Hit cepat
- Anggota parlemen New York mengesahkan RUU Privasi Informasi Kesehatan yang, di antara kewajiban lainnya, akan mengharuskan entitas untuk mendapatkan otorisasi untuk mengumpulkan, menggunakan, atau menjual informasi kesehatan individu kecuali jika “benar -benar diperlukan” untuk tujuan tertentu.
- RUU ini secara luas mendefinisikan informasi kesehatan yang diatur untuk memasukkan data yang melampaui informasi kesehatan tradisional yang dilindungi (PHI) dan secara luas mendefinisikan entitas yang diatur untuk memasukkan entitas New York dan entitas non-New York tertentu.
- Meskipun tidak ada hak tindakan pribadi, RUU tersebut akan memberdayakan Jaksa Agung negara bagian untuk mencari hukuman yang signifikan untuk pelanggaran.
- Gubernur harus tetap menandatangani RUU tersebut dan akan berlaku satu tahun setelah menjadi hukum.
Pada 22 Januari 2025, legislatif Negara Bagian New York berlalu RUU Senat 929Dikenal sebagai New York Health Information Privacy Act (New York HIPA). RUU itu belum dikirim ke meja Gubernur Kathy Hochul untuk tanda tangan. Jika ditandatangani, New York HIPA akan berlaku satu tahun setelah menjadi hukum.
Secara umum, New York HIPA akan menempatkan persyaratan ketat pada pengumpulan atau “pemrosesan” informasi kesehatan individu atau “informasi apa pun yang dapat ditautkan secara wajar” dengan kesehatan mental atau fisik individu. Ini akan membutuhkan otorisasi untuk memproses informasi kesehatan yang diatur kecuali jika “sangat diperlukan” untuk tujuan tertentu yang ditunjuk. RUU ini akan lebih lanjut memberi individu hak untuk mengakses dan meminta penghapusan informasi kesehatan mereka dan mengharuskan entitas yang diatur untuk mengembangkan dan menjaga perlindungan untuk melindungi data kesehatan.
New York HIPA adalah yang terbaru dari serangkaian undang -undang privasi negara bagian yang dipertimbangkan dan disahkan dalam beberapa tahun terakhir, seperti negara bagian Washington yang baru -baru ini memberlakukan kesehatan saya, My Data Act (MHMDA), yang memaksakan sejumlah persyaratan untuk bisnis di Washington mengenai pengumpulan “data kesehatan konsumen.” Undang-undang itu berada di pusat tindakan kelas yang baru-baru ini diajukan dan berpotensi preseden yang menuduh bahwa perangkat lunak periklanan yang terpasang pada aplikasi ponsel pihak ketiga secara tidak sah memanen PHI dalam bentuk data lokasi dari jutaan pengguna. Tidak seperti MHMDA Washington, New York HIPA tidak akan memberikan hak tindakan pribadi bagi individu untuk mengajukan gugatan, tetapi New York HIPA akan memberdayakan Jaksa Agung untuk menegakkan hukum dan memungkinkan pengenaan hukuman moneter yang kaku untuk pelanggaran.
Berikut ini adalah rincian beberapa ketentuan tagihan HIPA utama New York.
Memproses informasi kesehatan yang diatur
New York HIPA, jika diberlakukan, akan membuatnya secara umum melanggar hukum bagi entitas yang diatur untuk menjual informasi kesehatan yang diatur individu kepada pihak ketiga atau memproses informasi tersebut tanpa otorisasi yang valid kecuali itu “sangat diperlukan” untuk tujuan tertentu. RUU tersebut merinci persyaratan untuk mendapatkan otorisasi yang valid dan tujuan yang diizinkan untuk diproses tanpa otorisasi. New York HIPA secara luas mendefinisikan “pemrosesan” untuk memasukkan pengumpulan, penggunaan, akses, berbagi, penjualan, monetisasi, analisis, dan retensi, di antara tindakan lainnya, dari informasi kesehatan yang diatur individu.
