Combineer twee van de meest besproken onderwerpen op het gebied van consumentenbescherming – privacy van de gezondheid en door consumenten gegenereerde online-inhoud – en wat krijg je? A voorgestelde FTC-schikking met Practice Fusion, het grootste cloudgebaseerde bedrijf voor elektronische medische dossiers van het land, en zes nalevingstips voor anderen in de branche.
Een van de belangrijkste producten van Practice Fusion uit San Francisco is een elektronisch dossiersysteem voor poliklinische zorgverleners. In 2009 lanceerde het bedrijf ‘Patient Fusion’, een online portaal waar patiënten van wie de zorgverleners Practice Fusion al gebruikten, hun gezondheidsinformatie konden bekijken, downloaden of naar een andere zorgverlener konden sturen. Met Patient Fusion kunnen patiënten ook beveiligde berichten verzenden en ontvangen van hun providers.
Enkele jaren later besloot het bedrijf Patient Fusion uit te breiden met een openbare directory waar huidige en toekomstige ingeschrevenen artsen geografisch of op specialiteit konden zoeken, patiëntrecensies van zorgverleners konden lezen en afspraken konden aanvragen. Maar Practice Fusion moest zichzelf een vraag stellen die bij veel online bedrijven bekend is: hoe komen we aan de inhoud – in dit geval de beoordelingen van patiënten? Dat is de focus van de rechtszaak van de FTC.
Volgens de klachtPractice Fusion vroeg op een misleidende manier om gegevens, waardoor sommige patiënten dachten dat ze rechtstreeks vervolgberichten naar hun artsen stuurden over hun diagnose, medische behandeling, recepten, enz. – en geen inhoud bijdroegen aan een openbare website. Practice Fusion vulde zijn nieuwe site echter met de informatie die deze mensen verstrekten, waarvan een deel zeer gevoelig was.
Dit is wat er gebeurde. Na afspraken met hun artsen ontvingen patiënten e-mails met de titel ‘Hoe was uw bezoek?’ Het bericht vervolgde: “Laat ons weten hoe uw bezoek is verlopen om uw service in de toekomst te helpen verbeteren” en bevatte een link met beoordelingssterren. Het bericht eindigde als volgt:
Bedankt,
Dr. (naam)
In een voettekst stond het bericht: “Deze e-mail is naar u verzonden door Patient Fusion®, een hulpmiddel dat dokter (naam) gebruikt om de hoogste kwaliteit van zorg aan patiënten te leveren.” Daaronder stond in kleinere letters: “Verzonden namens het kantoor van dokter (naam) door: Practice Fusion.”
Als patiënten op de link klikten, werden ze naar een pagina geleid waar om feedback werd gevraagd over zaken als hoe lang ze moesten wachten op hun afspraak, de manier waarop de arts aan het bed lag en of er rekening werd gehouden met hun medische probleem.
Er was ook een tekstvak waarin patiënten werden uitgenodigd om ‘een beoordeling achter te laten voor uw zorgverlener’. Daaronder stond een vooraf aangevinkt vakje met de zin ‘Houd deze recensie anoniem’.
Wat stopten sommige mensen in die doos? Zeer gevoelige informatie die rechtstreeks aan hun artsen is gericht, en geen evaluaties die bedoeld zijn om openbaar te worden gedeeld. Hier zijn slechts enkele voorbeelden:
- “Dr. (naam), Mijn Xanax-recept dat ik maandag kreeg, was voor 1 tablet per dag, maar meestal zijn het 2 tabletten per dag. Ik ben er nog niet mee naar de apotheek gegaan. Kan ik een nieuwe ophalen, of kan ik een recept naar een apotheek laten bellen? Bedankt, (volledige naam van de patiënt)
- “Ik heb vandaag gebeld en een bericht achtergelaten over mijn dochter, maar niemand heeft teruggebeld. Ik denk dat ze depressief is en deze week verschillende keren heeft gezegd dat ze wenste dat ze dood was. Kan iemand mij alstublieft bellen (telefoonnummer)?”
- “De cefuroximaxetil lijkt niets voor mij te doen. Ik heb wat onderzoek gedaan en ik denk dat ik een schimmelinfectie heb die candida heet. Ik weet nog niet zeker wat ik eraan moet doen. Ik denk dat ik eerst zal proberen mijn dieet te veranderen. Medicatie? (volledige naam van de patiënt)
- “Ik wil graag een afspraak maken voor mijn rugpijn en mogelijke gordelroos. Kunt u mij alstublieft bellen op @ (telefoonnummer)? Bedankt! (volledige naam van de patiënt)”
- “IK HEB GEEN INFECTIE (naam van de zorgverlener). ALLES GING FIJN NA MIJN BEZOEK, DUS HET IS GAAN VOOR MIJN CHEMO-DAG….. BEDANKT HOPELIJK ZIEN IK JE MORGEN IN HET METHODISTISCHE ZIEKENHUIS….. BEDANKT… (volledige naam van de patiënt)”
In het kleinste en lichtste lettertype op de pagina stond: “Voor uw veiligheid, neem geen persoonlijke informatie op.” Maar de FTC zegt dat de aard van de informatie die sommige patiënten in de doos stoppen – volledige namen, telefoonnummers, ontvangen recepten of uitgevoerde procedures – erop wijst dat ze dachten dat ze vervolgvragen rechtstreeks naar het kantoor van hun arts stuurden.
Hoe zit het met het vooraf aangevinkte vakje ‘Deze recensie anoniem houden’? Volgens de FTC werd niet geanonimiseerd wat de patiënt schreef. In plaats daarvan beïnvloedde het alleen of het op de openbare Patient Fusion-site zou verschijnen onder de handle “Anoniem” of met de voornaam van een patiënt.
