Combineer twee van de meest besproken onderwerpen op het gebied van consumentenbescherming – privacy van de gezondheid en door consumenten gegenereerde online-inhoud – en wat krijg je? A voorgestelde FTC-schikking met Practice Fusion, het grootste cloudgebaseerde bedrijf voor elektronische medische dossiers van het land, en zes nalevingstips voor anderen in de branche.
Een van de belangrijkste producten van Practice Fusion in San Francisco is een elektronisch dossiersysteem voor poliklinische zorgverleners. In 2009 lanceerde het bedrijf ‘Patient Fusion’, een online portaal waarmee patiënten van wie de zorgverleners Practice Fusion al gebruiken, hun gezondheidsinformatie kunnen bekijken, downloaden of naar andere zorgverleners kunnen sturen. Met Patient Fusion kunnen patiënten ook beveiligde berichten verzenden en ontvangen van hun zorgverleners.
Een paar jaar later besloot het bedrijf Patient Fusion uit te breiden met een openbare directory waar huidige en toekomstige ingeschrevenen artsen geografisch of op specialiteit konden zoeken, patiëntrecensies van zorgverleners konden lezen en afspraken konden aanvragen. Maar Practice Fusion moest een vraag stellen die bij veel online bedrijven bekend is: hoe komen we aan inhoud – in dit geval patiëntbeoordelingen? Dat is de focus van de FTC-rechtszaak.
Volgens klachtPractice Fusion verzamelt gegevens op een misleidende manier, waardoor sommige patiënten denken dat ze rechtstreeks vervolgberichten naar artsen sturen over diagnoses, medische behandelingen, recepten, enz. – en geen inhoud bijdragen aan openbare websites. Practice Fusion vulde zijn nieuwe site echter met de informatie die deze mensen verstrekten, waarvan sommige zeer gevoelig waren.
Dit is wat er gebeurde. Na het maken van een afspraak met een arts ontvangen patiënten een e-mail met de titel ‘Hoe was uw bezoek?’ Het bericht vervolgt: “Laat ons weten hoe uw bezoek is verlopen om uw service in de toekomst te verbeteren” en bevat een link met beoordelingssterren. Het bericht eindigt als volgt:
Bedankt,
Dr. (naam)
In de voettekst luidt het bericht: “Deze e-mail is naar u verzonden door Patient Fusion®, de tool die dokter (naam) gebruikt om patiënten de hoogste kwaliteit zorg te bieden.” Daaronder staat in kleinere letters: “Verzonden namens het kantoor van dokter (naam) door: Practice Fusion.”
Als patiënten op de link klikken, worden ze naar een pagina geleid waar om feedback wordt gevraagd over zaken als hoe lang ze moeten wachten op een afspraak, hoe de arts aan het bed handelt en of er rekening is gehouden met hun medische zorgen.
Er is ook een tekstvak waarin patiënten worden uitgenodigd om ‘een beoordeling achter te laten voor uw zorgverlener’. Daaronder staat een vooraf aangevinkt vakje met de zin ‘Houd deze recensie anoniem’.
Wat stoppen sommige mensen in die doos? Zeer gevoelige informatie gaat rechtstreeks naar hun arts, en niet naar een evaluatie die bedoeld is om openbaar te worden gedeeld. Hier zijn enkele voorbeelden:
- “Dr (naam), het Xanax-recept dat ik maandag kreeg was voor 1 tablet per dag, ook al zijn het meestal 2 tabletten per dag. Ik ben er niet mee naar de apotheek gegaan. Kan ik een nieuw exemplaar krijgen of vragen om het recept naar de apotheek te laten bellen? Dank u, (volledige naam van de patiënt)
- “Ik heb vandaag gebeld en een bericht achtergelaten over mijn dochter, maar niemand heeft teruggebeld. Ik denk dat ze depressief is en deze week verschillende keren heeft gezegd dat ze wenste dat ze dood was. Kan iemand contact met mij opnemen (telefoonnummer)?”
- “Cefuroximaxetil lijkt geen enkel effect op mij te hebben. Ik heb wat onderzoek gedaan en het lijkt erop dat ik een schimmelinfectie heb die candida heet. Ik weet nog niet zeker wat ik moet doen. Ik denk dat ik eerst ga proberen mijn dieet te veranderen. Medicatie? (volledige naam van de patiënt)
- “Ik wil graag een afspraak maken voor rugpijn en mogelijke gordelroos. Kunt u mij bellen op (telefoonnummer)? Bedankt! (volledige naam van de patiënt)”
- “IK HEB GEEN INFECTIE (naam van de zorgverlener). ALLES IS GEBEURD NA MIJN BEZOEK, DUS DIT IS DE DAG DAT MIJN CHEMO MOET WORDEN GEDAAN… DANK U HOOP DAT IK U MORGEN KAN ZIEN IN HET METHODISTISCHE ZIEKENHUIS… DANK U… (volledige naam van de patiënt)”
In het kleinste en lichtste lettertype op de pagina stond: “Voor uw veiligheid, neem geen persoonlijke informatie op.” Maar de FTC zei dat de aard van de informatie die sommige patiënten in de box invoerden – volledige naam, telefoonnummer, ontvangen recept of uitgevoerde procedure – erop duidde dat ze dachten dat ze vervolgvragen rechtstreeks naar het kantoor van hun arts stuurden.
Hoe zit het met het vakje ‘Deze recensie anoniem houden’ dat eerder was aangevinkt? Volgens de FTC anonimiseren ze niet wat patiënten schrijven. In plaats daarvan heeft het alleen invloed op de vraag of het op de openbare Patient Fusion-site verschijnt onder de naam ‘Anoniem’ of onder de voornaam van de patiënt.
