- Kongre soruşturması, ABD’deki büyük eczane zincirlerinin kolluk kuvvetlerinin talepleri üzerine hassas sağlık kayıtlarını teslim ederken arama emri istemediği uygulamayı ortaya çıkardı
- CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid ve Amazon Pharmacy, reçeteli ilaç kullanım geçmişi ve tıbbi durumları içerebilecek bilgileri yalnızca celp ile sağlayabiliyor
- CVS, Kroger ve Rite Aid, devlet kurumlarından gelen celpler için hukuki inceleme de yapmadıklarını belirterek, taleplerin hukuka uygunluğunu sorgulayan süreçlerin özellikle zayıf olduğunu gösterdi
- HIPAA, özel taraflara izinsiz ifşayı engellese de, kolluk kuvveti talepleri required by law istisnası kapsamında değerlendirilebildiği için arama emri olmadan paylaşımı engellemek zor
- Senatör Ron Wyden ile Temsilciler Meclisi üyeleri Pramila Jayapal ve Sara Jacobs, HHS’nin eczanelerin arama emri istemesini zorunlu kılacak şekilde HIPAA kurallarını güçlendirmesi çağrısında bulundu
Üçüncü taraf ilkesinin yarattığı sağlık kaydı açığı
- ABD Anayasası’nın Dördüncü Ek Maddesi kapsamındaki korumalar, Third Party Doctrine karşısında çoğu zaman zayıf kalıyor
- Bir kişinin özel şirketlerle paylaştığı bilgiler, paylaşımın gönüllü olup olmadığına bakılmaksızın, bazı durumlarda hükümet tarafından arama emri olmadan elde edilebiliyor
- Bu nedenle uygulamaların topladığı cep telefonu konum verilerine Dördüncü Ek Madde koruması eklemeyi amaçlayan yasa teklifleri ile üçüncü taraf ilkesini yeniden düzenlemeye yönelik mahkeme ve Kongre tartışmaları sürüyor
- Hükümet, yargısal denetimden geçmeden mümkün olduğunca fazla bilgi elde etmek istiyor; özel şirketler de devlet taleplerine mahkemede itiraz etmek yerine verileri sağlamayı maliyet açısından daha avantajlı görebiliyor
Büyük eczane zincirlerinin arama emri olmadan veri verme uygulaması
- Ars Technica tarafından ele alınan Kongre soruşturması, ABD’nin büyük perakende eczane işletmelerinin hassas sağlık verilerini devlete gerçekten de arama emri talep etmeden sağladığını ortaya koydu
- İncelenen eczaneler şu 8 şirketten oluşuyor
- CVS Health
- Walgreens Boots Alliance
- Cigna
- Optum Rx
- Walmart Stores, Inc.
- The Kroger Company
- Rite Aid Corporation
- Amazon Pharmacy
- Bunların tamamı, kolluk kuvvetleri bir kişinin reçeteli ilaç kullanım geçmişini veya tıbbi durumunu içerebilecek kayıtları talep ettiğinde arama emri gerekmediğini söyledi
- Bunun yerine, devlet kurumlarının düzenleyebildiği ve hâkim incelemesi ya da onayı gerektirmeyen celp ile bilgileri sağlayabiliyorlar
Hukuki inceleme yapılıp yapılmadığındaki fark
- CVS, Kroger ve Rite Aid, devlet kurumlarından gelen celpler için hukuki inceleme yapmadıklarını Kongre’ye bildirdi
- Bu zincirler, devlet adına gönderilmiş bir talebi geçerli talep olarak kabul ediyor gibi görünüyor
- Diğer eczane zincirleri ise veri taleplerini işlerken en azından avukatları sürece dahil ediyor
HIPAA neden yeterli bir savunma hattı oluşturmuyor
- HIPAA, sağlık bilgilerinin yetkisiz özel taraflara rıza olmadan açıklanmasını engelleyen bir yasa
- Kolluk kuvvetlerinden gelen talepler çoğunlukla required by law istisnası kapsamında değerlendiriliyor
- Eczane şirketinin avukatları talebi incelememiş olsa bile ya da hassas sağlık verisi talebinin gerçekten meşru olup olmadığı net olmasa bile bu istisna işleyebiliyor
- Yasal değişiklik olmadan da HHS’nin HIPAA kurallarını değiştirerek bu verilere mahremiyet karinesi tanıması bir çözüm olarak gündeme geliyor
Milletvekillerinin HHS’den talepleri
