Κανόνας ειδοποίησης για την παραβίαση της υγείας: Η FTC θέλει τις ιδέες σας σε προτεινόμενες αλλαγές

Ο κανόνας ειδοποίησης για την παραβίαση της υγείας έχει τεθεί σε ισχύ από το 2009. Δεδομένου του ρυθμού της καινοτομίας, που μοιάζει με έναν αιώνα σε τεχνικά χρόνια. Από τότε, έχουμε δει μια έκρηξη στη δημοτικότητα των εφαρμογών υγείας, των ιχνηλάτη γυμναστικής και άλλων οθονών που σχετίζονται με την υγεία. Για να συμβαδίσει με τις τεχνολογικές εξελίξεις και τις εξελισσόμενες επιχειρηματικές πρακτικές, η FTC προτείνει αλλαγές στον κανόνα και χαιρετίζει τα σχόλιά σας.

Ο Κανόνας ειδοποίησης παραβίασης της υγείας Εφαρμόζεται σε ορισμένες επιχειρήσεις που δεν καλύπτονται από την HIPAA – συγκεκριμένα, πωλητές προσωπικών αρχείων υγείας (PHR), οντότητες που σχετίζονται με το PHR και παρόχους υπηρεσιών τρίτων. Όταν υπήρξε μια μη εξουσιοδοτημένη απόκτηση των μη εξασφαλισμένων, προσωπικά αναγνωρίσιμων πληροφοριών για την υγεία, οι πωλητές PHR και οι οντότητες που σχετίζονται με το PHR πρέπει (μεταξύ άλλων) να ενημερώνουν την FTC, τους καταναλωτές και, σε ορισμένες περιπτώσεις, τα μέσα ενημέρωσης. Εάν η εταιρεία σας είναι πάροχος υπηρεσιών τρίτου μέρους στο Ένας προμηθευτής PHR ή μια οντότητα που σχετίζεται με το PHR, έχετε απαιτήσεις ειδοποίησης σύμφωνα με τον κανόνα. (Ανάγνωση Συμμορφώνοντας με τον κανόνα ειδοποίησης για την παραβίαση της υγείας της FTC για λεπτομέρειες.)

Αξίζει να σημειωθεί ότι οι εταιρείες που παραβιάζουν τον κανόνα ενδέχεται να ευθύνονται για αστικές κυρώσεις ύψους έως και 50.120 δολαρίων ανά παραβίαση. Για παράδειγμα, η Goodrx κατέβαλε πρόσφατα αστική ποινή ύψους 1,5 εκατομμυρίων δολαρίων για παραβίαση του κανόνα.

Ως μέρος της διαδικασίας περιοδικής κανονιστικής αναθεώρησης της FTC, ζητήσαμε τα σχόλιά σας το 2020 σχετικά με το πώς το Κανόνας ειδοποίησης παραβίασης της υγείας λειτουργεί. Με βάση τα σχόλιά σας – και σημαντικές εξελίξεις στο οικοσύστημα πληροφοριών για την υγεία – η FTC προτείνει αλλαγές στον κανόνα. Θα θελήσετε να διαβάσετε την ειδοποίηση του ομοσπονδιακού μητρώου για λεπτομέρειες, αλλά εδώ είναι μερικές από τις αναθεωρήσεις που εξετάζονται:

• Αναθεώρηση ορισμένων ορισμών για να καταστεί σαφές ότι ο κανόνας ισχύει για εφαρμογές υγείας και παρόμοιες τεχνολογίες που δεν καλύπτονται από την HIPAA.
• Η αποσαφήνιση ότι η “παραβίαση της ασφάλειας” σύμφωνα με τον κανόνα περιλαμβάνει μια μη εξουσιοδοτημένη απόκτηση αναγνωρίσιμων πληροφοριών για την υγεία που προκύπτει ως αποτέλεσμα παραβίασης ασφάλειας δεδομένων ή μη εξουσιοδοτημένης αποκάλυψης.
• Αναθεωρώντας τον ορισμό της “οντότητας που σχετίζεται με το PHR”.
• Διευκρινίζοντας τι σημαίνει “προέρχεται από πολλαπλές πηγές” στον ορισμό του “προσωπικού αρχείου υγείας”.
• Εξουσιοδότηση της διευρυμένης χρήσης ηλεκτρονικού ταχυδρομείου και άλλων ηλεκτρονικών μέσων για την παροχή σαφούς και αποτελεσματικής ειδοποίησης για παραβίαση. και
• Η επέκταση του τι πρέπει να είναι στην ειδοποίηση προς τους καταναλωτές – για παράδειγμα, απαιτώντας μια εξήγηση σχετικά με την πιθανή βλάβη που προκύπτει από την παραβίαση και τα ονόματα τρίτων που ενδέχεται να έχουν αποκτήσει τις πληροφορίες.

Ο Οι προτεινόμενες αλλαγές κανόνων και οι πρόσφατες ενέργειες επιβολής του νόμου αντικατοπτρίζουν την υψηλή προτεραιότητα που οι θέσεις της FTC για την προστασία της ιδιωτικής ζωής των πληροφοριών για την υγεία των καταναλωτών και η ενημέρωση των καταναλωτών γνωρίζουν τι συμβαίνει με τις ευαίσθητες πληροφορίες τους. Μόλις εκτελεστεί η ειδοποίηση στο ομοσπονδιακό μητρώο, θα έχετε 60 ημέρες για να υποβάλετε ένα δημόσιο σχόλιο. Αποθηκεύστε ένα βήμα και αρχείο online μέσω των κανονισμών.gov.

Ψάχνετε για περισσότερους πόρους συμμόρφωσης; Επισκεφθείτε τα FTC’s Σελίδα απορρήτου υγείας.