Khususnya, New York HIPA mendefinisikan “informasi kesehatan yang diatur” secara luas sebagai “informasi apa pun secara wajar dapat ditautkan” kepada individu atau perangkat yang “dikumpulkan atau diproses sehubungan dengan kesehatan fisik atau mental individu,” termasuk “lokasi atau informasi pembayaran yang berkaitan dengan kesehatan fisik atau mental individu” atau “inferensi apa pun yang ditarik atau berasal tentang kesehatan fisik atau mental individu.” ” Definisi yang luas ini dapat mencakup berbagai titik data atau informasi tentang individu yang biasanya tidak dianggap sebagai PHI, seperti data lokasi dan informasi pembayaran yang terkait dengan perjalanan ke dokter atau gym.
New York HIPA juga mencakup definisi luas entitas yang diatur. Sebuah “entitas yang diatur” akan mencakup kedua entitas yang berlokasi di New York yang mengendalikan pemrosesan informasi kesehatan yang diatur, dan entitas non-New York yang mengendalikan pemrosesan informasi kesehatan yang diatur dari penduduk New York atau individu yang “hadir secara fisik di New York.”
Tujuan yang ditunjuk
New York HIPA juga menetapkan tujuan yang ditunjuk untuk mengumpulkan atau memproses informasi kesehatan individu tanpa otorisasi khusus. Koleksi atau pemrosesan harus “sangat diperlukan” untuk:
- menyediakan produk atau layanan yang diminta individu;
- melakukan operasi bisnis internal, tidak termasuk pemasaran, periklanan, penelitian dan pengembangan, atau menyediakan produk atau layanan kepada pihak ketiga;
- melindungi terhadap penipuan atau aktivitas ilegal;
- mendeteksi dan menanggapi ancaman keamanan;
- melindungi “kepentingan vital” individu; atau
- menyelidiki atau membela klaim hukum.
Permintaan otorisasi
Di bawah RUU tersebut, permintaan otorisasi harus terpisah dari transaksi lain, dan individu harus diizinkan untuk menahan otorisasi secara terpisah untuk setiap jenis pemrosesan. “Otorisasi yang valid” juga harus mencakup beberapa pengungkapan spesifik, termasuk “sifat aktivitas pemrosesan” dan “tujuan spesifik untuk pemrosesan tersebut.”
Hak individu
New York HIPA selanjutnya akan mewajibkan entitas yang diatur untuk memberikan “mekanisme yang mudah digunakan” bagi individu untuk meminta akses ke dan menghapus informasi kesehatan yang diatur. Entitas yang diatur akan diminta untuk menyediakan akses ke atau menghapus data kesehatan dalam waktu tiga puluh hari dari permintaan. Jika menggunakan penyedia layanan, entitas yang diatur akan diminta untuk mengkomunikasikan permintaan kepada penyedia layanan dalam waktu tiga puluh hari “(u) noles itu terbukti tidak mungkin atau melibatkan upaya yang tidak proporsional.”
Pengecualian
RUU tersebut membebaskan informasi tertentu dari ketentuannya, termasuk:
- “Informasi yang diproses oleh pemerintah lokal, negara bagian, dan federal, dan perusahaan kota”;
- PHI diatur oleh peraturan federal berdasarkan Undang -Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA);
- entitas tertutup yang diatur oleh HIPAA; Dan
- Informasi tertentu yang dikumpulkan sebagai bagian dari uji klinis.
Khususnya, RUU itu tidak membebaskan entitas yang tunduk pada tindakan gramm-leach-bliley. Lebih lanjut, RUU tersebut tidak membebaskan “rekan bisnis” di bawah HIPAA sehubungan dengan “informasi kesehatan yang diatur” yang melampaui PHI tradisional.
Perlindungan keamanan
Di bawah New York HIPA, entitas yang diatur akan diminta untuk mengembangkan dan mempertahankan perlindungan yang wajar untuk melindungi keamanan, kerahasiaan, dan integritas informasi kesehatan yang diatur. Mereka juga akan diminta untuk membuang informasi tersebut dengan aman sesuai dengan jadwal retensi yang tersedia untuk umum.
RUU tersebut tidak membahas kewajiban entitas yang diatur jika terjadi pelanggaran data. Undang-undang pemberitahuan pelanggaran data New York (Hukum Bisnis Umum § 899-AA), bagaimanapun, baru-baru ini diubah untuk memperluas definisi “informasi pribadi” untuk memasukkan informasi medis dan informasi asuransi kesehatan, dan untuk memaksakan tenggat waktu tiga puluh hari bagi bisnis untuk memberi tahu warga New York yang terkena dampak pelanggaran data.
