Datenschutzbestimmungen für Telemedizin und digitale Gesundheit

Autoren: Randi Seigel, Partner, Manatt Health | Scott T. Lashway, Partner, Datenschutz und Datensicherheit | Matthew MK Stein, Sonderermittler, Datenschutz und Datensicherheit | CJ Rundell

Anmerkung des Herausgebers: Manatt hat ein Kapitel über Datenschutzbestimmungen für Telemedizin und digitale Gesundheit beigesteuert Diabetes, digitale Gesundheit und Telemedizin, ein neues Buch, herausgegeben von Elsevier, das aus technologischer, wirtschaftlicher und soziologischer Sicht erklärt, wie Telemedizin und digitale Gesundheit das Management von Diabetes dominieren. Das Kapitel ist unten zusammengefasst. Weitere Informationen zum Buch sind verfügbar hier.

Wie ist der aktuelle Stand der Bundes- und Landesdatenschutzgesetze?

Bundesdatenschutzgesetz

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist das primäre Bundesgesetz, das die Gesundheitsdaten und -unterlagen von Patienten schützt. HIPAA besteht aus der HIPAA-Datenschutzregel (Privacy Rule) und der HIPAA-Sicherheitsregel (Security Rule). HIPAA gilt für Covered Entities (CEs) und Business Associates (BAs). CEs umfassen Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen für das Gesundheitswesen; BAs sind Auftragnehmer von CEs, die geschützte Gesundheitsinformationen (PHI) im Auftrag eines CE erhalten, pflegen oder offenlegen.

HIPAA gilt nur für PHI¹. Gemäß HIPAA bedeutet PHI (i) Informationen, die von einem Gesundheitsdienstleister, einem Gesundheitsplan oder einer Gesundheitsverrechnungsstelle erstellt oder erhalten wurden und sich auf den Gesundheitszustand einer Person, die Bereitstellung von Gesundheitsversorgung oder die Bezahlung von Gesundheitsdiensten beziehen, und (ii) identifizieren, oder vernünftigerweise verwendet werden könnten, um eine Person zu identifizieren.²

PHI umfasst keine Informationen, die ein Verbraucher einem Medizinprodukt oder einem anderen Unternehmen zur Verfügung stellt, das kein CE ist (es sei denn, der Verbraucher stellt auf Anweisung des CE bereit); Insbesondere gilt HIPAA nicht direkt für viele verbraucherbasierte digitale Gesundheitsanwendungen. PHI enthält auch keine anonymisierten Daten, die nicht durch HIPAA geschützt sind.³

Gemäß der Datenschutzregel darf ein CE im Allgemeinen keine PHI verwenden oder offenlegen, es sei denn, die Verwendung oder Offenlegung ist gemäß der schriftlichen Genehmigung eines Patienten gestattet⁴ oder eine der allgemeinen Ausnahmen, die Behandlungs-, Zahlungs- oder Gesundheitszwecke umfassen. CEs können für diese Zwecke auch PHI mit BAs teilen. BAs dürfen PHI nur so verwenden und offenlegen, wie dies durch die geltende BA-Vereinbarung und in Übereinstimmung mit der Datenschutzregel gestattet ist.⁵

Die Sicherheitsregel enthält weitere technische und administrative Standards, einschließlich der folgenden spezifischen Leitlinien zur Telemedizin:

Nur autorisierte Benutzer sollten Zugang zu elektronischen PHI (ePHI) haben.

Es sollte ein System zur sicheren Kommunikation implementiert werden, um die Integrität von ePHI zu schützen.

Ein System zur Überwachung der Kommunikation, die ePHI enthält, sollte implementiert werden, um versehentliche oder böswillige Verletzungen zu verhindern.

