Grupos da indústria exigem que órgão americano (FTC) modifique regra de notificação de violação
Tecnologias e lacunas regulatórias evoluíram desde que a regra entrou em vigor, uma década atrás
Vários grupos do setor de TI de saúde estão pedindo à Federal Trade Commission que atualize sua regra de notificação de violação de dados de saúde. Isso porque a regra, projetada para cobrir dados de saúde não protegidos pelo HIPAA, atualmente se aplica apenas a registros pessoais de saúde e fornecedores relacionados, e precisa abordar os desenvolvimentos tecnológicos e lacunas regulamentares que evoluíram desde sua implementação, há uma década.
Em maio, a FTC – como parte de uma revisão periódica de suas regras – emitiu uma solicitação de comentário sobre se as disposições da regra de notificação de violação de saúde da agência deveriam ser modificadas (consulte: FTC avaliando se sua regra de violação de dados de saúde está obsoleta ).
A regra FTC, que foi aplicada a partir de 2010, exige que certas empresas que fornecem ou prestam serviços de PHRs notifiquem os consumidores e a agência sobre uma violação de dados.
De acordo com a regra, um PHR é definido como um “registro eletrônico de informações de saúde identificáveis sobre um indivíduo que pode ser obtido de várias fontes e que é gerenciado, compartilhado e controlado por ou principalmente para o indivíduo”, de acordo com a FTC.
Desde que a regra FTC entrou em vigor, a agência recebeu apenas três notificações de violações de dados de saúde que afetam 500 ou mais indivíduos.
Em comparação, de acordo com a Regra de Notificação de Violação da HIPAA que se refere a entidades cobertas e associados de negócios que lidam com informações de saúde protegidas para tratamento, operações comerciais ou pagamento, o Departamento de Saúde e Serviços Humanos recebeu até terça-feira 3.376 relatórios de violações afetando 500 ou mais indivíduos desde 2009.
Feedback do CHIME
Respondendo à solicitação de comentários sobre a regra FTC, o College of Healthcare Information Management Executives – que representa CIOs e CISOs de saúde, escreve: “Como escrito atualmente, a regra não oferece muitos benefícios aos consumidores devido à falta de aplicabilidade ao uso no mundo real de informações pessoais de saúde. “
O CHIME instou a FTC a modificar sua definição de quem está coberto pela regra de fornecedores de PHRs e entidades relacionadas a PHR para incluir empresas e entidades que interagem e / ou armazenam informações de saúde eletrônicas não regidas atualmente pelos requisitos de notificação de violação da HIPAA .
Ao modificar sua definição, “o FTC estaria preenchendo a lacuna deixada pelos regulamentos da HIPAA e ajudaria no apoio ao esforço governamental para capacitar os pacientes com seus dados de saúde”, escreve o CHIME. “Ao mesmo tempo, essa definição revisada garantiria que os desenvolvedores de aplicativos de terceiros e as plataformas que hospedam esses aplicativos seriam capazes de utilizar os novos requisitos regulamentares em sua extensão máxima, protegendo melhor a privacidade individual ou a segurança dos dados de saúde.”
Uma definição mais ampla daria ao FTC mais jurisdição para fazer cumprir a regra, argumenta CHIME.
Por exemplo, em julho, o fornecedor de rastreadores de fitness Garmin teve seus servidores internos comprometidos por um ataque de ransomware , observa CHIME. “Sob a versão atual da regra FTC, a Garmin não é obrigada a relatar esta violação, uma vez que não é um fornecedor de PHR.”
Se a FTC mudar sua regra para cobrir fornecedores não cobertos pela HIPAA que armazenam informações eletrônicas de saúde, “a Garmin estaria sujeita a requisitos de notificação de violação devido ao manuseio de informações dos usuários, como peso corporal, altura corporal e frequência cardíaca – todos os dados elementos que fazem parte do United States Core Data for Interoperability “, escreve CHIME.
“Neste novo mundo de acesso de paciente habilitado para API, baixar seus dados de saúde em um telefone móvel, como por meio do Health Kit da Apple, agora torna a Apple um fornecedor de PHR ou entidade relacionada ao PHR?”, Pergunta CHIME. “Da mesma forma, um produto, como um aplicativo móvel como o muito falado aplicativo de rastreamento de contatos usado para combater o COVID-19 , se enquadra na categoria de entidade relacionada ao PHR?”
Sem maior clareza sobre quem é regido pela regra da FTC, esses tipos de entidades “caem nas brechas e não têm requisitos de notificação de violação”, escreve o CHIME.