- Senatör Ron Wyden ile Temsilciler Meclisi üyeleri Pramila Jayapal ve Sara Jacobs, HHS Bakanı Xavier Becerra’ya bir mektup göndererek HIPAA kurallarının güçlendirilmesini istedi
- Mektupta, eczanelerin arama emri istemesi ve kolluk kuvvetlerinin yalnızca celp ile hasta sağlık kayıtları talep etmesi durumunda mahkemeden icra talep etmesi gerektiği belirtiliyor
- 2010’daki e-posta mahremiyeti vakası da karşılaştırma için örnek gösteriliyor
- Bir federal temyiz mahkemesi e-postalar için makul mahremiyet beklentisini tanıdıktan sonra Google, Yahoo ve Microsoft gibi büyük ücretsiz e-posta sağlayıcıları e-postaları açıklamadan önce arama emri istemeye başlamıştı
- Milletvekilleri, Haziran 2022’deki Dobbs kararından sonra doğum kontrol ürünleri edinen kişilerin cezai takibata uğramasını önlemek için HHS’nin daha güçlü korumalar oluşturması gerektiğini Temmuz ayında Becerra’ya ilk kez ilettiklerini de belirtti
Şeffaflık vaatleri ve kalan sorunlar
- Bazı şirketler, hükümetle iş birliği konusunda daha şeffaf olacaklarına söz verdi
- CVS, Walgreens ve Kroger, devletin veri talepleri hakkında düzenli raporlar yayımlayacaklarını açıkladı
- Amazon ise hükümet müşteri verisi talep ettiğinde müşterilere bildirim göndererek bir adım daha ileri gidiyor
- Reçete kayıtları, hastanın açıkça izin vermediği diğer kişiler açısından federal yasalarla korunan bilgiler arasında yer alıyor
- Hükümetin, üçüncü taraf ilkesi gerekçesiyle müşterilerin reçete kayıtlarını açık bir kitapmış gibi görmemesi gerektiği yönündeki sorun ortada duruyor
- Değişim, eczanelerin ve hükümetin gönüllü adımlarıyla ya da yasama organının emriyle mümkün olabilir
1 yorum
Hacker News yorumları
Yalnızca narkotik ağrı kesicilere yönelik soruşturmalarda çalıştım; reçeteli ilaçlar asıl, gerçek tıbbi amacı dışında kullanıldığında hepsi kapsamımıza giriyordu.
Doktorların reçeteli ilaçları tıbbi olmayan amaçlarla sattığı da oluyordu, sağlık çalışanlarının çaldığı da; ama en büyük pay reçete sahteciliğiydi.
Doktor reçetelerinin çalınması ya da sahtesinin düzenlenmesi vakalarıydı; 20’li yaşlarında sağlıklı biri 90 adet Oxycodone 30mg almaya geldiğinde bu genelde “çok şiddetli ağrı çekiyor ve muhtemelen ölmek üzere” düzeyinde bir reçete olduğundan eczane ya da doktor doğrulama telefonu açardı.
Eyalet yönetimi zaten Prescription Monitoring Program üzerinden tüm reçete bilgilerine sahipti; doktorlar da kendi adlarına son N gün içinde hazırlanmış reçetelerin listesini elektronik tablo olarak alabiliyordu.
Dr. Adams, Bill’e reçete yazmadığını söylerse Bill’i sorgulayıp Charles ve Daniels adına benzer şüpheli reçeteler buluyor, o doktorların da bu kişinin hastaları olmadığını doğrulamasıyla daha fazla sahte reçetenin izini sürüyorduk.
Kötüye kullanım ihtimali var; ancak yasal olarak da bir eczaneye girip rastgele belge talep edemez ya da PMP’de herhangi bir ismi sorgulayamazdınız. Genelde bir doktor ya da eczacı şüpheli bir durumu bildirir, ardından eyalet kayıtlarını kontrol eder, doktora doğrulatır ve zaten yalan olduğunu bildiğimiz içeriğe ilişkin kâğıt kanıtı temin ederdik.
Birkaç kez kırmızı alarm çalıp doktora telefon ettiğimde “normal reçete” yanıtını aldım ve konu kapandı; hastanın neden narkotik ilaç kullandığını bilmem gerekmiyordu, sadece bunun sahtekârlık olup olmadığını doğrulamam gerekiyordu.
Eyalet yasaları uyarınca reçeteler ve teslim alma kayıtları gibi eczane kayıtlarını arama emri olmadan talep etme yetkimiz vardı; eczacıların çoğu bunları hemen verirdi, bazıları ise bunun HIPAA ihlali olup olmadığını ve yasal olup olmadığını kontrol etmek isterdi.
