Занепокоєння щодо медичної конфіденційності
Згідно з розслідуванням Конгресу, було встановлено, що найбільші аптечні мережі країни, включаючи CVS Health, Kroger і Rite Aid, добровільно надають записи про рецепти американців правоохоронним органам і державним слідчим без ордера. Це відкриття викликало серйозне занепокоєння щодо захисту медичної конфіденційності.
Хоча деякі аптечні мережі вимагають, щоб їхні юристи розглядали запити правоохоронних органів, CVS Health, Kroger і Rite Aid, які разом працюють у 60 000 пунктах по всій країні, дозволяють працівникам аптек передавати медичні записи клієнтів безпосередньо в магазині. Ця політика була розкрита в листі, надісланому сенатором Роном Уайденом, представником Прамілою Джаяпал і представником Сарою Джейкобс Ксав’єру Бесеррі, секретарю Департаменту охорони здоров’я та соціальних служб.
Аптеки зберігають інтимну особисту інформацію
Аптеки зберігають велику кількість особистої інформації про своїх клієнтів, у тому числі конфіденційні відомості, як-от багаторічні захворювання та рецепти для психічного здоров’я та контролю над народжуваністю. Оскільки аптечні мережі часто обмінюються записами в різних місцях, аптека в одному штаті може отримати доступ до повної історії хвороби людини, навіть якщо вони проживають у штатах із суворішими законами про конфіденційність. Це створює потенційний «цифровий слід», який зв’язує медичне обслуговування людини за межами штату з його рідним штатом.
Закон про перенесення та підзвітність медичного страхування (HIPAA), який регулює використання та обмін медичною інформацією, поширюється на «охоплені організації», такі як лікарні та кабінети лікарів. Однак його застосування до аптечних мереж і обміну записами без дозволу не зрозумілі.
Політика найбільших аптечних гігантів
На брифінгах зі слідчими Конгресу представники Walgreens Boots Alliance, CVS, Walmart, Rite Aid, Kroger, Cigna, Optum Rx і Amazon Pharmacy заявили, що їм потрібна лише повістка, а не ордер, щоб надати інформацію про рецепти. На відміну від судового наказу чи ордера, повістка в суд не вимагає схвалення судді та може бути видана державною установою.
CVS, Kroger і Rite Aid повідомили, що співробітники їхніх аптек отримали вказівки негайно опрацьовувати запити правоохоронних органів через «надзвичайний тиск, щоб відповісти». Однак у листі депутатів не зазначено ні кількість виконаних запитів, ні частку вимог правоохоронців. Лише Amazon заявив, що сповістить клієнтів, коли правоохоронні органи вимагатимуть їхні аптечні записи, якщо цьому не завадить юридична заборона, така як «розпорядження про кляп». Інші компанії, включаючи Amazon, не коментували це питання.
Зусилля щодо посилення захисту конфіденційності пацієнтів
Законодавці закликали Міністерство охорони здоров’я та соціальних служб (HHS) посилити правила HIPAA та забезпечити, щоб аптеки вимагали ордер від правоохоронних органів. Це змусило б посадовців звертатися за дозволом суду на виконання таких запитів.
CVS висловив свою підтримку розгляду вимоги щодо ордеру або повістки до суду, виданої суддею, і свою готовність співпрацювати з Конгресом у посиленні захисту конфіденційності пацієнтів. Компанія отримала обмежену кількість запитів споживачів згідно з правилом HIPAA «Облік розкриття інформації», але точна кількість залишається нерозкритою.
Щоб покращити прозорість, CVS планує опублікувати звіт у першому кварталі наступного року, який містить інформацію про запити на записи від третіх сторін.
Кармел Шачар, асистент клінічного професора Школи права Гарвардського університету, підкреслив важливість того, як аптеки обробляють конфіденційні дані. Вона зазначила, що фармацевти можуть не володіти знаннями, щоб оцінити суть чи обґрунтованість запиту поліції або відхилити вимогу офіцера. Шахар наголосив на необхідності розгляду таких запитів експертами з питань конфіденційності.
Деякі штати, як-от Луїзіана, Монтана та Пенсильванія, пропонують додатковий захист для розголошення медичних даних. Однак федеральні правоохоронні органи не зобов’язані дотримуватися цих законів штату.
Прикладом потенційних покращень є заклик законодавців до посилення правил HIPAA, подібних до вимог технологічної індустрії щодо гарантій доступу до даних електронної пошти клієнтів такими компаніями, як Google, Microsoft і Yahoo на початку 2010-х років.