Combineer twee van de meest besproken onderwerpen op het gebied van consumentenbescherming – privacybescherming en door consumenten gegenereerde online-inhoud – en wat krijg je? EEN voorgestelde FTC-schikking met Practice Fusion, het grootste cloudgebaseerde bedrijf voor elektronische medische dossiers van het land, en zes nalevingstips voor anderen in de branche.
Een van de belangrijkste producten van Practice Fusion uit San Francisco is een elektronisch medisch dossiersysteem voor ambulante zorgverleners. In 2009 lanceerde het bedrijf “Patient Fusion”, een online portaal waar patiënten van wie de zorgverleners Practice Fusion al gebruikten, hun gezondheidsinformatie konden bekijken, downloaden of overdragen aan een andere zorgverlener. Met Patient Fusion kunnen patiënten ook beveiligde berichten verzenden en ontvangen van hun providers.
Enkele jaren later besloot het bedrijf Patient Fusion uit te breiden met een openbare directory waar huidige en potentiële deelnemers geografisch of per specialiteit naar artsen konden zoeken, patiëntrecensies van zorgverleners konden lezen en afspraken konden aanvragen. Maar Practice Fusion moest zichzelf een vraag stellen die veel online bedrijven bekend voorkomen: hoe komen we aan de inhoud – in dit geval de beoordelingen van patiënten? Dat is de focus van de rechtszaak van de FTC.
Volgens klachtPractice Fusion verzamelde op een misleidende manier gegevens, waardoor sommige patiënten dachten dat ze rechtstreeks vervolgberichten naar hun artsen stuurden over hun diagnose, medische behandeling, recepten, enz. – en geen inhoud bijdroegen aan een openbare website. Practice Fusion vulde zijn nieuwe website echter met de informatie die deze personen verstrekten, waarvan een deel zeer gevoelig was.
Dit is wat er gebeurde. Na afspraken met hun artsen ontvingen patiënten e-mails met de titel ‘Hoe was uw bezoek?’ Het bericht vervolgde: “Laat ons weten hoe uw bezoek is verlopen om uw service in de toekomst te helpen verbeteren” en bevatte een link met sterren. Het bericht eindigde aldus:
Bedankt,
Dr. (naam)
In een voettekst luidde het bericht: “Deze e-mail is naar u verzonden door Patient Fusion®, een hulpmiddel dat arts (naam) gebruikt om de hoogste kwaliteit van zorg aan patiënten te leveren.” Daaronder stond, in kleinere letters, “Ingediend namens de arts (naam) door: Praktijk Fusion.”
Als patiënten op de link klikten, werden ze naar een pagina geleid waar om feedback werd gevraagd over zaken als hoe lang ze moesten wachten op hun afspraak, de manier waarop de arts aan het bed lag en of hun medische probleem was opgelost.
Er was ook een tekstvak waarin patiënten werden uitgenodigd om ‘een rapport naar uw zorgverlener te sturen’. Daaronder stond een vooraf gemarkeerd vakje met de zin ‘Houd deze recensie anoniem’.
Wat stopten sommige mensen in die doos? Zeer gevoelige informatie die rechtstreeks aan hun artsen is gericht, en geen evaluaties die bedoeld zijn om openbaar te worden gedeeld. Hier zijn slechts enkele voorbeelden:
- “Dr. (naam), Mijn Xanax-recept dat ik maandag kreeg was voor 1 tablet per dag, maar meestal zijn het 2 tabletten per dag. Ik ben er nog niet mee naar de apotheek gegaan. Kan ik een nieuw recept krijgen of kan ik een recept laten opvragen bij een apotheek? Bedankt, (volledige naam van de patiënt)
- “Ik heb vandaag gebeld en een bericht achtergelaten over mijn dochter, maar niemand heeft teruggebeld. Ik denk dat ze depressief is en deze week verschillende keren heeft gezegd dat ze wenste dat ze dood was. Kan iemand mij alstublieft bellen (telefoonnummer)?”
- “Cefuroximaxetil lijkt niets voor mij te doen. Ik heb wat onderzoek gedaan en ik denk dat ik een schimmelinfectie heb die candida heet. Ik weet nog niet zeker wat ik eraan moet doen. Ik denk dat ik eerst ga proberen mijn dieet te veranderen. Medicatie? (volledige naam van de patiënt)
- “Ik wil graag een afspraak maken voor mijn rugpijn en mogelijke gordelroos. Kunt u mij bellen op @ (telefoonnummer)? Bedankt! (volledige naam van de patiënt)”
- “IK HEB GEEN INFECTIE (naam van de zorgverlener). ALLES GING GOED NA MIJN BEZOEK, DUS HET IS GOED VOOR MIJN CHEMODAG…DANK JE WEL HOPELIJK ZIEN IK JE MORGEN IN HET METHODE ZIEKENHUIS…DANK U… (volledige naam van de patiënt)”
In het kleinste en lichtste lettertype op de pagina stond: “Vermeld voor uw veiligheid geen persoonlijke informatie.” Maar de FTC zegt dat de aard van de informatie die sommige patiënten in de doos stoppen – volledige namen, telefoonnummers, ontvangen recepten of uitgevoerde procedures – erop wijst dat ze dachten dat ze vervolgvragen rechtstreeks naar het kantoor van hun arts stuurden.
Hoe zit het met het vooraf aangevinkte vakje ‘Deze recensie anoniem houden’? Volgens de FTC werd niet geanonimiseerd wat de patiënt schreef. In plaats daarvan had het alleen maar invloed op de vraag of het op de openbare Patient Fusion-pagina zou verschijnen onder het handvat “Anoniem” of met de voornaam van een patiënt.
