Semua jaringan apotek besar memberikan rekam medis kepada pemerintah tanpa surat perintah
(techdirt.com)- Investigasi Kongres mengungkap praktik jaringan apotek besar di AS yang menyerahkan rekam medis sensitif kepada lembaga penegak hukum atas permintaan mereka tanpa mensyaratkan surat perintah
- CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid, dan Amazon Pharmacy dapat memberikan informasi yang mungkin mencakup riwayat penggunaan obat resep dan kondisi medis hanya dengan subpoena
- CVS, Kroger, dan Rite Aid menjawab bahwa mereka bahkan tidak melakukan tinjauan hukum atas subpoena dari lembaga pemerintah, sehingga prosedur untuk menilai legalitas permintaan tersebut sangat lemah
- HIPAA mencegah pengungkapan tanpa izin kepada pihak swasta, tetapi permintaan dari lembaga penegak hukum dapat diperlakukan sebagai pengecualian required by law, sehingga sulit mencegah pemberian data tanpa surat perintah
- Senator Ron Wyden serta anggota DPR Pramila Jayapal dan Sara Jacobs mendesak HHS untuk memperkuat aturan HIPAA agar apotek diwajibkan meminta surat perintah
Area abu-abu rekam medis yang diciptakan oleh prinsip pihak ketiga
- Perlindungan Amendemen Keempat Konstitusi AS sering kali bekerja lemah di hadapan Third Party Doctrine
- Informasi yang dibagikan seseorang dengan perusahaan swasta dalam beberapa kasus dapat diperoleh pemerintah tanpa surat perintah, terlepas dari apakah pembagian itu dilakukan secara sukarela atau tidak
- Karena itu, terus ada rancangan undang-undang untuk menambahkan perlindungan Amendemen Keempat pada data lokasi ponsel yang dikumpulkan aplikasi, serta pembahasan di pengadilan dan Kongres untuk menyesuaikan prinsip pihak ketiga
- Pemerintah berupaya mendapatkan sebanyak mungkin informasi tanpa melalui peninjauan yudisial, sementara perusahaan swasta dapat menilai bahwa menyerahkan informasi lebih menguntungkan dari sisi biaya daripada menggugat permintaan pemerintah di pengadilan
Praktik jaringan apotek besar yang memberikan data tanpa surat perintah
- Dalam investigasi Kongres yang dibahas oleh Ars Technica, terkonfirmasi bahwa operator apotek ritel besar di AS telah memberikan data medis sensitif kepada pemerintah tanpa benar-benar meminta surat perintah
- Apotek yang diselidiki adalah 8 pihak berikut
- CVS Health
- Walgreens Boots Alliance
- Cigna
- Optum Rx
- Walmart Stores, Inc.
- The Kroger Company
- Rite Aid Corporation
- Amazon Pharmacy
- Semuanya menjawab bahwa mereka tidak memerlukan surat perintah ketika lembaga penegak hukum meminta catatan yang dapat mencakup riwayat penggunaan obat resep atau kondisi medis seseorang
- Sebagai gantinya, mereka memberikan informasi hanya dengan subpoena, yang dapat diterbitkan oleh lembaga pemerintah dan tidak memerlukan peninjauan atau persetujuan hakim
Perbedaan ada tidaknya tinjauan hukum
- CVS, Kroger, dan Rite Aid menjawab kepada Kongres bahwa mereka tidak melakukan tinjauan hukum atas subpoena dari lembaga pemerintah
- Jaringan-jaringan ini tampaknya menganggap permintaan yang mencantumkan nama pemerintah sebagai permintaan yang sah
- Jaringan apotek lainnya setidaknya melibatkan pengacara dalam proses penanganan permintaan data
Mengapa HIPAA tidak menjadi perisai yang cukup
- HIPAA adalah undang-undang yang mencegah informasi medis diungkapkan tanpa persetujuan kepada pihak swasta yang tidak berwenang
- Permintaan dari lembaga penegak hukum umumnya diperlakukan sebagai bagian dari pengecualian required by law
- Pengecualian ini dapat berlaku meski pengacara perusahaan apotek tidak meninjau permintaan tersebut, atau meski belum jelas apakah permintaan atas informasi medis sensitif itu benar-benar sah
- Tanpa perubahan undang-undang sekalipun, salah satu solusi yang disebutkan adalah HHS mengubah aturan HIPAA dengan memberi presumsi privasi pada data tersebut
Tuntutan anggota parlemen kepada HHS
- Senator Ron Wyden serta anggota DPR Pramila Jayapal dan Sara Jacobs mengirim surat kepada Menteri HHS Xavier Becerra untuk meminta penguatan aturan HIPAA
- Surat itu menyatakan bahwa apotek harus meminta surat perintah, dan jika lembaga penegak hukum meminta rekam medis pasien hanya dengan subpoena, mereka harus diwajibkan meminta pengadilan untuk menegakkannya
- Kasus privasi email tahun 2010 juga disajikan sebagai pembanding
