数据

为了您的雷达 - 在未决隐私立法中对医疗保健的巨大影响

deven麦克风
Vince Kuraitis.

由Vince Kuraitis和Deven McGraw

两年前我们会’T已经相信它 - 美国国会正在考虑2019年的广泛隐私和数据保护立法。有一些两党支持和立法将通过的强有力。最近的两个文章 华盛顿邮政AP新闻 将帮助您加快速度。

联邦隐私法例对所有医疗保健利益攸关方产生巨大影响,包括患者。  Here’我们概述了我们的地面’这篇文章中的LL封面:

  • 为什么现在?
  • 医疗保健的六个关键问题
  • 什么’s Next?

我们意识到至少有5个拟议的国会票据和16个隐私框架/原则。这些列于下面的附录中;请随时更新您的评论中的这些列表。 在这篇文章中,我们将专注于提供背景和描述问题。在未来的帖子中,我们将比较和对比特定的立法提案。

为什么现在?

许多因素有助于将隐私问题带到接近沸点:

科技lash和监测资本主义。 Facebook Scandals.,剑桥分析,俄罗斯选举干扰,技术成瘾,数据违规 - 所有人都为此贡献 科技lash. 针对硅谷巨人,并提出了越来越多的监管要求。

中央主题是日益增长的公众了解如何收获个人数据。在一个 最近的Blis调查,63%的消费者回应了他们“more aware”如何通过公司与一年前使用的个人数据。

批评的Crescendo只是越来越响亮。哈佛法·萨科纳Zuboff教授’最近发表的书 监督资本主义的年龄 将Techlash带到新的水平。她 写道: “监控资本家很快发现他们可以使用这些数据不仅要知道我们的行为,还可以使用这些数据而且还要塑造它。”

欧洲法规。 欧洲现在拥有世界’最强大的隐私和数据保护规范。这 欧盟一般数据保护条例 (GDPR)于2018年5月生效。

国家规定。  The 加利福尼亚州消费者隐私法案 (CCPA)在2020年1月生效并在GDPR之后建模,具有广泛的覆盖范围,并拥有收集联邦救济的健康(或健康有关)信息争抢的大公司。  The 华盛顿州其他 似乎是诉讼。

科技公司意识到现状不是一种选择。 美国没有全面的联邦数据保护法。反而, 美国立法框架 对于隐私和信息安全,包括多种法律,这些法律主要以部门为基础调节私营部门,其中多个监管机构致力于监督。

医疗保健的六个关键问题

新联邦隐私法中可能包含哪些规定?信息技术与创新基金会(ITIF)最近发布了一个 报告 列出了30个可能的隐私法组件(请参阅“标注框”)。

Information Technology & Innovation Foundation, //itif.org/publications/2019/01/14/grand-bargain-data-privacy-legislation-america

ITIF报告提供了每个组件的说明。我们’LL在我们的六个问题列表中引用其中许多问题,我们认为对患者和其他医疗利益攸关方特别重要:

  • 有联邦抢占国家立法吗?
  • 是Hipaa的全部或部分rescinded?
  • 如何解决利益相关者团体的利益?
  • 如何解决利益相关者团体的利益?
  • 下一代技术如何解决?
  • 新的隐私法例将如何执行?

让’单独看待这些。

1)有联邦抢占国家立法吗?

这承诺是一个有争议的问题。看这个的简单方法 - 联邦法律是消费者权利的地板或天花板吗?

科技公司害怕未经讨国力的立法通过全球各国和各国的国家。他们更愿意看到 联邦法律禁止各国通过自己的法律。全球公司宁愿看到一个与GDPR和谐相处的联邦法律。

害怕弱势联邦立法,消费者至少最初的倡导者将更愿意看到继续允许各国通过更强的法律的联邦立法。 16个隐私小组提交了一个 致国会 支持强大的州隐私法和反对联邦抢先。

在考虑联邦立法时,对联邦抢先的反对可能会被软化,以提供强大的消费者保护。

2)是HIPAA的全部或一部分rescinded?

HIPAA. (健康保险便携性和责任法案隐私,安全和违规通知法规)不保护所有健康相关数据 - 它只涵盖HIPAA覆盖实体(主要护理提供者,健康计划和医疗清除露水)手中的健康信息他们的商业伙伴(收集健康信息的承包商代表涵盖的实体执行服务)。它不会在没有专门被HIPAA覆盖的实体手中保护健康信息。 例如,HIPAA不涵盖面向消费者的应用程序的健康信息。 HIPAA还不适用于已识别的数据(呈现非常低的重新识别风险)。

联邦隐私法例如何影响HIPAA?那’现在是一个通配符的东西。隐私立法可能会扩大与非HIPAA数据的HIPAA保护等保护,或者联邦立法可能会使漏洞延续不提供与健康相关数据的具体保护。

一些 正在呼吁涵盖所有个人数据的GDPR的法律,并消除所有部门的特定隐私法。 为了实现统一,国家隐私计划的利益,ITIF报告特别建议撤消HIPAA:

…联邦隐私法例应为所有类型的数据创建一套常见的联邦保护。这将意味着去除重复或冲突的规则。为实现这一目标,联邦隐私立法应该落日其他特定的特定文章隐私法,如GLBA,HIPAA和家庭教育权和隐私法(FERPA),并在单一的联邦数据隐私法下带来这些规则所涵盖的行业。

3)如何解决利益相关者团体的利益?

