Combineer twee van de meest besproken onderwerpen op het gebied van consumentenbescherming – privacy in de gezondheidszorg en door consumenten gegenereerde online inhoud – en wat krijg je? A FTC-schikkingsvoorstel met Practice Fusion, het grootste cloudgebaseerde bedrijf voor elektronische medische dossiers van het land, en zes nalevingstips voor anderen in de branche.
Een van de belangrijkste producten van Practice Fusion in San Francisco is een elektronisch dossiersysteem voor poliklinische zorgverleners. In 2009 lanceerde het bedrijf ‘Patient Fusion’, een online portaal waar patiënten van wie de zorgverleners Practice Fusion al gebruikten, hun gezondheidsinformatie konden bekijken, downloaden of naar een andere zorgverlener konden sturen. Met Patient Fusion kunnen patiënten ook beveiligde berichten verzenden en ontvangen van hun providers.
Na enkele jaren besloot het bedrijf Patient Fusion uit te breiden met een openbare directory waar huidige en toekomstige abonnees geografisch of op specialiteit naar artsen konden zoeken, patiëntrecensies van zorgverleners konden lezen en afspraken konden aanvragen. Maar Practice Fusion moest zichzelf een vraag stellen die veel online bedrijven bekend voorkomen: hoe komen we aan inhoud, in dit geval patiëntrecensies? Dit is de kern van de rechtszaak van de FTC.
Volgens de klachtPractice Fusion verzamelde op een misleidende manier gegevens, waardoor sommige patiënten dachten dat ze rechtstreeks vervolgberichten naar hun artsen stuurden over hun diagnose, medische behandelingen, recepten, enz. – en geen inhoud bijdroegen aan een openbare website. Practice Fusion vulde zijn nieuwe site echter met informatie van die mensen, waarvan een deel zeer vertrouwelijk was.
Dit is wat er gebeurde. Na afspraken met hun artsen ontvingen patiënten e-mails met de titel ‘Hoe was uw bezoek?’ Het bericht vervolgde: ‘Laat ons weten hoe uw bezoek is verlopen, zodat we u in de toekomst kunnen helpen uw service te verbeteren’, en bevatte een link naar de sterbeoordelingen. Het bericht eindigde als volgt:
Bedankt,
Dr. (naam)
In een voettekst stond het bericht: “Deze e-mail is naar u verzonden door Patient Fusion®, een hulpmiddel dat dokter (naam) gebruikt om de hoogste kwaliteit patiëntenzorg te bieden.” Hieronder stond in kleiner lettertype: ‘Ingediend namens het kantoor van dokter (naam) door: Practice Fusion.’
Als patiënten op de link klikten, werden ze naar een pagina geleid waar om feedback werd gevraagd over zaken als hoe lang ze moesten wachten op hun afspraak, het gedrag van de arts aan het bed en of er rekening was gehouden met hun medische probleem.
Er was ook een tekstvak waarin patiënten werden uitgenodigd om ‘een beoordeling achter te laten voor uw zorgverlener’. Daaronder stond een vooraf aangevinkt vakje met de zin ‘Houd deze recensie anoniem’.
Wat stopten sommige mensen in die doos? Zeer gevoelige informatie die rechtstreeks aan hun artsen is gericht, en geen beoordelingen die bedoeld zijn om openbaar te worden gedeeld. Hier zijn slechts enkele voorbeelden:
- “Dr. (naam), mijn Xanax-recept dat ik maandag kreeg was voor 1 tablet per dag, maar meestal zijn het 2 tabletten per dag. Ik ben er nog niet mee naar de apotheek gegaan. Kan ik een nieuw exemplaar krijgen of kan ik een recept laten bezorgen bij de apotheek? Bedankt, (volledige naam van de patiënt)
- “Ik heb vandaag gebeld en een bericht achtergelaten over mijn dochter, maar niemand heeft teruggebeld. Ik denk dat ze depressief is en deze week verschillende keren heeft gezegd dat ze wenste dat ze dood was. Kan iemand mij alstublieft bellen (telefoonnummer)?”
- “Cefuroximaxetil lijkt niets voor mij te doen. Ik heb wat onderzoek gedaan en ik denk dat ik een schimmelinfectie heb die candida heet. Ik weet nog niet wat ik eraan moet doen. Ik denk dat ik eerst ga proberen mijn dieet te veranderen. Medicijnen? (volledige naam van de patiënt)
- “Ik wil graag een afspraak maken voor mijn rugpijn en mogelijke gordelroos. Kunt u mij bellen op (telefoonnummer)? Bedankt! (volledige naam van de patiënt)”
- “Ik heb geen enkele infectie (naam van de zorgverlener). ALLES GING GOED NA MIJN BEZOEK, DUS OP NAAR MIJN CHEMODAG… BEDANKT, HOPELIJK TOT MORGEN IN HET METHODISTISCHE ZIEKENHUIS… BEDANKT… (volledige naam van de patiënt)”
In het kleinste, lichtste lettertype op de pagina stond: “Vermeld voor uw veiligheid geen persoonlijke informatie.” Maar de FTC zegt dat de aard van de informatie die sommige patiënten in de box invoeren – volledige namen, telefoonnummers, ontvangen recepten of uitgevoerde procedures – erop wijst dat ze dachten dat ze vervolgvragen rechtstreeks naar het kantoor van hun arts stuurden.
Hoe zit het met het vooraf aangevinkte vakje ‘Deze recensie anoniem houden’? Volgens de FTC werd niet geanonimiseerd wat de patiënt schreef. In plaats daarvan had het alleen invloed op de vraag of het op de openbare Patient Fusion-site zou verschijnen onder het pseudoniem “Anoniem” of onder de naam van de patiënt.
