Google et Ascension semblent être dans des cargaisons d’eau chaude sur leur projet secret de partage de données médicales sur les patients qui implique des dizaines de millions de patients. Un jour après que le Wall Street Journal a publié son exposé, dont nous avons discuté hier, le ministère de la Santé et des Services sociaux, normalement complaisant, s’est réveillé pour ouvrir une enquête. Les créateurs du Congrès sont également en colère.
Et s’il le souhaite, HHS peut abaisser le marteau sur Ascension et Google. Le Guardian rapporte que Google et Ascension ont signé un accord quelques heures après que le Journal a dévoilé son histoire. C’est une preuve prima facie que chaque bit de données sur les patients que Ascension a remis à Google était une violation flagrante des dispositions de la HIPAA en matière de confidentialité. Et comme nous le montrerons plus loin, des documents divulgués montrent que le partage de données s’est bien passé.
Sous HIPAA Ascension peut partager les données des patients avec des partenaires commerciaux « uniquement si
Il y a un contrat en place
Il y a un objectif envisagé par la HIPAA pour la fourniture de données
L’accord garantit que l’associé commercial mettra en œuvre des pratiques pour assurer la conformité à la HIPAA.
Un peu difficile de faire tout cela sans contrat.
Enfin, nous verrons pourquoi les dossiers de santé électroniques et l’idée d’appliquer l’IA aux données médicales sont un rêve de pipe depuis des décennies et cette situation ne devrait pas changer de si tôt. Le meilleur remède pour les patients ayant des antécédents médicaux complexes serait pour eux d’avoir des droits beaucoup plus forts sur leurs données, y compris en exigeant par défaut des fournisseurs médicaux de fournir des copies électroniques des résultats des tests et des changements de médicaments sous forme électronique aux patients rapidement après chaque visite.
Pourquoi HHS peut clouer Ascension et Google
Ce qui s’est passé entre Google et Ascension est plus effronté que je ne l’imaginais, et j’ai une imagination active. D’abord un bref examen et une mise à jour sur l’état des lieux, en commençant par les points forts du post d’hier sur l’histoire de blockbuster de Google:
Le Wall Street Journal a percé une histoire importante sur l’incursion de Google dans l’arène médicale Sans en informer les patients ou les médecins, et encore moins obtenir leur consentement, le géant de la recherche a obtenu les dossiers médicaux de dizaines de millions de personnes »dans 21 États, tous patients of Ascension, une chaîne de 2600 hôpitaux basée à Saint-Louis.
De plus, vous pouvez voir que l’effort est agressif, dans le but de générer des antécédents médicaux des patients, de relier les individus aux membres de la famille, et de faire des suggestions de personnel et de traitement … ainsi que d’identifier les opportunités de mise à jour et d’autres façons de traire les patients.
Les données impliquées dans l’initiative englobent les résultats de laboratoire, les diagnostics des médecins et les dossiers d’hospitalisation, entre autres catégories, et constituent un historique de santé complet, y compris les noms des patients et les dates de naissance.
Ni les patients ni les médecins n’ont été informés. Au moins 150 employés de Google ont déjà accès à une grande partie des données sur des dizaines de millions de patients, selon une personne proche du dossier et des documents.
Ascension et violations flagrantes de la réglementation de Google
Un régulateur fédéral a ouvert une enquête sur le projet «Nightingale» de Google et d’Ascension, rassemblant les informations détaillées sur la santé de millions de patients.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux cherchera à en savoir plus sur cette collecte massive de dossiers médicaux individuels pour garantir que les protections HIPAA sont pleinement mises en œuvre », a déclaré le directeur du bureau, Roger Severino, dans un communiqué à Wall Street. Journal…
Au cours des derniers mois, des dizaines de millions d’enregistrements ont été partagés avec Google, selon les personnes et les documents. Les autres sont en route.
La nouvelle destination des données est le cloud de Google parent Alphabet Inc., essentiellement un stockage de données et de logiciels servi et accessible à distance, y compris par certains employés du géant de la recherche.
Une histoire de Guardian aujourd’hui, qui comprenait un lien vers la vidéo de dénonciation que nous avons intégrée ci-dessous, a un factoïde d’une importance cruciale qui fait de cette enquête HHS un slam dunk si l’agence choisit de l’utiliser:
L’accord entre Google et Ascension pour aller de l’avant avec le transfert de données a été officiellement signé lundi, quelques heures après que le Wall Street Journal a dévoilé l’histoire.
Hein? D’importantes quantités de données ont déjà été transférées et, pire encore, les employés de Google ont accès aux données des patients. Quels étaient les adultes superviseurs de Google et d’Ascension qui fumaient? Ou pensaient-ils que commémorer leur compréhension les obligerait à mettre par écrit des choses qui ne valaient pas la peine d’être admises? Quoi qu’il en soit, vous ne pouvez pas faire des projets de cette envergure sur un clin d’œil et un signe de tête. Cela seul devrait être la raison de licencier tout le monde à Ascension en tant que décisionnaire impliqué dans ce schéma. Cela comprend leur avocat général et PDG; la vidéo de dénonciation ci-dessous indique que le projet est parrainé aux niveaux Directeur, VP, SVP, EVP et PDG d’Ascension et de Google.
