Language
Schutz der Privatsphäre von Gesundheitsinformationen: Ein Dutzend Erkenntnisse aus FTC-Fällen
HeimHeim > Nachricht > Schutz der Privatsphäre von Gesundheitsinformationen: Ein Dutzend Erkenntnisse aus FTC-Fällen
NEUESTEN NACHRICHTEN

Schutz der Privatsphäre von Gesundheitsinformationen: Ein Dutzend Erkenntnisse aus FTC-Fällen

Aug 08, 2023

In den letzten Monaten hat die FTC einen Fall nach dem anderen bekannt gegeben, in dem es um sensible Gesundheitsdaten von Verbrauchern ging, und behauptete dabei Verstöße sowohl gegen Abschnitt 5 des FTC-Gesetzes als auch gegen die Health Breach Notification Rule der FTC. Der Datenschutz von Gesundheitsinformationen steht für Verbraucher an erster Stelle – und damit auch für die FTC. Unternehmen, die Gesundheitsdaten sammeln oder nutzen, sollten zuhören. Es gibt eine Reihe wichtiger Botschaften von BetterHelp, GoodRx, Premom, Vitagene und anderen FTC-Angelegenheiten, die Sie hören müssen.

Verstehen Sie die Breite der „Gesundheitsinformationen“. Bei Gesundheitsinformationen geht es nicht nur um Medikamente, Verfahren und Diagnosen. Vielmehr handelt es sich um alles, was Informationen über die Gesundheit eines Verbrauchers vermittelt – oder Rückschlüsse darauf zulässt. Tatsächlich machen Premom, BetterHelp, GoodRx und Flo Health deutlich, dass die Tatsache, dass ein Verbraucher eine bestimmte gesundheitsbezogene App oder Website nutzt – beispielsweise eine mit Bezug zu psychischer Gesundheit oder Fruchtbarkeit – oder wie er mit dieser App interagiert (z , Ein- oder Ausschalten des „Schwangerschaftsmodus“) kann selbst eine Gesundheitsinformation sein. Unsere Leitlinien zu Gesundheit und Standort unterstreichen die Tatsache, dass Standortdaten Gesundheitsinformationen vermitteln können. Beispielsweise können wiederholte Besuche in einer Krebsbehandlungseinrichtung hochsensible Informationen über den Gesundheitszustand einer Person vermitteln. Um auf der richtigen Seite des FTC-Gesetzes zu bleiben, betrachten Sie Gesundheitsdaten umfassend und schützen Sie sie entsprechend.

Ihre Verpflichtung, die Privatsphäre von Gesundheitsinformationen zu schützen, ist eine Selbstverständlichkeit. Die Notwendigkeit von Privacy-by-Design ist (oder sollte!) an dieser Stelle selbstverständlich, insbesondere wenn es um sensible personenbezogene Daten geht. Wenn Sie Gesundheitsdaten von Verbrauchern sammeln oder verwenden, bewerten und dokumentieren Sie die Risiken für diese Daten und implementieren Sie strenge Schutzmaßnahmen, um sie zu schützen, wie z. B. ein schriftliches Datenschutzprogramm, Datenschutzschulungen und -überwachung sowie Datenaufbewahrungs-, Zweck- und Nutzungsbeschränkungen. Auch wenn Sie das nicht für notwendig halten, kann die FTC etwas anderes sagen, wie die Beschwerden von BetterHelp und GoodRx zeigen. In diesen Klagen machte die FTC ausdrücklich geltend, dass das Versäumnis der Unternehmen, über angemessene Datenschutzrichtlinien und -verfahren zu verfügen, zu den angeblich unlauteren Datenschutzpraktiken beigetragen habe. Um das Gesetz einzuhalten, verknüpfen Sie Ihre technischen Entscheidungen mit Datenschutzaspekten.

Verwenden Sie keine Tracking-Technologien hinter den Kulissen, die Ihren Datenschutzversprechen widersprechen oder den Verbrauchern auf andere Weise schaden. In der heutigen Überwachungsökonomie ist der Verbraucher oft das Produkt. Verbraucherdaten treiben die Werbemaschine an, die direkt zum Verbraucher zurückkehrt. Aber wenn Unternehmen sensible Gesundheitsdaten von Verbrauchern für Marketing- und Werbezwecke verwenden, indem sie diese Daten beispielsweise über Tracking-Pixel auf Websites oder Software-Entwicklungskits in Apps an Marketingfirmen senden, sollten Sie vorsichtig sein. BetterHelp, GoodRx, Premom und Flo machen deutlich, dass solche Praktiken möglicherweise gegen das FTC-Gesetz verstoßen, wenn sie gegen Datenschutzversprechen verstoßen oder wenn das Unternehmen die ausdrückliche Zustimmung der Verbraucher zur Offenlegung sensibler Gesundheitsinformationen nicht einholt. GoodRx und Premom betonen, dass dieses Verhalten möglicherweise auch gegen die Health Breach Notification Rule verstößt, die eine Benachrichtigung der Verbraucher, der FTC und in einigen Fällen der Medien über die Offenlegung von Gesundheitsinformationen ohne Zustimmung der Verbraucher vorschreibt. Möchten Sie mehr über die Auswirkungen des Trackings erfahren? Weitere Informationen zu Datenschutzbedenken im Zusammenhang mit der Nachverfolgung finden Sie in den Leitlinien der FTC zum Pixel-Tracking und in den gemeinsamen Briefen von FTC und HHS an Krankenhäuser und Telemedizinanbieter.