在最广泛的意义上,隐私立法将是关于会议的消费者/患者与技术公司的利益。许多科技公司越来越认识到需要重新建立和维护消费者 相信— 这需要明确划定,透明和可审计惯例。 但公司和消费者/患者可能会对如何建立和维护这种信任不同意。

隐私法规的组成部分 消费者/患者的最兴趣 与个人控制相关数据:

  • 数据便携性
  • 正确/纠正错误的权利
  • 删除某些类型数据的权利
  • 同意数据共享和使用
  • 仅用于指定目的的数据
  • 数据次要用途的限制
  • 数据保留的时间限制
  • 收集/使用/分享尽可能少的数据要求
  • 数据安全
  • 去识别数据
  • 违法行为的私人权力

隐私法规的组成部分 对科技公司和许多医疗保健的兴趣 include:

  • 统一各国和各国的要求(见上文抢占的讨论)
  • 最小化合规成本
  • 自由创新
  • 对数据收集/使用/共享的限制很少
  • 限制惩罚和私人行动权利

4)利益相关者团体中的利益如何?

在HIPAA生态系统中的主要利益攸关方中,有分裂的观点。我们将分享一些例子。

甚至那些倡导更强大的联邦法律的人偏好:

隐私最大律师 将更倾向于最严格的消费者数据保护。他们更愿意将个体患者提供尽可能多的控制,以如何分享和使用它们的数据。 “We’d喜欢仅考虑仅针对特定目的收集数据的法律,即患者拼写这些特定目的,即患者必须特别同意收集和共享数据,这些数据不在指定的目的之外使用,并且某些数据在指定的时间段后删除数据类型。”

隐私平衡器 将指出隐私组件之间的权衡,并将重大成本和福利。 “我们认识到,健康数据具有推进医学和科学的巨大潜力;因此,临床试验的研究人员和指挥人需要合理访问大量患者数据。” (参见下一节中的讨论)

医疗保健提供者也不太可能对隐私法规的统一意见。有些可能会欢迎加强隐私保护。 “We’真正努力让我们的健康系统更多‘patient centric’。指定数据的患者权限将有助于我们保护我们的患者并开展他们对他们的数据如何共享和使用的愿望。”

可能会在医疗记录中查看数据的其他提供者“theirs”可能更喜欢现状。 “关于医疗信息所有权的含苦,对我们的优势。我们将医疗数据视为它‘ours’我们认为这是我们竞争的优势。”

卫生计划可能更有可能具有一致的职位,支持对目前在HIPAA覆盖泡沫外的实体施加隐私规则的条款,但更愿意继续受到HIPAA与新的,熟悉的规则所涵盖的核准。 “HIPAA.的工作实际上可以保护卫生计划收集的信息,但所有公司都应该有一个级别的竞争领域,用于收集健康信息。“

在科技世界中,一些公司已接受令人惊讶的强烈观点,青睐消费者保护:

Apple Ceo Tim Cook: “我们都值得控制我们的数字生活。这就是为什么我们必须在数据经纪人中加入….Consumers不应该忍受另一年公司,不负责任地混淆巨大的用户简档,似乎失控的数据泄露以及控制我们自己的数字生活的消失能力。”

Microsoft CEO Satya Nadella:我希望在美国,我们将有一些东西’沿着同一条线[作为欧洲GDPR规定]。事实上,我希望世界各地都融合了一个共同的标准。”

Salesforce Ceo Marc Benioff:

这些只是一些例子。但是,目前还不清楚这些强有力的承诺是否转化为支持强大的联邦隐私法。

5)下一代技术如何解决?

