HIPAA reprezintă Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate.

necesară

Acest act legislativ a început în 1996 cu scopul protejarea și păstrarea privată a înregistrărilor medicale și a informațiilor personale de sănătate (PHI) ale persoanelor.

"PHI„este definit ca informația găsită în dosarul medical al unui pacient care ar putea fi folosită pentru a identifica acea persoană și care a apărut în cursul obținerii unui serviciu de îngrijire a sănătății, cum ar fi un diagnostic sau un tratament.

HIPAA se aplică și trebuie să fie urmat de furnizorii de asistență medicală, cum ar fi medicii, medicii stomatologi și farmacii, precum și planurile de sănătate, cum ar fi companiile de asigurări de sănătate, programele guvernamentale și HMO, și, în cele din urmă, centrele de îngrijire a sănătății, cum ar fi procesatorii de informații despre sănătate.

Aplicațiile mobile vor intră, de asemenea, în sfera HIPAA dacă aplicația tratează și stochează PHI a unui utilizator și împărtășește acest PHI cu una dintre entitățile acoperite mai sus.

Exemple de PHI includ rezultatele testelor de sânge și alte rezultate ale testelor medicale, informații de facturare, prescripții pe care le folosește cineva etc.

Informații care ar fi nu se consideră PHI în cadrul scopurilor HIPAA se includ date de sănătate, cum ar fi caloriile arse, datele privind pierderea în greutate, măsurile luate într-un antrenament, ritmul cardiac și citirile glicemiei, atâta timp cât nu sunt atașate informații de identificare personală ale utilizatorului.

De exemplu, aplicația MyFitnessPal nu ar intra sub incidența HIPAA deoarece nu stochează și nu transmite PHI.

Aplicația mobilă permite utilizatorilor să urmărească datele de fitness, cum ar fi caloriile consumate într-o zi și cât de mult a fost făcut exerciții cardio. Acest tip de informații este nu este considerat PHI, dar este considerat a fi „Informații privind sănătatea consumatorilor”.

Un alt exemplu de aplicație de sănătate populară care nu intră sub incidența HIPAA este familia de aplicații mobile Wahoo Fitness. Aplicațiile Wahoo urmăresc câte mile au parcurs, au alergat și cât de mult au pierdut utilizatorii pe parcurs.

La fel ca aplicația mobilă MyFitnessPal, aceste date sunt nu este considerat PHI în sensul actului HIPAA.

Listă de verificare pentru a determina dacă trebuie să vă conformați

Iată o listă de verificare rapidă pentru a determina dacă aplicația dvs. mobilă trebuie să respecte legea HIPAA:

Aplicația dvs. mobilă colectează, stochează sau partajează/transmite informații de sănătate identificabile personal, cum ar fi rezultatele testelor medicale, informații farmaceutice și medicinale sau de tratament, informații despre facturare și asigurări de sănătate cu un furnizor de servicii medicale sau cu o altă entitate de sănătate acoperită de HIPAA?

  1. Dacă da, va trebui să respectați HIPAA
  2. Dacă Nu, accesați # 2 de mai jos

Aplicația dvs. mobilă are capacitatea de a colecta, stoca sau partaja informații de sănătate identificabile personal?

  1. Dacă da, aplicația dvs. mobilă va trebui să fie compatibilă HIPAA
  2. Dacă Nu, nu trebuie să respectați HIPAA

Exemple din aplicațiile mobile pentru sănătate

Aplicația de sănătate iTriage îi ajută pe utilizatori să identifice posibila boală și să ia legătura cu medicul potrivit adresându-le utilizatorilor o serie de întrebări despre simptomele lor. Această aplicație stochează PHI-ul unui utilizator și permite utilizatorului să îl partajeze cu medicii, farmaciștii și alții. Informațiile despre programare și medicamente pot fi, de asemenea, stocate și gestionate prin intermediul aplicației iTriage.

Datorită acestei stocări și partajări a PHI a utilizatorilor, aplicația iTriage ar intra sub incidența HIPAA.

Politica de confidențialitate a iTriage include o serie de secțiuni în care este menționată PHI, inclusiv secțiunea notată în imaginea de mai jos care menționează HIPAA:

În secțiunea „Alegeri și acces” din Politica de confidențialitate iTriage, utilizatorilor li se spune că PHI-ul lor nu va fi utilizat sau distribuit în scopuri de marketing decât dacă optează pentru acest lucru. Acest lucru permite utilizatorilor să știe că PHI-ul lor este protejat și nu este distribuit fără consimțământul lor:

Secțiunea „Securitate” le permite utilizatorilor să știe că iTriage ia măsuri pentru a asigura securitatea PHI atunci când datele sunt transmise sau stocate pe serverele aplicației sau ale companiei. Acest lucru este important, deoarece HIPAA a fost creat pentru a proteja securitatea PHI și asigurarea securității este o cerință a HIPAA pentru aplicațiile care intră sub incidența sa.