De FTC zegt dat het ongeveer een jaar heeft geduurd voordat er een artikel in de krant verscheen Forbes benadrukte de gevoelige aard van sommige opmerkingen en vragen uit tekstvakken die op Patient Fusion waren geplaatst. Toen introduceerde het bedrijf geautomatiseerde procedures om het plaatsen van recensies te voorkomen waarbij consumenten persoonlijke gegevens hadden ingevoerd.
In een telling klachtDe FTC beweert dat Practice Fusion expliciet of impliciet heeft aangegeven dat de antwoorden op de enquête zouden worden meegedeeld aan de zorgverlener van de consument, maar heeft nagelaten op adequate wijze bekend te maken dat zij de antwoorden ook openbaar zou maken. Volgens de FTC zou dit feit voor consumenten van wezenlijk belang zijn geweest bij de beslissing of en hoe ze op de enquête zouden reageren.
Om de zaak op te lossen, heeft Practice Fusion ermee ingestemd geen verkeerde voorstelling te geven van de mate waarin zij de privacy en vertrouwelijkheid van alle gedekte informatie gebruikt, onderhoudt en beschermt. Bovendien moet het bedrijf, als het bedrijf de gedekte informatie van de consument wil publiceren, eerst: 1) de consument duidelijk en opvallend informeren – afzonderlijk en afgezien van een privacybeleid, pagina met gebruiksvoorwaarden of een soortgelijk document – over zijn voornemen om de informatie te publiceren; en 2) de uitdrukkelijke, bevestigende toestemming van de consument verkrijgen.
De voorwaarden van schikking Alleen van toepassing op Practice Fusion, maar er zijn lessen waar anderen in de branche van kunnen leren.
Als er sprake is van persoonlijke gezondheidsinformatie, ga er dan met bijzondere zorg mee om. Consumenten maken zich zorgen over de privacy van hun gezondheidsinformatie, en met goede reden. Gezien de inzet zijn brancheleden zich bewust van de noodzaak tot voorzichtigheid.
Leg uw bedoelingen uit. Ga er vooral bij nieuwe producten en diensten niet van uit dat consumenten jouw expertise delen. Wees duidelijk in uw uitleg en gebruik eenvoudige woorden om uit te leggen wat u met hun gegevens wilt.
Verkrijg de uitdrukkelijke, bevestigende toestemming van consumenten voordat gevoelige informatie openbaar wordt gemaakt. Bedrijven die geïnteresseerd zijn in het winnen van loyale klanten (en uit het juridische drijfzand blijven) vragen consumenten om toestemming voordat ze persoonlijke gegevens vrijgeven en wachten op een duidelijk ‘ja’ voordat ze verder gaan. Als het om gezondheidsinformatie gaat, is dit niet het moment om te lachen met negatieve opties of andere minder dan duidelijke toestemmingsmethoden.
Openbaarmakingen moeten consumenten bereiken en boeien. IT in de gezondheidszorg trekt bedrijven aan die misschien niet bekend zijn met de aanpak van de Commissie, dus hier zijn enkele FTC 101’s: als het delen van informatie noodzakelijk is om fraude te voorkomen, moet deze duidelijk en opvallend zijn. Voor de FTC is “duidelijk en opvallend” een prestatienorm, geen lettergrootte. Voetnoten met kleine lettertjes, dichte tekstblokken, jargon-gevulde dubbelspraak of obscure hyperlinks zijn waarschijnlijk niet voldoende. Dus als bedrijven informatie gaan vrijgeven, hoe kunnen ze dat dan duidelijk en prominent doen? Hier is een vuistregel: overweeg dezelfde opvallende methoden die u routinematig gebruikt als u echt de aandacht van een potentiële klant wilt trekken: afbeeldingen, kleur, grote letters, opvallende plaatsing, duidelijke bewoordingen, enz.
Begraaf belangrijke feiten niet in een moeilijk te begrijpen privacybeleid. Je zult willen lezen klacht voor de details, maar nadat Practice Fusion de resultaten van consumentenenquêtes begon te verzamelen om te posten, veranderde het wat het zei in zijn privacybeleid, maar maakte het de informatie niet duidelijk openbaar op de enquêtepagina zelf. Natuurlijk moeten het privacybeleid en de gebruiksvoorwaardenpagina’s van bedrijven accuraat en begrijpelijk zijn, maar het is onverstandig om op die pagina’s te vertrouwen als het exclusieve middel om cruciale details over te brengen (bijvoorbeeld dat u van plan bent gevoelige gezondheidsinformatie van consumenten te publiceren).
Raadpleeg FTC-bronnen voor bedrijven. Bedrijven die net aan HIPAA gewend zijn, zijn mogelijk minder bekend met de aanpak van de FTC. Bezoek Zakencentrum voor basisconformiteit. bijv. .com-openbaarmakingen: hoe u effectieve openbaarmakingen kunt doen in digitale advertenties vertelt over hoe u belangrijke informatie online duidelijk kunt overbrengen. De Interactieve tool voor mobiele gezondheidsapps kan u helpen bepalen welke federale wetgeving (en dit kunnen er meer dan één zijn) die op uw bedrijf van toepassing is. En Ontwikkelaars van mobiele gezondheidsapps: FTC Best Practices biedt een introductie tot goede privacy en veiligheid.
De FTC accepteert tot 8 juli 2016 publieke reacties op de voorgestelde schikking met Practice Fusion.