La règle de confidentialité autorise les prestataires couverts et les plans de santé à divulguer des informations médicales protégées à ces partenaires commerciaux »si les prestataires ou les plans obtiennent des assurances satisfaisantes que le partenaire commercial utilisera les informations uniquement aux fins pour lesquelles elles ont été engagées par l’entité couverte, protéger les informations contre toute utilisation abusive et aidera l’entité couverte à se conformer à certaines des obligations de l’entité couverte en vertu de la règle de confidentialité. Les entités couvertes peuvent divulguer des informations médicales protégées à une entité dans son rôle d’associé commercial uniquement pour aider l’entité couverte à s’acquitter de ses fonctions de soins de santé – pas pour l’usage ou les fins indépendants de l’associé commercial, sauf si cela est nécessaire pour la bonne gestion et l’administration de l’associé.
Disposition générale. La règle de confidentialité exige qu’une entité couverte obtienne de son associé une assurance satisfaisante que l’associé protégera de manière appropriée les informations de santé protégées qu’elle reçoit ou crée au nom de l’entité couverte. Les assurances satisfaisantes doivent être fournies par écrit, que ce soit sous la forme d’un contrat ou d’un autre accord entre l’entité visée et l’associé.
Contrats d’associé commercial. Le contrat ou tout autre accord écrit d’une entité couverte avec son associé doit contenir les éléments spécifiés au 45 CFR 164.504 (e). Par exemple, le contrat doit: décrire les utilisations autorisées et requises des informations médicales protégées par l’associé; Prévoir que l’associé n’utilisera pas ou ne divulguera pas davantage les informations de santé protégées autrement que dans la mesure permise ou requise par le contrat ou tel que requis par la loi; et exiger de l’associé commercial qu’il utilise des mesures de protection appropriées pour empêcher une utilisation ou une divulgation des informations de santé protégées autres que celles prévues par le contrat. Lorsqu’une entité couverte a connaissance d’une violation importante ou d’une violation par l’associé commercial du contrat ou de l’accord, l’entité couverte est tenue de prendre des mesures raisonnables pour remédier à la violation ou mettre fin à la violation et, si ces mesures échouent, de résilier le contrat. ou arrangement. Si la résiliation du contrat ou de l’accord n’est pas possible, une entité couverte est tenue de signaler le problème au Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux (HHS). Veuillez consulter notre exemple de contrat de partenaire commercial
Alors, qu’en est-il du contrat? Ascension et Google n’ont-ils pas compris? Ou est-ce que toutes les dispositions du contrat doivent être stipulées, notamment en interdisant l’utilisation des informations sur les patients pour le propre usage de Google, ce que Google n’a pas voulu s’engager? Vous pouvez voir pourquoi il était dans l’intérêt de Google de continuer à jouer au Big Data Hoover et à engloutir toutes les informations sur les individus qu’il pourrait obtenir. Mais quelles faveurs sexuelles ont été échangées pour que les dirigeants de l’Ascension violent de manière aussi flagrante la loi et leurs obligations éthiques envers les patients et les médecins?
Oh, et à part le propre compte du Journal, que Google et Ascension ne semblent pas avoir contesté, le lanceur d’alerte a créé sa propre petite vidéo avec des captures d’écran et des commentaires sur les documents du projet. Vous pouvez en déduire que le lanceur d’alerte est de l’Ascension. Je ne peux pas obtenir l’audio dans aucun de mes navigateurs, mais les images étaient suffisantes:
Je vous invite à le regarder dans son intégralité, mais voici quelques captures d’écran qui montrent clairement que le système de Google est fondamentalement en contradiction avec les règles de confidentialité des patients, même pas très robustes en Amérique:
Soulignons que Google monétise les données des patients est un non-non absolu. Les rédacteurs de HIPAA n’auraient jamais pu imaginer les horreurs que Google adorerait infliger aux patients, comme développer des profils afin de pouvoir plus tard les bombarder d’annonces ciblées sur leurs problèmes de santé spécifiques. Mais vous pouvez parier que c’est exactement le genre de chose qu’ils ne toléreraient pas.
La vidéo exprime d’autres préoccupations, à savoir que les données individuelles nues des patients n’ont jamais été stockées sur le cloud en raison de risques de sécurité et sont déjà en cours ici, y compris avec les noms des patients et des liens vers les résultats des tests, 1 The Guardian a clairement indiqué que dans l’autre, plus petit projets de données médicales, les données médicales étaient cryptées, et seule l’organisation de soins de santé possédait les clés Même en Alabama soi-disant rétrograde, les images médicales envoyées par e-mail et les données des tests doivent être cryptées.
Next Post : Lisbonne pour se balader en paix
