Five To-Do’s for Telemed Companies Before the Public Health Emergency Ends

Dit artikel verscheen oorspronkelijk in Bloomberg Law op 26 mei 2021.

De privacy van patiënten blijft een topprioriteit voor regelgevende instanties, aangezien patiënten sterk blijven leunen op telegeneeskunde. Advocaten van Foley & Lardner LLP zeggen dat het nu nemen van maatregelen om naleving van de HIPAA te waarborgen, leveranciers en zorgverleners een voorsprong zal geven in wat ongetwijfeld een hectische en verwarrende periode zal worden wanneer de ontheffingen voor noodsituaties op het gebied van de volksgezondheid en de discretionaire bevoegdheid van de federale overheid ten einde lopen.

Gegevensprivacy is al een populair onderwerponder wetgevers en, gezien de explosieve groei van telegeneeskunde in de afgelopen jaren en het relatieve gebrek aan handhaving van de privacy tijdens de COVID-19-noodsituatie op het gebied van de volksgezondheid (PHE), zal de privacy van patiëntgegevens binnenkort een topprioriteit worden voor regelgevers die de praktijken van technologiegedreven bedrijven in de gezondheidszorg beoordelen, met name telegeneeskunde en digitale gezondheidszorg.

Tijdens de PHE heeft het Bureau voor Burgerrechten van het Ministerie van Volksgezondheid en Human Services aangekondigd dat zorgverleners niet zullen worden gestraft voor HIPAA-overtredingen die plaatsvinden bij het te goeder trouw verlenen van telegeneeskundige diensten. Deze flexibiliteit heeft telegeneeskundige zorgverleners ertoe aangezet gebruik te maken van communicatietechnologie die voorheen niet werd gebruikt voor de gezondheidszorg of niet was getoetst op HIPAA-conformiteit.

Naast het gebruik van deze (vaak minder veilige) platforms, zijn bedrijven in de gezondheidstechnologie steeds meer gaan kijken naar patiëntgegevens als een waardevol bezit, door datameren en dataminingprogramma's op te zetten op een schaal die nog nooit eerder in de gezondheidszorg is vertoond.

Tegelijkertijd heeft de opkomst van 'de patiënt als consument' ertoe geleid dat telegeneeskundebedrijven gebruikmaken van e-commerceprincipes om een betere gebruikerservaring te creëren, met als doel gebruikers om te zetten in patiënten (of vice versa). Website-data-analyse en advertentietools die zijn ontwikkeld voor direct-to-consumer (DTC) e-commerce buiten de gezondheidszorg, worden nu ook gebruikt door bedrijven in de gezondheidszorg.

Dit heeft het bijzonder lastig gemaakt om een grens te trekken tussen de niet-gezondheidszorggegevens van de 'gebruiker' en de beschermde gezondheidsinformatie (PHI) van de 'patiënt' wanneer dezelfde persoon tegelijkertijd gebruiker is van een technologiebedrijf en patiënt van de aan het bedrijf gelieerde medische groep.

Om de gebruikerservaring te verbeteren, vertrouwen deze nieuwe generatie gezondheidstechnologiebedrijven op gegevens die worden verzameld bij gebruikers en vervolgens worden gedeeld met data-analyse- en advertentiediensten om inzicht te krijgen in het gedrag van gebruikers. Sommige bedrijven gaan zelfs zo ver dat ze de gebruiker opnieuw benaderen met advertenties als de gebruiker de website verlaat zonder een afspraak voor telegeneeskunde te maken. Dit soort gegevensverstrekking valt onder de HIPAA-privacyregel voor zorgverleners die onder de HIPAA vallen en hun leveranciers.

Een patiëntscenario illustreert privacykwesties

Neem bijvoorbeeld een patiënt die de telegeneeskundewebsite van zijn zorgverlener bezoekt op zoek naar informatie over diabetes. Het doel van de zorgverlener kan zijn om de nieuwsgierigheid van de patiënt over diabetes om te zetten in een telegeneeskundeafspraak. Stel dat de patiënt de informatie online bekijkt, maar geen afspraak maakt. De zorgverlener heeft een contract met een leverancier van data-analyse, waarbij de browsegegevens, het IP-adres en andere unieke identificatiegegevens van de patiënt worden gedeeld en geanalyseerd door de leverancier om inzicht te krijgen in mogelijke redenen waarom deze patiënt geen afspraak heeft gemaakt. Bovendien kan het 'achterlaten van het winkelwagentje' door de patiënt aanleiding geven tot een geautomatiseerde oproep tot actie (bijvoorbeeld een e-mail of sms waarin de patiënt wordt gevraagd om zijn aankoop af te ronden en een afspraak te maken).

Dit zijn verder vrij standaard DTC-e-commercetactieken, maar ze worden aanzienlijk lastiger wanneer ze worden toegepast in de gezondheidszorg. Volgens de HIPAA vallen IP-adressen en alle unieke identificatiegegevens onder de 18 gegevenselementen die door de HIPAAals PHI worden aangemerkt. Om PHI aan een derde partij, zoals een leverancier van data-analyse, bekend te maken, moet er een passende zakelijke samenwerkingsovereenkomst bestaan tussen de leverancier en de aanbieder van het telegeneeskundeplatform of de zorgverlener, en moet, afhankelijk van de situatie, toestemming van de patiënt worden verkregen.