人工智能,机器学习和分析等下一代技术为医学和医疗保健的进步提供了诱人的承诺。法律教授 价格和科恩描述 一些潜力:

大数据使健康保健品质和效率的更强大的评估,然后可以用于促进护理。目前,很多护理仍然相对未经触及和破坏;在持续存在的治疗,大量浪费和医疗错误的持续证据中,了解有效以及对系统性改进的关键是什么作用。

法规往往会忽视新技术的能力。正如我们在介绍部分中提到的那样,与Techlash和监视资本主义有关的显着担忧。但是,下一代技术提出了与之相关的歧视和公平性,但超越隐私问题 - 例如,使用大数据来使医疗资源分配决策加剧了种族和民族差异。

我们与潜在隐私法例相关的一些问题包括:

  • 将DE-entedification或匿名(以及如何定义这些术语)的数据仍然更广泛地可用于大数据使用?
  • 立法是否会解决歧视,或者我们只是仅仅留下吉娜,美国人的法律法案,以及负担得起的护理法案,所有这些都有漏洞?
  • 立法是否处理下一代技术中的偏差潜力,例如通过在算法中需要公平和/或透明度,用于做出关于个人和/或人口的决定?

6)如何执行新的隐私法律?

以下是要考虑的一些关键问题:

哪些代理商或机构将有权执行新隐私立法的健康相关方面?可能的候选人包括联邦贸易委员会(FTC),卫生和人类服务(HHS)内的民权(OCR)办公室,或者也许是一个新创建的机构。

将提供哪些数量和类型的资源来强制执行新立法?

执行机构是否会持续统治统治权,以解决立法和/或新技术或行业实践中的差距?

患者会有私人行动权,即,将公司带到法院的权利?

将州律师将军和机构允许调查和执行违反联邦规则的行为吗?

什么’s Next?

隐私法例辩论可能会在2019年度高度可见。最近 哈里斯/芬恩民意调查 found that “privacy of data”是美国公司应该解决的#1问题,有65%的受访者表明它是“very important”.

30个私隐立法组成部分列出的涉及所颁布的复杂性,它也强调了许多妥协机会。

ITIF报告描述了国会’ key task as being “为了平衡消费者隐私,自由言论,生产力,美国经济竞争力和创新等竞争目标。”

这赢了’这是一项简单的任务,我们预计它需要一段时间才能发挥作用。开发联邦隐私立法可能需要超过一年。它’S也可能成为2020选举中的隐私立法可能成为一个重要问题。

我们鼓励您注意,并在雷达上保持这个重要的问题!

附录

提议和待处理的票据

参议员Rubio.

参议员威登

参议员Blumenthal / Moran

参议员Schatz.

参议员Klobuchar / Kennedy

框架/原则

现在访问

BSA软件联盟

商业圆桌会议

民主中心& Technology

数字民主中心

电脑&通信行业协会

电子前沿基础

电子隐私信息中心

隐私论坛的未来

谷歌

信息责任基础

信息技术产业委员会

英特尔

互联网协会

应用程序协会

美国商会

Vince Kuraitis.,JD / MBA(@VinceKuraitis.)是一个独立的医疗保健战略顾问,超过150多年的保健机构的经验。 He blogs at e-caremanagement.com..

deven麦克风,JD,MPH,LLM(@HealthPrivacy.)是CIITizen(和OCR和ONC的前官员)的总法律顾问和首席监督管理官。她博客了 ciitizen.com。

传播爱心

11回复 »

  1. 这是非常有价值的,谢谢奉献和文斯。另一个项目:患者是否有权说出他们是谁?创建我的身份要分享,以便我可以同样地登录所有门户网站和API?

  2. NPRM草案是互操作性的突破,因为它使联邦健康架构能够实施患者定向的健康信息交换作为单方面参与的条件–通过特殊兴趣避免第二十年的脚踏拖延。 va的核心将不得不走去。

    CMS Actuaries将在2027年预测GDP医疗保健部门的6万亿美元/ 19.4%。我尚未找到一个人认为这是美国经济和政治制度可持续的人。革命会来。它可能是左左或超出它的推出价格削减,但在任何人都将如何通过虚拟捕获捕获来“弯曲成本曲线”之前,它会发生很长时间。

    目前的政府只有几个月的时间来引导革命,以市场驱动的方向,实际上能够获得价格和质量竞争。患者定向的互操作性和数据使用透明度可能在2021到2021到位,而没有任何明显需要超出现有21C治疗的国会行动。

    路线图在我最近的帖子中描述 //lrllxa.icu/blog/2019/02/22/oncs-proposed-rule-is-a-breakthrough-in-patient-empowerment/ 我是一个乐观主义者,并投注hhs会这样做。加入我。

  3. 大卫,感谢您的评论。同意—2019年立法不是完成的交易。保持我的手指交叉。我们’LL继续写下这个问题。

  4. 优秀概述关键问题和潜在的解决方案。我(一如既往地)持怀疑态度,我们会尽快实现有意义的变化(尤其是在沼泽逐产卵中)。在GDPR生效日期后,许多公司的严重实施的滞后是指在未来的漫长道路,即使我们得到了完善的新法律。我担心我们将集体无法摆脱我们自己的方式,并就抢先州法律的有意义的联邦隐私法达成共识。但我很乐意在这一点感到惊讶。

  5. 所以这是否意味着我应该放弃一天的幻想能够在我必须把紧急的探索膝盖到或?