Ancak birkaç kez, ben kimliğimi bile açıklamadan çalışanların belgeleri vermeye başlaması beni endişelendirdi.
Özetle, bir suçla ilgili somut ve gerçek bir şüphe olmadan birinin tıbbi kayıtlarına gelişigüzel bakmak son derece yasa dışıdır; kayıtlara bakmak için bir neden varsa bu, sağlık hizmeti tarafındaki birinin şüpheli bir durumu bildirmiş olmasındandır.
Kolluk kuvvetlerinin yasaları sık sık ihlal ettiği yeterince belgelenmiş durumda; hatta bu, Dördüncü Değişiklik ve hasta mahremiyeti ihlali süreçlerinin ne kadar normalleştiğini gösteriyor gibi.
Bu yapıyı değiştirip arama emri şartı getirme önerisi var; belirli bir kurum iyi niyetli davranmış olsa bile ABD’de yaklaşık 18 bin kolluk kurumu var ve azımsanmayacak sayıda kurumun kayıtlara aşırı ve uygunsuz erişim geçmişi uzun.
Özel ve gizli bilgilere erişimde yargısal denetim içeren arama emri makul varsayılan yaklaşım olmalı.
Öyleyse kötüye kullanım alanı fazla geniş değil mi?
LexisNexis gibi ticari veritabanlarında aramalar para tuttuğu için aramaları boşa harcamayın deniyordu; ancak sabıka kaydı sorgulama gibi devlet sistemlerinde meşru bir yasal gerekçe olmadan sorgu yapmanın yasa dışı olduğu güçlü biçimde öğretiliyor ve her sorgu gerekçesini kaydetmemiz isteniyordu.
Eğitim materyallerinde sabıka kaydı veritabanını haksız şekilde kullandığı için hapse giren eski bir polisle ilgili haber de vardı; yılda bir yapılan denetimde bazı sorgular için gerekçeyi açıklamamız gerekiyordu.
Tüm sistemlerde hata olur ve kötü niyetli aktörlerce kötüye kullanılabilir; hepsi maliyet-fayda analizine tabidir. Yine de uygun koşullar, yasalar, denge ve denetim mekanizmaları altında kolluğun hassas ve kamuya açık olmayan bilgilere erişebildiği bir sistemin kendisini makul buluyorum.
Eski bir federal kolluk görevlisi olarak, uzun zaman önce tıbbi kayıtlara arama emri olmadan eriştiğim oldu
Tüm kurumlar adına konuşamam ama 2000’lerin başında birkaç kez yaptığım şeyin HN’deki çoğu kişi tarafından da makul görülebileceğini düşünüyorum
Coast Guard subayıydım ve hem kamu güvenliği hem de ceza hukuku sistemi kapsamında kolluk yetkim vardı
Federal su yollarında büyük bir kaza olduğunda ilk işimiz kamu güvenliğine yönelik tehdidi soruşturmaktı; bununla birlikte mahkeme celbi çıkarma yetkisi de geliyordu
Bu, bir kazadan sonra NTSB ya da FAA’in yaptığı işe daha yakındı; bir taşımacılık şirketi bir ilkokulun yanındaki bataklığa Xylene dolu bir mavnayı dökebilecek işler yapıyorsa, hükümetin kamu tehdidini anlamasında yeterli kamu yararı olduğunu ve Dördüncü Değişiklik’in buna engel olmayacağını düşünüyorum
Ancak kamu güvenliği soruşturması “kamu riskini belirleme” sınırını aşıp bir kişinin olası cezai sorumluluğuna kaydığında, ilgili kişiye bunun cezai soruşturmaya dönüştüğü bildirilmek zorundaydı ve o noktadan itibaren Dördüncü Değişiklik ile arama emri şartı yeniden devreye giriyordu
Pratikte birkaç kez, kazayla ilgili birinin “ilaçlarımı almadığım içindi, sarhoş olduğumdan değil” diyerek olay yeri incelemesini geciktirdiği ya da yaralı bir gemicinin hastanede olduğu durumlarla karşılaştık
Hastaneye gidip ifade almamız ve yaralanma olup olmadığını doğrulamamız gerekiyordu; ağır yaralanmalar soruşturma düzeyini ve zorunlu kaynak tahsisini artırıyordu, ayrıca gemicinin gerçekten ne olduğunu görüp görmediğini anlamamız gerekiyordu
Şirketlerin kendi hatalarına ilişkin soruşturmayı geciktirmek için birkaç kez hastanede ya da doktorun yanında olmayı bahane ettiğini de gördüm; bu bağlamda hastaneyi arayıp “Dün gece şu kişi yatış yaptı mı?” diye sormanın tamamen makul olduğunu düşünüyorum
