De voorgestelde Health Information Privacy Act van New York richt zich op digitale gezondheidsbedrijven

De New York Health Information Privacy Act (NYHIPA) zou, indien aangenomen, een afschrikkend effect kunnen hebben op de toegang van patiënten tot en hun betrokkenheid bij direct beschikbare digitale gezondheidszorgdiensten waar New Yorkers op vertrouwen. Digitale gezondheidsbedrijven zullen waarschijnlijk moeite hebben om de betrokkenheid van patiënten en de coördinatie van de zorg op peil te houden en zullen vrijwel zeker hindernissen ondervinden bij het verbeteren van hun producten en diensten als gevolg van de financiële en operationele lasten die de NYHIPA met zich meebrengt.

Op 23 januari 2025 werd de NYHIPA goedgekeurd door zowel de Senaat als het Huis van Afgevaardigden van New York en zal deze worden voorgelegd aan de gouverneur voor mogelijke ondertekening. Indien aangenomen, zou de NYHIPA een aanzienlijke invloed hebben op de manier waarop digitale gezondheidsbedrijven gezondheidsinformatie van consumenten in New York verzamelen, openbaar maken en gebruiken.

Wie wordt gereguleerd?

In de huidige vorm zal de NYHIPA van toepassing zijn op alle zorginstellingen met patiënten of klanten die een band hebben met New York.

NYHIPA zou specifiek van toepassing zijn op elke entiteit die:

controleert de verwerking van gereguleerde gezondheidsinformatie van een inwoner van New York,
controleert de verwerking van gereguleerde gezondheidsinformatie van een persoon die fysiek aanwezig is in New York terwijl die persoon zich in New York bevindt, of
is gevestigd in New York en controleert de verwerking van gereguleerde gezondheidsinformatie.

De vrijstellingen op entiteitsniveau zijn beperkt in vergelijking met andere wetten inzake de bescherming van persoonsgegevens van consumenten. Entiteiten die onder de HIPAA vallen, zijn vrijgesteld, maar alleen voor zover de entiteit patiëntgegevens op dezelfde manier bewaart als door de HIPAA beschermde gezondheidsinformatie. Hoewel traditionele medische dossiers die worden bewaard door entiteiten die onder HIPAA vallen waarschijnlijk zullen worden vrijgesteld, zal persoonlijke informatie die in een vroeg stadium van de gebruikersworkflow wordt verzameld waarschijnlijk onder NYHIPA vallen en onderworpen zijn aan de strenge autorisatievereisten die hieronder worden besproken, voordat deze door een gereguleerde entiteit wordt verwerkt — tenzij de entiteit een entiteit is die onder HIPAA valt en die informatie behandelt als door HIPAA beschermde gezondheidsinformatie.

Welke informatie wordt gereguleerd?

NYHIPA streeft ernaar alle informatie te reguleren die verband kan houden met gezondheid of welzijn, inclusief apparaatgegevens. De gereguleerde informatie is alle informatie die redelijkerwijs kan worden gekoppeld aan een persoon of een apparaat, verzameld of verwerkt in verband met de lichamelijke of geestelijke gezondheid van een persoon, met inbegrip van locatie- of betalingsinformatie die betrekking heeft op de lichamelijke of geestelijke gezondheid van een persoon of elke gevolgtrekking die wordt gemaakt of afgeleid over de lichamelijke of geestelijke gezondheid van een persoon en die redelijkerwijs kan worden gekoppeld aan een persoon of een apparaat. Door HIPAA beschermde gezondheidsinformatie en geanonimiseerde informatie zouden worden vrijgesteld van regulering.

Wat zijn de verwerkingsbeperkingen?

"Verwerking" zou nauw moeten worden afgestemd op het specifieke product of de specifieke dienst waar een persoon om vraagt, tenzij er uitdrukkelijk toestemming voor is verkregen. Verwerking, zoals gedefinieerd onder NYHIPA, betekent in het algemeen elke bewerking die wordt uitgevoerd op gezondheidsinformatie, met inbegrip van het verzamelen, gebruiken, openbaar maken, raadplegen, verkopen, delen, creëren, genereren of anonimiseren van gezondheidsinformatie.

Gereguleerde entiteiten mogen geen gezondheidsinformatie verwerken, tenzij:

de betrokkene heeft toestemming gegeven; of
de verwerking is strikt noodzakelijk voor bepaalde opgesomde doeleinden, waaronder het leveren of onderhouden van een specifiek product of een specifieke dienst waarom door die persoon is verzocht, of het uitvoeren van de interne bedrijfsactiviteiten van de gereguleerde entiteit.

