Yönetişim ve Risk Yönetimi, HIPAA/HITECH, Gizlilik
Önerilen Veri Gizliliği Yasası Sağlık Bilgilerinin İşlenmesini Nasıl Etkileyebilir?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Nisan 2024
Hukuk uzmanları, teklif edilen iki partili, iki meclisli Amerikan Gizlilik Hakları Yasası’nın, eğer yasa Kongre’de ilgi görürse ve fiilen yasalaşırsa, sağlık sektörü ve sağlıkla ilgili verileri işleyen diğer gruplar için çeşitli potansiyel sonuçlar doğuracağını söylüyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Tasarıyı hazırlayanlar (Sen. Maria Cantwell, D-Wa. ve Temsilci Cathy McMorris Rodgers, R-) yasanın, eyaletin kapsamlı veri gizliliği yasalarının mevcut yama yapısını ortadan kaldırmayı ve “ihlal edenleri sorumlu tutacak sağlam uygulama mekanizmaları” oluşturmayı amaçladığını söylüyorlar. Wa., sırasıyla Senato ve Temsilciler Meclisi Ticaret komitelerine başkanlık eder.
Healthcare Information and Management Systems Society’nin siber güvenlik ve mahremiyetten sorumlu kıdemli müdürü avukat Lee Kim, APRA’nın, yasanın kapsamına giren sağlayıcılar ve hizmet firmaları için kapsanan verilerin gizliliği ve güvenliğine yönelik ulusal bir standart belirlemeye çalışan tek tip bir mevzuat olduğunu söyledi. .
“Bazı yönlerden AB Genel Veri Koruma Yönetmeliği’ne benziyor ancak ‘kapsam dahilindeki kuruluş’ ve ‘hizmet sağlayıcı’ terminolojisini kullanıyor” dedi. “Ayrıca, başka bir istisna geçerli olmadığı sürece bireylere, verilerinin işlenmesine olumlu rıza verme hakkı veriyor ve verilerinin işlenmesini istemeyenler için açık, açık ve basit devre dışı bırakma mekanizmalarına ilişkin hükümler var.” söz konusu. “Bireyler, kapsam dahilindeki verilere erişme, bunları düzeltme, silme ve taşınabilirliğini sağlama hakkına sahiptir.”
Tasarı, diğer pek çok hükmün yanı sıra, Federal Ticaret Komisyonu’na ve eyalet başsavcılarına APRA’yı uygulama yetkisi verecek. HIPAA’nın aksine, tüketicilere yasayı ihlal edenlere karşı hukuk davası açma konusunda özel bir hak da veriyor.
Polsinelli hukuk firmasından avukat Allison Dressel, “Başarılı olursa, bu tür kişilere, diğer tazminatların yanı sıra, davalı kuruluştan fiili zararlar ve avukatlık ücretleri ödenebilir” dedi.
HIPAA kurallarına uyan, HIPAA tarafından düzenlenen kuruluşların, APRA’nın benzer hükümlerine uygun olduğu kabul edilecektir. Yine de bir sağlık kuruluşunun APRA kapsamına girmesi durumunda APRA’nın veri güvenliği hükümlerine de uyması gerekir.
“Tasarı, korunan sağlık bilgileri açısından HIPAA tarafından düzenlenen ve HIPAA’ya uygun olan kapsam dahilindeki kuruluşlar ve iş ortakları için geniş bir muafiyet içeriyor; ancak bu tür kuruluşlar, verilerin saklanmasına ilişkin sınırlamalar da dahil olmak üzere yine de APRA’nın veri güvenliği gerekliliklerine tabi olacak. “dedi Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene.
“Buna karşılık APRA, HIPAA’nın dışında kalan kuruluşlar için onları bir dizi ulusal, kapsamlı gizlilik gereksinimleri altına sokarak çok daha büyük bir oyun değiştirici olacaktır” dedi.
Dressel, HIPAA tarafından düzenlenmeyen sağlık sektörü firmalarının, APRA’nın eyalet sağlık hizmeti bilgileri gizlilik yasalarına tabi sağlık hizmeti verilerini muaf tutmadığını unutmaması gerektiğini söyledi.
“Yasa yalnızca bu tür yasaları engellemediğini belirtiyor. Bu tür kuruluşların hem yasaya hem de geçerli eyalet yasalarına uyması gerekebilir” dedi. “Sonuç olarak, sağlık sektörü kuruluşları bu tasarıdaki ön alım hükümlerine dikkat etmelidir” dedi.
Daha Fazla Kafa karıştırıcı mı?
Bazı uzmanlar, APRA’nın bazı tekliflerinin sağlık verilerini işleyen gruplar için işleri potansiyel olarak daha karmaşık hale getirebileceğini söyledi.
