La Federal Trade Commission s’est jointe cette semaine au Bureau américain de la santé et des services sociaux pour les droits civils pour rappeler aux organisations de soins de santé leurs responsabilités en matière de divulgation par des tiers d’informations de santé protégées en vertu de la loi HIPAA, de la loi FTC et de la règle de notification des violations de la santé de la FTC.
POURQUOI EST-CE IMPORTANT
Bien que l’OCR ait abordé les risques de confidentialité et de sécurité liés aux organisations de soins de santé qui utilisent sciemment ou inconsciemment des outils de suivi tiers capables d’analyser, de collecter et de partager des données médicales sensibles avec des partenaires publicitaires en vertu de la loi HIPAA, la FTC utilise également son autorité pour protéger les informations de santé des consommateurs contre “l’utilisation abusive et l’exploitation potentielles”.
“Ces technologies de suivi recueillent des informations identifiables sur les utilisateurs, généralement à leur insu et de manière difficile à éviter pour les utilisateurs, lorsque les utilisateurs interagissent avec un site Web ou une application mobile”, ont déclaré les agences dans leur annonce sur le lettre conjointepublié sur le site Web du HHS, jeudi.
Ils décrivent ensuite comment les outils intégrés sur les sites Web des hôpitaux et de télémédecine peuvent non seulement renvoyer directement les informations PHI, mais des tiers comme Google et Meta/Facebook peuvent continuer à suivre et à recueillir des informations sur les patients même après leur départ.
Plusieurs poursuites allèguent que les sociétés de suivi en ligne partagent des PHI avec leurs partenaires publicitaires, qui ciblent le patient avec des publicités et d’autres contenus. Les recours collectifs peuvent également viser à ce que tout profit que les hôpitaux auraient pu tirer de la vente des données soit versé aux patients victimes, des dommages-intérêts qui certains hôpitaux de Louisiane peuvent être confrontés.
La lettre rappelle que les règles HIPAA s’appliquent lorsque les informations qu’une entité réglementée collecte par le biais de technologies de suivi ou divulguent à des tiers (par exemple, des fournisseurs de technologies de suivi) incluent des PHI.
En décembre 2022, l’OCR a publié un bulletin sur l’utilisation des technologies de suivi en ligne par les entités réglementées par la HIPAA et fournit un aperçu général de la manière dont les règles de la HIPAA s’appliquent.
La FTC ajoute un avertissement concernant les lois sur la protection des consommateurs.
“Même si vous n’êtes pas couvert par la HIPAA, vous avez toujours l’obligation de vous protéger contre les divulgations inadmissibles d’informations personnelles sur la santé en vertu de la loi FTC et de la règle de notification des violations de la santé de la FTC.”
“Cela est vrai même si vous avez fait appel à un tiers pour développer votre site Web ou votre application mobile et même si vous n’utilisez pas les informations obtenues grâce à l’utilisation d’une technologie de suivi à des fins de marketing.”
LA GRANDE TENDANCE
Quand L’OCR a publié des directives sur l’utilisation des outils de suivi en ligneil a rappelé aux entités réglementées leurs obligations de se conformer aux règles de confidentialité, de sécurité et de notification des violations de l’HIPAA et a expliqué les mesures que les organismes de santé et autres doivent prendre pour protéger les RPS sur les pages Web et formulaires authentifiés par l’utilisateur et autres pages Web et formulaires applicables.
“Dans ces circonstances, les entités réglementées doivent s’assurer que les divulgations faites à ces fournisseurs sont autorisées par la règle de confidentialité et conclure un accord d’association commerciale avec ces fournisseurs de technologies de suivi pour garantir que les PHI sont protégés conformément aux règles HIPAA”, a déclaré l’OCR dans le bulletin.
L’OCR a déclaré qu’il continuait d’être préoccupé par la divulgation d’informations sur la santé à des tiers.
“Bien que les technologies de suivi en ligne puissent être utilisées à des fins bénéfiques, les patients et les autres ne devraient pas avoir à sacrifier la confidentialité de leurs informations de santé lorsqu’ils utilisent le site Web d’un hôpital”, a déclaré Melanie Fontes Rainer, directrice de l’OCR, dans un communiqué concernant la lettre conjointe avec la FTC.
ENREGISTREMENT
“Lorsque les consommateurs visitent le site Web d’un hôpital ou recherchent des services de télésanté, ils ne devraient pas avoir à craindre que leurs informations de santé les plus privées et les plus sensibles puissent être divulguées à des annonceurs et à d’autres tiers anonymes et cachés”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué.
“La FTC signale à nouveau que les entreprises doivent faire preuve d’une extrême prudence lorsqu’elles utilisent des technologies de suivi en ligne et que nous continuerons à faire tout ce qui est en notre pouvoir pour protéger les informations sur la santé des consommateurs contre une utilisation abusive et une exploitation potentielles.”
Andrea Fox est rédactrice en chef de Healthcare IT News.
E-mail: [email protected]
Healthcare IT News est une publication HIMSS Media.
