À la poursuite de la technologie depuis 25 ans

Limitée par ses antécédents et sa propre genèse, la Health Insurance Portability and Accountability Act (HIPAA) a passé un quart de siècle à rattraper son retard avec les technologies qui croisent les soins de santé et le bien-être.

Avant la règle de confidentialité HIPAA mal étiquetée, la common law exigeait la confidentialité des données sur les soins de santé. La confidentialité n’est pas la vie privée; il ne protège que la divulgation des données, pas leur collecte. Au milieu du 20e siècle, la common law de la confidentialité a pris le devant de la scène, non pas en raison d’un sentiment naissant que les données de santé personnelles méritaient d’être protégées, mais parce que la santé clinique et publique avait besoin que les personnes divulguent des informations de santé pour faciliter leur, respectivement, étroit et large missions.

Ces priorités cliniques et de santé publique expliquent en grande partie la structure de la HIPAA. Par exemple, les aspects protecteurs de HIPAA sont souvent subordonnés à ses exclusions de divulgation. Les racines de confidentialité de HIPAA ont non seulement limité sa portée à la protection contre la divulgation, mais ont également exigé une relation de soins de santé traditionnelle, comme entre un médecin et un patient, c’est-à-dire entre la personne concernée et le dépositaire des données.

A l’inverse, les technologies de l’information permettent aujourd’hui des comportements beaucoup plus libertins, la personne concernée ignorant souvent l’identité du dépositaire.

La règle de confidentialité HIPAA est verbeuse et compliquée, dépourvue de principes généraux qui éduquent le lecteur ou facilitent l’interprétation. Il n’est donc pas surprenant qu’au fil des décennies, les gens aient mal compris la HIPAA. Il a été cité comme base légale pour soutenir toutes sortes de positions indéfendables. Récemment, par exemple, certains commentateurs ont pris la position ridicule que HIPAA rend illégal d’enquêter sur le statut de vaccination d’une personne !

Plus généralement, les fournisseurs ont cité la règle de confidentialité HIPAA pour justifier le « blocage des informations », visant à conserver ce qu’ils considèrent comme des informations exclusives au sein du réseau, à garder les données de santé hors de portée des « grandes technologies », ou – de manière perverse à cause de la propre HIPAA. règles d’accès — refuser les demandes des patients pour leurs propres dossiers. Ce n’est que récemment que le département américain de la Santé et des Services sociaux (HHS) a proposé des modifications à la règle pour améliorer l’accès des patients et la coordination des soins entre les prestataires.

Ces problèmes, cependant, sont pâles par rapport à la plus grande limitation de HIPAA. En termes simples, HIPAA ne protège pas toutes les données de santé. Au contraire, il impose des restrictions à la divulgation de certaines informations sur la santé par les prestataires de soins de santé traditionnels et les assureurs-maladie. À mesure que de plus en plus de données de santé sont générées en dehors des soins de santé traditionnels, l’impact protecteur de la HIPAA diminue, ce qui la place dans une situation de plus en plus désavantageuse dans un monde de santé numérique.

Nés dans un monde des dossiers médicaux et du remboursement qui était une sombre célébration des classeurs remplis de papier et du rythme saccadé des télécopieurs, les architectes de la règle de confidentialité HIPAA au HHS ont compris que leur travail faisait partie d’un effort pour pousser les acteurs de la santé vers « simplification administrative », ou une communication technologique plus efficace.

Le mandat de créer une meilleure communication technologique vient du Titre II de HIPAA, qui fournit également l’autorité de réglementation de la confidentialité et de la sécurité de HHS. HHS, cependant, n’a peut-être pas prévu la course complexe avec les technologies de l’information qui s’est déroulée au cours du dernier quart de siècle, une course qui a de plus en plus marginalisé l’impact de la HIPAA.

HIPAA a été promulguée peu de temps après la création d’Internet, mais avant qu’Internet ne devienne aussi populaire ou utilisé à des fins commerciales qu’aujourd’hui. En effet, c’était une époque où seul un petit nombre de fournisseurs utilisait les technologies de l’information. Les règles de transaction HIPAA ont forcé les assureurs et les prestataires de soins de santé à adopter des outils de commerce électronique, en remplissant des « enveloppes » électroniques avec les informations sur les patients nécessaires pour effectuer le remboursement et les transactions connexes, tandis que la règle de confidentialité de la HIPAA a fourni un régime juridique pour protéger contre la divulgation de ce nouveau portable. information sur la santé.

