Hoe verhouden de AVG en HIPAA zich tot elkaar?

Privacy in de Verenigde Staten vormt nog wel eens een struikelblok. Een overkoepelende wet, zoals de Europese Algemene Verordening Gegevensbescherming (AVG), ontbreekt er. Privacy wordt in de VS namelijk per sector geregeld. Zo dienen organisaties in de gezondheidszorg zich al jarenlang aan de Health Insurance Portability and Accountability Act (HIPAA) te houden. Hoe verhouden zulke privacyregels zich nou met de AVG?

Wat is HIPAA?

HIPAA bestaat uit vijf onderdelen, waarvan Title 1 en Title 2 de belangrijkste zijn. Title 1 beschermt het recht op verzekering bij verlies of overgang van een baan. Title 2 beschermt, kort gezegd, medische persoonsgegevens en geeft daarvoor vijf sets 'rules':

  • De ‘Privacy Rule’ beoogt de privacy van natuurlijke personen te beschermen ten aanzien van hun gezondheidsgegevens.
  • ‘Transactions and Code Sets Rule’ beschrijft standaard protocollen voor gegevensoverdracht.
  • ‘Security Rule’ vult de Privacy Rule aan en stelt normen ten aanzien van de informatiebeveiliging, waarbij procedurele, technische en fysieke beveiligingsmaatregelen worden genoemd.
  • Op basis van de ‘Unique Identifiers Rule’ krijgt elke zorgverlener een uniek kenmerk (‘National Provider Identifier’).
  • De ‘Enforcement Rule’ legt tot slot boetes vast die bij civielrechtelijke procedures kunnen worden opgelegd.

Verhouding met de AVG

De AVG heeft een breed toepassingsbereik, terwijl HIPAA specifiek bedoeld is voor de gezondheidssector. De Europese privacywet is van toepassing op alle informatie over een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon: persoonsgegevens. Er geldt een extra strikt regime voor ‘bijzondere’ persoonsgegevens, waaronder bijvoorbeeld genetische, biometrische en gezondheidsgegevens vallen. Gezondheidsgegevens kunnen – logischerwijs – iets zeggen over de lichamelijke of geestelijke gezondheidstoestand van een persoon. Het begrip omvat ook het feit dat zorg wordt verleend, een toegekend nummer ten behoeve van zorgverlening, testresultaten, diagnoses en behandelingen.

HIPAA ziet specifiek op ‘protected health information' (PHI), en lijkt daarmee veel op ons begrip van gezondheidsgegevens. PHI wordt gedefinieerd als individueel identificeerbare informatie over de vroegere, huidige of toekomstige fysieke of mentale gezondheidstoestand, de verlening van zorg of het vergoeden van zorg. Volgens het Amerikaanse Ministerie van Gezondheid vallen daaronder ook onder naam, adres en andere informatie waaruit blijkt dat een persoon een patiënt is.

Verwerking persoonsgegevens

In contrast met HIPAA dient elke organisatie in Europa die persoonsgegevens verwerkt zich aan de AVG te houden. Dat geldt bovendien ook voor organisaties buiten Europa die hun diensten in Europa aanbieden. In de VS ziet HIPAA slechts op ‘covered entities’ en hun ‘business associates’. Covered entities zijn zorgaanbieders die PHI verzenden voor door HIPAA gedekte transacties, zoals facturering. Business associates verwerken PHI ten behoeve van covered entities voor een door HIPAA gedefinieerd doel. Denk daarbij aan betaling, administratie en management.

Ook ten aanzien van de rechten die personen hebben, is er zekere overlap. De AVG heeft het scala aan rechten dat een persoon toekomt verder uitgebreid. Zo biedt de Europese wet naast de rechten van informatie, inzage, correctie en verwijdering nu ook het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om niet te worden onderworpen aan automatische besluitvorming. Op grond van HIPAA hebben personen vergelijkbare rechten van informatie, inzage, correctie. Zorgaanbieders dienen, net als onder de AVG, binnen 30 dagen aan een verzoek tot inzage te voldoen door alle gezondheidsgegevens te verstrekken. Daaronder vallen ook aantekeningen, afbeeldingen, laboratoriumuitslagen en facturatiegegevens. Verschil met de AVG is wel dat zorgaanbieders hier in principe redelijke kosten voor in rekening mogen brengen, terwijl dat in Europa juist niet zo is. De ontvanger mag kiezen of het bestand encrypted of niet-encrypted verzonden moet worden, waarbij de zorgaanbieder dient te informeren over de mogelijke risico’s bij die laatste optie.

Voorschrijven beveiligingsmaatregelen

Dat is het volgende punt waarop HIPAA verschilt met de AVG: het voorschrijven van bepaalde beveiligingsmaatregelen. De Europese wet is technologieneutraal bedoeld en bepaalt alleen dat organisaties gehouden zijn passende technische en organisatorische maatregelen te nemen. Wat ‘passend’ is, is afhankelijk van onder andere de gevoeligheid van de gegevens, het risico van de verwerking en de stand van de techniek. HIPAA noemt bepaalde standaard protocollen en maatregelen en doet daarmee meer denken aan de NEN 7510-norm die bij ons als beveiligingsstandaard voor de zorg geldt.

Betekent voldoen aan HIPAA voldoen aan de AVG?

Voor (zorg)organisaties die zowel in de VS als in Europa actief zijn, zal voldoen aan HIPAA betekenen dat zij goed op weg zijn om aan de AVG te voldoen. Hoewel het toepassingsbereik van de Europese wet veel breder is dan dat van de Amerikaanse, stellen ze soortgelijke normen ten aanzien van de bescherming van gezondheidsgegevens.

Terug naar overzicht