Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.3.3
II.3.3 Medische gegevens
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278889:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
In dit artikel wordt voor al deze instellingen de term ‘medische instellingen’ gebruikt. Voor een totaaloverzicht zie 45 CFR part 160. Voor instanties die niet onder de HIPAA vallen, bijvoorbeeld websites waarop medische gegevens kunnen worden ingevuld, geldt de Health Breach Notification Rule die wordt gehandhaafd door de FTC.
45 CFR §160.103. De HIPAA kent overigens een mogelijkheid tot ‘de-identification’, 45 CFR §164.502(d) en 45 CFR §164.514(a)-(b), waarna de PHI toch kunnen worden gebruikt. Volgens Narayanan maakt dit het hele begrip PHI tot een dode letter: A. Narayanan, ‘Myths and fallacies of “Personally Identifiable Information”’, Communications of the ACM 2010, vol. 53-6, p. 24-26.
45 CFR § 160 en 164 (A) en (E).
45 CFR §160 en 164 (C).
45 CFR § 164.524 en 526.
45 CFR §164 (E).
45 CFR § 164.404.
“accessed, acquired, used, or disclosed”, 45 CFR § 164.404(a)(1).
45 CFR § 164.404(b). De wijze waarop moet worden gemeld hangt van de omstandigheden af; dit kan schriftelijk, per e-mail, telefonisch of via een mededeling op de website van het geraakte bedrijf.
45 CFR § 164.406.
45 CFR § 164.408. Op de website van de HHS wordt van grote datalekken een lijst gepubliceerd, wat een zeker schandpaaleffect heeft: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf (laatst bezocht op 6 juli 2018).
45 CFR § 160.103.
45 CFR § 164.414.
45 CFR § 160.404. De wet zelf verschaft de betrokkenen niet rechtstreeks een civil right of action. In 2014 oordeelde het Supreme Court in Connecticut echter dat de bepalingen in de HIPAA standaarden voor zorgplichten kunnen inhouden die ingezet kunnen worden in negligence claims (aansprakelijkheidskwesties); Byrne v. Avery Ctr. for Obstetrics & Gynecology, P.C., 314 Conn. 433 (2014).
Een derde belangrijke federale wet is de Health Insurance Portability and Accountability Act (‘HIPAA’). De wet is van toepassing op vrijwel alle instellingen die met medische gegevens in aanraking komen1 en wordt gehandhaafd door de Office of Civil Rights, onderdeel van de U.S. Department of Health & Human Services (‘HHS’). In de HIPAA staan bepalingen omtrent de verzameling en het gebruik van ‘protected health information’ (‘PHI’): medische en gezondheidsgegevens die individueel identificeerbaar zijn.2
Onderdelen van de HIPAA zijn de HIPAA Privacy Rule,3 waarin medische instellingen worden beperkt in het gebruik van PHI, en de HIPAA Security Rule,4 die medische instellingen verplicht om beveiligingsmaatregelen te nemen op administratief, technisch/fysiek en organisatorisch niveau. Vergeleken bij de FTCA en de GLBA zijn de privacybepalingen in de HIPAA vrij uitgebreid. Deze wet omvat bijvoorbeeld meer bepalingen over de rechten van betrokkenen dan de FTCA en de GLBA, zoals het recht op inzage en correctie van de gegevens.5 Tevens komt het vereiste dat de betrokkene toestemming voor de verwerking verleent sterker naar voren in de HIPAA dan in de FTCA en de GLBA.6
Anders dan de FTCA en de GLBA bevat de HIPAA wel een meldplicht bij datalekken.7 De medische instelling waarbij PHI als gevolg van een inbreuk (naar redelijk vermoeden) toegankelijk is, is verkregen, gebruikt of geopenbaard,8 moet dit zonder onredelijke vertraging doch uiterlijk binnen zestig dagen na de ontdekking daarvan melden aan iedere afzonderlijke betrokkene.9 Raakt het datalek meer dan vijfhonderd ingezetenen van de VS, dan moet de inbreuk bovendien ook worden gemeld aan prominente media, bijvoorbeeld door middel van een persbericht.10 Tot slot dienen dergelijk grote datalekken gemeld te worden aan de Secretary van de HHS.11 De meldplicht geldt op grond van de wet bovendien ook voor contractpartijen (‘business associates’) van de medische instellingen.12
In de HIPAA is expliciet opgenomen dat de bewijslast dat alle notificatieverplichtingen zijn nagekomen, of dat het voorval niet kan worden gekwalificeerd als een inbreuk zoals bedoeld in de wet, op de medische instelling rust.13 Bij een overtreding van de wet kan de HHS boetes opleggen tot anderhalf miljoen dollar.14