Aux États-Unis, la plupart des gens pensent que les lois HIPAA (Health Insurance Portability and Accountability Act) gardent les dossiers médicaux privés, partagés uniquement entre les médecins d’une personne, eux-mêmes et peut-être un être cher ou un soignant.Mais vous pourriez être surpris d’apprendre que d’autres ont accès à vos dossiers et n’ont besoin du consentement de personne pour le faire.
:max_bytes(150000):strip_icc()/GettyImages-85775470-568728a05f9b586a9e3eafb0.jpg)
En fait, des dizaines d’individus et d’organisations sont légalement autorisés à accéder à vos dossiers médicaux pour diverses raisons, que ce soit sur demande ou par achat.
Dans certains cas, vous autorisez leur accès. Dans d’autres, la permission n’est pas nécessaire. Dans d’autres cas encore, vous donnez votre autorisation sans même vous rendre compte que nous l’avons fait. Et puis il y a ceux qui accèdent illégalement à nos dossiers.
Selon le département américain de la Santé et des Services sociaux, il y a eu pas moins de 3 054 violations de données de santé entre 2009 et 2019, entraînant l’exposition de 230 954 151 dossiers médicaux.
Voici une liste principale des personnes et des organisations qui accèdent régulièrement à vos dossiers médicaux, comment elles les obtiennent et pourquoi elles les veulent.
Types d’accès aux dossiers médicaux
Il existe deux types généraux de dossiers médicaux qui sont partagés ou achetés.Le premier est appelé enregistrement identifiable individuellement, qui se concentre sur les attributs personnels, tels qu’un enregistrement avec le nom d’une personne, les médecins, les assureurs, les diagnostics, les traitements, etc. Il s’agit du dossier que vous demandez pour examiner votre dossier médical.
Le deuxième type se présente sous un format appelé dossier médical agrégé. Un dossier médical agrégé est une base de données d’attributs, mais il n’est pas utilisé pour identifier un individu en soi. Au lieu de cela, des centaines ou des milliers d’enregistrements sont compilés en plusieurs listes pour constituer une liste agrégée.
Ce processus est appelé « exploration de données ». Par exemple, un hôpital peut décider d’exploiter les données de tous les dossiers de patients ayant subi un pontage cardiaque. L’enregistrement agrégé peut être composé de centaines de patients, classés par types d’assurance et subdivisés par des médecins de soins primaires, des chirurgiens et de nombreuses autres catégories possibles.
Contrairement aux dossiers identifiables individuellement, un dossier médical agrégé est « dépersonnalisé », ce qui signifie que ni votre identité ni aucune procédure médicale, diagnostic ou praticien figurant dans vos dossiers ne sont divulgués.
Droit d’accès
En vertu de la HIPAA, certaines personnes et entités ont le droit d’accéder à vos dossiers médicaux.Ils sont classés en tant qu’entités couvertes par la HIPAA, ce qui signifie qu’ils ont le droit d’accéder en vertu de directives réglementaires spécifiques.
Les entités couvertes comprennent les médecins et les professionnels paramédicaux, les établissements (comme les hôpitaux, les laboratoires et les maisons de soins), les payeurs (comme l’assurance-maladie et l’assurance maladie), les fournisseurs de technologies qui tiennent des dossiers de santé électroniques et le gouvernement.
En tant qu’entités couvertes, elles ont des règles très strictes qu’elles doivent suivre, et cela inclut l’obtention d’une autorisation écrite de votre part pour partager vos dossiers. En vertu de la loi HIPAA, les directives générales sont les suivantes :
-
Vous avez légalement le droit d’obtenir des copies de vos propres dossiers médicaux.
-
Un être cher ou un soignant peut également avoir le droit d’obtenir des copies de votre dossier médical, mais vous devrez peut-être fournir une autorisation écrite.
-
Vos fournisseurs de soins de santé ont le droit de voir et de partager vos dossiers avec toute autre personne à qui vous avez accordé la permission. Par exemple, si votre médecin traitant vous réfère à un spécialiste, il peut vous être demandé de signer un formulaire indiquant qu’il peut partager vos dossiers avec ce spécialiste.
-
Vos payeurs ont le droit d’obtenir des copies et d’utiliser vos dossiers médicaux comme spécifié dans les lois HIPAA. Les compagnies d’assurance, Medicare, Medicaid, l’indemnisation des accidents du travail, l’invalidité de la sécurité sociale, le ministère des Anciens combattants ou toute entité institutionnelle qui paie pour une partie de vos besoins en matière de soins de santé peuvent examiner vos dossiers.
-
Les gouvernements fédéral et étatique peuvent avoir droit à vos dossiers médicaux. En plus du paiement médical, d’autres organismes peuvent y avoir accès, tels que les services de police et de protection de l’enfance si une assignation est obtenue. Si vous avez été victime d’un accident du travail, l’Administration fédérale de la sécurité et de la santé au travail (OSHA) peut intervenir.
