Un lecteur du Washington Post m’a demandé d’enquêter sur une forme juridique qu’Amazon demande aux nouveaux patients de la clinique d’accepter. Alors je me suis inscrit. Ce « consentement » n’est pas un avis standard de cabinet médical détaillant la manière dont ils se conforment aux lois sur la protection de la vie privée. HIPAA, ou la Loi sur la portabilité et la responsabilité en matière d’assurance maladie. Cela garantit que votre médecin protège vos informations de santé et ne les partage que dans des circonstances très spécifiques.
Ce formulaire Amazon demande quelque chose d’encore plus extraordinaire : “Utilisation et divulgation des informations de santé protégées”. Il permet à Amazon de conserver votre “dossier patient complet” et note que les informations “peuvent être re-divulguées” après quoi elles ne sont “plus protégées par HIPAA”.
Attends, tu es d’accord ? Amazon fait essentiellement pression sur les gens pour qu’ils renoncent à certaines de leurs protections fédérales de la vie privée, ont déclaré des avocats Centre d’information électronique sur la confidentialité que j’ai demandé à visiter. Amazon est tenu par la loi de dire que c’est volontaire – mais en réalité, vous devez accepter d’être un patient dans sa clinique. Il n’y a qu’un seul bouton sur lequel cliquer : “Continuer”.
Amazon affirme que nos données sont protégées par ses pratiques de confidentialité. Il dit qu’il “a besoin de l’approbation HIPAA pour aider à coordonner les futurs services de santé d’Amazon”, car sa clinique est le seul logiciel utilisé par les prestataires de soins de santé externes.
Peu importe : nous, les utilisateurs et les patients, voulons que nos données intimes soient verrouillées par la loi, sans faute pour les entreprises technologiques. Le problème est que les règles de confidentialité américaines sont aussi excessives que la technologie – contrairement à l’Europe – ne s’appliquent pas à de nombreuses situations de santé et réglementent des acteurs spécifiques du système plutôt que des informations.
“Les gens pensent souvent que HIPAA suit les données, mais HIPAA commence en fait par des entités couvertes et est limité dans la façon dont il suit les données”, a déclaré Melanie Fontes Reiner, directrice du Bureau des droits civils du ministère de la Santé et des Services sociaux, qui est principalement responsable pour le maintien de l’ordre HIPAA. Il a refusé de commenter spécifiquement la clinique Amazon.
Le fondateur d’Amazon, Jeff Bezos, est propriétaire du Washington Post, mais j’examine toutes les technologies avec le même œil critique.
Amazon pousse plus loin dans les soins de santé avant de pouvoir gagner notre confiance en tant que gardiens de données hautement sensibles, et ces manigances n’aident pas. L’année dernière, Amazon a également acheté le fournisseur de soins primaires One Medical. Je me demande : quand commencera-t-il à autoriser de nouvelles utilisations de nos données de santé pour un patient médical comme moi ?
“Amazon a l’habitude d’utiliser des fonctionnalités de conception complexes et labyrinthiques pour empêcher les utilisateurs d’utiliser des options de protection de la vie privée”, a déclaré Sara Geoghegan, avocate chez EPIC. “C’est ce qui semble se produire ici.”
La promesse rose d’Amazon
Il y a beaucoup en jeu. Amazon Clinic vous demande de saisir des informations vraiment personnelles, y compris des descriptions et des photographies de conditions telles que la perte de cheveux, les boutons de fièvre et le petit doigt. En discutant avec l’un de ses partenaires cliniques via le site Web d’Amazon, vous pouvez même demander une contraception d’urgence.
Qu’est-ce qui pourrait mal se passer? Il existe un certain nombre de façons simples pour Amazon d’utiliser vos informations de santé : pour vous vendre d’autres services, pour cibler le marketing de son activité publicitaire massive ou pour créer des modèles d’intelligence artificielle ou de risque pour le patient.
Lorsque j’ai demandé à Amazon d’être clair sur ce qu’il fait – et ne fait pas – avec les données des patients, la porte-parole Christina Smith a envoyé un e-mail : “Nous n’utilisons pas les données des clients à des fins auxquelles les clients n’ont pas consenti.”
Mais l’autorisation HIPAA d’Amazon est remarquablement vague sur ce à quoi nous consentons. Il dit qu’il utilisera les données “pour faciliter les services d’autres fournisseurs”. Cela pourrait signifier divulguer nos informations à d’autres prestataires médicaux – ou cela pourrait signifier les divulguer à toute entreprise qui souhaite nous servir.
Lorsque j’ai demandé à Amazon d’être précis, Smith a déclaré: «Nous ne vendons pas de données à qui que ce soit. L’autorisation HIPAA d’Amazon Clinic ne nécessite pas de consentement pour l’utilisation et la divulgation [personal health information] HIPAA est à des fins de marketing, et nous n’utilisons pas les données de cette façon.”
Amazon ne fait pas cette promesse Confidentialité pour sa clinique.
Pour être clair, je n’ai aucune preuve qu’Amazon ait fait quoi que ce soit de néfaste avec ces données. Après m’être inscrit à la clinique, avoir consenti à son approbation et payé 30 $ pour de l’aide pour les allergies saisonnières, je n’ai pas été soudainement bombardé de publicités associées à mon diagnostic.
Mais nous n’avons pas besoin d’attendre que les abus cessent ou de laisser les entreprises établir leurs propres règles sur la manière de protéger nos informations les plus sensibles.
