Der wilde Westen ungeschützter personenbezogener Daten – The Health Care Blog

Der wilde Westen ungeschützter personenbezogener Daten – The Health Care Blog
4.5 (90%) 28 votes

Deven McGraw
Vince Kuraitis

Von VINCE KURAITIS und DEVEN McGRAW

Dieser Beitrag ist Teil der Serie „Das Goldlöckchen-Dilemma der Gesundheitsdaten: Datenschutz? Teilen? Beide?"

„… Der durchschnittliche Patient wird im Laufe seines Lebens etwa 2.750-mal mehr Daten zu sozialen und Umwelteinflüssen als zu klinischen Faktoren generieren.“

Die McKinsey-Statistik "2.750-mal" ist eine hübsche
guter Proxy für die Menge Ihrer persönlichen Gesundheitsdaten, die NICHT durch geschützt sind
HIPAA und ist derzeit weitgehend ungeschützt vor Weitergabe und Nutzung durch Dritte
Parteien.

Es gibt jedoch eine parteiübergreifende Gesetzgebung vor dem Kongress, die einen erweiterten Datenschutz für Ihre persönlichen Gesundheitsdaten bietet. Die Senatoren Klobuchar & Murkowski haben das "" eingeführt (S.1842). Das Gesetz würde den Schutz auf viele personenbezogene Gesundheitsdaten ausweiten, die derzeit noch nicht durch die HIPAA geschützt sind (das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen von 1996).

In diesem Aufsatz werden wir in den Rückspiegel schauen, um zu sehen
wie HIPAA substanziellen Schutz für persönliche klinische Daten bietet – aber
mit Grenzen. Wir werden auch einen Blick auf die Windschutzscheibe werfen – den Wilden Westen von
ungeschützte Gesundheitsdaten.

Dann werden wir in einem separaten Beitrag das Thema beschreiben und kommentieren
anhängig „Gesetz zum Schutz personenbezogener Gesundheitsdaten“.

Der Rückspiegel
– Erhebliche HIPAA-Schutzmaßnahmen, aber mit Grenzen

Im Jahr 2016 erfüllte HHS seine HITECH-Anforderung zur Meldung von Datenschutz- und Sicherheitsproblemen außerhalb der HIPAA und legte dem Kongress einen ausführlichen Bericht vor: * (der „HHS-Bericht 2016“).

Im HHS-Bericht 2016 wurden viele der Schutzmaßnahmen der HIPAA beschrieben –
zum Beispiel:

„Die HIPAA-Datenschutzregel
bietet bundesstaatlichen Schutz für individuell identifizierbare Gesundheitsinformationen
gehalten von versicherten Unternehmen und ihren Geschäftspartnern und gibt Patienten eine
Reihe von Rechten in Bezug auf diese Informationen. Die Privacy Rule schützt
individuell identifizierbare Gesundheitsinformationen, die von einer versicherten Person gespeichert oder übermittelt werden
Unternehmen oder dessen Geschäftspartner, in jeglicher Form oder in jeglichen Medien, sei es elektronisch,
Papier oder mündlich. "

Im HHS-Bericht 2016 heißt es: „Während die HIPAA dient
traditionelle Gesundheitsversorgung gut und weiterhin die nationalen Prioritäten für
interoperable Gesundheitsinformationen mit seiner medienneutralen Privacy Rule, seinem Geltungsbereich
ist begrenzt…"

Der Text des weiteren zitiert den HHS-Bericht 2016:

„… Unternehmen, die nicht unter fallen
den Schutz der Privatsphäre von (HIPAA), wie tragbare Fitness-Tracker und
gesundheitsorientierte Social-Media-Sites, „üben eine Vielzahl von Praktiken aus, wie z
Online-Werbung und Marketing, kommerzielle Nutzung oder Verkauf von Einzelpersonen
Informationen und Verhaltens-Tracking-Praktiken, die alle anzeigen
Informationsverwendung, die wahrscheinlich breiter ist als das, was Einzelpersonen erwarten würden. “

Der HHS-Bericht 2016 beschreibt ausführlich fünf Hauptbereiche
Datenschutz- und Sicherheitsaufsicht und -schutz der HIPAA sind unterschiedlich
als diejenigen von Unternehmen, die nicht von der HIPAA erfasst werden (auch bekannt als nicht erfasste Unternehmen):

  • Unterschied in den Zugriffsrechten von Einzelpersonen
  • Unterschiede bei der Weiterverwendung von Daten durch Dritte
  • Unterschiede in den Sicherheitsstandards für
    Dateninhaber und Nutzer
  • Unterschiede im Verständnis der Terminologie
    über den Schutz der Privatsphäre und der Sicherheit
  • Unangemessene Erfassung, Verwendung und Offenlegung
    Einschränkungen

(Wir sind uns auch der Kritik an HIPAAs Lücken und
Mängel, aber für heute konzentrieren wir uns darauf, dass das HIPAA-Glas mehr als die Hälfte ausmacht
voll.)

