“P” در HIPAA به معنای حفظ حریم خصوصی نیست. این یکی از اولین چیزهایی است که بسیاری از کارشناسان وقتی از آنها خواسته می شود تا هرگونه تصور نادرست در مورد قانون داده های سلامت را برطرف کنند، می گویند. درعوض، مخفف قابلیت حملپذیری است – قانون قابل حمل و پاسخگویی بیمه سلامت نامیده میشود – و نحوه انتقال اطلاعات بین ارائهدهندگان را توضیح میدهد. با تفسیرهای نادرست از HIPAA که فقط با نام آن شروع می شود، درک نادرست از آنچه که قانون واقعاً انجام می دهد، به شدت بر توانایی ما برای تشخیص اینکه چگونه انواع داده ها در محدوده آن قرار می گیرند و نمی شوند، تأثیر می گذارد. این امر به ویژه زمانی صادق است که تعداد فزایندهای از دستگاهها و خدمات فناوری مصرفکننده مجموعهای از اطلاعات مربوط به سلامت ما را جمعآوری میکنند.
ما اغلب HIPAA را بخشی از قانون حفظ حریم خصوصی دادههای مصرفکننده میدانیم، زیرا به وزارت بهداشت و خدمات انسانی دستور داد تا مقررات امنیتی خاصی مانند مقررات اعلان نقض و برای محافظت از اطلاعات قابل شناسایی فردی اما زمانی که HIPAA در دهه ۱۹۹۰ اجرایی شد، هدف اصلی آن بهبود نحوه کار ارائه دهندگان با شرکت های بیمه بود. دانیل سولوو، استاد دانشگاه جورج واشنگتن و مدیر عامل شرکت آموزش حریم خصوصی TeachPrivacy، گفت: به زبان ساده، «مردم فکر میکنند که HIPAA بیش از آنچه در واقع انجام میدهد پوشش میدهد».
به گفته Cobun Zweifel-Keegan، مدیر عامل DC انجمن بین المللی حرفه ای حریم خصوصی، HIPAA دارای دو محدودیت بزرگ در حوزه است: مجموعه محدودی از نهادهای تحت پوشش، و مجموعه محدودی از داده های تحت پوشش. نهادهای تحت پوشش شامل ارائه دهندگان مراقبت های بهداشتی مانند پزشکان و طرح های بهداشتی مانند شرکت های بیمه سلامت هستند. داده های تحت پوشش به سوابق پزشکی و سایر اطلاعات بهداشتی قابل شناسایی فردی که توسط آن نهادهای تحت پوشش استفاده می شود، اشاره دارد. تحت HIPAA، پزشک عمومی شما نمیتواند دادههای مربوط به وضعیت واکسیناسیون شما را به یک شرکت تبلیغاتی بفروشد، اما یک برنامه تناسب اندام (که یک نهاد تحت پوشش نیست) که گامها و ضربان قلب شما را (که دادههای تحت پوشش در نظر گرفته نمیشوند) ردیابی میکند. ) کاملا می تواند.
Solove گفت: “آنچه که HIPAA پوشش می دهد، اطلاعاتی است که به مراقبت های بهداشتی یا پرداخت برای مراقبت های بهداشتی مربوط می شود، و نوعی از اطلاعات قابل شناسایی که در آن فایل وجود دارد.” این هیچ گونه اطلاعات بهداشتی به اشتراک گذاشته شده با کارفرما یا مدرسه شما را پوشش نمی دهد، مثلاً اگر یک یادداشت بیماری را تحویل دهید، اما از پزشک شما در برابر به اشتراک گذاشتن جزئیات بیشتر در مورد تشخیص شما در صورت تماس برای تأیید محافظت می کند.
با این حال، در نزدیک به ۳۰ سال از زمانی که HIPAA به اجرا درآمد، چیزهای زیادی تغییر کرده است. قانونگذاران پشتیبان HIPAA پیش بینی نکرده بودند که ما امروز چه مقدار از داده ها را در مورد خود به اشتراک می گذاریم، که بسیاری از آنها را می توان شخصاً قابل شناسایی دانست. بنابراین، این اطلاعات در محدوده آن قرار نمی گیرد. لی تین، وکیل ارشد کارکنان بنیاد الکترونیک مرزی گفت: «زمانی که HIPAA طراحی شد، هیچ کس واقعاً پیشبینی نمیکرد که جهان چگونه خواهد بود». بد طراحی نشده است، HIPAA نمی تواند با وضعیتی که امروز در آن هستیم هماهنگی داشته باشد. تین گفت: «شما دائماً داده ها را با افراد دیگری که پزشک نیستند یا شرکت بیمه نیستند به اشتراک می گذارید.