- Setelah sebuah pengadilan banding federal mengakui adanya ekspektasi privasi yang wajar terhadap email, penyedia email gratis besar seperti Google, Yahoo, dan Microsoft mulai meminta surat perintah sebelum mengungkapkan email
- Para anggota parlemen pertama kali memberi tahu Becerra pada Juli bahwa setelah putusan Dobbs pada Juni 2022, HHS perlu menyiapkan perlindungan yang lebih kuat untuk mencegah orang yang memperoleh produk kontrasepsi dituntut pidana
Janji transparansi dan isu yang tersisa
- Beberapa perusahaan berjanji akan lebih transparan mengenai kerja sama dengan pemerintah
- CVS, Walgreens, dan Kroger berjanji akan menerbitkan laporan berkala tentang permintaan data dari pemerintah
- Amazon melangkah lebih jauh dengan memberi tahu pelanggan ketika pemerintah meminta data pelanggan
- Catatan resep adalah informasi yang dilindungi oleh hukum federal dari orang lain yang tidak diizinkan secara eksplisit oleh pasien
- Masih ada persoalan bahwa pemerintah tidak semestinya memperlakukan catatan resep pelanggan seperti buku terbuka dengan alasan prinsip pihak ketiga
- Perubahan dapat terjadi melalui langkah sukarela dari apotek dan pemerintah, atau melalui mandat legislasi
1 komentar
Komentar Hacker News
Saya pernah bekerja di penyelidikan khusus obat pereda nyeri narkotik, dan semua obat resep yang digunakan bukan untuk tujuan medis asli yang sah menjadi sasaran
Dokter kadang menjual obat resep untuk tujuan nonmedis, dan tenaga medis juga mencurinya, tetapi porsi terbesar adalah penipuan resep
Kasusnya berupa pencurian atau pemalsuan resep dokter; jika orang sehat berusia 20-an datang untuk mengambil 90 tablet Oxycodone 30mg, biasanya resep seperti itu mendekati “nyeri ekstrem dan mungkin sedang sekarat”, sehingga apotek atau dokter akan menelepon untuk memverifikasi
Pemerintah negara bagian sudah memiliki semua informasi resep melalui Prescription Monitoring Program, dan dokter bisa menerima daftar resep yang baru-baru ini ditebus atas namanya dalam N hari terakhir dalam bentuk spreadsheet
Jika Dr. Adams mengatakan tidak pernah meresepkan apa pun untuk Bill, kami akan menelusuri Bill, menemukan resep mencurigakan serupa atas nama Charles dan Daniels, lalu setelah para dokter itu juga mengonfirmasi bahwa ia bukan pasien mereka, kami melacak lebih banyak resep palsu dengan cara seperti itu
Ada potensi penyalahgunaan, tetapi secara legal kami juga tidak bisa begitu saja masuk ke apotek dan meminta dokumen sembarang, atau mencari nama apa pun di PMP; biasanya setelah dokter atau apoteker melaporkan keadaan yang mencurigakan, kami memeriksa catatan negara bagian, memverifikasinya dengan dokter, lalu mengamankan bukti kertas berisi hal yang sudah kami tahu palsu
Beberapa kali ada tanda bahaya lalu kami menelepon dokter, dan dokter berkata “resepnya sah”, jadi selesai sampai di situ; kami tidak perlu tahu mengapa pasien memakai obat narkotik, cukup memastikan apakah itu penipuan atau bukan
Menurut hukum negara bagian, kami berwenang meminta catatan apotek seperti resep dan catatan pengambilan tanpa surat perintah, dan sebagian besar apoteker langsung memberikannya, sementara sebagian lain mencoba memastikan apakah itu melanggar HIPAA dan apakah legal
Namun beberapa kali saya merasa khawatir karena staf mulai menyerahkan dokumen bahkan sebelum saya memperkenalkan identitas saya
Ringkasnya, melihat-lihat catatan medis seseorang secara membabi buta tanpa kecurigaan konkret dan sungguh-sungguh atas suatu kejahatan adalah sangat ilegal, dan jika ada alasan untuk melihat catatan, itu karena seseorang di lingkungan medis melaporkan sesuatu yang mencurigakan
Sudah terdokumentasi dengan baik bahwa aparat penegak hukum sering melanggar hukum, dan ini justru tampaknya menunjukkan betapa ternormalisasinya proses pelanggaran Amandemen Keempat dan privasi pasien
Ada usulan untuk mengubah struktur ini agar mensyaratkan surat perintah, dan meskipun lembaga tertentu bertindak dengan itikad baik, di AS ada sekitar 18 ribu lembaga penegak hukum, dan tidak sedikit di antaranya memiliki riwayat panjang akses catatan yang berlebihan dan tidak semestinya
Saat mengakses informasi yang privat dan rahasia, surat perintah dengan pengawasan yudisial adalah default yang masuk akal
Kalau begitu, bukankah ruang penyalahgunaannya terlalu besar?