Au fur et à mesure que les fournisseurs sont devenus plus connectés et que les décideurs ont commencé à promouvoir des technologies spécifiques, telles que les dossiers de santé électriques, il est devenu évident que la confidentialité HIPAA était à la traîne. Bientôt, et avec l’encouragement financier du gouvernement fédéral, le «utilisation significative” programme de subvention a considérablement augmenté le nombre de dossiers de santé électriques.

Les chercheurs ont versé beaucoup d’encre critique sur le programme d’utilisation significative. Ce qui est clair, cependant, c’est que les soins de santé américains, volontairement ou non, sont rapidement devenus le collecteur et le gardien de milliards de points de données sur la santé des patients. Coïncidant avec le programme de subventions, quelques années après le début de la révolution des dossiers de santé électroniques, le Loi HITECH de 2009 a réagi avec des protections HIPAA renforcées, telles que des limitations sur la vente des informations de santé protégées, notifications de violation et plus robuste mise en vigueur.

Tout en poursuivant une technologie (collecte électronique de données sur la santé), la HIPAA n’était pas préparée à la prochaine révolution majeure : les données numériques sur la santé ou le bien-être étant générées en dehors du système de santé par les patients-consommateurs utilisant applications sur téléphones et appareils portables, ou par la myriade d’appareils « intelligents » dans les maisons et les automobiles, connus collectivement sous le nom de « Internet des objets. Les collecteurs de données ou les dépositaires de ces données sont rarement des prestataires de soins de santé traditionnels, des assureurs ou leurs associés commerciaux. Par conséquent, les protections HIPAA ne s’appliquent tout simplement pas à ces données.

Pendant ce temps, les entreprises américaines ont pris pleinement conscience de la valeur des données de santé. Particuliers et entreprises bâtiment outils ou robots d’intelligence artificielle de soins de santé ont besoin de données cliniques et de bien-être pour alimenter leurs algorithmes d’apprentissage automatique. D’autres entreprises, appelées courtiers en données, vendent des « scores » basés sur la santé financière, physique et mentale d’une personne aux assureurs-vie, aux employeurs et aux propriétaires.

Bloqués de l’accès direct aux dossiers de santé par la règle de confidentialité, ces courtiers en données ont simplement créé leurs propres fac-similés des dossiers de santé des patients en mélangeant les données HIPAA (« blanchies » par le biais d’agences de santé publique), les données conservées par les patients et les données médicalement infléchies. Ils ont réussi à créer des « Big Data” dans une zone sans HIPAA.

La technologie continue d’élargir la portée des soins de santé et du bien-être, de sorte qu’un pourcentage croissant d’utilisation des données sur la santé et le bien-être ne sera pas soumis à la loi HIPAA, ses dépositaires étant non réglementés ou seulement finement réglementé.

Ce qui doit sembler être une longue liste de plaintes et de critiques à propos de HIPAA doit être tempéré par la reconnaissance que la protection limitée contre l’utilisation abusive des informations de santé fournie par les règles HIPAA est une valeur aberrante positive dans la protection des données aux États-Unis. Les données des consommateurs circulant dans d’autres domaines ne bénéficient pas d’une telle protection substantielle.

Malheureusement, la HIPAA est tellement liée à la structure idiosyncratique des soins de santé aux États-Unis qu’elle échoue en tant qu’exemple pour d’autres domaines. Et l’architecture HIPAA rend probable qu’elle continuera à lutter pour suivre les soins de santé à médiation technologique et la commercialisation des données de santé.

La réfutation partielle de cette critique est que le Congrès américain est obligé et peut fournir une protection solide pour les données de santé circulant en dehors des entités de soins de santé traditionnelles. Par exemple, la loi HITECH a autorisé la règle de notification des atteintes à la santé de la Federal Trade Commission des États-Unis qui protège les données dans les dossiers de santé organisés par les utilisateurs.

Mais le Congrès doit encore s’entendre sur une protection plus large des données des consommateurs, semblable à ce que le Union européenne et l’état de Californie ont adopté. En conséquence, les patients continuellement bombardés par les avis de confidentialité de leurs prestataires de santé peuvent ne pas se rendre compte que d’énormes pans de ce qu’ils considéreraient comme leurs données de santé privées circulent en dehors de la protection HIPAA.