Het belangrijkste, en wat zeker voor onrust zal zorgen binnen de digitale gezondheidsgemeenschap, is dat interne bedrijfsactiviteiten uitdrukkelijk alle activiteiten uitsluiten die verband houden met marketing, reclame, onderzoek en ontwikkeling, of het leveren van producten of diensten aan derden zonder uitdrukkelijke toestemming van de persoon die dergelijke activiteiten goedkeurt.

Wanneer kan een vergunning worden verkregen en wat moet de vergunning bevatten?

NYHIPA verbiedt het verkrijgen van toestemming van een persoon gedurende 24 uur na het aanmaken van een account of het eerste gebruik van het product of de dienst. Opt-in-toestemming is niet voldoende, aangezien personen expliciete toestemming moeten verkrijgen voor elke activiteit die niet strikt noodzakelijk wordt geacht voor de door de persoon aangevraagde producten of diensten.

De machtiging moet

afzonderlijk van enig onderdeel van een transactie worden uitgevoerd;
(ii) ten minste 24 uur nadat de persoon een account heeft aangemaakt of het gevraagde product of de gevraagde dienst voor het eerst heeft gebruikt, worden gedaan; en
de betrokkene in staat stellen om voor elke categorie van verwerkingsactiviteiten afzonderlijk toestemming te geven of te onthouden, naast andere vereisten.

Voor personen die een online account hebben bij de entiteit – wat voor de meeste digitale gezondheidsbedrijven het geval zal zijn – moet de gereguleerde entiteit "op een opvallende en gemakkelijk toegankelijke plaats binnen de accountinstellingen" een lijst verstrekken van alle verwerkingsactiviteiten waarvoor de persoon toestemming heeft gegeven en voor elke verwerkingsactiviteit de persoon in staat stellen om de toestemming op dezelfde plaats "met één handeling of actie" in te trekken. Entiteiten mogen een product of dienst niet afhankelijk maken van het verlenen van toestemming en mogen een persoon niet discrimineren omdat hij of zij geen toestemming verleent, bijvoorbeeld door verschillende prijzen te vragen voor producten of diensten, onder meer door het gebruik van kortingen of andere voordelen.

Is een privacyverklaring vereist?

NYHIPA zou een privacyverklaring vereisen als een gereguleerde entiteit gezondheidsinformatie voor een toegestaan doel verwerkt zonder toestemming. De verklaring moet de volgende informatie bevatten: de verwerkte informatie, de aard van de verwerkingsactiviteit, de "specifieke doeleinden" van de verwerking, de namen of categorieën van dienstverleners en derden aan wie de informatie wordt verstrekt en het doel van de verstrekking, en de procedure waarmee de betrokkene toegang tot zijn gezondheidsinformatie kan vragen en deze kan laten verwijderen. Als de gereguleerde entiteit haar verwerkingsactiviteiten wezenlijk wijzigt, moet zij een duidelijke en opvallende verklaring verstrekken, los van een privacybeleid, servicevoorwaarden of soortgelijk document, waarin alle wezenlijke wijzigingen in de verwerkingsactiviteiten worden beschreven en waarin de betrokkene de mogelijkheid wordt geboden om te verzoeken om verwijdering van zijn of haar gezondheidsinformatie. Merk op dat, in tegenstelling tot andere wetten inzake de bescherming van persoonsgegevens van consumenten, de enige uitzondering op de verwijderingsverplichting onder de voorgestelde NYHIPA het bewaren toestaat "voor zover dat nodig is om te voldoen aan de wettelijke verplichtingen van de gereguleerde entiteit".

Wat zijn andere belangrijke vereisten waar digitale gezondheidsbedrijven zich bewust van moeten zijn?

NYHIPA zal dienstverleners verplichten om gezondheidsinformatie te scheiden per gereguleerde entiteit. Gereguleerde entiteiten moeten een schriftelijke overeenkomst sluiten met dienstverleners. De vereiste voorwaarden voor die overeenkomsten lijken over het algemeen op andere wetten inzake de privacy van consumentengegevens. NYHIPA vereist echter ook dat de dienstverlener:

de gezondheidsinformatie die de dienstverlener ontvangt van of namens de gereguleerde entiteit niet te combineren met andere persoonlijke informatie die de dienstverlener ontvangt van of namens een andere partij of verzamelt uit zijn eigen relatie met individuen; en
(ii) de gereguleerde entiteit "redelijkerwijs tijdig" op de hoogte stellen voordat gezondheidsinformatie met andere dienstverleners wordt gedeeld.

