Ce billet de blog a été écrit par Kenny Gutierrez , EFF Bridge Fellow.
Les modifications récemment proposées à la loi fédérale sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) envahiraient vos données de santé les plus personnelles et intimes. L'Office of Civil Rights (OCR) , qui fait partie du département américain de la Santé et des Services sociaux (HHS), propose d'assouplir nos protections de la vie privée en matière de santé pour résoudre les malentendus des professionnels de la santé concernant les divulgations actuellement autorisées.
L'EFF a récemment déposé des objections aux modifications proposées. Le changement le plus troublant étendrait le partage de vos données de santé sans votre permission, en élargissant la définition des « opérations de soins de santé » pour inclure la « gestion des cas » et la « coordination des soins », ce qui est particulièrement troublant puisque ces termes généraux ne sont pas définis. De plus, les modifications visent à abaisser la norme de divulgation en cas d'urgence. Ils exigeront également que les entités couvertes divulguent des renseignements personnels sur la santé (PHI) à des applications mobiles de santé non couvertes à la demande du patient. Individuellement, les changements sont assez gênants. Lorsqu'ils sont combinés, l'impact sur la publication des RPS, avec et sans consentement, constitue une menace pour la santé et la vie privée des patients.
La confiance dans les soins de santé est cruciale
Les modifications proposées saperaient la confiance requise des patients envers les professionnels de la santé pour qu'ils divulguent leurs informations médicales sensibles et intimes. Si les patients n'ont plus l'impression que leurs médecins protégeront leurs RPS, ils ne les divulgueront pas et ne chercheront même pas de traitement. Par exemple, étant donné qu'il existe des préjugés et une stigmatisation omniprésents entourant la toxicomanie, un patient dépendant aux opiacés sera probablement moins susceptible de rechercher un traitement ou de révéler pleinement la gravité de son état s'il craignait que son diagnostic ne soit partagé sans son consentement. Par conséquent, la proposition du HHS entravera la coordination des soins et la gestion des cas. Cela augmenterait le coût des soins de santé, en raison de la diminution des soins préventifs à court terme et de l'augmentation des traitements à long terme, qui sont nettement plus coûteux. Les maladies mentales non traitées coûtent au pays plus de 100 milliards de dollars par an . À l'heure actuelle, seulement 2,5 millions des 21,2 millions de personnes souffrant de maladie mentale demandent un traitement.
La règle de confidentialité actuelle de la HIPAA est suffisamment flexible, contrairement aux affirmations erronées de certains professionnels de la santé . Il protège la vie privée des patients tout en autorisant la divulgation, sans le consentement du patient, dans les cas critiques tels que le traitement, en cas d'urgence et lorsqu'un patient constitue une menace pour lui-même ou la sécurité publique.
Alors, pourquoi HHS cherche-t-il à modifier une règle déjà flexible ? Deux audiences du Congrès, en 2013 et 2015 , ont révélé qu'il existe une incompréhension importante de la loi HIPAA et des divulgations permissives parmi les professionnels de la santé. En conséquence, HIPAA est perçu à tort comme strictement anti-divulgation et l'a présenté à tort comme une « barrière réglementaire » ou un « fardeau ». Bon nombre des modifications proposées doublent ce malentendu avec la déréglementation de la vie privée, plutôt que de s'attaquer directement à la confusion de certains professionnels avec une formation, une éducation et des conseils améliorés.
Les propositions du HHS réduiraient notre vie privée en matière de santé
Les modifications apportées à HIPAA causeront plus de problèmes que de solutions. Voici un bref aperçu des modifications les plus troublantes :
- La règle proposée étendrait massivement l'utilisation et la divulgation par une entité couverte (CE) des renseignements personnels sur la santé (PHI) sans le consentement du patient. Plus précisément, il autorise l'utilisation et la divulgation sans consentement pour la « coordination des soins » et la « gestion des cas », sans définir de manière adéquate ces termes vagues et trop généraux. Cette exception élargie engloutirait l'exigence de consentement pour de nombreuses utilisations et décisions de divulgation. Par conséquent, le Big Data (comme les courtiers en données d'entreprise) obtiendrait et vendrait ces PHI. Cela pourrait entraîner une discrimination dans les polices d'assurance, le logement, l'emploi et d'autres domaines critiques en raison de conditions médicales préexistantes, telles que la toxicomanie, les maladies mentales ou les handicaps graves qui portent une stigmatisation.