    史蒂夫

  6. 戴夫,感谢您的评论。一世’M也读取监测资本主义。这本书明确地是一个非常彻底的问题,旨在教育,但并不是’T提供了很多深度答案。

    关于数据/隐私保护的联邦立法将是一个很好的开端…but it’不是最后的答案。

    是的,扎克伯格失去了所有可信度和信任。作为一开始,FB需要一个“under new management” sign.

    Lygeia.,谢谢你的积极文字!

    Lymepolicywonk,同意去识别带来了伤害的风险…如果数据的特异性和唯一性,并且重新识别尤其可以使用健康数据。

    I’M注册表留下了深刻的印象’已经建立。更一般地,我认为您说明了对独立的第三方需要监督卫生研究项目。

    威廉,你提出了好点。潜在立法的一部分复杂性是,有这么多种不同的兴趣和不容易预见的情况。

    而且,关于我们的其他类型的数据已经收集数十年,但医疗保健数据收获仍然是一个相对较新的领域—大多数健康记录数据’在最近而且它仍然没有数字化’t…and we’在获得不可操作的数据的孤岛上有很长的路要走。如下,请注意安全性至关重要。风险和机遇。

  7. Devens和Vince,非常感谢你。这些是巨大的含义,时间成熟。

    添加:

    1.患者需要在其医疗记录中拥有足够的股权所有权,使得他们可以作为一堂课,也许与他们的律师一起进行调查,撰写论文,撰写论文,向国会或州立法提供事实以及事实上最终改变他们的健康计划或保险公司或医院的行为。因此,他们需要能够研究数据并与之做出事情。对称。现在,我们拥有巨大的公司和机构,使用和利用数据。患者需要能够做同样的事情。

    一个例子:说有一个健康计划茁壮成长。茁壮成长拥有一些护理家园和一些门诊实验室和形象中心。在同一服务区域中存在类似的竞争设施。患者越来越大,茁壮成长始终是其自身的设施,价格众所周知。需要研究。

    或者说,社区在报纸上发现其主导医院的ER在Emtala原则上没有遵循Emtala原则,并且在服务前要求支付担保。需要研究。

    2.数据的定义应扩展到与患者相关的财务数据 ’■临床数据。这是患者所需的要求,应该是患者从保险公司或提供者要求的内容。再次,对称性。并再次,需要研究数据的所有权的概念。

    3.我们需要具有问责制流程,以便如果发生数据安全性的故障,则发生一些后果。

    4.我们需要能够使用签订签订屠杀服务来测试安全性。

  8. 这是一个很好的问题概述。谢谢你。我会补充一点,因为数据被证明并不意味着它不能造成伤害。它具有较少的机会通过歧视创造个人伤害,但它仍然有可能对社区造成伤害–特别是一个耻辱的社区。例如,我们的患者登记处已在基于信任的数据共享模型中注册了超过12,000名患者,该模型规定其数据仅用于患者确定的患者社区的利益。这意味着研究人员和研究项目被审查,以防止研究员偏见可能有助于进一步使社区或减少,解雇或维持患者担忧的进一步边缘化。这有点像社区参与式研究。这适用于我们的社区,这是非常侮辱的,也适用于其他耻辱或有针对性的社区,如此美洲原住民,非洲裔美国人,心理健康社区,LGBTQ社区,成瘾者等。因此,有个人自治和社区管理保护社区的社区管理数据滥用的风险因偏见或不敏感的研究人员而损害他们的社区,他们未能理解或持有该中心的社区利益。

    在我在PCORI担任患者隐私小组时,我们也很高兴重新连接我这么多。

  9. 非常感谢这两个学校的两个学校!

    I’ve开始阅读监控资本主义并停止阅读被欺骗,这对Facebook的细节无限更具信息量–特别有用,因为它’写的不是由人写的’对这个话题的反思性地敌对,而是由硅谷大师罗杰·麦克克纳尔·麦克克纳利’在过去的情况下,FB所做的粉丝,在FB的忠告’早期,带来了谢丽尔桑德堡。当他说他们’ve gone too far – way too far –它有额外的oomph。

    此外,在Google Adwords(成功,与Appy Award)中致力于致力于整个想法。

    I’LL在这里重复我在Twitter上说过这件事:

    @mightycasey只是标记了我 本2014 WAPO文章 上 Zuck’隐私的看法,声称我们需要的东西(并且拥有!)是“control,” not privacy. It’完全在未来5年内完全持续。

    我的观点:如果对真相有一个粉碎“control” claim, they’d SHOW us what they’重新分享,并让我们能够说不(AKA来控制它!)在分享之前。

    上周英国政府破坏了他们“故意和故意” ignoring users’隐私设置。这么多“control,” eh?

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *