خطر افشای اطلاعات سلامت مردم آمریکا با وجود قانون HIPAA !!

قانون HIPAA از اطلاعات سلامت افراد محافظت می کند اما، نه به روشی که مردم آمریکا فکر می کنند!!

حرف "p" در پروتکل HIPAA به معنای حفظ حریم خصوصی نیست. این اولین چیزی است که متخصصان در مورد قانون داده های سلامت افراد می گویند. این حرف مخفف عبارت " Insurance Portability and Accountability Act" به معنای قانون قابل حمل و پاسخگویی بیمه درمانی است. این قانون نحوه انتقال اطلاعات بین ارائه دهندگان را توضیح می دهد. تفسیرهای نادرست از قانون HIPAA، به‌ویژه در خصوص نام آن سوءتفاهم‌های زیادی بین مردم ایجاد کرده است. این سوءتفاهم‌ها مانع از تشخیص درست ما در مورد نوع داده هایی است که می تواند تحت تاثیر این قانون قرار بگیرد. این موضوع زمانی بیشتر پر رنگ تر می شود که تعداد دستگاه ها یا شرکت های ارائه دهنده خدمات فناوری که می توانند اطلاعات مربوط به وضعیت سلامتی را جمع آوری کنند روز به روز در حال افزایش است!

بیشتر مردم پروتکل HIPAA را به عنوان بخشی از قانون حفظ حریم خصوصی داده‌های مصرف‌کننده می شناسند. شاید به این علت که وزارت بهداشت از مقررات امنیتی خاصی مانند مقررات اعلان نقض و یک قانون حفظ حریم خصوصی سلامت برای محافظت از اطلاعات شناسایی فردی استفاده می کند. اما زمانی که قانون HIPAA در دهه 1990 تصویب و به مرحله اجرایی رسید، هدف اصلی آن بهبود نحوه کار ارائه دهندگان با شرکت های بیمه بود. دانیل سولو، استاد دانشگاه جورج واشنگتن و مدیر عامل شرکت آموزش حفظ حریم خصوصی TeachPrivacy در این مورد گفت:« اگر بخواهم ساده بگویم، مردم فکر می‌کنند که HIPAA بیش از آنچه که در حقیقت انجام می دهد می تواند از داده های سلامت آنها محافظت کند.».

به گفته Cobun Zweifel-Keegan، مدیر عامل انجمن بین المللی حریم خصوصی قانون HIPAA با دو مانع بزرگ در حوزه فعالیت خود مواجه است:
مانع اول: این قانون فقط شامل تعداد محدودی از نهادها و سازمان ها می‌شود. این نهادها می توانند ارائه دهندگان خدمات پزشکی مانند پزشکان و شرکت‌های بیمه سلامت باشند.
مانع دوم: این قانون فقط شامل بخش کمی از داده‌ها را در بر می گیرد. این داده‌ها شامل سوابق پزشکی و سایر اطلاعات مربوط به وضعیت سلامتی افراد می‌شوند که توسط نهادهای تحت پوشش HIPAA مورد استفاده قرار می گیرند.

به عنوان مثال: پزشک شما نمی‌تواند اطلاعات مربوط به وضعیت واکسیناسیون شما را به یک شرکت تبلیغاتی بفروشد. اما یک برنامه تناسب اندام (که تحت پوشش قانون HIPAA نیست) می‌تواند اطلاعات مربوط به گام‌ها و ضربان قلب شما را به یک شرکت تبلیغاتی بفروشد. به عبارت دیگر، HIPAA فقط از بخشی از داده‌های سلامت شما در برابر برخی از سازمان‌ها محافظت می‌کند.

خانم سولوو گفت: "HIPAA فقط شامل اطلاعات مربوط به مراقبت‌های پزشکی و پرداخت آن می‌شود. این قانون شامل اطلاعاتی که با کارفرما یا مدرسه شما به اشتراک گذاشته می‌شود مانند یادداشت های بیماری نمی شود. با این حال، اگر کسی با پزشک شما تماس بگیرد تا تشخیص بیماری شما را تأیید کند، HIPAA از پزشک شما در برابر به اشتراک گذاشتن جزئیات بیشتر بیماری شما محافظت می‌کند."

اما در طول 30 سال گذشته، چیزهای زیادی تغییر کرده است. قانون‌گذاران HIPAA هیچ وقت پیش‌بینی نمی‌کردند که ما امروز چه مقدار از داده‌های خود را با دیگران به اشتراک می‌گذاریم که بسیاری از آن‌ها بخشی از اطلاعات خصوصی ما را تشکیل می دهند. نکته جالب تر این که، این اطلاعات تحت پوشش قانون HIPAA قرار نمی گیرد.