Die Datenschutzregel verlangt auch, dass ein Verstoß gegen HIPAA den Personen, die Gegenstand des PHI sind, sowie dem Gesundheitsministerium der Vereinigten Staaten (US) offengelegt werden muss. Ein Verstoß ist der Erwerb, der Zugriff, die Nutzung oder die Offenlegung von PHI auf eine Weise, die nach der Datenschutzregel nicht zulässig ist und die die Sicherheit oder den Datenschutz der PHI gefährdet, vorbehaltlich einiger Ausschlüsse nach Treu und Glauben. CEs und BAs, die gegen HIPAA verstoßen, können zivil- und strafrechtlich verfolgt werden.⁶ Daten, die nicht HIPAA unterliegen, können Abschnitt 5 des Federal Trade Commission (FTC) Act unterliegen, der „unlautere oder irreführende Handlungen oder Praktiken im oder mit Auswirkungen auf den Handel“ verbietet.⁷

Landesdatenschutzgesetz

Staatliche Datenschutzgesetze, die sich auf digitale Gesundheit und Telemedizin auswirken, haben sich in den letzten zehn Jahren erheblich weiterentwickelt. Sowohl Illinois als auch Texas haben vor mehr als zehn Jahren Datenschutzgesetze erlassen, die regeln, wie Unternehmen biometrische Identifikatoren erfassen und verwenden können und welche Arten von Offenlegungen und Einwilligungen erforderlich sind.⁸

Kalifornien hat 2018 mit dem California Consumer Privacy Act (CCPA) als erster US-Bundesstaat ein umfassendes Datenschutzgesetz erlassen.⁹ Dieses Gesetz und die damit verbundenen Vorschriften, die 2020 in Kraft traten, verlangen von Unternehmen, die dem Gesetz unterliegen, dass sie Einzelpersonen vor dem Sammeln ihrer Informationen über die Kategorien der gesammelten Informationen sowie darüber, wie sie verwendet und weitergegeben werden, informieren und Einzelpersonen zur Verfügung stellen müssen das Recht, herauszufinden, welche Informationen ein Unternehmen über sie gesammelt hat, zu verlangen, dass ein Unternehmen seine Informationen löscht, und sich dagegen zu wehren, dass ein Unternehmen seine Informationen verkauft. Das Gesetz gilt nicht für Unternehmen mit einem Umsatz von weniger als 25 Millionen US-Dollar oder für gemeinnützige oder staatlich geführte Einrichtungen.

Obwohl das kalifornische Gesetz erst seit Januar 2020 in Kraft ist, erließen die kalifornischen Wähler im Jahr 2020 den California Privacy Rights Act, der ab 2023 die Funktionsweise des kalifornischen Datenschutzgesetzes grundlegend ändern wird. Beispielsweise wird eine spezielle Kategorie sensibler Informationen erstellt, die Gesundheitsinformationen und biometrische Identifikatoren umfasst, über die Einwohner Kaliforniens zusätzliche Rechte haben werden. Bis heute sind Colorado und Virginia die einzigen anderen Staaten, die ein umfassendes Datenschutzgesetz erlassen haben.

Was sind Hindernisse für den Fortschritt im Bundes- und Landesdatenschutzrecht?

Bundesdatenschutzgesetz

Es gibt viele bedeutende Hindernisse für den Fortschritt des Datenschutzgesetzes auf Bundesebene, darunter (1) politische Spannungen, (2) konkurrierende Interessen der Interessengruppen und (3) das Tempo des technologischen Fortschritts und der Einführung. Die Reibung zwischen den politischen Parteien im Kongress stellt eine anhaltende Hürde für die Verabschiedung neuer oder überarbeiteter Bundesdatenschutzgesetze dar.

Darüber hinaus haben von Datenschutzgesetzen betroffene Interessengruppen konkurrierende Interessen. Verbraucher wünschen sich einen bequemen, sofortigen Zugriff auf ihre Daten, bedenken jedoch oft nicht, wie eine solche Zugänglichkeit viele Schwachstellen schafft, durch die ihre Daten offengelegt werden können. Unternehmen, die Daten sammeln, wünschen sich weniger Einschränkungen bei der Nutzung von Daten. Diese konkurrierenden Interessen machen es schwierig, ein Gesetz zu entwerfen, das die meisten Interessengruppen zufriedenstellt. Darüber hinaus erfordert das Tempo des technologischen Fortschritts und der Einführung, dass der Gesetzgeber darüber nachdenkt, wie er neue Bundesdatenschutzgesetze so entwerfen kann, dass sie aktuelle und zukünftige Technologien, Datennutzung und -weitergabe berücksichtigen und anwenden.