Preocupações da AMIA
Em seus comentários, a American Medical Informatics Association, que representa 5.500 profissionais de informática, observa preocupações semelhantes e exorta a FTC a fornecer orientações e esclarecimentos adicionais.
“Recomendamos que a FTC tome medidas de curto prazo e desenvolva orientações que incluam explicitamente nomes de usuário / senhas mantidos por uma entidade não coberta pela HIPAA como sendo consideradas informações de saúde identificáveis de PHR, portanto, sujeitas à regra da FTC se violadas”, escreve AMIA.
AMIA também insta a FTC a “expandir o conceito de ‘acesso não autorizado’ sob a definição de ‘violação de segurança’, a ser presumido quando um PHR ou entidade relacionada ao PHR não divulga adequadamente aos indivíduos como os dados do usuário são acessados, processados , usado, reutilizado e divulgado. “
Lacunas de aplicativos móveis
Enquanto isso, a American Health Information Management Association, que representa gerentes de registros médicos e outros que trabalham com dados de saúde, diz que a FTC precisa fornecer orientações sobre como sua regra de notificação de violação se aplica a aplicativos móveis.
“Para melhorar a compreensão das partes interessadas sobre se a … regra se aplica a aplicativos móveis, recomendamos que a orientação seja atualizada e esclarecida para levar em conta essas tecnologias e padrões relacionados”, escreve AHIMA.
A American Medical Association também pede que a FTC esclareça como a regra se aplica ao aplicativo de saúde móvel e fornecedores semelhantes. “Para muitos pacientes, a natureza móvel e a facilidade de uso de aplicativos de terceiros os tornam mais atraentes do que os PHRs tradicionais como forma de gerenciar seus registros de saúde”, escreve a AMA.
“A AMA espera que os pacientes continuem a mudar de PHRs para aplicativos de saúde móveis ou híbridos de aplicativos de saúde PHR no futuro. Na ausência de barreiras claras em torno de como entidades como desenvolvedores de aplicativos usam os dados, a confiança pública desmoronará em face de escândalos repetidos e minará o potencial para que a saúde digital facilite uma era de atendimento mais acessível, coordenado e personalizado. “
Evitando Duplicação
AHIMA, bem como alguns outros grupos – incluindo a American Dental Association – alertou a FTC contra a expansão do escopo de sua regra de notificação de violação para incluir entidades cobertas pela HIPAA e seus associados comerciais. Fazer isso “seria duplicado e indevidamente oneroso, dado que a Regra de Notificação de Violação da HIPAA já impõe disposições de notificação de violação semelhantes a essas entidades”, escreve a AHIMA.
Para ajudar a evitar confusão desnecessária nos requisitos de notificação ao abrigo da HIPAA e da regra FTC, a ADA afirma que recomenda que a FTC e a HHS trabalhem em conjunto para avaliar até que ponto os fornecedores de PHRs, entidades relacionadas com PHR e prestadores de serviços terceiros podem ser Entidades cobertas pela HIPAA ou associados de negócios.
“A coordenação entre o FTC e o HHS para chegar aos requisitos é essencial para evitar circunstâncias nas quais os consumidores possam receber notificações de violação múltiplas e duplicadas no mesmo incidente”, escreve a ADA.
“Requisitos excessivamente onerosos e onerosos podem funcionar como um desincentivo para a adoção e uso generalizado de PHR e registros eletrônicos de saúde.”
A ADA também instou a FTC a considerar o impacto das leis e regulamentos estaduais que podem se sobrepor aos requisitos da agência. “Leis e regulamentos sobrepostos e conflitantes podem levar à confusão por parte dos dentistas e também de seus pacientes”, escreve a ADA.
Privacidade do paciente
A AMA escreve que a FTC precisa levar em consideração as preocupações dos pacientes sobre a privacidade de seus dados de saúde, incluindo lacunas regulamentares em torno do uso de tecnologias voltadas para o consumidor.
“Os eventos recentes destacaram não apenas o quão crítico é ter regras claras no que diz respeito ao uso de dados, mas também as oportunidades perdidas de progresso na ausência de tais regras”, escreve a AMA.
“Por exemplo, atualmente estamos experimentando uma dependência sem precedentes de tecnologias de atendimento remoto, como telessaúde, para ajudar as pessoas a evitarem deixar suas casas durante a pandemia de COVID-19. Mas tanto os pacientes quanto os médicos têm razão em questionar como as plataformas irão proteger e proteger as informações trocadas durante o visitas virtuais. “