我想预约治疗我的背痛和可能的带状疱疹。你能打给我@ [电话号码]。谢谢! [患者姓名]” –患者回顾,2012年12月31日

联邦贸易委员会(FTC)和基于云的电子健康记录公司Practice Fusion,Inc.(Practice Fusion)最近同意 拟议的和解 解决有关该公司在12个月内从事欺骗性活动以征求和处理消费者生成的健康信息的指控。根据FTC 抱怨Practice Fusion为医疗保健提供者提供了一项服务,该服务允许患者进行预约和跟踪约会,访问其电子健康记录并通过安全的Web门户直接与提供者进行通信。作为提供公共医生目录并附有患者评价计划的一部分,Practice Fusion通过电子邮件向患者发送了患者访视后满意度调查,这些调查似乎直接来自提供商。相信调查是与提供者的私人交流,患者提交了数百份包含其姓名,电话号码和个人健康信息的回复。

美国联邦贸易委员会投诉列举了调查中包含的一些虚假陈述,导致公众公开患者信息:

  • 该调查似乎直接来自患者就诊后的医疗保健提供者。
  • 警告患者不要在调查的开放文本字段中包含个人信息的文本以非常浅的小字体显示。
  • “使该评论保持匿名”复选框仅使患者姓名匿名,而不使公开文本信息匿名。
  • 表示“我同意患者授权的条款”的复选框不要求患者在选中该框之前先阅读患者授权。
  • 患者授权指出,患者正在授权提供者和Practice Fusion在网站上发布调查答复,目的是使提供者的现有和潜在患者以及公众可以使用该评论。

2013年4月,Practice Fusion公开启动了网站的提供商目录部分,发布了该公司上一年从患者那里收集的大约613,000条评论。同时,Practice Fusion更新了患者调查,以表明评论“可以在Practice Fusion上公开显示,以帮助患者在该地区找到医生”,并指出调查答复将是公开的。

直到 福布斯技术博客 撰写了有关该公司公共目录的文章,其中指出敏感信息的发布,几周后,Practice Fusion实施了自动程序来识别和删除包含来自互联网的个人信息的评论。

拟议的和解协议将“覆盖的信息”定义为包括“健康信息,包括与过去,现在或将来的身体或精神健康或状况有关的人口统计数据,为个人提供医疗保健或过去,现在或将来的付款为个人提供医疗保健”,并要求Practice Fusion:

  • 在公开提供患者信息之前,与隐私政策,使用条款或其他类似文件分开且单独地,明确且显眼地披露其正在公开提供信息并获得患者的肯定同意;
  • 不公开显示或维护公司在投诉所涵盖的时间内从消费者那里收集的任何医疗保健提供者审查信息;和
  • 在和解协议生效之日起90天内提交合规报告。

根据拟议的和解协议的条款,Practice Fusion还必须收集并保留以下文件,为期五年:

  • 消费者有关涵盖信息的所有投诉记录,无论是直接还是间接接收的,以及任何答复。
  • 证明完全遵守和解协议所需的所有记录,包括向FTC提交的记录。
  • Practice Fusion代表公司本身或代表其医疗保健提供者客户从患者那里获取反馈的所有表格,网站和其他方法。
  • Practice Fusion广泛传播的每个陈述的副本,描述其维护或保护所涵盖信息的隐私和机密性的程度,包括与公司控制的与隐私和涵盖信息的机密性。
  • 由Practice Fusion或代表Practice Fusion准备的所有记录,均表明未遵守和解协议。

美国联邦贸易委员会还准备 合规建议 其中包含六个建议的“健康隐私指针”,以帮助企业实体“特别谨慎地”管理消费者生成的健康信息,包括在公开披露敏感信息之前获得消费者的明确肯定同意,以及劝告不要“将关键事实掩盖在了解隐私政策。”它指出,由于“习惯于HIPAA的公司可能对FTC的方法不太熟悉”,因此合规性建议鼓励企业就“合规性基础”咨询FTC资源。