Landesdatenschutzgesetz

Bis heute scheint ein großer Stolperstein für die Verabschiedung umfassender staatlicher Datenschutzgesetze darin zu bestehen, ob Einzelpersonen erlaubt werden sollen, wegen Verletzung der Gesetze zu klagen. Staaten, die möglicherweise Datenschutzmaßnahmen erlassen möchten, kämpfen mit der Abwägung von Verbraucher-/Patientenrechten und dem Öffnen der Schleusen für Zivilklagen.

Darüber hinaus stehen die Gesetzgeber der Bundesstaaten nun vor vier Modellen der Datenschutzgesetze der Bundesstaaten, aus denen sie wählen können: das kalifornische Modell, das Modell der Europäischen Union, eine Mischung aus beiden und ein anderes, der Europäischen Union ähnliches Modell, das im Juli von der Uniform Law Commission angenommen wurde 2021. Die Entscheidung zwischen diesen verschiedenen Modellen oder einem völlig anderen Ansatz erfordert Verhandlungen und Vereinbarungen zwischen den lokalen Interessengruppen.

Ein weiteres potenzielles Hindernis besteht schließlich darin, ob die Bundesregierung letztendlich ein umfassendes Datenschutzgesetz erlässt und wie viel staatliches Datenschutzrecht sie vorwegnimmt. Das Verständnis, welche Bundesgesetze entstehen können, und den Umfang ihrer Vorbeugung, wird wahrscheinlich die Annahme ihrer eigenen umfassenden Datenschutzgesetze durch die Staaten prägen.

Wie sieht die Zukunft des Bundes- und Landesdatenschutzrechts aus?

Wir rechnen kurzfristig nicht mit der Verabschiedung eines neuen Datenschutz- und Sicherheitsgesetzes auf Bundesebene. Daher gehen wir davon aus, dass die Staaten weiterhin an der Spitze der Verabschiedung von Datenschutzgesetzen stehen werden.

Darüber hinaus sehen wir möglicherweise eine Bewegung in Richtung Selbstregulierung durch die digitale Gesundheitsbranche. Beispielsweise könnten wir sehen, dass Akkreditierungen und Zertifizierungen durch Dritte entstehen, die eine Antrags- oder Prüfungsgebühr und eine laufende Bescheinigung und/oder Überwachung der Einhaltung beinhalten können.

Zusammenfassend lässt sich sagen, dass das Tempo des Fortschritts in der digitalen Gesundheit eine umfassende Reform der aktuellen Datenschutzgesetze auf Bundes- und Landesebene erfordert. HIPAA reguliert viele digitale Gesundheitstechnologien nicht, und viele Staaten haben keine umfassenden Datenschutzgesetze. Die bestehenden staatlichen Datenschutzgesetze sind vielfältig und für Anbieter mit mehreren Bundesstaaten schwierig zu navigieren. Reformen stehen jedoch viele Hindernisse im Wege. Infolgedessen liegt die Verantwortung bei Gesundheitsdienstleistern, Technologiedienstleistern und Patienten, sicherzustellen, dass die Daten privat und geschützt bleiben, wenn neue Technologien eingeführt werden.

