdrowia mogą zostać ujawnione w przypadku ubiegania się o pomoc publiczną.
- informacje zdrowotne mogą być ujawniane w procesie ubiegania się o odszkodowanie dla pracownika.
część HIPAA zajmująca się prywatnością informacji nazywa się regułą Prywatności. Upoważnia szerokie, nieświadome ujawnienia danych osobowych dotyczących zdrowia do leczenia, płatności i rutynowych operacji opieki zdrowotnej, wymagając pisemnej zgody na informacje uważane za wrażliwe, takie jak notatki psychoterapii ambulatoryjnej. Twoja zgoda jest również niezbędna, aby informacje o stanie zdrowia były wykorzystywane do wszelkiego rodzaju marketingu innego niż przypomnienia o lekach na receptę.
masz pewne prawa w ramach HIPAA. Masz prawo do otrzymania powiadomienia o przysługujących Ci prawach w odniesieniu do Twoich własnych informacji medycznych. Masz również prawo do dostępu i otrzymywania kopii swoich zapisów, żądania poprawek i powiadamiania o naruszeniu danych. Informacje o zabiegach, za które płacisz z własnej kieszeni, nie mogą być ujawniane ubezpieczycielom. Obecnie możesz dowiedzieć się tylko, komu Twoje informacje zdrowotne zostały ujawnione w celach innych niż leczenie, płatności i opieka zdrowotna.
przepisy federalne, które są surowsze niż HIPAA—znane jako „część 2” —mają zastosowanie do ujawniania i wykorzystywania dokumentacji pacjentów nadużywających alkoholu i narkotyków prowadzonej w związku z realizacją dowolnego programu nadużywania alkoholu i narkotyków wspomaganego federalnie.
GINA (the Genetic Information Non-discrimination Act) zakazuje dyskryminacji genetycznej w ubezpieczeniach zdrowotnych i na życie oraz w zatrudnieniu. Jednak GINA ma kilka poważnych luk w pętli: nie obejmuje na przykład opieki długoterminowej lub ubezpieczenia samochodu ze świadczeniami zdrowotnymi. HIPAA niedawno określiła informacje genetyczne jako PHI, więc teraz ma dodatkowe zabezpieczenia—i wyjątki-które oferuje HIPAA. Dowiedz się więcej o ochronie danych genetycznych.
wspólna zasada dotyczy finansowanych przez Federację badań na ludziach; prywatne instytucje badawcze mogą dobrowolnie zgodzić się na przestrzeganie standardów federalnych. Między innymi wspólna zasada określa wyraźne standardy świadomej zgody podmiotów badawczych, chociaż Rada etyki może odstąpić od tych wymogów. Jak dalece mętna jest pisemna zgoda podmiotu badawczego; zgoda może dotyczyć konkretnego projektu lub być na tyle szeroka, aby obejmować szereg przyszłych projektów badawczych, o ile podmiot jest „odpowiednio” poinformowany o takich przyszłych badaniach.
Prawo Kalifornii
kalifornijskie przepisy dotyczące prywatności medycznej, przede wszystkim Ustawa o poufności informacji medycznych (CMIA), sekcje Kodeksu cywilnego dotyczące naruszenia danych oraz sekcje Kodeksu bezpieczeństwa i higieny pracy, zapewniają ochronę podobną do HIPAA, chociaż terminologia jest inna. HIPAA tworzy federalną „podłogę” i stosuje się tam, gdzie istnieje luka w prawie Kalifornijskim. HIPAA wyraźnie przewiduje również, że bardziej rygorystyczne przepisy stanowe zastąpią lub przebiją HIPAA.
prawo kalifornijskie jest silniejsze w wymaganiu zezwolenia na ujawnienie danych na temat chorób przenoszonych drogą płciową (chociaż należy zgłosić pozytywne testy na AIDS), leczenia uzależnień i ambulatoryjnej psychoterapii.
