Οι πάροχοι υπηρεσιών υγείας στις ΗΠΑ χρειάστηκε να λάβουν αυστηρά μέτρα για να προστατεύσουν τα ευαίσθητα προσωπικά δεδομένα που επεξεργάζονται με στόχο να ικανοποιήσουν τις απαιτήσεις συμμόρφωσης με τoν Health Insurance Portability and Accountability Act ή αλλιώς HIPAA. O HIPAA αποτελεί έναν αμερικανικό νόμο που αποσκοπεί στην διαμόρφωση προτύπων ιδιωτικότητας αναφορικά με την προστασία των ιατρικών αρχείων και άλλων πληροφοριών των ασθενών, τα οποία παρέχονται στους γιατρούς, τα νοσοκομεία και άλλους παρόχους υπηρεσιών υγείας.
Εκ πρώτης όψεως μπορεί κανείς να διακρίνει αρκετές ομοιότητες με τον Ευρωπαϊκό Κανονισμό για την Προστασία των Δεδομένων (ΕΕ) 2016/679 “GDPR”, όπως η πρόβλεψη για τη λήψη αυστηρών τεχνικών και οργανωτικών μέτρων για την προστασία των δεδομένων των ασθενών που μεταδίδονται μέσω των νοσοκομειακών διακομιστών (servers), αλλά και η υποχρέωση των παρόχων υπηρεσιών υγείας για τη δημιουργία και την τήρηση αυστηρών πρωτοκόλλων ασφάλειας δεδομένων κατά την διαβίβασή των δεδομένων αυτών. Ωστόσο, οι διαφορές είναι ξεκάθαρες.
Πεδίο Εφαρμογής:
Η μεγαλύτερη διαφορά μεταξύ του HIPAA και του GDPR είναι ότι ο GDPR από τη μία προστατεύει τα φυσικά πρόσωπα των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία εντός της Ευρωπαϊκής Ένωσης ανεξαρτήτως υπηκοότητας, ενώ από την άλλη το HIPAA προστατεύει μόνο τα προσωπικά δεδομένα που χειρίζονται οι επιχειρήσεις στις ΗΠΑ.
Συναίνεση Ασθενούς:
Οι απαιτήσεις του HIPAA φαίνεται πως εστιάζουν περισσότερο στους παρόχους υπηρεσιών υγείας, στοχεύοντας κυρίως στην προστασία των αρχείων των ασθενών από παραβιάσεις ασφάλειας. Σε αντίθεση με τον GDPR, όπου οι πάροχοι υπηρεσιών υγείας πρέπει να λάβουν ρητή συγκατάθεση από τον ασθενή πριν αποθηκεύσουν οποιοδήποτε προσωπικό του στοιχείο στις βάσεις δεδομένων τους, ο HIPAA δεν απαιτεί τη συγκατάθεση του ασθενούς για τη χρήση των δεδομένων του. Οι πάροχοι αυτοί είναι ελεύθεροι να επεξεργαστούν τα στοιχεία αυτά, με την προϋπόθεση ότι αυτά αποθηκεύονται και διαβιβάζονται με την τήρηση κατάλληλων μέτρων ασφαλείας.
Δικαίωμα στη Λήθη:
Το δικαίωμα στη λήθη (δικαίωμα διαγραφής) παρουσιάζει μία πολυπλοκότητα όσον αφορά την υγειονομική περίθαλψη. Ο HIPAA δεν προβλέπει την δυνατότητα διαγραφής προσωπικών δεδομένων. Αυτό σημαίνει ότι κάθε αρχείο ασθενούς που βρίσκεται στη βάση δεδομένων ενός παρόχου υπηρεσιών υγείας δεν μπορεί να διαγραφεί απλά και μόνο επειδή ο ασθενής το επιθυμεί. Αυτό δεν συμβαίνει υπό το πρίσμα του GDPR για όλα τα προσωπικά δεδομένα των ασθενών. Σύμφωνα με τον εν λόγω νόμο, οι πάροχοι θα πρέπει να ικανοποιούν αμελλητί αιτήματα διαγραφής των ασθενών, που αποτελούν τα υποκείμενα των δεδομένων, σε συμμόρφωση φυσικά και με την ειδικότερη εθνική νομοθεσία για τα ιατρικά δεδομένα.
Επεξεργασία για Μάρκετινγκ:
Είναι επίσης σημαντικό να σημειωθεί η διαφορά των δύο νομοθεσιών σχετικά με τρόπο που αντιμετωπίζουν τους συνεργάτες με τους οποίους μοιράζονται δεδομένα. Ο GDPR ορίζει δύο μέρη υπεύθυνα για την επεξεργασία προσωπικών δεδομένων, τους υπεύθυνους επεξεργασίας, που είναι οι πάροχοι υπηρεσιών υγείας και “ιδιοκτήτες” των δεδομένων, και τους εκτελούντες την επεξεργασία που είναι συνήθως τρίτοι εξωτερικοί συνεργάτες που μπορεί να έχουν αναλάβει τη διαβίβαση δεδομένων (π.χ εταιρεία φιλοξενίας των email ή διαφημιστική εταιρεία μάρκετινγκ). Ο HIPPA λοιπόν δεν απαγορεύει στους παρόχους υγείας να διαβιβάζουν σε εταιρείες μάρκετινγκ δεδομένα χωρίς τη συγκατάθεση των ασθενών σε αντίθεση με τον GDPR. Ο HIPPA ορίζει ότι ένας οργανισμός υγείας μπορεί να αποκαλύψει ένα “περιορισμένο σετ δεδομένων” σε εταιρεία μάρκετινγκ αποκρύπτοντας στοιχεία που ταυτοποιούν το φυσικό πρόσωπο άμεσα όπως π.χ τηλέφωνο. Αυτή η ελαστικότητα δεν συναντάται στον GDPR όπου ο οργανισμός υγείας για τη χρήση δεδομένων των ασθενών για διαφορετικούς σκοπούς π.χ μάρκετινγκ χρειάζεται και τη ρητή συναίνεση του ασθενούς για την επεξεργασία αυτή.
Παραβιάσεις Ασφαλείας:
Τόσο ο HIPAA όσο και ο GDPR προβλέπουν αυστηρές ποινές σε οργανισμούς που παραβιάζουν τις αρχές που θέτουν. Ωστόσο, υπάρχει μια σημαντική διαφορά στον τρόπο με τον οποίο αξιολογούνται οι παραβιάσεις αυτές. Σύμφωνα με τον GDPR, σε κάθε οργανισμό που παραβιάζει τις διατάξεις σχετικά με την ασφάλεια των προσωπικών δεδομένων ενδέχεται να επιβληθεί πρόστιμο, ενώ το περιστατικό παραβίασης ασφαλείας θα πρέπει να ανακοινωθεί στην αρμόδια εποπτική αρχή εντός 72 ωρών. Αντιθέτως, ο HIPAA προβλέπει ότι προκειμένου να υποστεί κυρώσεις κάποιος οργανισμός για παραβίαση ασφαλείας θα πρέπει να υφίσταται «σημαντική βλάβη» την οποία ο οργανισμός να μην μπορεί να αρνηθεί. Θέτει επίσης ως εξαίρεση τις περιόδους καταστροφών, όπως για παράδειγμα τον πρόσφατο τυφώνα “Harvey”. Επιπλέον, βάσει του HIPAA, οι πάροχοι υπηρεσιών υγείας έχουν στη διάθεσή τους έως και 364 ημέρες για να ενημερώσουν το υποκείμενο και την αρμόδια εποπτική αρχή για την παραβίαση ασφαλείας.