Aus der Windschutzscheibe –
der wilde Westen ungeschützter Gesundheitsdaten

Lassen Sie uns das etwas genauer untersuchen: "… der durchschnittliche Patient wird in seinem Leben etwa 2.750-mal mehr Daten in Bezug auf soziale und Umwelteinflüsse als auf klinische Faktoren generieren." Im Folgenden werden die Arten und Mengen der Daten aufgeführt, die im Laufe des Lebens einer Person generiert wurden:

Soziale Determinanten von Gesundheit &
Gesundheitsverhalten – 1.100 Terabyte

Nicht modifizierbare Faktoren (z.B.
Genetik) – 6 Terabyte

Klinische Versorgung – 0,4 Terabyte

Die Festplatte eines durchschnittlichen PCs kann heute
Halten Sie ca. 500 MB bis 1 Terabyte Daten. Also im Laufe ihres Lebens ein Durchschnitt
Person würde zwischen 1.100 und 2.200 der heutigen PCs mit persönlicher Gesundheit füllen
Daten. Das ist viel.

Aber was noch wichtiger ist, die Daten in Bezug auf soziale und soziale
Umwelteinflüsse sind weitgehend ungeschützt vor Weitergabe und Nutzung durch Dritte
Parteien. Wie bereits erwähnt, glauben wir an die Statistik „2.750-mal“
ist ein ziemlich guter Proxy für die Menge Ihrer persönlichen Gesundheitsdaten nicht
geschützt durch HIPAA.

Ein kürzlich veröffentlichter NCVHS-Bericht – – enthält Beispiele dafür, wie verschiedene persönliche Gesundheitsdaten erfasst werden können:

„Die Anzahl der Potenziale
Geräte (Personal oder IoT) ist enorm und nimmt zu. Persönliche Geräte, die
Sammeln Sie Gesundheitsinformationen wie Thermometer, Pulsoximeter, Blut
Manschetten, Kleidung, Gürtel, Schuhe, Brillen, Uhren, Aktivitätsmonitore,
Handys und vieles mehr. Fast jede Art von Gerät, Fitnessgeräten,
Kamera oder ein anderes Verbraucherprodukt kann zu einem IoT-Gerät mit dieser Funktion werden
der Aufzeichnung und Übermittlung persönlicher Informationen über das Internet. Ein IoT
Gerät kann Daten über Aktivitäten, Gewicht, Gesundheitszustand, Lebensmittel sammeln
Einkäufe, Essgewohnheiten, Schlafmuster, sexuelle Aktivität, Lesen und
Sehgewohnheiten und mehr. “

Aber warte … da ist noch mehr. Erwägen Sie andere Möglichkeiten, wie persönliche Gesundheitsdaten erfasst werden können: Gesichtserkennungstechnologie, Kameras, Gentests, soziale Medien, intelligente persönliche Assistenzdienste wie Alexa und viele andere.

Zitiert im NCVHS-Bericht von Rechtsprofessor Frank Pasquale
kam zu dem Schluss, dass für Gesundheitsdaten außerhalb des Gesundheitssektors „in vielen
In jeder Hinsicht ist alles möglich. “

Kann der anhängige „Schutz personenbezogener Gesundheitsdaten
Act “besseren Schutz bieten? Wie würde sich das Gesetz auf Patienten und andere auswirken?
Stakeholder im Gesundheitswesen? Wir werden diese Fragen in unserem nächsten Beitrag untersuchen –
„Gesundheitsdaten außerhalb der HIPAA: Wird das Gesetz zum Schutz personenbezogener Gesundheitsdaten angewendet?
Den Wilden Westen zähmen? "

* Offenlegung:
Während Deven bei HHS war, hat sie zu diesem Bericht beigetragen

Vince Kuraitis, JD / MBA (@VinceKuraitis) ist ein unabhängiger Berater für Gesundheitsstrategien mit über 30 Jahren Erfahrung in über 150 Gesundheitsorganisationen. Er bloggt bei e-CareManagement.com.

Deven McGraw, JD, MPH, LLM (@healthprivacy) ist Chief Regulatory Officer bei Ciitizen (und ehemaliger Beamter bei OCR und ONC). Sie bloggt bei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.