Penyedia layanan
RUU tersebut akan mengharuskan pemrosesan informasi kesehatan oleh penyedia layanan atas nama entitas yang diatur untuk diatur oleh perjanjian tertulis. Perjanjian itu perlu memasukkan kewajiban spesifik untuk penyedia layanan, seperti memastikan kerahasiaan, melindungi data, dan mematuhi permintaan hak -hak individu.
Kontrak dan keringanan
Ketentuan kontrak atau pengabaian yang tidak konsisten dengan New York HIPA akan dinyatakan batal dan tidak dapat dilaksanakan, yang berarti individu tidak akan dapat mengesampingkan hak -hak mereka berdasarkan hukum.
Pelaksanaan
New York HIPA akan memberdayakan Jaksa Agung negara bagian untuk menyelidiki dugaan pelanggaran persyaratan privasi dan membawa tindakan penegakan hukum. Tindakan semacam itu dapat mengakibatkan hukuman sipil hingga $ 15.000 per pelanggaran atau hingga 20 persen dari pendapatan yang diperoleh dari konsumen New York dalam tahun fiskal terakhir, mana yang lebih besar. RUU itu juga akan memberi Jaksa Agung kemampuan untuk memerintahkan pelanggaran, mencari ganti rugi, dan mendapatkan pelepasan keuntungan yang “diperoleh secara langsung atau tidak langsung” dengan pelanggaran apa pun. Tidak seperti MHMDA Negara Bagian Washington, RUU itu tidak termasuk hak tindakan pribadi bagi individu untuk menuntut pelanggaran.
Langkah selanjutnya
HIPA New York menggarisbawahi fokus negara bagian, dan fokus negara bagian yang lebih luas di seluruh negeri, pada melindungi privasi informasi kesehatan. Seperti MHMDA Washington, New York HIPA secara luas akan mendefinisikan informasi kesehatan yang diatur sebagai informasi apa pun yang secara wajar terkait dengan individu atau perangkat dan terkait dengan kesehatan fisik atau mental individu, termasuk informasi lokasi dan pembayaran. Oleh karena itu, RUU ini berupaya melindungi ruang lingkup data kesehatan yang lebih luas daripada apa yang secara historis dipandang sebagai PHI di bawah HIPAA.
New York HIPA memiliki potensi implikasi yang luas bagi bisnis di seluruh negeri yang mengumpulkan atau memproses data penduduk atau individu New York yang berlokasi di New York. Jika RUU tersebut ditandatangani menjadi undang -undang, bisnis tersebut mungkin ingin meninjau dan mempertimbangkan perubahan pada praktik pemrosesan data mereka, kebijakan penanganan data, program pelatihan karyawan, perjanjian kontrak dengan penyedia layanan, dan perjanjian pelanggan. Selain itu, mereka mungkin ingin meninjau situs web mereka sehubungan dengan mengumpulkan informasi pengguna dan memberikan konsumen opt-out.
Namun, terutama, New York HIPA masih harus dikirimkan kepada dan ditandatangani oleh Gubernur Hochul, yang mungkin berusaha untuk menegosiasikan perubahan pada RUU tersebut sebelum menandatangani atau melakukan perubahan nanti melalui amandemen bab. Gubernur telah menunjukkan kecenderungan untuk menggunakan amandemen bab tersebut, yang merujuk pada perubahan oleh gubernur yang disetujui oleh legislatif melalui undang -undang berikutnya setelah undang -undang ditandatangani. Selain itu, jika diberlakukan, RUU tersebut menyatakan bahwa Jaksa Agung dapat mengumumkan peraturan dan peraturan untuk menegakkan hukum.
Kelompok Praktik Cyberse dan Praktik Privasi Ogletree Deakins dan Kantor Buffalo akan terus memantau perkembangan dan memberikan pembaruan tentang keamanan siber dan privasi dan blog New York saat informasi tambahan tersedia.
Ikuti dan Berlangganan
LinkedIn | Instagram | Webinar | Podcast