Gizlilik avukatı Kirk Nahra, “Tasarı, çoğu durumda hem HIPAA kuruluşlarını muaf tuttuğundan hem de sağlık bilgilerini içeren yasaları önleme hükümlerinden muaf tuttuğundan, sağlık bilgilerine ilişkin yasayı daha az kafa karıştırıcı yerine daha kafa karıştırıcı hale getirme yönündeki rahatsız edici eğilimi sürdürecek” dedi. hukuk firması WilmerHale.
“Bu kafa karışıklığının mahremiyetin korunmasına yardımcı olmayacağı ve sağlık bilgilerinin yararlı kullanımını zorlaştıracağı ve sağlık sisteminin işleyişini daha karmaşık hale getireceği konusunda endişelenmeye devam ediyorum.”
Tasarıda ayrıca şirketlerin verileri yalnızca gerekli ve sınırlı amaçlarla toplamasına ve kullanmasına olanak tanıyacak veri minimizasyonu standartlarının belirlenmesi de öneriliyor. Bu, hassas kapsam dahilindeki verilerin, tüketicinin olumlu açık rızası olmadan üçüncü taraflara aktarılmasını yasaklayacaktır (bkz.: ABD’nin İki Partili Gizlilik Yasa Tasarısı Siber Güvenlik Talimatları İçeriyor).
Düzenleme avukatı Rachel Rose “Zamanlama her şeydir” dedi. Tasarı, hassas bilgileri veri komisyoncuları ve diğer üçüncü taraflarla paylaşan çevrimiçi izleme araçlarının (sağlıkla ilgili web siteleri dahil) kullanımı gibi tüketici veri gizliliği sorunlarının giderek daha fazla tartışıldığı ve düzenleyici kurumlar tarafından incelendiği bir zamanda geliyor. FTC olarak (bkz: İhlal Özeti: Sisense Tedarik Zinciri Saldırısı).
Aslında FTC, Cuma günü veri komisyoncusu X-Mode ve halefi Outlogic’in hassas konum verilerini paylaşmasını veya satmasını yasaklayan bir kararı kesinleştirdi. Dava, şirketin insanların tıbbi ve üreme sağlığı klinikleri ve ibadethaneler gibi hassas yerlere ziyaretlerini takip etmek için kullanılabilecek kesin konum verilerini sattığı yönündeki iddiaları çözüme kavuşturdu.
“Öncelikle, FTC’nin tüketici haklarına ve yaptırım eylemlerine artan vurgusu, veri izleme ve satışının yasa dışı kullanımına ilişkin farkındalığın artmasına katkıda bulunan faktörlerdir” dedi. “İkincisi, artan eyalet yasalarının ışığında, HIPAA gibi yasal gereklilikler için bir zemin oluşturan ancak yine de eyaletlere bu zeminin üzerine çıkma serbestliği veren bir federal yasaya sahip olmak mantıklıdır” dedi.
Federal veri gizliliği mevzuatına yönelik önceki girişimler başarısızlıkla sonuçlanmış olsa da, bu tasarının iki partili destekle daha iyi bir şansı olabilir. Örneğin, özel dava hakkı genellikle parti hatları arasında bölücü bir konudur. Ancak bazı uzmanlar, bu hafta tanıtılan APRA yasa taslağının potansiyel olarak yasalaşma konusunda daha iyi bir şansa sahip olduğunu öngörüyor. Yine de sorun zamanlaması olabilir.
Greene, “APRA’nın her iki meclisten de üst düzey, iki partili sponsorları var ve bu da ona çok güçlü bir başlangıç noktası sağlıyor” dedi. “Geçmişteki federal gizlilik mevzuatı girişimlerine göre geçiş şansı daha yüksek, ancak devletin önalımı ve özel dava hakkı sorunlarını çözmek – en az bir seçim yılında – yine de dik bir yokuş yukarı tırmanma olacaktır.”
Nahra, APRA’nın potansiyel olarak zorlu bir mücadeleyle karşı karşıya kalacağını kabul ediyor ancak ulusal veri gizliliği mevzuatı için yenilenen çabaların umut ışığı sunduğunu söylüyor. “En azından artık meseleyi dışarıda bırakmak yerine mücadeleyle meşgulüz. Kongre’nin bu mesele üzerinde ortak hareket edememesinin hiçbir iyi nedeni yok” dedi.
“Genişleyen devlet çerçevesi (hızın arttığı yerde) bunun önemli bir bölümünü oynuyor ve aynı zamanda tasarıda daha geniş bir ön alıma yol açıyor” dedi.
“APRA biraz karışık bir konu; ilgili konuların çoğuna genel olarak uygun yollarla değiniyor ama aynı zamanda diğer bazı alanlara da sözde bağlılık gösteriyor” dedi.
“Tasarı ilerledikçe bu alanlardan bazılarının detaylandırılmasını bekliyorum” dedi. “Bu süreç boyunca olduğu gibi, ön alım ve özel dava hakkı konusundaki tavizler en çok ilgiyi çekti. Umarım diğer alanların da dikkate alınmasını sağlamak için tasarının geri kalan kritik maddesine de dikkat edilir.” düşünceli bir şekilde ele alındı.”