去除身份標誌的患者醫療資訊共用是合法的
只要去除身份標誌資訊, 資料分享就不違背美國《健康保險攜帶及責任法案》(Health Insurance Portability and Accountability Act, HIPAA)的隱私和安全規定。
“即使是少量的特定疾病患者資料, 如果公司需要, 價值也非常之高。 ” 諾基亞成長夥伴基金(Nokia Growth Partners Capital, NGP Capital)合夥人約翰·加德納(John Gardner)如是說。
這些資料來自於協力廠商公司, 以Iqvia為例, 它已與世界範圍內超過12萬個資源點達成協議, 獲取匿名患者資料。 Iqvia目前在100多個市場有超過5.3億份去除身份標誌的患者資料, 這使其2017年收益達80億美元。 據Iqvia首席隱私官基姆·格雷(Kim Gray)說, 其資料來源包括供應商、付款人和藥店。 她補充道, Iqvia很少從電子醫療記錄(Electronic Health Record, EHR)供應商那裡獲取資料。
EHR供應商有權銷售醫療系統患者資料
即使有來源於醫院的患者資料, 它們也已經技術合作夥伴進行過技術處理。 醫療系統的供應商合同有時會包含授權供應商協助進行資料轉讓的條例, PA諮詢(PA Consulting)醫療業務資深負責人奈爾什·錢德拉(Nilesh Chandra)如是說。
雖然醫療系統自身是其患者資料的所有者, 但EHR供應商在法律及技術上仍具有很大的控制權。 事實上, 很難去判斷是哪些供應商在向協力廠商公司出售其患者資料。
“電子醫療記錄供應商聚集醫療服務資料,
例如, 美國電子醫療記錄公司Practice Fusion的供應商使用者協議就包含此類條例, 授權其“以任何不受限目的”出售去除身份標誌資訊的權利。 據亞當·坦納在其著作中所述, 該公司的縱向資料集銷售價格可達5萬到200萬美元。
並非所有供應商都會出售醫療資料或在合同中設立上述條款。 例如, 據公司發言人說, 美國醫療資訊技術公司Epic系統(Epic Systems Corp.)就是其中一員。
目前沒有患者資料銷售行為的公司, 並不代表將來也不會這麼做。 “他們在考慮借此擴展其商業模式, 充分利用資料優勢。 ”斯科特·科萊薩爾補充說, 這是戰略性決策, 因為供應商明白, 隨著小型應用佔據更多市場, 其企業應用的必要性在日益降低。
患者資料隱私安全保護仍是重中之重
隨著更多企業進入資料共用市場, 越來越多的患者資料面臨洩露風險, 影響患者安全及隱私。 “雖然有匿名處理, 將醫療資料與其它可用記錄進行比對合併, 仍可能識別出患者身份。 ”喬治·華盛頓大學醫療資訊專案線上碩士學位教育主任薩姆·漢娜(Sam Hanna)如是說。
漢娜以Cambridge Analytic資訊洩露事件為例說明了患者資料的可識別性。
如何使資料難以再識別, 醫療機構同樣應就這一問題進行研究。 美國衛生協會(National Health Council)政府事務及政策副會長Eric Gascho說, “這是最令人擔憂的。 ”
即使患者資料的使用目的是積極的, 如科研及精准醫學, 仍舊存在風險。
“利用患者資料進行調研或開發針對性治療方案, 這非常棒。 但若落入目的不單純的機構手中, 後果不堪設想。 ”漢娜如是說。 因而, 持有患者資料的醫療機構應注重實施保護措施, “在資料隱私和資料使用之間保持平衡狀態”。