Verweise

_{¹ 45CFR x 164.500(a).}

_{² 45CFR x 160.103. Es gibt 18 Identifikatoren.}

_{³ Anonymisierte Daten erfordern die Anwendung einer von Experten validierten Methodik oder die Entfernung von mindestens 18 eindeutigen Identifikatoren. 45 CFR x 164.502(d)(2). Anonymisierte Daten können auf individueller oder aggregierter Ebene vorliegen. Es gibt zwei Möglichkeiten, um zu zeigen, dass Daten anonymisiert sind. Erstens gelten die Daten nach der „Safe Harbor“-Methode als anonymisiert, wenn eine Einheit die 18 eindeutigen Kennungen aus einem Datensatz entfernt. 45 CFR x 164.514(b)(2)(i). Alternativ muss bei der Methode der „Expertenidentifizierung“ eine „Person mit angemessenen Kenntnissen und Erfahrungen mit allgemein anerkannten statistischen und wissenschaftlichen Grundsätzen und Methoden, um Informationen nicht individuell identifizierbar zu machen“, „feststellen, dass das Risiko sehr gering ist, dass die Informationen verwendet werden könnten , allein oder in Kombination mit anderen vernünftigerweise verfügbaren Informationen, durch einen voraussichtlichen Empfänger, um eine Person zu identifizieren, die Gegenstand der Informationen ist“, und diese Analyse zu dokumentieren. 45CFRx164.514(b)(1).}

_{⁴ Ein CE oder BA kann im Allgemeinen PHI an jedermann weitergeben – unabhängig davon, ob der Empfänger ein HIPAA CE oder BA ist – solange der Patient eine Genehmigung unterzeichnet, die bestimmte Anforderungen erfüllt. Um HIPAA zu erfüllen, muss eine Autorisierung unter anderem eine Beschreibung der PHI, die offengelegt werden kann, die Quelle(n) der PHI, den/die Empfänger der PHI und ein Ablaufdatum oder -ereignis enthalten . Die HIPAA-Regeln sind ziemlich flexibel in Bezug darauf, wie diese Anforderungen umgesetzt werden müssen. Beispielsweise müssen die spezifischen Namen der Quelle(n) und des/der Empfänger(s) der PHI nicht in das Formular aufgenommen werden; stattdessen kann auf dem Formular ein „Personenkreis“ aufgeführt werden. Auch wenn ein Formular ein Ablaufdatum oder Ereignis enthalten muss, kann dieses Datum oder Ereignis weit in der Zukunft liegen. HIPAA verbietet auch die Verwendung von „zusammengesetzten Genehmigungen“, d. h. die Kombination eines Genehmigungsformulars mit einem anderen Formular, das ein Patient zu unterzeichnen hat, wie z. B. eine Zustimmung zur Behandlung, in einem Dokument.}

_{⁵ Psychotherapienotizen werden unter HIPAA anders behandelt als PHI und dürfen nicht ohne Zustimmung des Patienten verwendet oder offengelegt werden. 45CFRx164.508(2)(a)(2). „Psychotherapie-Notizen“ bezeichnet Notizen, die (in jedem Medium) von einem Gesundheitsdienstleister, der ein Psychiater ist, aufgezeichnet oder analysiert werden, der den Inhalt eines Gesprächs während einer privaten Beratungssitzung oder einer Gruppen-, Gemeinschafts- oder Familienberatungssitzung dokumentiert oder analysiert und die von der Rest der Krankenakte der Person. Ausgenommen von der Definition von „Psychotherapienotizen“ sind die Verschreibung und Überwachung von Medikamenten, die Beginn- und Endzeiten der Beratungsgespräche, die Modalitäten und Häufigkeiten der durchgeführten Behandlungen, die Ergebnisse klinischer Tests und jede Zusammenfassung der folgenden Punkte: Diagnose, Funktionsstatus, die Behandlung Plan, Symptome, Prognose und bisherige Fortschritte. 45CFR x 164.501. Notizen, die in ein elektronisches Aufzeichnungssystem eingegeben und dort aufbewahrt werden, gelten für HIPAA-Zwecke nicht als Psychotherapie-Notizen.}

_{⁶ HITECH x 13410(d); 45 CFR 160.404, 401; 45 CFR Teil 102, 85 Fed. Reg.-Nr. 2869. 17. Januar 2020.}

_{⁷ 15 USC x 45 (a).}

_{⁸ 740 Abb. Komp. Stat. 14/1 ff.; Tex.Bus. & Kom. Kode x 503.001.}

_{⁹ cal zivil. Code x 1798.100 ff.}

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.