Bezorgdheid over medische privacy
De grootste apotheekketens van het land, waaronder CVS Health, Kroger en Rite Aid, blijken vrijwillig Amerikaanse receptgegevens te verstrekken aan wetshandhavers en overheidsonderzoekers zonder bevel, zo blijkt uit een onderzoek van het Congres. Deze onthulling heeft grote zorgen doen rijzen over de bescherming van de medische privacy.
Hoewel sommige apotheekketens van hun advocaten eisen dat zij wetshandhavingsverzoeken beoordelen, staan CVS Health, Kroger en Rite Aid, die samen 60.000 locaties in het hele land exploiteren, toe dat apotheekmedewerkers de medische dossiers van klanten rechtstreeks in de winkel kunnen overhandigen. Dit beleid werd aan het licht gebracht via een brief van senator Ron Wyden, vertegenwoordiger Pramila Jayapal en vertegenwoordiger Sara Jacobs aan Xavier Becerra, de secretaris van het ministerie van Volksgezondheid en Human Services.
Apotheken bewaren intieme persoonlijke gegevens
Apotheken beschikken over een schat aan persoonlijke informatie over hun klanten, waaronder gevoelige details zoals jarenlange medische aandoeningen en recepten voor geestelijke gezondheidszorg en anticonceptie. Omdat apotheekketens vaak gegevens over verschillende locaties delen, heeft een apotheek in één staat toegang tot de volledige medische geschiedenis van een persoon, zelfs als deze in staten woont met strengere privacywetten. Hierdoor ontstaat een potentieel ‘digitaal spoor’ dat de medische zorg van een persoon buiten de staat verbindt met zijn thuisstaat.
De Health Insurance Portability and Accountability Act (HIPAA), die het gebruik en de uitwisseling van gezondheidsinformatie reguleert, is van toepassing op ‘gedekte entiteiten’ zoals ziekenhuizen en dokterspraktijken. De toepassing ervan op apotheekketens en het delen van gegevens zonder bevelschrift is echter niet duidelijk.
Beleid van de grootste apotheekgiganten
In briefings met onderzoekers uit het Congres verklaarden functionarissen die Walgreens Boots Alliance, CVS, Walmart, Rite Aid, Kroger, Cigna, Optum Rx en Amazon Pharmacy vertegenwoordigden dat ze alleen een dagvaarding nodig hadden, en geen bevel, om receptgegevens te delen. In tegenstelling tot een gerechtelijk bevel of gerechtelijk bevel is voor een dagvaarding geen goedkeuring van een rechter vereist en kan deze worden uitgevaardigd door een overheidsinstantie.
CVS, Kroger en Rite Aid onthulden dat hun apotheekpersoneel de opdracht kreeg om wetshandhavingsverzoeken onmiddellijk te verwerken vanwege “extreme druk om te reageren”. De brief van de wetgevers specificeerde echter niet het aantal ingewilligde verzoeken of het aandeel van de wetshandhavingseisen. Alleen Amazon verklaarde dat het klanten op de hoogte zou stellen als de politie hun apotheekgegevens zou opvragen, tenzij dit wordt verhinderd door een wettelijk verbod zoals een ‘zwijgbevel’. Andere bedrijven, waaronder Amazon, gaven geen commentaar op de kwestie.
Inspanningen om de privacybescherming van patiënten te versterken
De wetgevers drongen er bij het ministerie van Volksgezondheid en Human Services (HHS) op aan om de regels van HIPAA aan te scherpen en ervoor te zorgen dat apotheken een bevelschrift van de wetshandhaving nodig hebben. Dit zou ambtenaren verplichten om goedkeuring van de rechtbank te vragen om dergelijke verzoeken af te dwingen.
CVS sprak zijn steun uit voor de overweging van een bevelschrift of een door een rechter uitgevaardigde dagvaarding en zijn bereidheid om met het Congres samen te werken bij het versterken van de privacybescherming van patiënten. Het bedrijf heeft een beperkt aantal consumentenverzoeken ontvangen onder de HIPAA-regel ‘Accounting of Disclosure’, maar het exacte aantal blijft geheim.
Om de transparantie te verbeteren, is CVS van plan in het eerste kwartaal van volgend jaar een rapport te publiceren met informatie over recordverzoeken van derden.
Carmel Shachar, assistent-klinisch professor aan de Harvard Law School, benadrukte het belang van de omgang door apotheken met gevoelige gegevens. Ze merkte op dat apothekers mogelijk niet over de expertise beschikken om de merites of geldigheid van een politieverzoek te beoordelen of om de eis van een officier af te wijzen. Shachar benadrukte de noodzaak voor deskundigen op het gebied van de privacywetgeving om dergelijke verzoeken te beoordelen.
Sommige staten, zoals Louisiana, Montana en Pennsylvania, bieden aanvullende bescherming voor het openbaar maken van medische gegevens. Federale wetshandhavingsinstanties zijn echter niet gebonden aan deze staatswetten.
De oproep van de wetgevers voor strengere HIPAA-regels, die lijken op de aanvaarding door bedrijven als Google, Microsoft en Yahoo van begin 2010 van warrantvereisten voor toegang tot e-mailgegevens van klanten door bedrijven als Google, Microsoft en Yahoo, dient als voorbeeld voor mogelijke verbeteringen.