FTC gebruikt haar bevoegdheid inzake "oneerlijke praktijken" om PHI-beveiligingsinbreuken aan te pakken

29 mei 2014

Alsof HIPAA nog niet genoeg was...

De Federal Trade Commission (FTC) onderneemt administratieve stappen tegen een klein medisch laboratorium dat twee keer te maken heeft gehad met een inbreuk op de gegevensbeveiliging, waardoor de beschermde gezondheidsinformatie van zijn patiënten in handen is gevallen van identiteitsdieven. De feiten van deze zaak zijn niet bijzonder: een kleine instelling heeft te maken gehad met een inbreuk op de gegevensbeveiliging en krijgt nu te maken met de administratieve gevolgen daarvan. Wat deze zaak echter uniek maakt, is de aard van de administratieve gevolgen waarmee de instelling te maken krijgt. In plaats van een HIPAA-onderzoek door het Office for Civil Rights van het HHS, wordt de instelling door de Federal Trade Commission beschuldigd van het overtreden van een 100 jaar oude wet op consumentenbescherming en antitrustwetgeving die "oneerlijke of misleidende handelingen of praktijken in of met gevolgen voor de handel" verbiedt.

De maatregel van de FTC herinnert ons er op angstaanjagende wijze aan dat bedrijven die PHI verwerken aan meer wetten onderworpen zijn dan alleen HIPAA.

Feiten van de zaak

LabMD is een onafhankelijk medisch laboratorium gevestigd in Atlanta, dat zich (tot voor kort) richtte op diensten op het gebied van kankerdetectie. Volgens de documenten die in deze zaak zijn ingediend, werd LabMD ergens in 2008 op de hoogte gesteld dat een kopie van zijn verzekeringsdossier – dat gedetailleerde privégegevens van duizenden patiënten bevatte – was ingezien door een onbevoegde derde partij. Op basis van een daaropvolgend onderzoek kwam LabMD erachter dat de derde partij een cyberbeveiligingsbedrijf was dat door de federale overheid gefinancierd onderzoek naar de beveiliging van gezondheidsinformatie ondersteunde. LabMD kwam er ook achter dat deze derde partij toegang had gekregen tot het verzekeringsdossier via een peer-to-peer-applicatie voor het delen van bestanden die een medewerker op zijn computer had gedownload. Toen LabMD dit ontdekte, verwijderde het onmiddellijk de software voor het delen van bestanden.

Vier jaar later, aan de andere kant van het land, arresteerde de politie van Sacramento een groep identiteitsdieven en vond bij hen kopieën van verschillende 'dagbladen' van LabMD, waarop de namen en burgerservicenummers van enkele honderden patiënten stonden. Tot op de dag van vandaag is het onduidelijk hoe deze identiteitsdieven aan deze documenten zijn gekomen.

Status van het geschil

Op basis van het falen van LabMD om patiëntgegevens te beveiligen, heeft de FTC administratieve aanklachten ingediend wegens schending van sectie 5 van de FTC Act, die in het relevante deel "oneerlijke of misleidende handelingen of praktijken in of met gevolgen voor de handel" verbiedt. Zoals deze correspondent elders heeft geschreven, maakt de FTC steeds vaker gebruik van haar ruime bevoegdheden op grond van sectie 5 om bedrijven aan te pakken die te maken hebben met datalekken, zij het op basis van wisselende juridische theorieën en zonder een duidelijk wettelijk mandaat om dit te doen.

Aangezien het onduidelijk is hoe de identiteitsdieven in Californië aan kopieën van de dagrapporten van LabMD zijn gekomen, is de FTC kennelijk van mening dat het "oneerlijk" was van LabMD om een eigenzinnige werknemer een peer-to-peer-applicatie voor het delen van bestanden te laten downloaden op een computer die PHI bevatte.

LabMD vocht op twee fronten tegen de FTC. LabMD spande een rechtszaak aan bij de federale districtsrechtbank om de administratieve maatregel van de FTC te verbieden omdat deze buiten de regelgevende bevoegdheid van de FTC viel. En op administratief vlak diende LabMD een verzoek in voor een summiere beslissing overeenkomstig de FTC-regels – een procedure die sterk lijkt op het indienen van een verzoek voor een summiere uitspraak bij de rechtbank.