Veel van de meest gebruikte leveranciers van data-analyse in e-commerce zullen geen zakelijke samenwerkingsovereenkomst ondertekenen en sommige gaan zelfs zo ver dat ze organisaties die onder HIPAA vallen, verplichten om geen PHI te delen.

De vraag voor het bedrijf in dit voorbeeld is dus: kan deze openbaarmaking van PHI worden gestructureerd in overeenstemming met de HIPAA-privacyregel en, zo ja, hoe kan dit worden gedaan met behoud van een prettige gebruikerservaring? Dit soort gegevensopenbaarmakingen en marketingpraktijken zullen de komende jaren gegarandeerd de aandacht trekken van zowel HHS OCR als de Federal Trade Commission.

Maak je klaar voor het einde van de vrijstellingen

De PHE en de bijbehorende ontheffingen, onder meer voor schendingen van de privacy en veiligheid, zullen worden beëindigd. Bedrijven die zich bezighouden met telegeneeskunde moeten nu een strategie ontwikkelen voor hoe zij na beëindiging van de ontheffingen zullen opereren.

Hieronder volgen vijf concrete stappen die bedrijven op het gebied van telegeneeskunde en digitale gezondheidszorg nu kunnen nemen om zich zo goed mogelijk te positioneren voor robuuste en conforme activiteiten:

Voer, onder het beroepsgeheim, een risicobeoordeling uit van de gezondheidsgegevens die door de organisatie worden bewaard en verzonden.
Voer een grondig onderzoek uit naar alle leveranciers die PHI beheren, waaronder leveranciers van telegeneeskundeplatforms, data-analyse en elektronische medische dossiers.
Controleer de praktijken voor gegevensverzameling van de website en app van het bedrijf en bepaal vervolgens of deze praktijken voldoen aan de HIPAA en de staatswetgeving.
Controleer de privacydocumenten van het bedrijf (bijv. HIPAA-beleidsregels en -procedures, privacyverklaring, online privacybeleid, online gebruiksvoorwaarden, machtigingen van patiënten/gebruikers en beleid inzake het bewaren van gegevens) om er zeker van te zijn dat het bedrijf geen belangrijke documenten mist en dat de bestaande documenten zijn bijgewerkt zodat ze een weerspiegeling zijn van de huidige gegevenspraktijken van het bedrijf.
Als het bedrijf gegevensleveranciers heeft die weigeren een zakelijke samenwerkingsovereenkomst te ondertekenen, overweeg dan alternatieve leveranciers die daartoe wel bereid zijn.

Dit artikel geeft niet noodzakelijkerwijs de mening weer van The Bureau of National Affairs, Inc. of de eigenaar ervan.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

Een man in een donker pak en een rode stropdas staat glimlachend in een felverlichte, moderne hal van een advocatenkantoor, die de professionaliteit van topadvocaten in Chicago weerspiegelt.

[email protected]

Tampa 813.225.4129

[email protected]

Tampa 813.225.4127

Verwante inzichten

Bekijk alle berichten

24 december 2025 De huidige gezondheidswetgeving

Genderbevestigende zorg: rechtszaak in meerdere staten vecht verklaring van HHS aan

Zoals eerder besproken in Foley's healthcarelawtoday, hield het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) op 18 december 2025 een persconferentie over wat het omschreef als "geslachtsafwijzingsprocedures" (SRP's), ook bekend als genderbevestigende zorg (GAC) voor minderjarigen, en schetste het de volgende stappen.

19 december 2025 De huidige gezondheidszorgwetgeving

Genderbevestigende zorg voor minderjarigen: CMS en HHS stellen beperkingen voor op 'geslachtsveranderende ingrepen' en uitgebreide handhavingsmogelijkheden

Op 18 december 2025 hield het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) een persconferentie over wat wordt gedefinieerd als 'geslacht...

12 december 2025 De huidige gezondheidswetgeving

Het Elfde Circuit behandelt mondelinge pleidooien in baanbrekende constitutionele procedure tegen de Qui Tam-bepalingen van de False Claims Act

Op 12 december behandelde het Amerikaanse Hof van Beroep voor het Elfde Circuit de mondelinge pleidooien in de zaak U.S. ex rel. Zafirov v. Florida Medical...

Vijf taken voor telegeneeskundebedrijven voordat de noodtoestand voor de volksgezondheid voorbij is

Een patiëntscenario illustreert privacykwesties

Maak je klaar voor het einde van de vrijstellingen

Auteur(s)

Aaron T. Maguregui

Nathaniel M. Lacktman

Verwante inzichten

Genderbevestigende zorg: rechtszaak in meerdere staten vecht verklaring van HHS aan

Genderbevestigende zorg voor minderjarigen: CMS en HHS stellen beperkingen voor op 'geslachtsveranderende ingrepen' en uitgebreide handhavingsmogelijkheden

Het Elfde Circuit behandelt mondelinge pleidooien in baanbrekende constitutionele procedure tegen de Qui Tam-bepalingen van de False Claims Act