Five To-Do’s for Telemed Companies Before the Public Health Emergency Ends

Dieser Artikel erschien ursprünglich in Bloomberg Law am 26. Mai 2021.

Die Privatsphäre der Patienten wird für die Aufsichtsbehörden weiterhin oberste Priorität haben, da Patienten nach wie vor in hohem Maße auf Telemedizin angewiesen sind. Die Anwälte von Foley & Lardner LLP sind der Ansicht, dass Anbieter und Gesundheitsdienstleister durch frühzeitige Maßnahmen zur Einhaltung der HIPAA-Vorschriften einen Vorsprung in einer sicherlich hektischen und unübersichtlichen Zeit haben werden, wenn die Ausnahmeregelungen für den öffentlichen Gesundheitsnotstand und die Ermessensfreiheit der Bundesbehörden bei der Durchsetzung der Vorschriften auslaufen.

Der Datenschutz ist bereits ein beliebtes Themaunter Gesetzgebern, und angesichts des explosionsartigen Wachstums der Telemedizin in den letzten Jahren und der relativen Unwirksamkeit der Datenschutzbestimmungen während der COVID-19-Gesundheitskrise (PHE) wird der Schutz von Patientendaten bald zu einer obersten Priorität für Regulierungsbehörden werden, die die Praktiken von technologiegestützten Gesundheitsdienstleistern, insbesondere im Bereich Telemedizin und digitale Gesundheit, überprüfen.

Während der PHE gab das Büro für Bürgerrechte des Ministeriums für Gesundheit und Soziales bekannt, dass Gesundheitsdienstleister nicht für Verstöße gegen das HIPAA bestraft werden, die bei der gutgläubigen Erbringung von Telemedizin-Dienstleistungen auftreten. Diese Flexibilität veranlasste Telemedizin-Anbieter dazu, Kommunikationstechnologien zu nutzen, die zuvor nicht für die Gesundheitsversorgung eingesetzt oder auf HIPAA-Konformität geprüft worden waren.

Neben der Nutzung dieser (oft weniger sicheren) Plattformen betrachten Health-Tech-Unternehmen Patientendaten zunehmend als wertvolles Gut und bauen Datenlager und Data-Mining-Programme in einem Umfang auf, der im Gesundheitswesen bisher beispiellos ist.

Gleichzeitig hat der Aufstieg des „Patienten als Verbraucher“ dazu geführt, dass Telemedizinunternehmen auf E-Commerce-Prinzipien zurückgreifen, um eine bessere Benutzererfahrung zu schaffen, mit dem Ziel, Nutzer zu Patienten zu machen (oder umgekehrt). Website-Datenanalyse- und Werbetools, die für den Direktvertrieb (DTC) im Nicht-Gesundheitsbereich entwickelt wurden, werden nun auch von Unternehmen im Gesundheitswesen genutzt.

Dies hat die Abgrenzung zwischen den nicht gesundheitsbezogenen Daten des „Nutzers“ und den geschützten Gesundheitsdaten (PHI) des „Patienten“ besonders schwierig gemacht, wenn dieselbe Person gleichzeitig Nutzer eines Technologieunternehmens und Patient der mit diesem Unternehmen verbundenen medizinischen Gruppe ist.

Um die Benutzererfahrung zu verbessern, stützen sich diese neuen Health-Tech-Unternehmen auf Daten, die von Benutzern gesammelt und anschließend an Datenanalyse- und Werbedienste weitergegeben werden, um Einblicke in das Benutzerverhalten zu gewinnen. Einige Unternehmen gehen sogar so weit, dass sie den Benutzer mit Werbung erneut ansprechen, wenn er die Website verlässt, ohne einen Telemedizin-Termin zu vereinbaren. Diese Art der Datenweitergabe unterliegt der HIPAA-Datenschutzverordnung für HIPAA-regulierte Gesundheitsdienstleister und deren Anbieter.

Ein Patientenszenario veranschaulicht Datenschutzprobleme

Nehmen wir zum Beispiel einen Patienten, der die Telemedizin-Website seines Anbieters besucht, um Informationen zum Thema Diabetes zu suchen. Das Ziel des Anbieters könnte es sein, das Interesse des Patienten an Diabetes in einen Telemedizin-Termin umzuwandeln. Nehmen wir nun an, der Patient sieht sich die Informationen online an, vereinbart aber keinen Termin. Der Anbieter hat einen Vertrag mit einem Datenanalyseunternehmen, in dessen Rahmen die Browsing-Daten, die IP-Adresse und andere eindeutige Identifikatoren des Patienten an das Unternehmen weitergegeben und von diesem analysiert werden, um Erkenntnisse über mögliche Gründe dafür zu gewinnen, warum dieser Patient keinen Termin vereinbart hat. Darüber hinaus könnte das „Verlassen des Warenkorbs” durch den Patienten einen automatisierten Aufruf zum Handeln auslösen (z. B. eine E-Mail oder SMS, in der der Patient aufgefordert wird, seinen Einkauf abzuschließen und einen Termin zu vereinbaren).