De FTC zegt dat dit ongeveer een jaar heeft geduurd totdat er een artikel verscheen Forbes benadrukte de gevoelige aard van sommige opmerkingen en vragen in de tekstvakken die op Patient Fusion zijn gepubliceerd. Het was toen dat het bedrijf geautomatiseerde procedures implementeerde om de publicatie van recensies te voorkomen waarin consumenten persoonlijke informatie hadden ingevoerd.
In één telling klachtde FTC beweert dat Practice Fusion expliciet of impliciet heeft verklaard dat de antwoorden op de enquête openbaar zouden worden gemaakt aan de zorgverlener van de consument, maar niet op adequate wijze heeft bekendgemaakt dat zij de antwoorden ook openbaar zou maken. Volgens de FTC zou dit feit voor consumenten van cruciaal belang zijn geweest bij de beslissing of en hoe ze op de enquête zouden reageren.
Om deze kwestie op te lossen, heeft Practice Fusion ermee ingestemd geen verkeerde voorstelling te geven van de mate waarin zij de privacy en vertrouwelijkheid van alle gedekte informatie gebruikt, onderhoudt en beschermt. Als het bedrijf de gedekte informatie openbaar wil maken voor consumenten, moet het bovendien eerst: 1) op duidelijke en opvallende wijze – afzonderlijk en onafhankelijk van een privacybeleid, pagina met gebruiksvoorwaarden of een vergelijkbaar document – zijn intentie openbaar maken voor de consument om de informatie openbaar te maken; en 2) de uitdrukkelijke, bevestigende toestemming van de consument verkrijgen.
De voorwaarden van schikking ze zijn alleen van toepassing op Practice Fusion, maar er zijn lessen die anderen in de branche kunnen leren.
Als het om persoonlijke gezondheidsinformatie gaat, behandel deze dan met speciale zorg. Consumenten maken zich zorgen over de privacy van hun gezondheidsinformatie, en daar hebben ze goede redenen voor. Gezien wat er op het spel staat, zijn spelers in de sector zich bewust van de noodzaak tot voorzichtigheid.
Leg uw bedoelingen uit. Ga er vooral bij nieuwe producten en diensten niet van uit dat consumenten uw ervaringen delen. Wees direct in uw uitleg en gebruik eenvoudige woorden om uit te leggen wat u met hun gegevens wilt doen.
Verkrijg de uitdrukkelijke, bevestigende toestemming van consumenten voordat gevoelige informatie openbaar wordt gemaakt. Bedrijven die geïnteresseerd zijn in het werven van loyale klanten (en uit het juridische drijfzand willen blijven) vragen consumenten om toestemming voordat ze persoonlijke gegevens vrijgeven en wachten op een duidelijk ‘ja’ voordat ze verder gaan. Wanneer gezondheidsinformatie in het geding is, is dit niet het moment om aardig te spelen met negatieve opties of andere onduidelijke toestemmingsmethoden.
Informatie moet consumenten bereiken en aantrekken. Health IT trekt bedrijven aan die misschien niet bekend zijn met de aanpak van de Commissie, dus hier zijn enkele FTC-regels 101: Als openbaarmaking van informatie noodzakelijk is om misleiding te voorkomen, moet deze duidelijk en opvallend zijn. Voor de FTC is ‘duidelijk en opvallend’ een prestatienorm, geen lettergrootte. De kans is groot dat kleine voetnoten, dichte tekstblokken, dubbelzinnige, met jargon gevulde spraak of obscure hyperlinks niet volstaan. Dus als bedrijven informatie openbaar moeten maken, hoe kunnen ze dit dan duidelijk en zichtbaar maken? Hier is een vuistregel: overweeg dezelfde opvallende methoden die u gewoonlijk gebruikt als u echt de aandacht van een potentiële klant wilt trekken: afbeeldingen, kleuren, grote lettertypen, prominente plaatsing, duidelijke woorden, enz.
Begraaf belangrijke feiten niet in een moeilijk te begrijpen privacybeleid. Wij raden u aan de klacht voor details, maar nadat Practice Fusion begon met het verzamelen van de resultaten van consumentenenquêtes voor publicatie, veranderde het wat het zei in zijn privacybeleid, maar maakte het de informatie niet duidelijk openbaar op de enquêtepagina zelf. Natuurlijk moeten het privacybeleid en de gebruiksvoorwaardenpagina’s van bedrijven accuraat en begrijpelijk zijn, maar het is onverstandig om op die pagina’s te vertrouwen als enige manier om cruciale details over te brengen – bijvoorbeeld dat u van plan bent gevoelige informatie over de gezondheid van consumenten openbaar te maken.
Zie FTC-bronnen voor bedrijven. Bedrijven die alleen aan HIPAA gewend zijn, zijn mogelijk minder bekend met de aanpak van de FTC. Bezoek de Zakencentrum voor de basisprincipes van compliance. Bijvoorbeeld, .com Informatie: hoe u informatie effectief kunt maken in digitale advertenties vertelt over hoe u belangrijke informatie online duidelijk kunt overbrengen. DE Interactieve mobiele gezondheidsapp-tool kan u helpen te begrijpen welke federale wetgeving (en dit kunnen er meer dan één zijn) op uw bedrijf van toepassing is. EN Ontwikkelaars van mobiele gezondheidsapps: FTC Best Practices biedt een introductie tot privacy en veiligheid.
De FTC accepteert tot 8 juli 2016 openbare commentaren op de voorgestelde schikking met Practice Fusion.
