La FTC cherche à élargir la règle de notification des violations pour inclure les applications et les appareils connectés – TechToday

La Federal Trade Commission cherche à modifier et à étendre sa règle de notification des violations de la santé, ou HBNR, pour couvrir les entités non couvertes auparavant par la HIPAA, leur permettre d’utiliser le courrier électronique et d’autres méthodes de notification de violation de données électroniques et exiger qu’elles incluent les noms de tout tiers parties susceptibles d’avoir acquis des informations médicales identifiables non sécurisées.

POURQUOI EST-CE IMPORTANT

Dans la foulée du dépôt d’une plainte devant un tribunal fédéral contre Easy Healthcare Corporation, basée dans l’Illinois, pour avoir partagé les données de santé des utilisateurs de son application de fertilité gratuite et infligé une amende de 200 000 $ à l’entreprise de technologie de la santé, la FTC a annoncé une révision officielle du HBNR.

En tête des modifications proposées, la FTC définirait une « violation de la sécurité » pour inclure une acquisition d’informations de santé identifiables qui se produit à la suite d’une violation de la sécurité des données ou d’une divulgation non autorisée.

La FTC a déclaré que depuis que sa règle a été publiée pour la première fois en 2009, les applications de santé et d’autres technologies de santé directement destinées aux consommateurs ont augmenté la quantité de collecte de données sur la santé des consommateurs, et ont donc incité à utiliser ou à divulguer ces données à des fins de marketing et à d’autres fins.

“Les modifications proposées à la règle lui permettront de suivre les tendances du marché et de répondre aux développements et aux changements technologiques”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué.

Les entreprises d’applications de santé et d’appareils connectés qui sont soumises aux exigences de notification de violation de la FTC devraient expliquer aux consommateurs le préjudice potentiel qui peut provenir de tiers qui ont acquis leurs informations de santé personnellement identifiables.

Les modifications proposées permettraient également :

• Réviser plusieurs définitions pour s’assurer que la règle s’applique aux technologies de santé non couvertes par la loi HIPAA qui collectent les informations sur la santé d’un individu.
• Ajouter deux nouvelles définitions pour les prestataires de soins de santé et les services ou fournitures de soins de santé.
• Clarifiez ce que cela signifie pour un PHR de tirer des données personnelles sur la santé de plusieurs sources.

La FTC a souligné que le champ d’application de la règle qualifierait les entités liées aux PHR uniquement comme celles “qui accèdent ou envoient des informations de santé identifiables PHR non sécurisées à un dossier de santé personnel”.

Dans la plainte fédérale alléguant que les données de santé personnelles des utilisateurs de l’application Premom étaient partagées avec des tiers à des fins publicitaires sans leur consentement, la FTC cherchait à obliger Easy Healthcare Corp. “à obtenir le consentement des utilisateurs avant de partager des données de santé à toute autre fin”. » et précisent aux utilisateurs comment seront utilisées leurs données de fertilité et personnelles.

L’affaire a été réglée à l’amiable la semaine dernière, selon un communiqué publié sur le site Web de la société.

HBNR exige que les entités couvertes fournissent des notifications aux consommateurs dans les 60 jours suivant la découverte d’une violation. Mais si plus de 500 personnes sont concernées, les entités couvertes doivent en informer la FTC dans les 10 jours ouvrables.

La FTC accepte les commentaires sur les modifications proposées à HBNR pendant 60 jours après la publication de son avis de proposition de réglementation jeudi.

LA GRANDE TENDANCE

Après un examen périodique du HBNR en 2020, lorsque l’agence a demandé au public si les règles devaient être modifiées et a accepté les commentaires du public, la commission commerciale américaine a publié une déclaration de politique en septembre 2021 indiquant que les appareils connectés et les applications de santé qui utilisent ou collectent les consommateurs. les informations de santé doivent également informer les utilisateurs et les autres lorsque leurs données sont impliquées dans une violation de la sécurité.

Cependant, au-delà de la sécurité des données, la FCC s’est dite préoccupée par la “marchandisation des informations de santé sensibles” pour la publicité et l’analyse.

“Compte tenu de la prévalence croissante de la publicité basée sur la surveillance, la commission devrait examiner en premier lieu quelles données sont collectées et si des types particuliers de modèles commerciaux créent des incitations qui mettent nécessairement les utilisateurs en danger”, a déclaré la présidente de la FTC, Lina M. Khan à le temps.

La protection de la confidentialité et de la sécurité des données personnelles sur la santé s’avère être une priorité élevée pour la FTC, car l’agence a noté qu’elle avait également pris des mesures d’exécution contre GoodRx et d’autres au cours des derniers mois pour avoir partagé des données à l’insu ou sans le consentement des utilisateurs.

ENREGISTREMENT

“Nous assistons à une explosion d’applications de santé et d’appareils connectés, dont beaucoup ne sont pas couverts par HIPAA, collectant de grandes quantités d’informations sensibles sur la santé des consommateurs”, a déclaré Levine.

“Lorsque ces informations sont violées, il est plus vital que jamais que les développeurs d’applications de santé mobile et les autres personnes couvertes par la règle de notification des violations de la santé informent les consommateurs et la FTC en temps opportun de ce qui s’est passé.”

Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS Media.