İhlal Bildirimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Düzenlemeler Artık Giyilebilir Cihazları ve Sağlık Uygulamalarını Kapsıyor, Daha Fazla İhlal Türüne Ulaşıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Nisan 2024
Federal Ticaret Komisyonu, Sağlık İhlali Bildirim Kuralında yapılan değişiklikleri tamamlayarak HIPAA tarafından düzenlenmeyen kuruluşlara ilişkin düzenlemeler için geçerli olan teknoloji türlerini genişletti. Kural yaklaşık 15 yıldır yürürlükte, ancak ajans bunu ancak yakın zamanda uygulamaya başladı.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
FTC, Sağlık İhlali Bildirim Kuralı’nın revize edilmesinin, bu kuralın sağlık uygulamaları ve diğer benzer teknolojilere uygulanabilirliğini “güçlendirdiğini ve modernleştirdiğini” söyledi.
Ajans geçen yıl, düzenlemeleri güncelleyen önerilen kuraldaki değişikliklere önceden bir göz attı (bkz: FTC, Önerilen Sağlık Kuralı Değişikliğiyle Sınırları Zorluyor).
Kural, kişisel sağlık kayıtları veya PHR satıcılarının ve HIPAA kapsamına girmeyen ilgili kuruluşların, güvenli olmayan kişisel tanımlayıcı bilgileri içeren ihlalleri FTC’ye ve etkilenen bireylere bildirmesini gerektirir.
Değişiklikler kapsamında FTC’nin PHR tanımı, kuralın kapsamına uygun olarak iki şekilde revize edildi.
FTC, “Gözden geçirilen tanım, nihai kuralın, kişisel sağlık kayıtları satıcılarının mobil uygulamaları da dahil olmak üzere çevrimiçi hizmetler aracılığıyla ürün ve hizmet sunan kuruluşları kapsadığını açıkça ortaya koyuyor” dedi. Buna giyilebilir fitness cihazları, mobil sağlık uygulamaları ve benzeri ürünler gibi teknolojiler de dahildir.
“Ayrıca, kişisel sağlık kaydına herhangi bir bilgiye erişen veya herhangi bir bilgiyi gönderen kuruluşlar yerine, yalnızca güvenli olmayan PHR tanımlayıcı sağlık bilgilerine kişisel sağlık kaydına erişen veya gönderen kuruluşların PHR ile ilgili kuruluşlar olarak nitelendirildiğini açıkça ortaya koymaktadır.”
Nihai kural, bir “güvenlik ihlalinin”, bir veri güvenliği ihlali veya yetkisiz bir ifşa sonucunda ortaya çıkan, tanımlanabilir sağlık bilgilerinin yetkisiz bir şekilde elde edilmesini içerdiğini açıklığa kavuşturmaktadır.
Bu, tüketici sağlığıyla ilgili verilerin, bireylerin izni olmadan veri komisyoncuları ve reklamverenler gibi üçüncü taraflarla paylaşılması durumunda ortaya çıkan ihlalleri de içerir.
Kesinleşmiş kural aynı zamanda ihlal bildirimiyle ilgili ayrıntıları da açıklığa kavuşturuyor. Kural, tüketicilere “açık ve etkili” ihlal bildirimi sağlamak amacıyla e-posta ve diğer elektronik araçların genişletilmiş kullanımına izin vermektedir; güvenlik ihlali sonucu güvenli olmayan PHR tanımlayıcı sağlık bilgilerini elde eden üçüncü tarafların kuruluşlarının adı veya kimliği gibi bildirimde tüketicilere sağlanması gereken gerekli içeriği genişletir; ve ihlallerin FTC’ye rapor edilmesini içeren gereklilikleri yerine getirir.
Sağlık İhlali Bildirim Kuralı, Federal Kayıt’ta yayınlandıktan 60 gün sonra yürürlüğe girer.
Gizlilik avukatı Kirk Nahra, “Geliştirildiği günden bu yana on yılı aşkın süredir büyük ölçüde hareketsiz kalan bu kural, FTC’nin sağlıkla ilgili bilgilerin nasıl kullanılabileceğini ve ifşa edilebileceğini düzenleme çabalarında öncü haline geldi” dedi. WilmerHale hukuk firmasından.
“Bu son kural, FTC’nin nihai kuraldan önce zaten attığı adımları güçlendiriyor; kural kapsamındaki kapsamı daha önce kurala tabi olarak görülmeyen kuruluşlar ve faaliyetleri de kapsayacak şekilde genişletiyor.”
Daha geniş bir şekilde tanımlanan bu sektörde faaliyet gösteren şirketlerin, bu yeni kuralın, kanunlar çıkarıldığında başlangıçta düşünüldüğünden çok daha geniş bir faaliyet yelpazesini nasıl etkilediğini değerlendirmesi gerektiğini söyledi.
Gerçekten de BakerHostetler hukuk firmasının ortağı avukat Aleksandra Vold, FTC’nin nihai kuralda birkaç önemli değişiklik yaptığını, bunların bazılarının kuruluşları “şaşırtabileceğini” söyledi.
Nihai kuralın “kapsamlı” sağlık hizmeti sağlayıcısı tanımına göre, “bedensel işlevlerden kondisyona ve uykuya kadar her şeyin takibini ve tabii ki normal tıbbi teşhis ve tedaviyi takip eden bir mekanizma sağlayan her türlü web sitesi, uygulama vb.” düzenleme kapsamına giriyor, dedi.
“Komisyon bunun 193.000 kuruluşu kapsayacağını tahmin ediyor – ve bahse girerim ki bunların büyük bir kısmı, kapsamının genişletilmesi şöyle dursun, bu kuralın varlığından bile habersizdir” dedi.
FTC, kuralın Obama yönetiminden bu yana yürürlükte olmasına rağmen, ihlal bildirimi kuralıyla ilgili ilk yaptırım eylemini ancak Şubat 2023’te uyguladı.
Bu FTC yaptırım eylemi, indirimli ilaç ve tele sağlık sağlayıcısı GoodRx Holdings’e karşıydı. Bunu Mayıs 2023’te doğurganlık takip uygulaması Premom’un geliştiricisi Easy Healthcare’e karşı ikinci bir yaptırım izledi.
Her iki durumda da FTC, şirketlerin kullanıcı bilgilerini reklamverenlerle paylaşmaması gerektiğini söyledi.