-
Medical Information Bureau, également connu sous le nom de MIB Group, peut avoir un dossier individuel sur vous et n’est pas soumis aux lois HIPAA. Le groupe MIB est une entité à but non lucratif créée il y a plus de 125 ans qui fournit des informations à l’assurance-vie pour évaluer l’éligibilité à la couverture.
-
Les bases de données d’ordonnances comme IntelliScript (Milliman) et MedPoint (Ingenix) ont très probablement des enregistrements de données extraites sur tous les médicaments d’ordonnance que vous avez achetés au cours des cinq dernières années ou plus. Ces informations sont utilisées par les compagnies d’assurance-vie ou d’assurance-invalidité pour déterminer si elles vous vendront ou non une assurance.
Une entité non couverte par HIPAA sont les employeurs. Même s’ils paient votre assurance ou vos soins médicaux de leur poche, la loi HIPAA leur interdit d’accéder aux dossiers médicaux ou aux réclamations d’assurance, car cela pourrait entraîner une discrimination.
Où la divulgation illégale se produit
Dans certains cas, l’accès non autorisé aux dossiers médicaux est intentionnel et criminel. Dans d’autres cas, une divulgation peut être le résultat de la négligence de notre fournisseur de soins de santé ou de nous-mêmes. Les exemples incluent les suivants.
Les pirates
Les informations presque quotidiennement font état de pirates informatiques qui ont eu accès à des milliers de dossiers privés, qu’il s’agisse de dossiers médicaux, de dossiers de cartes de crédit ou d’autres sources d’information.
Les informations médicales sont une cible de choix car les voleurs gagnent beaucoup d’argent grâce à l’usurpation d’identité médicale. Ils ne recherchent pas les dossiers d’une personne en particulier ; au lieu de cela, ils recherchent autant d’enregistrements que possible, mais pas agrégés. C’est illégal, bien sûr, mais cela arrive trop souvent.
Accès illégal ciblé
Une autre forme illégale d’accès vise les dossiers d’une personne en particulier. Une entreprise peut payer quelqu’un pour mettre la main sur le dossier médical d’un employé potentiel, ou un conjoint peut demander des informations sur la personne en instance de divorce. Vous entendrez peut-être dans les nouvelles parler de célébrités dont les dossiers médicaux personnels sont volés.
Fuites accidentelles
Il existe d’autres moyens pour que vos informations médicales privées deviennent involontairement publiques, même si cela ne les rend pas moins flagrantes. Une photocopieuse louée dans un cabinet médical est restituée à la société de location avec des milliers de dossiers médicaux papier copiés en mémoire.
La même chose peut arriver avec les disques durs d’ordinateur qui sont en panne. Mais ce n’est pas parce que les disques ne fonctionnent plus avec cet ordinateur que personne ne peut récupérer les données.
Vous autorisez souvent des entités à accéder à vos dossiers sans même le savoir. L’assurance-vie est un exemple où les gens renoncent à leur confidentialité médicale pour une couverture. Les tests ADN à domicile sont une préoccupation croissante car les fournisseurs peuvent utiliser vos informations comme bon leur semble.
Comment les enregistrements agrégés sont utilisés
Lorsque les enregistrements sont rassemblés sous une forme agrégée, ils peuvent être utilisés pour diverses raisons. Quoi qu’il en soit, ces organisations ont le droit de regrouper les informations et de les partager ou de les vendre, tant qu’elles ont été anonymisées.
Recherche
Les données agrégées peuvent être utilisées dans la recherche. Les conclusions tirées de l’utilisation des données peuvent aider les patients à l’avenir.
Vendre des données
Parfois, les hôpitaux et autres entités couvertes vendront leurs données agrégées. Un hôpital vend ses données sur un millier de patients opérés du dos à une entreprise qui vend des fauteuils roulants. Une pharmacie vend ses données sur ses 5 000 clients qui ont rempli des ordonnances de médicaments contre le cholestérol au centre cardiaque local.
Les données agrégées sont utilisées à des fins de marketing de manière trop nombreuses pour être répertoriées et constituent une importante source de revenus pour de nombreuses organisations qui travaillent avec les patients.
Sensibilisation et collecte de fonds
Les organisations à but non lucratif et caritatives peuvent utiliser des données agrégées pour les aider à faire de la sensibilisation pour la collecte de fonds. Les organisations locales peuvent faire équipe avec les hôpitaux ou d’autres établissements qui regroupent leurs données. Les organisations étatiques, nationales ou internationales trouvent également d’autres moyens d’accéder à ces données agrégées.
Bien sûr, vous pouvez vous retrouver sur leurs listes de collecte de fonds lorsque vous vous intéressez à leur cause, ce qui signifie qu’ils peuvent également agréger leurs propres données pour les vendre à une autre organisation qui veut savoir que vous vous êtes intéressé.
Il ne fait aucun doute qu’il existe de nombreuses autres utilisations des données médicales agrégées. Cette courte liste n’est qu’un début pour vous donner une idée de la manière dont les données agrégées peuvent être utilisées.
:max_bytes(150000):strip_icc()/143175516-56a13d963df78cf77268b1d7.jpg)
Discussion about this post