Dies sind ansonsten grundlegende DTC-E-Commerce-Taktiken, die jedoch im Gesundheitswesen zu erheblichen Schwierigkeiten führen können. Gemäß HIPAA gehören IP-Adressen und alle eindeutigen Identifikatoren zu den 18 Datenelementen, die von HIPAAals PHI (Protected Health Information, geschützte Gesundheitsdaten) definiert werden. Um PHI an Dritte, wie beispielsweise einen Datenanalyseanbieter, weiterzugeben, muss eine ordnungsgemäße Geschäftspartnervereinbarung zwischen dem Anbieter und dem Telemedizinplattformanbieter oder Gesundheitsdienstleister bestehen, und je nach Situation muss die Zustimmung des Patienten eingeholt werden.

Viele der im E-Commerce am häufigsten genutzten Datenanalyseanbieter unterzeichnen keine Geschäftspartnervereinbarung, und einige gehen sogar so weit, dass sie allen Organisationen, die der HIPAA unterliegen, vorschreiben, keine PHI weiterzugeben.

Die Frage für das Unternehmen in diesem Beispiel lautet also: Kann diese Offenlegung von PHI in Übereinstimmung mit der HIPAA-Datenschutzverordnung gestaltet werden, und wenn ja, wie kann dies unter Beibehaltung einer angenehmen Benutzererfahrung geschehen? Diese Art der Datenoffenlegung und Marketingpraktiken werden in den nächsten Jahren garantiert die Aufmerksamkeit sowohl der HHS OCR als auch der Federal Trade Commission auf sich ziehen.

Machen Sie sich bereit für das Ende der Ausnahmeregelungen

Die PHE und die damit verbundenen Ausnahmeregelungen, einschließlich für Datenschutz- und Sicherheitsverstöße, werden auslaufen. Telemedizinunternehmen sollten jetzt eine Strategie entwickeln, wie sie nach Auslaufen der Ausnahmeregelungen weiterarbeiten wollen.

Im Folgenden sind fünf konkrete Schritte aufgeführt, die Telemedizin- und Digital-Health-Unternehmen jetzt unternehmen können, um sich optimal für einen robusten und konformen Betrieb zu positionieren:

Führen Sie unter Wahrung des Anwaltsgeheimnisses eine Risikobewertung der von der Organisation gespeicherten und übermittelten Gesundheitsdaten durch.
Führen Sie eine Sorgfaltsprüfung aller Drittanbieter durch, die PHI verwalten, einschließlich Anbieter von Telemedizinplattformen, Datenanalyse und elektronischen Gesundheitsakten.
Überprüfen Sie die Datenerfassungspraktiken der Website und der App des Unternehmens und stellen Sie fest, ob diese Praktiken mit dem HIPAA und den staatlichen Gesetzen übereinstimmen.
Überprüfen Sie die Datenschutzdokumente des Unternehmens (z. B. HIPAA-Richtlinien und -Verfahren, Datenschutzerklärung, Online-Datenschutzrichtlinie, Online-Nutzungsbedingungen, Patienten-Benutzerberechtigungen und Richtlinien zur Aufbewahrung von Unterlagen), um sicherzustellen, dass dem Unternehmen keine wichtigen Dokumente fehlen und dass die vorhandenen Dokumente aktualisiert wurden, um die aktuellen Datenpraktiken des Unternehmens widerzuspiegeln.
Wenn das Unternehmen Datenanbieter hat, die sich weigern, eine Geschäftspartnervereinbarung zu unterzeichnen, sollten Sie alternative Anbieter in Betracht ziehen, die dazu bereit sind.

Dieser Artikel spiegelt nicht unbedingt die Meinung von The Bureau of National Affairs, Inc. oder dessen Eigentümer wider.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

[email protected]

Tampa 813.225.4127

Fünf Aufgaben für Telemedizinunternehmen vor dem Ende des öffentlichen Gesundheitsnotstands

Ein Patientenszenario veranschaulicht Datenschutzprobleme

Machen Sie sich bereit für das Ende der Ausnahmeregelungen

Autor(en)

Aaron T. Maguregui

Nathaniel M. Lacktman

Verwandte Einblicke

Geschlechtsbejahende Pflege: Klage mehrerer Bundesstaaten gegen Erklärung des Gesundheitsministeriums

Geschlechtsbejahende Versorgung für Minderjährige: CMS und HHS schlagen Beschränkungen für „Geschlechtsumwandlungsoperationen“ und erweiterte Durchsetzungsmöglichkeiten vor

Elfter Bundesberufungsgerichtshof hört mündliche Verhandlung in wegweisender Verfassungsklage gegen Qui-Tam-Bestimmungen des False Claims Act