“Il est certain qu’Amazon peut faire ce qu’il veut avec les données si un patient clique sur” OK “, indépendamment de ce que prétend l’entreprise”, a déclaré Andrea Downing, cofondatrice du groupe de défense des droits numériques Patients. Le Collectif Lumière. “Qu’il s’agisse de soigner une maladie sexuellement transmissible, un rhume ou une infection des voies urinaires, les patients veulent un soulagement et des soins abordables, ne vous laissez pas tromper en renonçant au droit à la vie privée.”
Un porte-parole d’Amazon a déclaré: “Les spéculations sur les abus potentiels peuvent créer des colonnes médiatiques intéressantes, mais ce genre de théories sans fondement ignore complètement l’importance qu’Amazon accorde à la protection de ses relations avec les clients et les partenaires qui nous ont guidés depuis le premier jour.”
Nous sommes juste censés faire confiance à Amazon. Mais cette même entreprise, après avoir garanti la confidentialité, a trouvé les travailleurs Alexa écoute l’enregistrement Des maisons des gens, et des clips vidéo de caméras en anneau ont été remis à la police sans l’accord des propriétaires.
Geoghegan d’EPIC déclare : « Nous n’avons plus besoin d’une promesse en rose de la part d’une entreprise technologique qu’elle protégera nos données. “Nous avons besoin de limites significatives sur les données qu’ils peuvent collecter et utiliser.”
HIPAA ne protège pas autant que vous pourriez le penser
Comment est-il valide ? Tout d’abord, Amazon revendique un statut différent en vertu de la HIPAA que le bureau du médecin de votre quartier. Il affirme que sa clinique est un fournisseur de logiciels de vitrine pour des prestataires de soins de santé externes tels que HealthTap – et non un prestataire de soins de santé lui-même. La clinique n’est donc pas une clinique. J’ai compris?
Cela signifie qu’Amazon n’est qu’un partenaire commercial des prestataires de soins de santé, ce qui limite l’utilisation des données des patients. (C’est quelque chose comme le logiciel de visioconférence Zoom, un partenaire commercial utilisé par les médecins pour la télémédecine.) Mais Amazon veut pouvoir faire plus. L’exemple qu’il m’a donné : si l’un de ses prestataires de soins de santé quitte la clinique, il souhaite réassocier rapidement le client à un autre fournisseur Amazon et transférer les données médicales du patient.
HIPAA permet spécifiquement aux entreprises de demander des divulgations qui ne sont généralement pas autorisées. Par exemple, HIPAA exige une autorisation pour divulguer des informations sur la santé pour la plupart des types de marketing. (L’année dernière, j’ai écrit à propos d’une société appelée Freesia qui fabrique un logiciel d’enregistrement au cabinet du médecin ; il utilise une approbation pour montrer aux patients des publicités ciblées pour des traitements avant qu’ils ne voient un médecin.)
La signature d’une autorisation n’est pas une “renonciation” à vos droits, mais vous acceptez de divulguer vos données à des fins supplémentaires, auquel cas cela renonce aux protections de la HIPAA, a déclaré Fontes Renner du HHS.
Mais HIPAA dit également que vous ne pouvez pas conditionner le traitement à la signature ou non d’une autorisation. Sur le formulaire d’Amazon, il est indiqué que si vous refusez de signer, vous pouvez obtenir le service de l’un de ses partenaires de soins de santé en “contactant” directement. Il propose ensuite un lien vers leur site Web et leurs numéros de téléphone.
Je l’ai fait. Pour mon traitement contre les allergies, que j’ai obtenu d’Amazon pour 30 $, je dois payer à HealthTap au moins 101 $, y compris les frais d’abonnement trimestriels. (HealthTap offre un service beaucoup plus personnalisé directement aux patients qu’Amazon Clinic, y compris des consultations vidéo de 15 minutes avec un médecin.)
Mais c’est à peine un coût équivalent pour ceux qui ne veulent pas consentir. Cela pourrait-il être une violation de la loi HIPAA ? Geoghegan d’EPIC dit que c’est controversé. Mais il devrait rencontrer la Federal Trade Commission, qui examinerait si c’était injuste ou trompeur. apporté Des cas allant dans ce sens Dans le passé.
“Pour faire un choix vraiment éclairé sur ce formulaire de consentement actuel, vous auriez besoin d’un diplôme en droit, de beaucoup de temps et d’attention supplémentaires pour lire les petits caractères des lacunes de la HIPAA”, déclare Downing.
Je suis aussi frustré par nos législateurs que par Amazon. HIPAA a été écrit en 1996 principalement pour rendre les dossiers médicaux portables, à une époque où beaucoup étaient stockés dans des dossiers sur des étagères. Pas étonnant que la loi ne puisse pas suivre le rythme de l’activité numérique de collecte de données de santé. HIPAA ne couvre pas la richesse croissante des données corporelles collectées par l’Apple Watch et même la recherche Google.
Quelques bonnes nouvelles : la semaine dernière, Washington est devenu l’un des premiers États à adopter des protections des informations sur la santé qui limitent la capacité des entreprises technologiques à collecter et à vendre nos informations sur la santé.
Si vous êtes un patient de la clinique Amazon et que vous craignez maintenant un peu ce que vous avez accepté, il y a d’autres bonnes nouvelles. Amazon est au moins tenu par la loi de vous permettre de retirer votre consentement. Bien sûr, ils finiront par faire beaucoup plus que ce qu’ils avaient convenu au départ. doit être téléchargé C’est la listeEnsuite, envoyez-le physiquement par courrier ou par fax à l’avocat général d’Amazon.