为外国患者提供治疗的美国医疗保健人员可能希望仔细研究他们的隐私政策,以确保他们遵守新的欧盟数据保护规则。

5月25日预示着欧盟《通用数据保护条例》( GDPR ),旨在加强和协调对欧盟公民的记录保护并加强其数据隐私的管理方式的一组规则。该法规保护各种形式的电子数据,包括基本身份信息,健康和遗传数据以及生物识别信息。

违反GDPR的处罚非常严厉。无论是由于违规导致的违规行为,还是由于数据泄露而导致的违规行为,错误都会使提供商损失高达其年度总收入的4%。

专家说,了解欧盟患者在医疗期间何时以及如何触发法规至关重要。 他说,在各州治疗需要计划外治疗的休假欧盟患者不太可能使医生接受GDPR的保护。 辛西娅·J·拉罗斯(Cynthia J.Larose) 是位于波士顿的隐私和数据安全律师。

Larose女士在接受采访时说:“总体而言,GDPR不应影响可能在该患者在美国期间偶然治疗一名欧盟患者的美国医生。”如果欧盟患者到美国医疗保健提供者处就诊,则GDPR不适用于美国医疗保健提供者拥有的她的个人数据-HIPAA适用。尽管[GDPR]确实具有域外影响力,但您必须在欧盟做些事情才能使GDPR得以应用。”

但是其他可能会引起问题的方案,例如美国研究人员在欧盟研究患者,美国医生为欧盟患者提供远程医疗服务以及在患者返回本国后继续在美国接受治疗后继续监视欧盟患者的医生。

据一位媒体报道,每年约有20万国际旅客飞往美国接受医疗保健,其中约25%来自欧洲。 2015年报告 由美国国际贸易委员会。

在欧盟刊登广告医疗服务是美国医师可能要受GDPR约束的另一种方式。据安全专家称,例如,如果某个诊所或医院在欧盟的网站或其他材料上出售其专科护理,则可能属于GDPR的保护范围。

“如果您向欧盟的患者宣传服务,然后他们决定获得此类服务,则可能触发GDPR,因为数据主体在欧盟且您正在为他们提供服务。” Elaine C.Zacharakis Loumbas 是位于芝加哥的健康与安全法律师。 “这变得非常具体。”

可能受到GDPR约束的卫生服务提供者应将注意力集中在三个领域:透明度,同意和数据最小化, 约翰·巴基 是Arrakis Consulting(一家专门研究GDPR合规性的安全公司)的高级研究员。

喜欢 HIPAA ,GDPR要求卫生保健提供者向患者披露有关在何处以及如何使用其数据的信息。 Barchie先生指出,在美国,患者同意书通常可能包含两到三种潜在的患者数据用途,例如市场营销和医学研究。他说,GDPR规定,每种可能使用的患者数据都需要有自己单独的同意书。

巴尔奇说:“假设您是一家专门从事糖尿病的诊所,并且习惯于将数据收集并发送到通用数据库以[收集有关糖尿病的信息]。” “在GDPR下,您无法做到这一点。为此,您将需要单独的同意书。因此,一份同意提供您的糖尿病服务的同意书,一份可能向[患者]销售的同意书,以及一份单独的[关于]数据库的同意书。”

GDPR还要求最小化存储在多个系统中的个人数据副本。 Barchie先生说,在美国,一个人的数据在多个地方有多个副本并不少见,从IT角度来看,这是有道理的。但是,GDPR要求数据保持者将其维护的副本数限制为仅提供最必要的信息。

他说:“ [根据GDPR],您应该只发送该特定过程所需的数据。” “例如,(如果是)地址,用户名和患者ID。如果仅需要患者ID号,则不应发送患者姓名和地址。您可以将要发送的数据量减到最少。”

与美国法规相比,GDPR下的违规通知也更加严格。根据HIPAA,受保实体必须通知美国卫生部&人类服务和受影响的数据泄露患者,不得迟于发现泄露后60天,无故拖延。 GDPR 要求 受影响的实体应“毫不迟延地通知监管机构,并且在可行的情况下,应在意识到[违规]后不迟于72小时内通知监管机构。” (GDPR监管机构取决于受影响的欧盟国家。)

据调查机构称,如果确定个人数据泄露“可能对个人的权利和自由造成高风险”,则必须努力与受影响的数据主体“不过度拖延”地交流有关个人数据泄露的信息。规则。

如果不确定您的行为是否属于GDPR,专家建议与法律顾问,GDPR专家或风险管理团队讨论该问题。

广告