Geben Sie Gesundheitsinformationen von Verbrauchern nicht missbräuchlich weiter – und erhalten Sie sie auch nicht. Nach Fällen wie BetterHelp, GoodRx, Premom und Flo ist es ziemlich klar, dass die unbefugte Weitergabe von Gesundheitsinformationen von Verbrauchern an andere Unternehmen den Absender dieser Daten in Schwierigkeiten bringen kann. Abhängig vom Sachverhalt könnte der Empfänger dieser Daten jedoch auch gemäß Abschnitt 5 haftbar gemacht werden. Wenn Sie Informationen von anderen Unternehmen beispielsweise zu Werbe- oder Marketingzwecken erhalten, sind Sie möglicherweise gemäß Abschnitt 5 verpflichtet, Maßnahmen zu ergreifen (z. B (z. B. verfahrenstechnische und technische Maßnahmen), um sicherzustellen, dass Sie vertrauliche Informationen nicht unbefugt empfangen, verwenden oder weitergeben. Die bloße Verwendung eines standardmäßigen Standardvertrags oder von Nutzungsbedingungen, um die Übermittlung bestimmter Informationen zu verbieten, reicht möglicherweise nicht aus.

Bestehen Sie darauf, dass Ihre Technik- und Compliance-Mitarbeiter über die Datenschutzpraktiken Ihres Unternehmens kommunizieren. Weiß die rechte Hand, was die linke tut? Unternehmen, die Tracking-Technologien einsetzen, protestieren manchmal dagegen, dass ihr technisches Personal Pixel oder Software-Entwicklungskits verwendet habe, ohne ihre Compliance-Mitarbeiter darüber zu informieren. Ein Schlüssel zur Compliance besteht darin, alle Ihre Datenströme zu verstehen, unabhängig davon, welche Abteilung oder welches Personal für die Daten verantwortlich ist. Beginnen Sie damit, zu erfassen, wie Daten in Ihr Unternehmen gelangen und wie sie dort weitergegeben werden. Aus welchen Quellen stammen die personenbezogenen Daten, die sich im Besitz Ihres Unternehmens befinden? Wie verwenden und veröffentlichen Sie es? Halten Ihre Datenschutzmaßnahmen mit den Datenflüssen Schritt? Stimmen Ihre Versprechen gegenüber den Verbrauchern mit der Art und Weise überein, wie Ihr Unternehmen ihre Informationen tatsächlich nutzt?

„HIPAA-konform“, „HIPAA-sicher“ und ähnliche Behauptungen können Verbraucher täuschen. Die Einhaltung von HIPAA, dem nationalen Gesetz zum Schutz der Privatsphäre bestimmter Gesundheitsinformationen, ist bei Patienten und Anbietern gleichermaßen zu einer Abkürzung für den Schutz der Privatsphäre im Gesundheitsbereich geworden. (Natürlich sollten Unternehmen bedenken, dass Abschnitt 5 des FTC-Gesetzes auch für die meisten unter HIPAA fallenden Unternehmen gilt und von Unternehmen verlangt, die Privatsphäre und Sicherheit der Gesundheitsinformationen der Verbraucher zu schützen.) Es überrascht nicht, dass Unternehmen, die gesundheitsbezogene Produkte anbieten und Dienste möchten oft mit der HIPAA-Konformität werben, um den Verbrauchern Komfort zu bieten – auch wenn diese Unternehmen nicht tatsächlich durch HIPAA abgedeckt sind oder HIPAA nicht tatsächlich einhalten. Durchsetzungsmaßnahmen der FTC wie GoodRx, BetterHelp, Henry Schein und SkyMed machen deutlich, dass HIPAA-Behauptungen wie diese Verbraucher täuschen können, unabhängig davon, ob es sich bei diesen Verbrauchern um Gesundheitsdienstleister (wie die Zahnärzte in Henry Schein) oder um normale Menschen (wie die Therapiepatienten in BetterHelp) handelt. . Bedenken Sie außerdem, dass nur eine Regierungsbehörde – das Office for Civil Rights (OCR) des Department of Health & Human Services – feststellen kann, ob ein Unternehmen HIPAA einhält. Seien Sie vorsichtig bei lockerer Formulierung, die auf eine nicht existierende staatliche Imprimatur schließen lässt. Die fälschliche ausdrückliche oder stillschweigende Übermittlung dieser Art von Genehmigung verstößt gegen das FTC-Gesetz.

