Giyilebilir sağlık teknolojileri ve veri güvenliği yasaları

ABD’de Federal Trade Commision tarafından 12 m-Sağlık ve sağlıklı yaşam uygulaması test edilmiş ve bunların 76’sının üçüncü parti şirketlere tüketici verisi gönderdiği tespit edilmiştir. İncelemeye göre, paylaşılan veriler telefonun tekil tanımlayıcısı, kullanıcının koşu rotası, beslenme alışkanlıkları ve uyku düzenini de içermektedir.  Privacy Rights Clearinghouse tarafından hazırlanan ayrı bir raporda 43 sağlıklı yaşam uygulamasının %40’ının adres, finans bilgisi,  ad ve soyadı, sağlık bilgisi, konum ve doğum tarihi dahil yüksek riskli verileri topladığı belirlenmiştir. Bu uygulamaların %55’i bu verileri başka uygulamalar aracılığıyla elde edilecek kişisel bilgilerle bütünleştirebilecek üçüncü parti analitik servislerle paylaşmaktadır.

ABD’de kişilerin sağlık bilgilerinin korunmasına ilişkin olarak Health Insurance Portability and Accountability Act (HIPAA) adlı kanun 1996 yılında yürürlüğe girmiştir. Bu kanun elektronik sağlık kayıt işlemleri için seçilecek kodlar, tekil tanımlayıcılar ve güvenliğe ilişkin ulusal standartları benimsemek üzere Department of Health and Human Services (HHS)’ye gerekli yetkileri de vermektedir.

Sağlık verilerinin bir kısmı elektronik formattaki bilginin korunması üzerine odaklanan HIPAA güvenlik kuralı kapsamındadır. HIPAA güvenlik kuralı korunmuş sağlık bilgisi (protected health information) ile ilgilenmektedir. California Üniversitesi tarafından yürütülen Human Research Protection Program’a göre HIPAA kapsamında korunmuş sağlık bilgileri hasta adı, adres, telefon numarası, sosyal güvenlik numarası gibi 18 kritere sahiptir. İsim  HIPAA tarafından korunmuş bir veri elemanı iken mesela kan basıncı, hasta ile ilişkilendirilmediği sürece kapsamda değildir. Bu anlamda HIPAA, tanımlayıcı veriler dışındaki verilerle ilgilenmemektedir. Kan basıncı, uyku düzeni gibi veriler kimlik bilgisi ile ilişkilendirilmeden anlamlı yada risk oluşturacak veriler olarak görülmemektedir.

Gelişen elektronik teknolojiler mahremiyeti zafiyete uğratabileceğinden Kongre tarafından, bireysel olarak tanımlanabilen sağlık bilgilerine yönelik federal mahremiyet yasalarının da benimsenmesini zorunlu kılan hükümler HIPAA’e ilave edilmiştir. Ancak 1996 yılında ilk kanun taslakları oluşturulurken, mesela mobil ve giyilebilir sağlık teknolojileri muhtemelen düşünülmemiştir. Yeni durumlar doğal olarak ihtiyaçlar ve mevcut düzenlemeler arasında bir boşluk oluşturabilmektedir.

Günümüzde, Fitbit vs. gibi giyilebilir sağlık teknolojileri sayesinde çok miktarda  veri toplanmaktadır. Bir incelemeye göre bu çeşit aygıtlar ve bunlarla toplanan veriler ABD’de HIPAA kapsamında tanımlanmamaktadır. Eğer bir kişi hastaneden yada doktorundan giyilebilir bir cihaz alırsa, bununla toplanan sağlık verileri HIPAA kapsamındadır. En azından, HIPAA tarafından korunmuş sağlık bilgisi olarak tanımlanmış kısım koruma altındadır. HIPAA kapsamı dışındaki verilere ilişkin olarak, çoğu zaman cihaz veya yazılım kullanılırken yada yüklenirken veri paylaşımı ve satışına ilişkin çeşitli konular dokümante edilmekte yada kullanıcı onayına sunulmaktaysa da bu kısımlar çoğunlukla kullanıcı tarafından okunmadan geçilmektedir.

HIPAA kapsamına Fitbit verileri bütün olarak dahil edilebilir. Ancak, şirketler HIPAA’nın karmaşıklıkları ile uğraşmak istemediklerinden dolayı bu pratikte çok mümkün görünmüyor.  Zaten, sağlık endüstrisine ilişkin ağır düzenlemelerden dolayı şirketler sağlık alanında yatırım yapmaktan ve iş geliştirmekten kaçınabilmektedirler. Bu durum, yasal düzenlemeler getirilirken piyasa şartları ve iş geliştirme arasında kurulması gereken hassas dengelere de çarpıcı bir örnek teşkil etmektedir.

Kaynaklar:

1. Kristen Lee. Wearable health technology and HIPAA: What is and isn’t covered. Yayım Tarihi: Temmuz 2015.

2. UCSF The Human Research Protection Program. HIPAA – PHI: List of 18 Identifiers and Definition of PHI. Erişim Tarihi: 07 Ağustos 2015

3. HIPAA: Health Insurance Portability and Accountability Act. 

Yorum yapabilmek için kayıtlı kullanıcı olmanız gerekmektedir. Giriş