خانم تین، وکیل ارشد شرکت Electronic Frontier می‌گوید: "زمانی که HIPAA تصویب شد، هیچ کس پیش‌بینی نمی‌کرد که جهان در آینده به چه سمتی خواهد رفت. قانون HIPAA بد نیست اما، نمی‌تواند با وضعیتی که امروز در آن هستیم هماهنگی برقرار کند. شما به صورت دائم داده‌های خود را با افراد دیگری که نه پزشکند و نه پرسنل بیمه، به اشتراک می‌گذارید."

به تمام داده‌هایی که در مورد ما روزانه جمع‌آوری می‌شود که می‌تواند یک دید کلی در مورد وضعیت سلامتی ما ارائه دهد، خوب فکر کنید. به عنوان نمونه: برنامه Noom رژیم غذایی شما را دنبال می کند. برنامه Peloton میزان فعالیت شما را زیر نظر دارد یا حتی هنگام خواب شما را کنترل می کند. Medisafe برنامه مصرف قرص های روزانه شما را می داند. برنامه Betterhelp وضعیت سلامت روانی شما را می تواند ببیند. Betterhelp حدود یک سال پیش توسط کمیسیون FTC به خاطر افشای این اطلاعات به تبلیغ‌کنندگان محکوم شد. این اطلاعات می تواند برای فروش مکمل های غذایی یا قرص های خواب آور یا هر چیز دیگری مورد استفاده قرار بگیرد. Solove گفت: «داده‌های بهداشتی می‌تواند کاربردهای نامحدود داشته باشد.بنابراین اگر HIPAA هیچ محدودیتی در مورد نهادهای تحت پوشش نداشت، این قانون نیز می توانست شرکت های بیشتری را تحت پوشش قرار دهد.»

علاوه بر این، شرکت‌ها می‌توانند از داده‌های دیگر برای استنباط اطلاعات مربوط به سلامت ما استفاده کنند. به عنوان مثال: سال 2012، نیویورک تایمز گزارشی منتشر کرد در مورد اینکه چگونه شرکت Target با استفاده از اطلاعات جستجو و خرید آنلاین، بارداری یک زن را پیش‌بینی کرده بود.

از سوی دیگر، قانون HIPAA احتمال دارد از اطلاعات پزشکی شما در برابر مجریان قانون محافظت نکند. پلیس می تواند حتی بدون حکم، با ادعای اینکه شما مظنون یا قربانی یک جنایت هستید، به سوابق پزشکی شما دسترسی پیدا کند. پلیس از داروخانه‌ها برای جمع‌آوری داده‌های پزشکی مظنونان استفاده می کند و می‌تواند از اطلاعات مکان برای ردیابی افراد به کلینیک‌های خاص استفاده کند.

به همین دلیل، قوانینی مانند HIPAA جلوی تعقیب افراد به دلیل تصمیمات مربوط به مراقبت‌های بهداشتی آنها را نمی‌گیرد. امروزه، برخی از ایالت‌ها در آمریکا قوانین جدیدی را در مورد حفاظت بیشتر از داده‌های سلامت افراد وضع کرده اند. این قوانین فراتر از پرونده‌های پزشکی و ارائه‌دهندگان مراقبت‌های بهداشتی است و داده‌های سلامت افراد مانند ضربان قلب و ... را در بر می گیرد. این قوانین در ایالت‌های مختلف با هم فرق دارد. به عنوان مثال: ایالت کالیفرنیا به افراد اجازه می‌دهد تا در صورت سهل انگاری در حفظ حریم خصوصی اطلاعات پزشکی، از خاطیان شکایت کنند. ایالت پنسیلوانیا اقدامات بیشتری در مورد نقض داده‌ها برای مصرف‌کنندگان ارائه می‌دهد.

طبق بیانیه مطبوعاتی دفتر دادستان کل دادگستری ایالت واشنگتن، قانون «سلامت من، داده‌های من» که سال گذشته در این ایالت تصویب شد، در راستای «حفاظت از داده‌های سلامت شخصی است که خارج از محدوده قانون قابلیت حمل و پاسخگویی بیمه سلامت را دارد» صورت گرفت. طبق قانون جدید هر نهادی که در ایالت واشنگتن فعالیت می کند و با اطلاعات سلامت جسمی یا روانی گذشته، حال یا آینده مصرف کننده سر و کار دارد، باید از قانون حریم خصوصی پیروی کند. این مقررات شامل حق عدم فروش داده های سلامتی کاربران بدون اجازه آنها و حذف داده های پزشکی از طریق درخواست کتبی می شود. بر اساس این قانون، بر خلاف HIPAA، اپلیکیشنی که دوز دارو و برنامه زمانی فرد یا پیش بینی وضعیت بارداری را کنترل می‌کند نیز باید از این قوانین پیروی کنند.