Unternehmen, die HIPAA-Siegel und -Zertifizierungen bereitstellen, können auch für irreführende Behauptungen haftbar gemacht werden. Unternehmen, die anderen Unternehmen Zertifizierungen und Siegel zur HIPAA-Konformität zur Verfügung stellen, sollten sich des FTC-Präzedenzfalls bewusst sein, der angebliche Zertifizierer für irreführende Darstellungen haftbar macht. Beispielsweise behauptete die FTC in Tested Green, dass der Verkäufer „grüner“ Siegel und Zertifizierungen anderen Unternehmen die Möglichkeit bot, Verbraucher zu täuschen, da diese Siegel nicht durch Beweise für tatsächliche Umweltpraktiken untermauert wurden. Im Fall ECM bewies die FTC vor Gericht, dass ein Unternehmen, das seinen Geschäftskunden Etiketten und Zertifikate mit falschen Angaben zur biologischen Abbaubarkeit aushändigte, „die Mittel und Instrumente“ bereitgestellt hatte, um nachgeschaltete Verbraucher zu täuschen. Die gleichen Grundsätze gelten im Gesundheitskontext. Wenn ein Unternehmen ein gesundheitsbezogenes Siegel oder eine Zertifizierung an andere weitergibt, die fälschlicherweise den Eindruck erweckt, dass der Empfänger unter HIPAA fällt, HIPAA einhält, von einer Regierungsbehörde überprüft wurde oder eine staatliche Genehmigung erhalten hat, gilt sowohl für den Zertifizierer als auch für den Benutzer dass eine falsche Zertifizierung Gegenstand von Durchsetzungsmaßnahmen der FTC sein könnte.

Sich das Recht vorzubehalten, große Änderungen an Ihrer Datenschutzrichtlinie vorzunehmen, ist keine echte Einwilligung. Es könnte verlockend sein, Ihre Datenschutzrichtlinie zu nutzen, um sich das Recht vorzubehalten, Ihre Gesundheitsdatenpraktiken zu ändern, sodass jede fortgesetzte Nutzung Ihres Dienstes eine „Einwilligung“ zu den Änderungen darstellt. Nicht so schnell. Die Klage der FTC in der Rechtssache Vitagene macht deutlich, dass dies kein rechtmäßiges Mittel zur Einholung der Einwilligung für wesentliche rückwirkende Änderungen der Datenschutzrichtlinien ist. Wichtig ist, dass die Vitagene-Beschwerde, die auf den Beschwerden von Gateway Learning und Facebook aufbaut (und darüber hinausgeht), besagt, dass die wesentlichen rückwirkenden Änderungen des Unternehmens unfair waren, obwohl das Unternehmen sie noch nicht umgesetzt hatte. Vitagene betont, dass die Ankündigung zukünftiger umfassender Datenaustauschpraktiken auf diese Weise die Wahrscheinlichkeit einer erheblichen Schädigung von Verbrauchern mit sich bringen kann, die dieser Weitergabe nie zugestimmt haben. Denken Sie daran, dass ein Prüfstein für die Einhaltung des FTC Act darin besteht, dass Verbraucher – und nicht Sie – die Kontrolle über ihre Daten haben und befugt sein sollten, echte Entscheidungen darüber zu treffen.

Versteckte Euphemismen reichen nicht aus. Anstatt ihrer gesetzlichen Verpflichtung nachzukommen, den Verbrauchern die ganze Wahrheit zu sagen, verbergen einige Unternehmen wichtige Begriffe zu Datenpraktiken in umfangreichen Datenschutzrichtlinien oder Nutzungsbedingungen voller mehrdeutiger Formulierungen, die verschleiern, wie sie die Gesundheitsinformationen der Verbraucher tatsächlich nutzen. Beispielsweise verweisen zu viele Unternehmen in ihren Datenschutzrichtlinien rätselhaft auf die „Offenlegung von Informationen über die Nutzung der Dienste“, obwohl sie ihre Karten auf den Tisch legen sollten, indem sie an prominenter Stelle (denken Sie an die Vorderseite und die Mitte der Homepage) sagen: „Wir geben Ihre Gesundheitsinformationen an externe Werbeunternehmen weiter, damit wir Sie mit Anzeigen gezielt ansprechen können.“ In Datenschutzrichtlinien versteckte Euphemismen können unfair und irreführend sein. Selbst wenn Sie den Verbrauchern einen Schritt voraus sind, lässt sich die FTC nicht täuschen. Die Anordnungen in unseren jüngsten Fällen zum Datenschutz im Gesundheitsbereich erfordern einheitlich eine ausdrückliche Zustimmung – eine Zustimmung, die nur nach einer klaren und deutlichen Offenlegung aller wesentlichen Tatsachen eingeholt werden kann. Den Ball verstecken und „klar und auffällig“ passen nicht zusammen.