kalifornijskie przepisy dotyczące prywatności medycznej mają zastosowanie do dostawców osobistej karty zdrowia osoby fizycznej (PHR), podczas gdy HIPAA ma zastosowanie tylko wtedy, gdy sprzedawca jest współpracownikiem biznesowym podmiotu objętego ochroną.
prawo federalne nie przyznaje indywidualnego prawa do pozwu w przypadku naruszenia danych (tylko prokurator generalny może wnieść powództwo), ale prawo kalifornijskie tak.
oznacza to, że prawo kalifornijskie ustanawia wyższy standard prywatności medycznej, a osoby w Kalifornii korzystają z silniejszej ochrony prawnej i więcej sposobów na pociągnięcie podmiotów, które naruszają ich prywatność medyczną do odpowiedzialności.
inne prawa Kalifornii, które zapewniają dodatkową ochronę informacji medycznych:
- Ustawa o informacji ubezpieczeniowej i ochronie prywatności (IPPA) zabrania nieautoryzowanego ujawniania danych osobowych, w tym dokumentacji medycznej, zebranych w związku z wnioskami ubezpieczeniowymi i rozwiązywaniem roszczeń. Ubezpieczyciele muszą powiadomić Cię o praktykach dotyczących prywatności, które informują, komu mogą być udostępniane Twoje informacje i o twoich prawach do ograniczenia udostępniania.
- Ustawa o praktykach informacyjnych (IPA) ma zastosowanie do agencji państwowych. Ogranicza to ich gromadzenie, przechowywanie i dystrybucję danych osobowych, w tym informacji medycznych. Daje również osobom fizycznym prawo do wglądu w dane osobowe przechowywane w rejestrach agencji państwowej, aby dowiedzieć się, kto miał do nich dostęp, oraz do żądania zmian niedokładnych lub nieistotnych informacji.
- Ustawa o ochronie prywatności w Internecie ma zastosowanie do stron internetowych, które zbierają dane osobowe wszelkiego rodzaju, w tym informacje medyczne. „Ochrona” jest tutaj mylnym określeniem, ponieważ głównym wymogiem ustawy jest, aby strony internetowe „widocznie” opublikowały politykę prywatności, która powiadamia użytkowników, jakie dane zbiera witryna i komu udostępnia dane. Czytaj więcej.
aby uzyskać więcej informacji na temat przepisów federalnych i kalifornijskich dotyczących prywatności informacji medycznych, zobacz calohii (California Office of Health Information Integrity) przegląd stanowych i federalnych przepisów zdrowotnych dotyczących dokumentacji, prywatności, bezpieczeństwa i prawa pacjenta do dostępu.
ponieważ przepisy dotyczące informacji zdrowotnych są bardziej ukierunkowane na to, kto obsługuje dane (podmioty objęte ochroną) niż na same dane, dane medyczne, które trafiają poza mury HIPAA i inne powiązane przepisy, na ogół nie mają szczególnych zabezpieczeń prywatności w zakresie ochrony zdrowia.
wiele ekspozycji pochodzi z aktywności osób w Internecie. Mogą to być informacje, które użytkownik sam upublicznia poprzez czat lub udział w grupach affinity opartych na chorobach lub schorzeniach lub za pośrednictwem mediów społecznościowych. Jest to coraz poważniejszy problem, ponieważ technologia ułatwia osobom udostępnianie i przechowywanie informacji medycznych.
wiele aplikacji do spraw zdrowia i fitnessu (mobilnych i internetowych) również gromadzi dane medyczne lub medyczne oraz ułatwia i zachęca do ich udostępniania.
istnieje również stałe, nieskończenie skalibrowane targetowanie behawioralne, które może, bez Twojej wiedzy, łączyć zidentyfikowane dane kliknięć z identyfikowalnymi informacjami medycznymi.
efekt końcowy? Mozaika przepisów, które zbyt często pozostawiają poufne informacje medyczne bez ochrony.