Aplicația HealthTap permite utilizatorilor să se conecteze la medici prin intermediul aplicației prin mesaje text, apeluri video și forumuri de grup și le permite acestor utilizatori să discute probleme de sănătate aprofundate și să creeze planuri de tratament cu medici reali, prin intermediul aplicației.

Aplicația mobilă HealthTap intră sub incidența HIPAA deoarece colectează PHI și îl transmite direct unui medic prin intermediul aplicației.

În timp ce serviciul de bază al aplicației păstrează informațiile utilizatorilor anonime și nu împărtășește nicio informație de identificare personală, serviciile premium ale aplicației (HealthTap Prime și HealthTap Concierge) sunt confidențiale, dar nu anonime. Medicii vor primi acces la PHI-ul unui utilizator și la alte informații de identificare personală în scopuri de tratament.

Declarația de confidențialitate a HealthTap include secțiuni despre anonimat, securitate și utilizarea informațiilor de identificare personală.

Secțiunea „Securitate” menționează în mod explicit HIPAA și le permite utilizatorilor să știe că aplicația respectă „standardele de securitate HIPAA pentru toate interacțiunile supuse reglementărilor de securitate HIPAA”.

Această secțiune continuă să informeze utilizatorii că „HealthTap este un asociat de afaceri al profesioniștilor din domeniul sănătății în temeiul legii federale privind confidențialitatea și securitatea sănătății, cunoscută sub numele de HIPAA”.

„Informații de identificare personală” sunt definite pentru utilizatori și sunt prezentate informații detaliate despre utilizarea și securitatea acestor informații:

Site-ul Doctor on Demand și aplicația sa mobilă permit utilizatorilor să aibă o întâlnire video cu un medic atunci când au nevoie de el, fără a fi nevoie să aștepte ore întregi într-o sală de așteptare de la birou sau să aștepte o săptămână pentru a obține o întâlnire.

Deoarece atât site-ul web, cât și aplicația mobilă colectează PHI-ul unui utilizator și îl transmite direct unui medic prin intermediul aplicației, intră sub incidența HIPAA.

Politica de confidențialitate a Doctor on Demand clarifică utilizatorii folosind majuscule și text proeminent că site-ul colectează și transmite informații personale, medicale și de sănătate despre utilizatorii săi.

Există o secțiune separată HIPAA care permite utilizatorilor să știe că serviciul și politicile de confidențialitate sunt concepute pentru a respecta legea HIPAA și că informații suplimentare pot fi găsite în secțiunea „Notificare privind practicile de confidențialitate”:

În secțiunea „Notificare privind practicile de confidențialitate”, utilizatorii sunt informați cu privire la responsabilitățile medicilor la cerere în temeiul HIPAA, precum și care sunt drepturile utilizatorilor conform legii:

Utilizatorii sunt informați, de asemenea, despre ce tipuri de informații despre sănătate sunt colectate și despre modul în care aceste informații sunt utilizate de aplicație. Informațiile despre sănătate, cum ar fi rezultatele testelor, diagnosticele și medicamentele, vor fi dezvăluite pentru tratament. Serviciile și înregistrările consumabilelor sunt utilizate în scopuri de plată, iar alte informații despre sănătate pot fi utilizate pentru a îmbunătăți serviciul pentru clienți și pentru a instrui personalul.

Spre deosebire de aplicațiile menționate mai sus, care intră sub incidența HIPAA, aplicația mobilă Strava înregistrează traseele utilizatorilor de alergare și de mers cu bicicleta cu GPS și urmărește cât de departe aleargă utilizatorii sau cu bicicleta.

Ca rezultat, Aplicația mobilă Strava nu intră sub incidența HIPAA.

Politica de confidențialitate a Strava îi informează pe utilizatori că informațiile personale nu sunt colectate, cu toate acestea, un utilizator poate alege să introducă informații în aplicație, cum ar fi ce echipament este utilizat, ce trasee de biciclete un utilizator dorește să mapeze și alte informații, cum ar fi un numele, codul poștal și adresa de e-mail.

Niciuna dintre aceste informații nu se califică ca PHI conform HIPAA.

Strava are încă o secțiune despre securitatea transmiterii datelor („SSL”), dar se ocupă cu protecția informațiilor despre cardul de credit și protejarea informațiilor despre adresa de domiciliu, mai degrabă decât păstrarea securității PHI.

Pe scurt, dacă aplicația dvs. mobilă se ocupă de colectarea, utilizarea și stocarea informațiilor personale de sănătate ale utilizatorilor, cum ar fi medicamentele, rezultatele testelor medicale și planurile de tratament și transmite acest PHI unei entități care intră sub incidența HIPAA (cum ar fi medic, dentist sau companie de asigurări), afacerea dvs. și aplicația mobilă trebuie să fie conforme HIPAA.

Dacă aplicația dvs. mobilă se ocupă doar de informații despre sănătatea consumatorilor, cum ar fi urmărirea progresului antrenamentului de calorii arse sau kilograme pierdute, kilometri parcurși sau ore de somn, aplicația dvs. mobilă nu va trebui să respecte cerințele actului HIPAA.