- HHS cherche à abaisser la norme de divulgation non consentie du « jugement professionnel » à la « croyance de bonne foi ». Cela saperait la confiance des patients. À l'heure actuelle, une entité visée peut divulguer certains RPS sur la base de son « jugement professionnel » selon lequel cela est dans le meilleur intérêt de la personne. La modification abaisserait cette norme à une « croyance de bonne foi » et déplacerait apparemment le fardeau sur la personne blessée de prouver le manque de bonne foi de son médecin. Le jugement professionnel est proprement plus étroit : il est objectif et fondé sur des normes d'experts. La « bonne foi » est à la fois plus large et subjective.
- À l'heure actuelle, pour divulguer des RPS en cas d'urgence, la norme de divulgation est un préjudice « imminent », ce qui invoque un niveau de certitude que le préjudice est sûrement imminent. HHS propose plutôt un préjudice « raisonnablement prévisible », ce qui est trop large et permissif. Cela pourrait amener un médecin à divulguer vos RPS parce que vous suivez un régime riche en sucre, que vous fumez ou que vous avez des relations sexuelles non protégées. Le préjudice dans de tels cas ne serait pas « imminent », mais il pourrait être « raisonnablement prévisible ».
Des règles HIPAA plus faibles pour les applications de santé téléphonique transmettraient nos données aux courtiers
Les modifications proposées entraîneront probablement l'envoi d'informations plus intimes, sensibles et très précieuses à des entités non couvertes par la HIPAA, y compris les courtiers en données.
La plupart des Américains ont une application de santé personnelle sur leur téléphone pour des objectifs de santé, tels que la gestion du poids, la gestion du stress et le sevrage tabagique. Cependant, ces applications ne sont pas couvertes par les protections de confidentialité HIPAA.
Une étude de 2014 de la Federal Trade Commission a révélé que 12 applications et appareils de santé personnels transmettaient des informations à 76 tiers différents, et certaines des données pouvaient être liées à des utilisateurs spécifiques. En outre, 18 tiers ont reçu des identifiants spécifiques à l'appareil et 22 ont reçu d'autres informations clés sur la santé.
Si les modifications proposées par HIPAA sont adoptées, un fournisseur couvert serait tenu de partager les RPS d'un patient avec le développeur de son application de santé à la demande du patient. Cela impose un fardeau trop lourd aux patients. Ils sont souvent mal équipés pour comprendre les politiques de confidentialité, les conditions d'utilisation et les autorisations. Ils peuvent également ne pas réaliser toutes les conséquences d'un tel partage de renseignements personnels sur la santé. À bien des égards, le pont est empilé contre eux. Les politiques, pratiques et autorisations relatives aux applications et aux appareils sont souvent déroutantes et peu claires.
Pire encore, selon l'endroit où les PHI sont stockés, d'autres applications peuvent s'accorder l'accès à vos PHI via leurs propres autorisations distinctes. De telles autorisations ont de graves conséquences car de nombreuses applications peuvent accéder à des données sur son appareil qui ne sont pas liées à ce que l'application est censée faire. Dans une étude portant sur 99 applications, les chercheurs ont découvert que les applications gratuites incluaient plus d'autorisations inutiles que les applications payantes.
Prochaines étapes
Pendant la pandémie, nous avons appris une fois de plus l'importance de la confiance dans le système de santé. Ignorant les directives du CDC, de nombreuses personnes n'ont pas porté de masques ou pratiqué la distanciation sociale, ce qui a alimenté la propagation du virus. Ce sont des symptômes de la méfiance du public envers les professionnels de la santé. La confiance est essentielle dans la prévention, le diagnostic et le traitement.
Les modifications proposées par le HHS aux règles de confidentialité de la santé de la HIPAA entraîneraient sans aucun doute une augmentation des divulgations de RPS sans le consentement du patient, sapant la confiance nécessaire dont le système de santé a besoin. C'est pourquoi l'EFF s'oppose à ces changements et continuera à se battre pour votre vie privée en matière de santé.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/06/big-data-profits-if-we-deregulate-hipaa le Thu, 10 Jun 2021 22:01:33 +0000.