Dalış Özeti:
- Federal Ticaret Komisyonu, şirketlerin potansiyel olarak hassas tıbbi bilgilerin ticaretini yapmasını engellemek amacıyla sağlık hizmetleri uygulamalarına ilişkin veri ihlali raporlama gerekliliklerini Cuma günü nihai kuralıyla sağlamlaştırdı.
- Sağlık İhlali Bildirim Kuralı, kişisel sağlık bilgilerine sahip şirketlerin, bu veriler ihlal edildiğinde düzenleyicileri, tüketicileri ve bazı durumlarda medyayı bilgilendirmesini gerektirir ve düzenleyicilerin kötü aktörleri cezalandırmasına olanak tanır. Yeni nihai kural, bunun sağlık uygulamaları için geçerli olduğunu açıklığa kavuşturuyor ve kapsam dahilindeki kuruluşların bir ihlal durumunda ifşa etmesi gereken bilgileri genişletiyor.
- FTC, geçtiğimiz baharda doğrudan durumunu belirten bir kural önermeden önce, ilk olarak sağlık uygulamalarını HBNR’nin 2021 politika açıklamasında kendilerine uyguladığı konusunda uyardı.
Dalış Bilgisi:
FTC, ilk kez 2009’da yayınlanan ve ihlaller nedeniyle şirketleri cezalandırmak için nadiren kullanılan HBNR’yi güncellerken gelişen sağlık verileri kullanımına ayak uydurmayı hedefliyor.
Ancak uygulamalar ve fitness takipçileri gibi doğrudan tüketiciye yönelik diğer giyilebilir ürünler, kısmen yeni sağlık teknolojilerinin benimsenmesini zorlayan COVID-19 salgını sayesinde daha popüler hale geldi. Uygulamalar genellikle tüketicilerin verilerini pazarlama ve kullanıcıların bildiklerinin ötesinde diğer amaçlar için kullanırken, geçirgen HIPAA gizlilik yasasının kapsamı dışında kalıyor.
Görünüşte, nihai kural esasen HBNR’deki mevcut tanımları revize etmektedir. Ancak FTC’nin HBNR’ye dayanarak daha fazla yaptırım eylemi gerçekleştirmesi nedeniyle, kuralın sağlık uygulamalarına uygulanabilirliğinin altını çizmenin sektör üzerinde büyük sonuçları olabilir.
Geçtiğimiz yılın başlarında FTC, HBNR kapsamında ilk anlaşmasını yaparak ilaç indirimi sağlayıcısı GoodRx’i, tüketicilerin bilgilerini Facebook ve Google gibi üçüncü taraf reklamverenlere ifşa ettiğini tespit ettikten sonra 1,5 milyon dolar para cezası ödemeye zorladı. Daha sonra Mayıs ayında FTC, yumurtlama ve adet takibi uygulaması Premom’un ana şirketi Easy Healthcare ile benzer endişeler üzerine 100.000 $ karşılığında anlaştı.
Uzmanlara göre, nispeten düşük ceza miktarları ve şirketlerin yanlış yaptıklarını kabul etmelerini gerektirmeyen anlaşmalar, FTC’nin HBNR’ye ilişkin yeni yorumunu mahkemede uygulama yeteneğinden emin olmadığını gösteriyor. Cuma günkü nihai kuralın uygulama pozisyonunu güçlendirmesi muhtemel ve gelecekte daha büyük para cezalarına yol açabilir.
Kural aynı zamanda kişisel olarak tanımlanabilir sağlık verilerinin nelerden oluştuğunu da açıklığa kavuşturuyor; yani ihlal edildiğinde HBNR’nin raporlama gerekliliklerini tetikleyen veriler. Buna teşhisler ve ilaçlar gibi geleneksel sağlık bilgileri, uygulamalarla etkileşimden elde edilen veriler ve “acil sağlık verileri” adı verilen bir kategori dahildir.
Acil sağlık verileri, bir kişinin tıbbi geçmişi hakkında çıkarımlarda bulunmak için kullanılabilecek sağlık hizmetlerine ilişkin satın alma kayıtlarını ve konum verilerini içerir.
Konum verileri, Yüksek Mahkeme’nin 2022’de anayasal kürtaj hakkını iptal eden kararının ardından düzenleyicilerin özellikle odak noktası oldu.
Biden yönetimi, verilerin kürtaj alan, gerçekleştiren veya kürtajı kolaylaştırmaya yardımcı olan kişileri kovuşturmak için kullanılabileceği endişesi nedeniyle veri paylaşımını engellemek için HBNR ve HIPAA gibi mevcut araçları kullanmanın yeni yollarını bulmaya çalışıyor.
Son zamanlarda FTC, veri komisyoncularına karşı tüketicilerin tıbbi kliniklere ziyaretlerini takip etmek için kullanılabilecek konum bilgilerini satmalarını engelleyen bir dizi önlem aldı.
Nihai kural aynı zamanda şirketlerin bir ihlal durumunda tüketicilere söylemeleri gerekenleri de genişletiyor; örneğin hangi üçüncü tarafların kişisel bilgilerini ve potansiyel zararla ilgili bilgileri edindiği gibi. Ayrıca şirketlerin e-posta veya diğer elektronik araçlar yoluyla bir ihlal hakkında tüketicileri bilgilendirmesine olanak tanıyor ve büyük ihlallerin bildirilmesi için bir son tarih belirliyor.
FTC komisyon üyeleri, kuralı Federal Kayıt’ta yayınlamak için 3-2 oy kullandı; üç Demokrat komisyon üyesi lehte ve iki Cumhuriyetçi komisyon üyesi karşı çıktı.
Çoğunluğa karşı çıkan bir bildiride Komisyon Üyeleri Melissa Holyoak ve Andrew Ferguson, kuralın FTC’nin yetkisini aştığını ve “şirketleri sürekli uyumsuzluk riskiyle karşı karşıya bıraktığını” savundu.