Untuk basis data komersial seperti LexisNexis, paling-paling pesannya adalah jangan membuang-buang pencarian karena itu memakan biaya, tetapi untuk sistem pemerintah seperti pengecekan riwayat kriminal, kami mendapat pelatihan keras bahwa melakukan pencarian tanpa alasan hukum yang sah adalah ilegal, dan kami diminta mencatat alasan untuk setiap pencarian
Materi pelatihannya juga memuat artikel tentang mantan polisi yang dipenjara karena menyalahgunakan basis data riwayat kriminal, dan dalam audit tahunan kami harus menjelaskan pembenaran untuk sebagian pencarian
Semua sistem punya kesalahan dan bisa disalahgunakan oleh aktor jahat, serta menjadi objek analisis biaya-manfaat, tetapi menurut saya kerangka yang memungkinkan penegak hukum mengakses informasi sensitif dan nonpublik dalam situasi yang tepat, di bawah hukum serta checks and balances, pada dasarnya masuk akal
Sebagai mantan aparat penegak hukum federal, dulu saya pernah mengakses rekam medis tanpa surat perintah
Saya tidak bisa mewakili semua lembaga, tetapi beberapa kali saya melakukannya pada awal 2000-an, kemungkinan besar kebanyakan orang HN pun akan menganggapnya masuk akal
Saya adalah perwira Coast Guard dan memiliki kewenangan penegakan hukum di bawah dua kerangka hukum, keselamatan publik dan pidana
Jika terjadi kecelakaan besar di perairan federal, tugas pertama kami adalah menyelidiki ancaman keselamatan publik, dan ini disertai kewenangan untuk menerbitkan subpoena
Ini mirip dengan apa yang dilakukan NTSB atau FAA setelah kecelakaan, dan jika sebuah perusahaan transportasi melakukan sesuatu yang bisa menumpahkan tongkang penuh Xylene ke rawa di sebelah sekolah dasar, menurut saya pemerintah punya kepentingan publik yang cukup untuk memahami ancaman publik itu sehingga Amandemen Keempat tidak menjadi penghalang
Namun, jika penyelidikan keselamatan publik bergerak dari “mengidentifikasi bahaya publik” ke kemungkinan tanggung jawab pidana seseorang, pihak terkait harus diberi tahu bahwa penyelidikan telah berubah menjadi penyidikan pidana, dan sejak saat itu Amandemen Keempat serta syarat surat perintah kembali berlaku
Dalam praktiknya, beberapa kali ada orang yang terkait kecelakaan memperlambat penyelidikan di lokasi dengan mengatakan “ini karena saya melewatkan obat, bukan karena mabuk,” atau ada pelaut yang terluka berada di rumah sakit
Kami harus pergi ke rumah sakit untuk mendengar pernyataan dan memastikan ada tidaknya cedera; cedera berat akan menaikkan tingkat penyelidikan dan sumber daya wajib yang harus dikerahkan, dan kami harus memastikan apakah pelaut itu benar-benar melihat apa yang terjadi
Perusahaan juga beberapa kali memakai alasan bahwa seseorang berada di rumah sakit atau dokter untuk memperlambat penyelidikan atas kesalahan mereka sendiri, dan dalam konteks seperti itu menurut saya menelepon rumah sakit dan bertanya “apakah si anu dirawat tadi malam?” sepenuhnya masuk akal
Meski begitu, sulit untuk mengatakan bahwa kewenangan seperti ini tidak sering disalahgunakan, dan meskipun sebagian besar komunitas penegak hukum hanya berusaha melakukan pekerjaan mereka, tetap patut untuk tidak menghilangkan kecurigaan
Doktrin pihak ketiga sudah menjadi terlalu luas, dan ada banyak situasi ketika orang berbagi informasi dengan pihak ketiga tetapi tetap mengharapkan dan berhak menikmati hak privasi atas informasi itu