Yine de bu tür yetkilerin sıkça kötüye kullanılmadığını varsaymak zor; kolluk topluluğunun çoğu sadece işini yapmaya çalışıyor olsa bile şüpheci kalmak doğru
Üçüncü taraf doktrini aşırı genişledi; insanların bilgilerini üçüncü taraflarla paylaşırken de o bilgi üzerinde mahremiyet hakkı beklediği ve bunu hak ettiği birçok durum var
HIPAA’nın doktor ya da eczacıyla paylaşılan bilgiler için makul bir mahremiyet beklentisi sağlamadığını söylemek saçma; yasa kolluk istisnasını açıkça belirtmiş olsa bile makul mahremiyet beklentisi anayasal bir hak olduğundan bu tür bir istisna anayasaya aykırı sayılmalı
Özel sektör gizlilik hukukuna göre bir şirketin korumak zorunda olduğu bilgiler üçüncü taraf doktrininin dışında tutulmalı ve arama emri gerektirecek şekilde mahremiyet yasaları genel olarak genişletilmeli
Bir işi kolaylaştırması onu meşru kılmaz; anayasal haklar, gizlilik yasaları ve içtihatlar polis yetkisini sınırlamak için vardır
Polisin hiçbir zaman arama emrine ihtiyaç duymaması elbette işleri kolaylaştırır, ama bu arama emrini baypas etmek için geçerli bir argüman değildir
Benzer şekilde kolluk görevlilerinin tanıkları Miranda uyarısı gerektirmeyen etkileşimlere yönlendirmesi ya da taleplerini görmezden gelip kişiyi kendi aleyhine beyanda bulunmaya itmesi yaygın diye bu hukuken ya da etik olarak meşrulaşmaz
“Kolluk görevlilerinin çoğu sadece işini yapmaya çalışıyor” varsayımı da, polis gücünün yapısal suistimaline dair bol veri varken tartışmalıdır; doğru olsa bile hükümetin açıkça koyduğu kısıtlamaları baypas etmek için savunma gerekçesi olmaz
Kolluk kurumları anayasaya uymak zorundadır; bu da arama emri alma denetimine katlanmaları gerektiği anlamına gelir
Gerekçe gerçekten ikna ediciyse bir yargıcı ya da sulh hakimini ikna etmekte sorun olmamalıdır
Kürtaj ve trans haklarına ilişkin hukuki ortam değişirken, bazı eyaletlerde hevesli bir savcının kürtaj hapı ya da hormon blokerleri kayıtlarını mahkeme celbiyle isteyip insanları taciz etmek veya kovuşturmak için kullanabileceğinden kaygılanmak makul
Bir savcının şu anda hormon blokerleri reçete edilen tüm hastaların listesini istemesi ve eyalet genelindeki tüm ailelere karşı çocuk refahı davaları açması da mümkün görünüyor
Geçen hafta da büyük bir başlık vardı
https://news.ycombinator.com/item?id=38719918
Ondan önceki hafta da vardı
https://news.ycombinator.com/item?id=38615841
Pharmacies share medical data with police without a warrant, inquiry finds - https://news.ycombinator.com/item?id=38615841 - Aralık 2023, 46 yorum
TechDirt’teki yazı bu Senato Finans Komitesi belgesinden geliyor: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...
Bunun reçeteli ilaç yeniden satıcıları dışında kimin için kötü olduğunu açıklamalarını isterdim
Muhtemelen o bilgi başka yöntemlerle de üç kadar farklı yoldan elde edilebilir
Hükümet, yalnızca üçüncü taraf üzerinden geçerek hakları ihlal edebiliyor
Sağlık sektöründeki konsolidasyon, hayatım boyunca gördüğüm en korkunç değişimlerden biri oldu
Tüm bunların nihai durumunun ne olacağını merak ediyorum
Ancak o tek ödeyici kâr motivasyonu olan bir varlık olacak
Adil olmak gerekirse, bazı konsolidasyonların nedeni doktorların ve eczacıların bağımsız çalışamayacağı kadar işletme maliyetlerinin yükselmesi
Devasa öğrenci borçları, BT hizmetleri ve uyum gereklilikleri, her yerde çılgın emlak maliyetleriyle birleşti
Bu ülke, şirketlerin insanlara sahip olduğu siberpunk tarzı bir sona doğru gidiyor gibi