De FTC zegt dat dit ongeveer een jaar heeft geduurd totdat er een artikel verscheen Forbes benadrukte de gevoelige aard van sommige opmerkingen en vragen uit de tekstvakken die op Patient Fusion zijn gepubliceerd. Op dat moment heeft het bedrijf geautomatiseerde procedures ingevoerd om het plaatsen van recensies te voorkomen waarbij consumenten persoonlijke gegevens hadden ingevoerd.
In één telling klachtbeweert de FTC dat Practice Fusion uitdrukkelijk of impliciet heeft aangegeven dat de antwoorden op de enquête zouden worden meegedeeld aan de zorgaanbieder van de consument, maar niet op adequate wijze heeft bekendgemaakt dat zij de antwoorden ook openbaar zou publiceren. Volgens de FTC zou dit feit van wezenlijk belang zijn geweest voor consumenten bij de beslissing of en hoe ze op de enquête zouden reageren.
Om de zaak te beslechten, heeft Practice Fusion ermee ingestemd geen verkeerde voorstelling te geven van de mate waarin zij de privacy en vertrouwelijkheid van de gedekte informatie gebruikt, onderhoudt en beschermt. Als het bedrijf bovendien de gedekte informatie van consumenten openbaar wil maken, moet het eerst: 1) duidelijk en opvallend aan de consument bekendmaken – afzonderlijk en afgezien van een privacybeleid, pagina met gebruiksvoorwaarden of een soortgelijk document – zijn voornemen om de informatie openbaar te maken; en 2) de uitdrukkelijke, bevestigende toestemming van de consument verkrijgen.
De voorwaarden van de schikking alleen van toepassing op Practice Fusion, maar er zijn lessen die anderen in de branche kunnen leren.
Als er sprake is van persoonlijke gezondheidsinformatie, ga er dan bijzonder voorzichtig mee om. Consumenten maken zich zorgen over de vertrouwelijkheid van hun gezondheidsinformatie, en daar hebben ze goede redenen voor. Gezien wat er op het spel staat, zijn leden uit de sector zich bewust van de noodzaak tot voorzichtigheid.
Leg uw bedoelingen uit. Ga er vooral bij nieuwe producten en diensten niet van uit dat consumenten jouw expertise delen. Wees duidelijk in uw uitleg en gebruik eenvoudige woorden om uit te leggen wat u met hun gegevens wilt doen.
Vraag de uitdrukkelijke toestemming van consumenten voordat u gevoelige informatie openbaar maakt. Bedrijven die geïnteresseerd zijn in het winnen van loyale klanten (en uit het juridische drijfzand blijven) vragen consumenten om toestemming voordat ze persoonlijke gegevens vrijgeven en wachten op een duidelijk ‘ja’ voordat ze verder gaan. Als er sprake is van gezondheidszorginformatie, is het niet het moment om op de hak te nemen met negatieve opties of andere minder dan duidelijke toestemmingsmethoden.
Openbaarmakingen moeten consumenten bereiken en grijpen. IT in de gezondheidszorg trekt bedrijven aan die misschien niet bekend zijn met de aanpak van de Commissie. Daarom hier wat FTC 101: Als het vrijgeven van informatie noodzakelijk is om misleiding te voorkomen, moet deze duidelijk en opvallend zijn. Voor de FTC is ‘duidelijk en opvallend’ een prestatienorm, geen lettergrootte. De kans is groot dat voetnoten in kleine letters, dichte tekstblokken, dubbelzinnig jargon of obscure hyperlinks niet volstaan. Dus als bedrijven informatie openbaar moeten maken, hoe kunnen ze deze dan duidelijk en opvallend maken? Hier is een vuistregel: overweeg dezelfde opvallende methoden die u routinematig gebruikt als u echt de aandacht van een potentiële klant wilt trekken: afbeeldingen, kleur, grote letters, opvallende plaatsing, duidelijke bewoordingen, enz.
Begraaf belangrijke feiten niet in een moeilijk te begrijpen privacybeleid. Je wilt de klacht voor de details, maar nadat Practice Fusion de resultaten van consumentenenquêtes begon te verzamelen om te posten, veranderde het wat het zei in zijn privacybeleid, maar maakte het de informatie niet duidelijk openbaar op de enquêtepagina zelf. Natuurlijk moeten het privacybeleid en de gebruiksvoorwaardenpagina’s van bedrijven nauwkeurig en begrijpelijk zijn, maar het is onverstandig om op die pagina’s te vertrouwen als het exclusieve middel om cruciale details over te brengen – bijvoorbeeld dat u van plan bent gevoelige gezondheidsinformatie van consumenten openbaar te maken.
Raadpleeg FTC-bronnen voor bedrijven. Bedrijven die alleen aan HIPAA gewend zijn, zijn wellicht minder bekend met de aanpak van de FTC. Bezoek de Zakencentrum voor compliance-fundamentals. Bijvoorbeeld, .com-openbaarmakingen: hoe u effectieve openbaarmakingen maakt in digitale advertenties vertelt over hoe u belangrijke informatie online duidelijk kunt overbrengen. De Interactieve tool voor mobiele gezondheidsapps kan u helpen erachter te komen welke federale wetgeving (en dit kunnen er meer dan één zijn) op uw bedrijf van toepassing is. En Ontwikkelaars van mobiele gezondheidsapps: FTC Best Practices biedt een introductie tot goede privacy en veiligheid.
De FTC accepteert tot 8 juli 2016 publieke opmerkingen over de voorgestelde schikking met Practice Fusion.