De FTC zei dat het ongeveer een jaar duurde totdat er een artikel binnenkwam Forbes waarbij de gevoelige aard van sommige opmerkingen en vragen uit tekstvakken die in Patient Fusion zijn gepubliceerd, wordt benadrukt. Dat is wanneer bedrijven geautomatiseerde procedures implementeren om het plaatsen van recensies te voorkomen waarbij consumenten persoonlijke informatie hebben ingevoerd.
In één telling klachtDe FTC beweerde dat Practice Fusion expliciet of impliciet beweerde dat de antwoorden op de enquête zouden worden meegedeeld aan de zorgverleners van consumenten, maar verzuimde op adequate wijze bekend te maken dat zij die antwoorden ook openbaar zou maken. Volgens de FTC zullen deze feiten consumenten informeren bij de beslissing of en hoe ze op de enquête zullen reageren.
Om deze zaak op te lossen, heeft Practice Fusion ermee ingestemd geen verkeerde voorstelling te geven van de mate waarin zij de privacy en vertrouwelijkheid van de gedekte informatie gebruikt, onderhoudt en beschermt. Als een bedrijf gedekte consumenteninformatie openbaar wil maken, moet het bovendien eerst: 1) duidelijk en opvallend aan de consument bekendmaken – los van zijn privacybeleid, pagina met gebruiksvoorwaarden of een vergelijkbaar document – zijn voornemen om de informatie openbaar te maken; en 2) uitdrukkelijke toestemming van consumenten verkrijgen.
Voorwaarden van residentie geldt alleen voor Fusion Practices, maar er zijn lessen waar anderen in de sector van kunnen leren.
Als het om persoonlijke gezondheidsinformatie gaat, ga er dan zorgvuldig mee om. Consumenten maken zich zorgen over de vertrouwelijkheid van hun gezondheidsinformatie en hebben goede redenen om zich zorgen te maken. Gezien wat er op het spel staat, erkennen spelers in de sector dat voorzichtigheid geboden is.
Leg uw bedoelingen uit. Ga er vooral bij nieuwe producten en diensten niet van uit dat consumenten over dezelfde vaardigheden beschikken als jij. Wees direct in uw uitleg en gebruik eenvoudige woorden om uit te leggen wat u met hun gegevens wilt doen.
Verkrijg expliciete toestemming van consumenten voordat u gevoelige informatie openbaar maakt. Bedrijven die geïnteresseerd zijn in het winnen van loyale klanten (en het vermijden van juridisch drijfzand) vragen consumenten om toestemming voordat ze persoonlijke gegevens vrijgeven en wachten op een duidelijk ‘ja’ voordat ze verder gaan. Wanneer gezondheidszorginformatie een probleem is, is dit niet het moment om aardig te spelen met negatieve opties of andere, minder voor de hand liggende toestemmingsmethoden.
Openbaarmakingen moeten consumenten bereiken en aantrekken. Health IT trekt de aandacht van bedrijven die misschien niet bekend zijn met de aanpak van de Commissie. Daarom hier wat FTC 101: Als openbaarmaking van informatie noodzakelijk is om fraude te voorkomen, dan moet de openbaarmaking duidelijk en opvallend zijn. Voor de FTC is ‘duidelijk en opvallend’ een prestatienorm, niet de lettergrootte. De kans is groot dat goed gedrukte voetnoten, dichte tekstblokken, dubbelzinnig jargon of obscure hyperlinks niet volstaan. Dus als bedrijven informatie openbaar moeten maken, hoe kunnen ze deze dan duidelijk en opvallend maken? Hier is een vuistregel: denk na over de opvallende methoden die u normaal gesproken gebruikt als u echt de aandacht van een potentiële klant wilt trekken: afbeeldingen, kleur, grote letters, opvallende plaatsing, duidelijke bewoordingen, enz.
Begraaf belangrijke feiten niet in een privacybeleid dat moeilijk te begrijpen is. Je zult zeker willen lezen klacht voor meer informatie, maar nadat Practice Fusion begon met het verzamelen van de resultaten van consumentenenquêtes om te posten, veranderden ze wat er in het privacybeleid stond, maar maakten ze de informatie niet duidelijk openbaar op de enquêtepagina zelf. Natuurlijk moeten het privacybeleid en de gebruiksvoorwaardenpagina’s van een bedrijf accuraat en gemakkelijk te begrijpen zijn, maar erop vertrouwen als het exclusieve middel om belangrijke details over te brengen – bijvoorbeeld dat u van plan bent gevoelige informatie over de gezondheid van consumenten publiekelijk te publiceren – is onverstandig.
Raadpleeg FTC-bronnen voor bedrijven. Bedrijven die bekend zijn met HIPAA zijn mogelijk minder bekend met de aanpak van de FTC. Bezoek Zakencentrum voor de basisprincipes van compliance. Bijvoorbeeld, .com-openbaarmakingen: hoe u effectieve openbaarmakingen kunt creëren in digitale advertenties vertelt over hoe u belangrijke informatie online duidelijk kunt overbrengen. Dat Interactieve tools voor mobiele gezondheidsapps kan u helpen erachter te komen welke federale wetgeving (en mogelijk meer dan één) op uw bedrijf van toepassing is. En Ontwikkelaars van mobiele gezondheidsapps: FTC Best Practices biedt een goede introductie tot privacy en beveiliging.
De FTC accepteert tot 8 juli 2016 publieke reacties op de voorgestelde schikking met Practice Fusion.
.jpg "Samsung Galaxy S26, S26+ en S26 Ultra: specificaties, functies, prijs, releasedatum")
