Das „P“ in HIPAA steht nicht für Privatsphäre. Dies ist eines der ersten Dinge, die viele Experten sagen, wenn sie gebeten werden, Missverständnisse über das Gesundheitsdatengesetz auszuräumen. Stattdessen steht es für Portabilität – es heißt Health Insurance Portability and Accountability Act – und beschreibt, wie Informationen zwischen Anbietern übertragen werden können. Fehlinterpretationen des HIPAA beginnen schon beim Namen und Missverständnisse darüber, was das Gesetz eigentlich tut, wirken sich stark auf unsere Fähigkeit aus, zu erkennen, welche Arten von Daten in seinen Geltungsbereich fallen und welche nicht. Dies gilt insbesondere, da immer mehr technische Geräte und Dienstleistungen für Verbraucher eine Fülle von Informationen über unsere Gesundheit sammeln.
Wir betrachten HIPAA oft als Teil der Verbraucherdatenschutzgesetzgebung, weil es das Ministerium für Gesundheit und menschliche Dienste anweist, bestimmte Sicherheitsbestimmungen zu erlassen, wie z. B. Vorschriften zur Meldung von Verstößen usw zum Schutz individuell identifizierbarer Informationen. Doch als HIPAA in den 1990er Jahren in Kraft trat, bestand sein Hauptziel darin, die Zusammenarbeit zwischen Anbietern und Versicherungsunternehmen zu verbessern. Einfach ausgedrückt: „Die Leute denken, dass HIPAA mehr abdeckt, als es tatsächlich tut“, sagte Daniel Solove, Professor an der George Washington University und CEO des Datenschutzschulungsunternehmens TeachPrivacy.
Laut Cobun Zweifel-Keegan, DC-Geschäftsführer der International Association of Privacy Professionals, weist HIPAA zwei große Einschränkungen im Geltungsbereich auf: eine begrenzte Anzahl abgedeckter Unternehmen und eine begrenzte Anzahl abgedeckter Daten. Zu den abgedeckten Unternehmen zählen Gesundheitsdienstleister wie Ärzte und Krankenkassen wie Krankenkassen. Die abgedeckten Daten beziehen sich auf Krankenakten und andere individuell identifizierbare Gesundheitsinformationen, die von den abgedeckten Unternehmen verwendet werden. Gemäß HIPAA kann Ihr Hausarzt keine Daten zu Ihrem Impfstatus an eine Werbefirma verkaufen, sondern eine Fitness-App (die nicht unter die gedeckte Einheit fällt), die Ihre Schritte und Herzfrequenz aufzeichnet (die nicht als gedeckte Daten gelten). ) absolut möglich.
„Was HIPAA abdeckt, sind Informationen, die sich auf die Gesundheitsversorgung oder die Bezahlung der Gesundheitsversorgung beziehen, sowie alle identifizierbaren Informationen, die in dieser Datei enthalten sind“, sagte Solove. Gesundheitsinformationen, die Sie an Ihren Arbeitgeber oder Ihre Schule weitergeben, etwa wenn Sie eine Krankschreibung einreichen, werden nicht abgedeckt. Sie schützen Ihren Arzt jedoch davor, weitere Einzelheiten zu Ihrer Diagnose mitzuteilen, wenn er zur Überprüfung anruft.
Allerdings hat sich in den fast 30 Jahren seit Inkrafttreten des HIPAA viel geändert. Die Gesetzgeber hinter HIPAA haben nicht damit gerechnet, wie viele Daten wir heute über uns selbst weitergeben würden, von denen viele als persönlich identifizierbar gelten können. Diese Informationen fallen also nicht in ihren Geltungsbereich. „Als HIPAA entworfen wurde, ahnte niemand wirklich, wie die Welt aussehen würde“, sagte Lee Tien, leitender Anwalt der Electronic Frontier Foundation. Es ist nicht schlecht konzipiert, HIPAA kann einfach nicht mit dem Zustand mithalten, in dem wir uns heute befinden. „Sie teilen ständig Daten mit anderen Menschen, die keine Ärzte sind oder nicht zur Versicherungsgesellschaft gehören“, sagte Tien.