Alle websites en communicatie moeten redelijk toegankelijk zijn voor personen met een handicap en beschikbaar zijn in de talen waarin de gereguleerde entiteit informatie verstrekt via haar website en diensten.

Wanneer zou deze wet van kracht kunnen worden en wat zijn de mogelijke sancties?

NYHIPA zou een jaar na ondertekening van het wetsvoorstel in werking treden.

De procureur-generaal van New York zou bevoegd zijn om de wet te handhaven, onder meer door middel van civielrechtelijke sancties van maximaal 50.000 dollar per overtreding of 20% van de inkomsten die in het afgelopen boekjaar bij consumenten in New York zijn behaald, naast andere maatregelen. De procureur-generaal is ook bevoegd om uitvoeringsregels en -voorschriften vast te stellen.

Wat zijn de praktische gevolgen van NYHIPA?

NYHIPA zal digitale gezondheidsbedrijven voor aanzienlijke financiële en operationele hindernissen plaatsen. Gereguleerde entiteiten zouden verplicht worden om websites en gebruikersworkflows te upgraden voor elke verwerkingsactiviteit waarvoor de gereguleerde entiteit toestemming van een persoon zou vragen, evenals alle noodzakelijke upgrades om aan de nieuwe toegankelijkheidseisen te voldoen. Het 24-uurs moratorium op het aanvragen van toestemming zal in feite een belemmering vormen voor activiteiten die de ervaring, betrokkenheid en voorlichting van patiënten verbeteren. Dienstverleners zullen financiële gevolgen ondervinden als gevolg van de implementatie van de vereisten om de gezondheidsinformatie van elke gereguleerde entiteit te scheiden. Ten slotte zal de NYHIPA digitale gezondheidsbedrijven verplichten om te voldoen aan nog een andere staatswet inzake consumentenprivacy die wezenlijk verschilt van andere staatswetten inzake privacy.

Wat moeten digitale gezondheidsbedrijven nu doen?

NYHIPA is door beide wetgevende kamers aangenomen en wacht alleen nog op de handtekening van de gouverneur om wet te worden. Zoals hierboven vermeld, zou de wet een jaar na ondertekening door de gouverneur in werking treden. Die periode van een jaar is ongelooflijk kort voor digitale gezondheidsbedrijven om de veranderingen door te voeren die nodig zijn om aan NYHIPA te voldoen. Daarom moeten digitale gezondheidsbedrijven met patiënten of klanten in New York, als de wet wordt aangenomen, onmiddellijk beginnen met het plannen van de naleving van NYHIPA.

De privacy van gegevens in de gezondheidszorg blijft zich snel ontwikkelen. Digitale gezondheidsbedrijven moeten daarom nieuwe ontwikkelingen nauwlettend volgen en de nodige maatregelen blijven nemen om aan de regelgeving te voldoen. Als u vragen hebt over de naleving van wetgeving inzake de privacy van gezondheidsgegevens van consumenten of andere recente wijzigingen in wetgeving inzake de privacy van gegevens in de gezondheidszorg, neem dan contact op met een van de auteurs of een van de partners of senior adviseurs vande Cybersecurity and Data Privacy GroupofHealth Care Practice Group van Foley.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

[email protected]

Madison 608.250.7420

Een man in een donker pak en een rode stropdas staat glimlachend in een felverlichte, moderne hal van een advocatenkantoor, die de professionaliteit van topadvocaten in Chicago weerspiegelt.

[email protected]

Tampa 813.225.4129

Verwante inzichten

Bekijk alle berichten

December 12, 2025 Health Care Law Today

Eleventh Circuit Hears Oral Argument in Landmark Constitutional Challenge to False Claims Act’s Qui Tam Provisions

On December 12, the U.S. Court of Appeals for the Eleventh Circuit heard oral argument in U.S. ex rel. Zafirov v. Florida Medical…

9 december 2025 De huidige gezondheidszorgwetgeving

Hoe het opvolgen van 'doktersvoorschriften' een verdediging vormde in een FCA-zaak in het Eerste Circuit

Als het gaat om rechtszaken op grond van de False Claims Act (FCA), bevinden klinische laboratoria zich vaak in het vizier. Maar de eerste...

2 december 2025 De huidige gezondheidszorgwetgeving

Gebruik van digitale gezondheidstechnologieën in klinische proeven: ondersteuning van MAHA en gedefinieerde verwachtingen uit de definitieve richtlijnen van de FDA

Digitale gezondheidstechnologieën (DHT) zijn een belangrijk aspect van het programma Make America... van Robert F. Kennedy Jr., minister van Volksgezondheid en Human Services (HHS) van de Verenigde Staten.