La FTC propose des modifications à la règle de notification des atteintes à la santé

Le 18 mai 2023, la Federal Trade Commission a annoncé qu’elle sollicitait des commentaires sur les modifications proposées à la règle de notification des atteintes à la santé (la « règle »). La règle exige que les vendeurs de dossiers de santé personnels (« PHR »), les entités liées aux PHR et les prestataires de services de ces entités, informent les consommateurs et la FTC (et, dans certains cas, les médias) en cas de violation de données identifiables non sécurisées. informations sur la santé, y compris les intrusions dans la cybersécurité et d’autres cas d’accès non autorisé. En clarifiant la portée et l’applicabilité de la règle et en modernisant les méthodes de notification autorisées, les modifications proposées visent à mettre à jour la règle pour tenir compte des changements technologiques depuis la publication de la règle, qui comprend la prolifération des applications de santé et des appareils connectés, et l’émergence d’un vaste marché des données de santé.

Plus précisément, les modifications proposées par la FTC : (1) clarifieraient le champ d’application de la règle, en révisant plusieurs définitions pour expliquer l’applicabilité de la règle aux applications de santé et aux technologies similaires non couvertes par l’HIPAA ; (2) modifier la définition de « atteinte à la sécurité » pour préciser qu’elle inclut les atteintes à la sécurité des données et les divulgations non autorisées ; (3) réviser la définition d’« entité liée aux PHR » pour clarifier que seules les entités qui accèdent ou envoient des informations de santé identifiables aux PHR non sécurisées vers un dossier de santé personnel sont considérées comme des entités liées aux PHR ; (4) clarifier ce que cela signifie pour un fournisseur de dossiers de santé personnels de tirer des informations de santé identifiables PHR de plusieurs sources ; (5) moderniser les méthodes autorisées d’avis aux consommateurs en autorisant l’utilisation élargie du courrier électronique et d’autres avis électroniques ; (6) élargir le contenu requis des avis aux consommateurs ; et (7) améliorer la lisibilité de la règle.

Les commentaires du public sur les modifications seront dus 60 jours après la publication des modifications dans le Federal Register.