Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyum
Tüketici Sağlığı Verilerinin Daha Fazla Korunmaya İhtiyacı Var – FTC Buna Kadar mı?
Marianne Kolbasuk McGee (SağlıkBilgisi), David Perera’nın (@daveperera) •
19 Mayıs 2023
Federal Ticaret Komisyonu tarafından sağlık ihlali kuralına bu hafta açıklanan önerilen değişiklikler, bazı savunucuların kişisel sağlık verilerinin daha güçlü korumalara ihtiyaç duyduğu konusunda hemfikir olmasına neden oldu.
Ayrıca bakınız: Dijital Yönetici Korumasına Yönelik Artan İhtiyaç
Komiserler, Perşembe günü oybirliğiyle, 2021’de yapılan ve kişisel sağlık verileri için veri ihlali bildirimi gerekliliklerini yöneten daha önce belirsiz ve kullanılmayan bir kuralın kapsamını genişleten daha önceki bir politika değişikliğini kodlayan bir kural oluşturma için oy kullandı (bkz:: FTC, Veri Gizliliği Denetimini Geliştirmek İçin Harekete Geçiyor).
Politika bildiriminde ve önerilen kuralda yapılan önemli değişiklikler arasında, bildirilebilir güvenlik ihlallerinin siber güvenlik olaylarıyla sınırlı olmaması ve kuralın, orijinal kuralın aksine kişisel sağlık kayıtlarını sağlayanların ötesinde daha geniş bir şirketler grubu için geçerli olmasıdır. -yapımcıları ana konuları olarak tasavvur ettiler.
FTC bunun yerine Sağlık İhlali Bildirim Kuralının, tüketici sağlığı verilerini toplayan mobil uygulamalar ve giyilebilir kondisyon izleme cihazları için geçerli olduğunu ve bu tüketici verilerinin, bireylerin izni olmadan üçüncü taraflarla paylaşıldığında bir ihlalin meydana geldiğini söyledi.
Uygulama ve izleyici ekonomisi tarafından toplanan kişisel sağlık verilerinin şu anda aldığından daha fazla korumaya ihtiyaç duyduğuna çok az kişi katılmıyor. FTC’nin ihlal bildirimi kuralı, Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi Yasası’nın Şubat 2009’da yürürlüğe girmesine, “ilk iPhone’un piyasaya sürülmesinden 18 ay sonra”, dedi Omada Health’in gizlilik ve düzenleme sorumlusu Lucia Savage.
Hukuk firması Reed Smith’in düzenleyici avukatı Brad Rostolsky, o zamandan beri tüketici sağlığı verilerinin gizliliğine Vahşi Batı yaklaşımının görüldüğünü söyledi. HIPAA tarafından klinik ortamlara dayatılan gerekliliklerle sınırlandırılmadan, yumurtlama döngülerini, akıl sağlığını, reçeteleri ve egzersiz sıklığını toplayan uygulamalardan gelen veriler, hedeflenen reklam veritabanlarına serbestçe aktı.
“Sağlık sektörü, bireylerin düzenli olarak kullandığı iş türleri ve ürünler açısından daha da genişledikçe, önerilen bu değişiklikler, bir HIPAA ile doğrudan bağlantılı olmayan çok sayıda dijital sağlık teklifini somut bir şekilde ele almayı amaçlıyor. varlık,” dedi Rostolsky.
Daha Sert Zemin?
Resmi bir kural koyma süreci, teşkilata yorumunun geçerli olduğunu iddia ederken neredeyse kesinlikle daha sağlam bir yasal zemin sağlayacaktır, ancak bazı yakın gözlemciler teşkilatın Yüksek Mahkeme tarafından başka bir küçük düşürücü tersine çevirme için kendisini hazırlayabileceği konusunda uyarıyorlar.
2021’de yüksek mahkeme, AMG Capital Management tarafından açılan bir davada oybirliğiyle FTC aleyhine karar verdi ve ajansın mağdur tüketiciler adına parasal yardım talep etme yetkisini şişirdiğini tespit etti.
ACT – The App Association’ın genel danışmanı ve House Energy’nin eski bir danışmanı olan Graham Dufault, “Yargıtay artık federal kanunun süper yaratıcı yorumlarına oldukça düşmanca bir bakış açısı getiriyor, bu nedenle koşullar süper geniş yorumlar için en iyisi değil” dedi. ve Ticaret Komitesi.
