Es wurden Bedenken hinsichtlich der medizinischen Privatsphäre geäußert
Eine Untersuchung des Kongresses ergab, dass die größten Apothekenketten des Landes, darunter CVS Health, Kroger und Rite Aid, die Verschreibungsunterlagen von Amerikanern freiwillig und ohne Genehmigung an Strafverfolgungsbehörden und staatliche Ermittler weitergegeben haben. Diese Enthüllung hat erhebliche Bedenken hinsichtlich des Schutzes der medizinischen Privatsphäre aufgeworfen.
Obwohl einige Apothekenketten von ihren Anwälten die Prüfung von Anträgen der Strafverfolgungsbehörden verlangen, gestatten CVS Health, Kroger und Rite Aid, die zusammen 60.000 Standorte im ganzen Land betreiben, Apothekenmitarbeitern, die Krankenakten der Kunden direkt im Geschäft auszuhändigen. Diese Politik wurde durch einen Brief aufgedeckt, den Senator Ron Wyden, die Abgeordnete Pramila Jayapal und die Abgeordnete Sara Jacobs an Xavier Becerra, den Sekretär des Ministeriums für Gesundheit und menschliche Dienste, schickten.
Apotheken speichern vertrauliche personenbezogene Daten
Apotheken verfügen über eine Fülle persönlicher Informationen über ihre Kunden, darunter sensible Details wie jahrelange Erkrankungen und Rezepte für psychische Gesundheit und Empfängnisverhütung. Da Apothekenketten häufig Datensätze über Standorte hinweg austauschen, kann eine Apotheke in einem Staat auf die vollständige Krankengeschichte einer Person zugreifen, selbst wenn diese in Staaten mit strengeren Datenschutzgesetzen ansässig ist. Dadurch entsteht eine potenzielle „digitale Spur“, die die medizinische Versorgung einer Person außerhalb des Bundesstaates mit ihrem Heimatstaat verbindet.
Der Health Insurance Portability and Accountability Act (HIPAA), der die Nutzung und den Austausch von Gesundheitsinformationen regelt, gilt für „versicherte Einrichtungen“ wie Krankenhäuser und Arztpraxen. Die Anwendung auf Apothekenketten und deren Weitergabe von Aufzeichnungen ohne Genehmigung ist jedoch unklar.
Richtlinien der größten Apothekengiganten
In Briefings mit Ermittlern des Kongresses erklärten Beamte der Walgreens Boots Alliance, CVS, Walmart, Rite Aid, Kroger, Cigna, Optum Rx und Amazon Pharmacy, dass sie für die Weitergabe von Verschreibungsunterlagen lediglich eine Vorladung und keinen Durchsuchungsbefehl benötigten. Im Gegensatz zu einem Gerichtsbeschluss oder einem Haftbefehl erfordert eine Vorladung keine Zustimmung eines Richters und kann von einer Regierungsbehörde ausgestellt werden.
CVS, Kroger und Rite Aid gaben bekannt, dass ihre Apothekenmitarbeiter aufgrund des „extremen Reaktionsdrucks“ angewiesen wurden, Anfragen der Strafverfolgungsbehörden sofort zu bearbeiten. In dem Brief des Gesetzgebers wurden jedoch weder Angaben zur Anzahl der erfüllten Anträge noch zum Anteil der Strafverfolgungsforderungen gemacht. Lediglich Amazon gab an, dass es Kunden benachrichtigen würde, wenn die Strafverfolgungsbehörden ihre Apothekenunterlagen einfordern würden, es sei denn, dies sei durch ein gesetzliches Verbot wie eine „Wundsperre“ verhindert. Andere Unternehmen, darunter Amazon, äußerten sich nicht zu der Angelegenheit.
Bemühungen zur Stärkung des Schutzes der Patientendaten
Der Gesetzgeber forderte das Ministerium für Gesundheit und menschliche Dienste (HHS) auf, die HIPAA-Regeln zu verbessern und sicherzustellen, dass Apotheken einen Durchsuchungsbefehl der Strafverfolgungsbehörden benötigen. Dies würde die Beamten dazu verpflichten, eine gerichtliche Genehmigung einzuholen, um solche Anträge durchzusetzen.
CVS bekundete seine Unterstützung für die Prüfung einer Anforderung durch einen Haftbefehl oder eine richterliche Vorladung und seine Bereitschaft, mit dem Kongress bei der Stärkung des Schutzes der Privatsphäre der Patienten zusammenzuarbeiten. Das Unternehmen erhielt eine begrenzte Anzahl von Verbraucheranfragen gemäß der „Accounting of Disclosure“-Regel des HIPAA, die genaue Anzahl wird jedoch nicht bekannt gegeben.
Um die Transparenz zu verbessern, plant CVS, im ersten Quartal nächsten Jahres einen Bericht zu veröffentlichen, der Informationen über Datensatzanfragen Dritter enthält.
Carmel Shachar, klinische Assistenzprofessorin an der Harvard Law School, betonte die Bedeutung des Umgangs von Apotheken mit sensiblen Daten. Sie stellte fest, dass Apotheker möglicherweise nicht über das Fachwissen verfügen, um die Begründetheit oder Gültigkeit einer polizeilichen Anfrage zu beurteilen oder die Anfrage eines Beamten abzulehnen. Shachar betonte die Notwendigkeit, dass Datenschutzrechtsexperten solche Anfragen prüfen.
Einige Bundesstaaten wie Louisiana, Montana und Pennsylvania bieten zusätzliche Schutzmaßnahmen für die Offenlegung medizinischer Daten. Allerdings sind die Strafverfolgungsbehörden des Bundes nicht an diese Landesgesetze gebunden.
Die Forderung des Gesetzgebers nach strengeren HIPAA-Regeln, die der Einführung von Gewährleistungsanforderungen für den Zugriff auf E-Mail-Daten von Kunden durch Unternehmen wie Google, Microsoft und Yahoo durch die Technologiebranche Anfang der 2010er Jahre ähnelt, dient als Beispiel für mögliche Verbesserungen.