文件共享概念联邦贸易委员会(FTC)最近发布了 指导 提醒共享和收集用于商业活动的受保护健康信息(PHI)的符合HIPAA要求的组织,它们还必须遵守FTC Act披露要求。 《联邦贸易委员会法》禁止在商业活动中或影响商业活动的不公平或欺骗行为。该指南警告,组织应考虑对消费者所做的所有披露声明,以确保放在一起使用时不会造成欺骗或误导性印象。

符合HIPAA

HIPAA法规要求受保护的实体和业务伙伴获得使用和披露个人PHI的授权,以“用于除治疗,付款,医疗保健操作或《隐私权规则》允许或要求的其他使用和披露之外的商业活动”。因此,根据该指南,“消费者必须首先通过有效的HIPAA授权给您书面许可”。授权必须使用通俗易懂的语言,以便个人可以理解,并包括特定术语以及有关如何使用个人信息的说明。

遵守FTC法案

美国联邦贸易委员会警告,尽管组织的授权和披露做法可能符合HIPAA,但它们也必须遵守FTC法案。 《联邦贸易委员会法》第5(a)条,编于 U.S.C. 15第45(a)条禁止在商业活动中或影响商业活动的不公平或欺骗性行为或做法,并适用于所有从事商业活动的人。根据《联邦贸易委员会法》,不公平和欺骗的法律标准是相互独立的。如果某行为或惯例对消费者造成或可能造成对消费者的重大伤害,而这是消费者自己无法合理避免的,并且不抵消对消费者或竞争的抵消性利益,则可能会被认为是不公平的。

为了确定陈述,遗漏或做法是否具有欺骗性,FTC使用了三部分测试:

  1. 陈述,遗漏或做法误导或可能误导消费者;
  2. 在这种情况下,消费者对陈述,遗漏或惯例的解释必须合理;和
  3. 误导性陈述,遗漏或做法必须是实质性的。

评估组织合规性的行动项目

组织应评估其促销做法,并要求将个人的PHI用于营销或商业目的。为此,该指南列出了以下评估组织合规性的注意事项和避免或减少不合规风险的策略:

  • 查看用户界面,隐私策略,使用条款和隐私惯例通知以确保声明的一致性,并评估信息是否被认为具有欺骗性。
  • 评估通信的内容,以确保为保护信息的隐私和安全所作的承诺或保证,并确定与现行做法相比是否合理。
  • 审查和评估网站内容和导航过程,并审查可能与标题或明显张贴有关的精美印刷或不明显的披露。
  • 准备交流时,要注意目标人群或弱势人群,例如老年人。
  • 查看其他交流方式,例如发短信或使用移动应用程序以及纸质文档。
  • 与组织的营销部门和其他利益相关者进行协调,以实施一个流程,以在实施或发布到网站之前检查通信。