FTC, ihlalleri kişisel verilere “yetkisiz erişim” olarak tanımlayan orijinal kuralda yanlışlıkla geniş bir güvenlik ihlali tanımından yararlanabilir. Ama “bir İngiliz anahtarıyla çivi çakmaya çalışmak biraz” dedi.
FTC, Sağlık İhlali Bildirim Kuralını on yıldan uzun bir süre önce ilk kez yayınladığında, düzenlemeler daha sınırlı bir “kişisel sağlık kaydı” tanımıyla ilgiliydi. Tüketicilerin tıbbi verileri kişisel dijital kayıtlarda depolamak için HIPAA’nın taşınabilirlik gereksinimlerinden yararlanacaklarına dair kısa ömürlü Obama dönemi iyimserliğini yansıtıyordu. Kişisel sağlık kayıtları tutmadı ve Google gibi büyük şirketler, tüketici ilgisizliği ve veri taşınabilirliği sorunlarıyla karşılaştıktan sonra teklifleri çevrimdışı duruma getirdi.
BakerHostetler hukuk firmasının avukatı Daniel Kauffman ve FTC’nin Tüketici Koruma Bürosu’nun eski bir vekili, “Uzun yıllar boyunca, kuralla ilgili FTC kılavuzu, ne tür sağlık ürünlerinin kapsandığına dair çok daha dar bir görüş sunuyordu” dedi.
Information Security Media Group’a verdiği demeçte, “Kural dilinin bu daha geniş yorumla uyumlu olması için böyle bir kural koyma yürütmek gerçekten önemlidir” dedi. “Bir politika beyanı yasal olarak uygulanabilir değildir, ancak bir kural yasal olarak uygulanabilir.”
Sağlık ve İnsani Hizmetler Departmanı’nın Sağlık Bilişimi Ulusal Koordinatörü Ofisi ve Sivil Haklar Ofisi’nde eski bir gizlilik yetkilisi olan avukat Deven McGraw, şu anda yazıldığı şekliyle kuralın “tüzükteki metne oldukça yakın” olduğunu söyledi.
Artık bir gizlilik ve düzenleyici olan McGraw, “Bu yeni hükümlerde bakacağım şey, FTC’nin kapsanan kuruluşların kapsamını genişletmeye çalışıp çalışmadığı ve kongre dilinin böyle bir genişlemeye izin verecek şekilde makul bir şekilde yorumlanıp yorumlanamayacağıdır” dedi. Bir genetik tarama şirketi olan Invitae’de yönetici.
FTC, indirimli ilaç ve tele sağlık sağlayıcısı GoodRx Holdings’e karşı ilk sağlık ihlali kuralı uygulama eylemini Şubat ayında gerçekleştirdi ve Çarşamba günü doğurganlık izleme uygulaması Premom’un geliştiricisi Easy Healthcare’e karşı ikinci bir yaptırım uyguladı ve her durumda şirketlerin yapmaması gerektiğini söyledi. kullanıcı bilgilerini reklamverenlerle paylaşıyor (bkz: FTC, Doğurganlık Uygulaması Satıcısına Para Cezası Verdi, Veri Paylaşımını Engelledi).
FTC yetkilileri özel olarak, ajansın genişletilmiş politika beyanının sektör tarafından kabul edilmesinin meşruiyetini sağlamlaştırmanın anahtarı olacağını söylediler.
Hukuk firması Moses Singer’ın sağlık hizmetleri mahremiyeti ve siber güvenlik grubu başkanı avukat Linda Malek, iki başarılı yaptırım eyleminin bir zorluk durumunda FTC’ye yardımcı olabileceğini söyledi.
“FTC, geçen yıl boyunca tutarlı bir şekilde yaptırım eylemleri, politika açıklamaları, büyük gazetelerdeki görüş yazıları aracılığıyla ve şimdi bu önerilen kural koyma bildirimiyle, gizliliği ve güvenliği koruma yetkisine sahip olduğu mesajını gönderdi. HIPAA kapsamına girmeyen sağlık uygulamalarını ve diğer sağlık teknolojilerini kullanan kişilerin sağlık bilgileri” dedi.