Denken Sie an all die Daten, die täglich über uns gesammelt werden und Aufschluss über unsere Gesundheit geben könnten. Noom verfolgt Ihre Ernährung. Peloton kennt Ihr Aktivitätsniveau. Ruhe sieht dich, wenn du schläfst. Medisafe kennt Ihren Pillenplan. Betterhelp weiß, welche psychischen Erkrankungen Sie haben könnten, und wurde vor weniger als einem Jahr von der FTC verboten . Die Liste geht weiter, und ein Großteil davon kann für den Verkauf von Nahrungsergänzungsmitteln, Schlafmitteln oder was auch immer verwendet werden. „Gesundheitsdaten könnten nahezu grenzenlos sein“, sagte Solove, wenn HIPAA also keinen begrenzten Umfang an abgedeckten Unternehmen hätte, wäre auch das Gesetz grenzenlos.
Ganz zu schweigen von der Menge an Rückschlüssen, die Unternehmen auf der Grundlage anderer Daten über unsere Gesundheit ziehen können. Ein detailliert beschrieben, wie Target allein anhand der Online-Suchanfragen und -Käufe einer Person herausfinden kann, dass sie schwanger ist. HIPAA schützt Ihre medizinischen Daten möglicherweise nicht vor der Einsichtnahme durch Strafverfolgungsbeamte. Auch ohne Haftbefehl können Polizisten an Ihre Unterlagen gelangen . Die Polizei verfügt über , aber auch andere Arten von Daten können sensible Details liefern. Beispielsweise kann daraus hervorgehen, dass Sie eine bestimmte Klinik aufgesucht haben, um sich behandeln zu lassen. Aufgrund dieser Schlussfolgerungen werden Gesetze wie HIPAA die Strafverfolgungsbehörden nicht unbedingt davon abhalten, jemanden aufgrund seiner Gesundheitsentscheidung strafrechtlich zu verfolgen.
Heutzutage tauchen in den gesamten USA landesspezifische Gesetze auf, um einige der Lücken im Gesundheitsdatenschutz zu schließen, die HIPAA nicht abdeckt. Das bedeutet, dass wir über die bloßen Krankenakten und Gesundheitsdienstleister hinausgehen und einen größeren Teil der Gesundheitsdaten der Menschen erfassen müssen. Es wie in Kalifornien, das die Möglichkeit bietet, jeden zu bestrafen, der fahrlässig medizinische Informationen offenlegt, oder einige zusätzliche Schutzmaßnahmen gegen Verstöße für Verbraucher mit Sitz in Pennsylvania, aber der Bundesstaat Washington hat kürzlich ein Gesetz verabschiedet, das speziell auf die Lücken des HIPAA abzielt.
Der im vergangenen Jahr verabschiedete „My Health My Data Act“ des US-Bundesstaates Washington zielt darauf ab, „persönliche Gesundheitsdaten zu schützen, die nicht in den Geltungsbereich des Health Insurance Portability and Accountability Act fallen“, heißt es vom Büro des Generalstaatsanwalts in Washington. Jedes Unternehmen, das im Bundesstaat Washington Geschäfte tätigt und mit personenbezogenen Daten umgeht, die den früheren, gegenwärtigen oder zukünftigen körperlichen oder geistigen Gesundheitszustand eines Verbrauchers identifizieren, muss die Datenschutzbestimmungen des Gesetzes einhalten. Zu diesen Bestimmungen gehört das Recht, Ihre Gesundheitsdaten nicht ohne Ihre Zustimmung verkaufen zu lassen und Gesundheitsdaten auf schriftlichen Antrag löschen zu lassen. Nach diesem Gesetz ist im Gegensatz zu HIPAA ein oder die Schlussfolgerungen von Target zur Schwangerschaft wären abgedeckt.
„My Health My Data“ wird noch eingeführt, daher müssen wir abwarten, wie sich das Gesetz auf den nationalen Schutz von Gesundheitsdaten auswirkt. Dennoch löst es bereits Nachahmergesetze aus .