به تمام دادههایی که روزانه درباره ما جمعآوری میشود و میتواند بینشی درباره سلامتی ما ارائه دهد فکر کنید. Noom رژیم غذایی شما را دنبال می کند. Peloton سطوح فعالیت شما را می داند. وقتی خواب هستید آرام شما را می بیند. Medisafe برنامه قرص شما را می داند. Betterhelp می داند که ممکن است چه شرایطی برای سلامت روان داشته باشید، و کمتر از یک سال پیش توسط FTC ممنوع شد . این فهرست ادامه دارد و بیشتر آن می تواند برای فروش مکمل های غذایی یا کمک خواب یا هر چیز دیگری استفاده شود. Solove گفت: “داده های بهداشتی می تواند تقریباً نامحدود باشد”، بنابراین اگر HIPAA دامنه محدودی از نهادهای تحت پوشش را نداشت، قانون نیز نامحدود بود.
ناگفته نماند میزان استنباطهایی که شرکتها میتوانند بر اساس دادههای دیگر درباره سلامت ما انجام دهند. یک توضیح داده شده است که چگونه با جستجوها و خریدهای آنلاین شخصی، Target می تواند بفهمد که آنها باردار هستند. HIPAA ممکن است از اطلاعات پزشکی شما در برابر مشاهده توسط افسران اجرای قانون محافظت نکند. حتی بدون حکم، پلیس می تواند سوابق شما را دریافت کند . پلیس دارد اما انواع دیگر داده ها مانند می تواند جزئیات حساس را نیز ارائه دهد. به عنوان مثال، می تواند نشان دهد که برای دریافت مراقبت به یک کلینیک خاص مراجعه کرده اید. به دلیل این استنباط ها، قوانینی مانند HIPAA لزوماً مجریان قانون را از تعقیب شخصی بر اساس تصمیم مراقبت های بهداشتی آنها باز نمی دارد.
امروزه، قوانین خاص ایالتی در سراسر ایالات متحده برای کمک به هدف قرار دادن برخی از شکافهای حریم خصوصی دادههای بهداشتی که HIPAA پوشش نمیدهد، ظاهر میشود. این به معنای فراتر رفتن از پروندههای پزشکی و ارائهدهندگان مراقبتهای بهداشتی است تا ردپای دادههای سلامت افراد بیشتری را در بر بگیرد. آی تی مانند کالیفرنیا که گزینههایی را برای دریافت اتهام از هر کسی که با سهل انگاری اطلاعات پزشکی یا برخی از محافظتهای نقض اضافی را برای مصرفکنندگان مستقر در پنسیلوانیا ارائه میکند، ارائه میدهد، اما ایالت واشنگتن اخیرا قانونی را تصویب کرد که به طور خاص شکافهای HIPAA را هدف قرار میدهد.
طبق گفته قانون «سلامت من دادههای من» در ایالت واشنگتن، که سال گذشته تصویب شد، هدف آن «حفاظت از دادههای سلامت شخصی است که خارج از محدوده قانون قابلیت حمل و پاسخگویی بیمه سلامت قرار دارند». از دفتر دادستان کل واشنگتن هر نهادی که تجارتی را در ایالت واشنگتن انجام می دهد و با اطلاعات شخصی که وضعیت سلامت جسمی یا روانی گذشته، حال یا آینده مصرف کننده را مشخص می کند، سر و کار دارد، باید از حمایت های حریم خصوصی این قانون پیروی کند. این مقررات شامل حق عدم فروش داده های سلامتی شما بدون اجازه شما و حذف داده های سلامت از طریق درخواست کتبی است. بر اساس این قانون، بر خلاف HIPAA، یک یا استنباط های انجام شده توسط تارگت در مورد بارداری پوشش داده شود.
My Health My Data هنوز در حال انتشار است، بنابراین باید منتظر بمانیم و ببینیم این قانون چگونه بر حفاظت از حریم خصوصی دادههای سلامت ملی تأثیر میگذارد. با این حال، در حال حاضر جرقه قوانین کپی را در داخل می کند .
این مقاله ابتدا در Engadget در https://www.engadget.com/hipaa-protects-health-data-privacy-but-not-in-the-ways-most-people-think-184026402.html?src=rss منتشر شد.
منبع: https://www.engadget.com/hipaa-protects-health-data-privacy-but-not-in-the-ways-most-people-think-184026402.html?src=rss