Op dit moment lijken beide pogingen te zijn mislukt. Op 12 mei 2014 oordeelde de districtsrechtbank dat de actie van de FTC niet gerechtelijk kan worden getoetst totdat de Commissie een definitief besluit heeft genomen. Een week later weigerde het Elfde Circuit in een éénregelige uitspraak zijn noodbevoegdheden te gebruiken om deze uitspraak te wijzigen. Ondertussen verwierp de FTC op dezelfde dag unaniem de pogingen van LabMD om de zaak op basis van de merites te beëindigen. Deze beslissing betekent dat de zaak voor de administratieve rechter komt.

Het besluit van de FTC is opmerkelijk omdat de Commissie het argument heeft verworpen dat zij alleen gegevensinbreuken kan aanvechten die in strijd zijn met de HIPAA; de Commissie heeft veeleer bepaald dat haar bevoegdheden op grond van artikel 5 volledig los staan van de vereisten van de HIPAA. Volgens de Commissie hangt de aansprakelijkheid van LabMD af van een zuivere kwestie op grond van sectie 5: of haar "gegevensbeveiligingspraktijken redelijk waren en of deze aanzienlijke schade hebben veroorzaakt of waarschijnlijk zouden veroorzaken aan consumenten die onvermijdelijk was [voor consumenten] en niet gerechtvaardigd door compenserende voordelen".

Afhaalmaaltijden

De beslissing van de FTC is niet schokkend, hoewel volgers van de FTC verbaasd zullen zijn dat de beslissing is geschreven door commissaris Wright, die een uitgesproken criticus is van het brede gebruik van de bevoegdheden op grond van artikel 5 inzake "oneerlijkheid". De beslissing herinnert er vooral op onwelkome wijze aan dat OCR niet de enige toezichthouder is en HIPAA niet de enige wet op het gebied van gegevensbeveiliging is waarmee betrokken entiteiten en zakenpartners rekening moeten houden.

Misschien wel het meest beangstigende gevolg van de maatregel van de FTC is dat de verjaringstermijn voor HIPAA-overtredingen nu aantoonbaar langer is geworden. Volgens 45 C.F.R. § 160.522 geldt een verjaringstermijn van zes jaar voor handhavingsmaatregelen op grond van de HIPAA. Maar sectie 5 van de FTC Act bevat geen expliciete bepalingen inzake verjaring, en (hoewel dit nog lang niet vaststaat) hebben ten minste enkele commentatoren zich openlijk afgevraagd of de FTC überhaupt een verjaringstermijn hanteert voor zaken op grond van sectie 5.

Dit gezegd zijnde, is het goed om in gedachten te houden dat de politiebevoegdheden van de FTC beperkt zijn. Zoals een rechtbank vorige maand schreef bij het bekrachtigen van een handhavingsmaatregel van de FTC op het gebied van gegevensbeveiliging: "Deze beslissing geeft de FTC geen vrijbrief om een rechtszaak aan te spannen tegen elk bedrijf dat gehackt is." Naast andere beperkingen lijkt het erop dat de FTC alleen zal optreden tegen gegevenspraktijken die zij als onredelijk laks beschouwt. Daarom zou, in ieder geval voorlopig, naleving van de fysieke, technische en administratieve veiligheidsmaatregelen die zijn vastgelegd in de beveiligingsregels van de HIPAA nog steeds voldoende moeten zijn om te voorkomen dat de FTC bij u aanklopt.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

FTC gebruikt haar bevoegdheid inzake "oneerlijke praktijken" om PHI-beveiligingsinbreuken aan te pakken

Verwante inzichten

NAIC-najaarsbijeenkomst Update: Taskforce Homeowners Market Data Call (C)

NAIC Fall Meeting Update: Werkgroep Cybersecurity (H) ontvangt opmerkingen over portaal voor melding van cyberincidenten

Update NAIC-najaarsbijeenkomst: Taskforce Producentenvergunningen (D) ontvangt rapport over uitbreiding en wijzigingen van NIPR