Nach dem FTC-Gesetz können Sie für das, was Sie sagen, und für das, was Sie nicht sagen, haftbar gemacht werden. Sie denken vielleicht, dass die FTC Ihnen nicht entgegenkommt, weil Sie nichts Falsches sagen, also liegt keine „Täuschung“ vor. Nicht unbedingt so. Die Beschwerden der FTC gegen BetterHelp, Practice Fusion und PaymentsMD machen deutlich, dass Sie Verbraucher nicht nur durch das, was Sie sagen, sondern auch durch das, was Sie unterlassen, täuschen. Es ist von entscheidender Bedeutung, den Verbrauchern alle wesentlichen Informationen darüber offenzulegen, wie Sie ihre sensiblen Gesundheitsinformationen verwenden und offenlegen. Und BetterHelp, Premom und GoodRx machen deutlich, dass Sie möglicherweise mit Durchsetzungsmaßnahmen der FTC rechnen müssen, wenn Ihre Praktiken den Verbrauchern schaden, unabhängig davon, wer was gesagt hat.

Das FTC-Gesetz schützt biometrische Daten. Seit der Veröffentlichung ihrer biometrischen Richtlinienerklärung im Mai hat die FTC Durchsetzungsmaßnahmen in Bezug auf Sprachdaten (Amazon/Alexa), Videodaten (Ring) und DNA-Informationen (Vitagene) eingeleitet. DNA-Daten sind besonders sensibel, da sie nicht nur Informationen über Sie, sondern auch über Personen, mit denen Sie verwandt sind, enthalten. Die FTC hat außerdem Leitlinien zum Verkauf von Gentest-Kits herausgegeben, und Vitagene zeigt, dass die FTC die Leitlinien durch Durchsetzungsmaßnahmen untermauern wird. Wie diese Fälle zeigen, ist es von größter Bedeutung, dass Unternehmen, die diese sensiblen Daten sammeln, diese sicher aufbewahren.

Reproduktionsdaten sollten vor neugierigen Blicken geschützt werden. Es ist kein Zufall, dass die FTC zwei Klagen mit Schwerpunkt auf Fruchtbarkeits-Apps (Premom und Flo) eingereicht und (neben anderen Themen) Leitlinien zur reproduktiven Privatsphäre herausgegeben hat. Dies ist ein Bereich von entscheidender Bedeutung für Verbraucher – und daher ist er auch für uns von entscheidender Bedeutung. Unternehmen, die mit diesen Daten umgehen, sind sich darüber im Klaren, dass halbe Maßnahmen zum Schutz der Privatsphäre und der Sicherheit nicht ausreichen.

Es steht viel auf dem Spiel. Für Verbraucher, deren Gesundheitsdaten offengelegt oder missbraucht werden, steht schon immer viel auf dem Spiel. Einige Interessenvertreter sagten jedoch, dass für die verantwortlichen Unternehmen nicht genug auf dem Spiel stünde. Dieses Argument ist angesichts der jüngsten Reihe von Gesundheits- und anderen Fällen der FTC nicht stichhaltig. Die Anordnungen von BetterHelp, GoodRx und Premom untersagten diesen Unternehmen die Offenlegung von Gesundheitsdaten zu Werbezwecken – eine grundlegende Veränderung im aktuellen Werbeökosystem. Jüngste Anordnungen haben Unternehmen außerdem dazu verpflichtet, große Summen aufzubringen – von Zehntausenden bis hin zu Millionen von Dollar für Verbraucherentschädigungen (BetterHelp, Vitagene) oder zivilrechtliche Strafen (GoodRx, PreMom) – und die Empfänger anzuweisen, Daten zu löschen (BetterHelp, GoodRx, Premom). , Flo) oder DNA-Proben (Vitagene). Andere Anordnungen haben Einzelpersonen für die Sicherheitspraktiken ihrer Unternehmen haftbar gemacht (Drizly) oder Unternehmen dazu verpflichtet, Modelle und Algorithmen zu löschen, die auf unrechtmäßig erlangten Daten basieren (Amazon/Alexa, Ring, Weight Watchers/Kurbo). Das Ergebnis? Gesetzesverstöße können für Ihr Unternehmen teuer werden. Denken Sie zweimal (oder dreimal oder öfter) nach, bevor Sie Entscheidungen treffen, die Ihren Kunden schaden und Sie in rechtliche Schwierigkeiten bringen könnten.

Stichworte:

„HIPAA-konform“, „HIPAA-sicher“ und ähnliche Behauptungen können Verbraucher täuschen.