Gagasan bahwa HIPAA tidak memberikan ekspektasi privasi yang wajar atas informasi yang dibagikan kepada dokter atau apoteker itu tidak masuk akal, dan meskipun undang-undang secara eksplisit mencantumkan pengecualian untuk penegakan hukum, ekspektasi privasi yang wajar adalah hak konstitusional sehingga pengecualian seperti itu harus dianggap inkonstitusional
Jika suatu informasi adalah informasi yang harus dilindungi perusahaan berdasarkan undang-undang privasi swasta, perlindungan privasi secara umum harus diperluas agar informasi itu dikecualikan dari doktrin pihak ketiga dan diwajibkan surat perintah
Membuat pekerjaan menjadi mudah tidak membuatnya sah, dan hak konstitusional, undang-undang privasi, serta preseden hukum dibuat untuk membatasi kewenangan polisi
Memang benar akan lebih mudah jika polisi sama sekali tidak membutuhkan surat perintah, tetapi itu bukan argumen yang valid untuk mengakali kewajiban surat perintah
Demikian pula, fakta bahwa aparat penegak hukum kerap menggiring saksi melalui interaksi yang tidak memerlukan pemberitahuan Miranda atau mengabaikan permintaan sambil menarik pernyataan yang memberatkan diri sendiri tidak membuatnya sah secara hukum maupun etis
Premis bahwa “sebagian besar aparat penegak hukum hanya berusaha melakukan pekerjaan mereka” juga patut dipertanyakan di tengah banyaknya data tentang penyalahgunaan struktural kekuasaan polisi, dan sekalipun benar, itu bukan pembelaan untuk mengakali pembatasan yang secara eksplisit ditetapkan pemerintah
Lembaga penegak hukum harus mematuhi Konstitusi, yang berarti mereka harus menerima pengawasan berupa kewajiban memperoleh surat perintah
Jika alasannya benar-benar meyakinkan, seharusnya tidak ada masalah untuk meyakinkan hakim atau magistrat
Dengan berubahnya lingkungan hukum seputar aborsi dan hak transgender, kekhawatiran bahwa jaksa yang bersemangat di suatu negara bagian bisa memanggil catatan pil aborsi atau puberty blockers untuk melecehkan atau menuntut orang adalah masuk akal
Tampaknya juga mungkin bagi jaksa untuk meminta daftar semua pasien yang saat ini diresepkan puberty blockers dan membuka perkara kesejahteraan anak terhadap semua keluarga di seluruh negara bagian
Minggu lalu juga ada thread besar
https://news.ycombinator.com/item?id=38719918
Dua minggu lalu juga ada
https://news.ycombinator.com/item?id=38615841
Pharmacies share medical data with police without a warrant, inquiry finds - https://news.ycombinator.com/item?id=38615841 - Desember 2023, 46 komentar
Artikel TechDirt berasal dari dokumen Komite Keuangan Senat ini: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...
Saya ingin ada yang menjelaskan siapa yang dirugikan oleh ini selain penjual ulang obat resep
Mungkin informasi itu juga bisa didapat lewat sekitar tiga cara lain
Pemerintah bisa melanggar hak asalkan lewat pihak ketiga
Konsolidasi industri layanan kesehatan adalah salah satu perubahan paling mengerikan yang pernah saya lihat seumur hidup
Saya penasaran seperti apa keadaan akhir dari semua ini
Hanya saja pembayar tunggal itu akan menjadi entitas dengan motif laba
Agar adil, sebagian konsolidasi juga terjadi karena biaya bisnis sudah naik sampai dokter dan apoteker tidak bisa beroperasi secara independen
Utang pendidikan yang sangat besar, layanan IT dan persyaratan kepatuhan, ditambah biaya properti yang gila di mana-mana
Negara ini tampaknya menuju akhir ala cyberpunk ketika korporasi memiliki manusia