Gabungkan dua topik perlindungan konsumen yang paling banyak dibicarakan – privasi kesehatan dan konten buatan konsumen secara online – dan apa yang Anda dapatkan? Usulan penyelesaian FTC dengan Practice Fusion, perusahaan catatan kesehatan elektronik berbasis cloud terbesar di negara ini, dan enam tip kepatuhan untuk pihak lain di industri ini.
Salah satu produk inti Practice Fusion yang berbasis di San Francisco adalah sistem pencatatan elektronik untuk penyedia rawat jalan. Pada tahun 2009, perusahaan meluncurkan “Patient Fusion,” sebuah portal online di mana pasien yang penyedia layanannya telah menggunakan Practice Fusion dapat melihat, mengunduh, atau mentransfer informasi kesehatan mereka ke penyedia lain. Patient Fusion juga memungkinkan pasien mengirim dan menerima pesan aman dari penyedia layanan.
Beberapa tahun kemudian, perusahaan memutuskan untuk memperluas Patient Fusion dengan menyertakan direktori publik di mana pendaftar saat ini dan calon dokter dapat mencari dokter secara geografis atau berdasarkan spesialisasi, membaca ulasan pasien tentang penyedia layanan, dan meminta janji temu. Namun Practice Fusion harus menanyakan pertanyaan yang lazim bagi banyak bisnis online: Bagaimana kami mendapatkan konten — dalam hal ini, ulasan pasien? Itulah fokus gugatan FTC.
Berdasarkan pengaduan tersebut, Practice Fusion meminta data dengan cara yang menyesatkan sehingga membuat beberapa pasien percaya bahwa mereka mengirimkan pesan tindak lanjut langsung ke dokter tentang diagnosis, perawatan medis, resep, dll. — dan tidak menyumbangkan konten ke situs web publik. . . Namun, Practice Fusion telah mengisi situs barunya dengan informasi yang diberikan oleh orang-orang ini, beberapa di antaranya sangat sensitif.
Inilah yang terjadi. Setelah janji temu dengan dokter, pasien akan menerima email dengan subjek “Bagaimana kunjungan Anda?” Pesan tersebut berlanjut: “Untuk membantu meningkatkan layanan Anda di masa mendatang, beri tahu kami bagaimana kunjungan Anda” dan sertakan tautan ke peringkat bintang. Surat itu berakhir seperti ini:
Terima kasih,
Dokter (nama)
Pesan di footer berbunyi: “Email ini dikirimkan kepada Anda oleh Patient Fusion®, alat yang digunakan oleh Dokter (nama) untuk memberikan layanan dengan kualitas terbaik kepada pasien.” Di bawahnya tertulis dalam cetakan kecil “Dikirim atas nama kantor Dokter (Nama) oleh: Practice Fusion.”
Jika pasien mengklik link tersebut, mereka akan diarahkan ke halaman yang meminta masukan tentang hal-hal seperti berapa lama mereka harus menunggu janji temu, sikap dokter di samping tempat tidur, dan apakah masalah medis mereka telah ditangani.
Ada juga kotak teks di mana pasien diundang untuk “Tinggalkan ulasan untuk penyedia Anda.” Di bawahnya ada kotak yang sudah dicentang sebelumnya yang bertuliskan “Jaga agar ulasan ini tetap anonim.”
Apa yang dimasukkan beberapa orang ke dalam kotak ini? Informasi yang sangat sensitif ditujukan langsung kepada dokter mereka, bukan penilaian yang dimaksudkan untuk dibagikan secara publik. Berikut ini beberapa contohnya:
- “Dokter (Nama), resep Xanax yang saya dapat hari Senin itu satu pil sehari, tapi biasanya dua pil sehari. Saya belum bawa ke apotek. Bisakah saya beli yang baru, atau bisakah Saya mendapat resep dari apotek?” Terima kasih (nama lengkap pasien)
- “Saya menelepon hari ini dan meninggalkan pesan tentang putri saya dan tidak ada yang membalas telepon saya. Saya pikir dia mengalami depresi dan telah menyatakan beberapa kali dalam minggu ini bahwa dia berharap dia mati. Dapatkah seseorang menghubungi saya (nomor telepon)?”
- “Cefuroxime axetil tampaknya tidak memberikan manfaat apa pun bagi saya. Saya telah melakukan sedikit penelitian dan saya rasa saya menderita infeksi jamur yang disebut candida. Saya belum yakin apa yang harus saya lakukan untuk mengatasinya coba ubah pola makan saya?
- “Saya ingin menjadwalkan janji temu untuk pengobatan sakit punggung saya dan kemungkinan herpes zoster. Bisakah Anda menghubungi saya @ (nomor telepon)? Terima kasih! (Nama lengkap pasien)”
- “Saya tidak tertular penyakit apa pun (nama penyedia layanan kesehatan).” Semuanya berjalan baik setelah kunjungan saya, jadi sudah waktunya untuk hari kemo saya…..terima kasih, sampai jumpa besok di Rumah Sakit Methodist…..terima kasih…(Nama lengkap pasien)”
Dan dalam huruf terkecil dan teringan di halaman itu, tertulis “Demi perlindungan Anda, jangan sertakan informasi pribadi apa pun.” Namun FTC mengatakan sifat informasi yang dimasukkan beberapa pasien ke dalam kotak – nama lengkap, nomor telepon, resep yang diterima, atau prosedur yang dilakukan – menunjukkan bahwa mereka mengira mereka mengirimkan pertanyaan lanjutan langsung ke kantor dokter mereka.
Bagaimana dengan kotak “Jaga agar ulasan ini anonim” dicentang sebelumnya? Menurut FTC, pihaknya tidak mengungkapkan identitas apa yang ditulis pasien tersebut. Sebaliknya, hal ini hanya memengaruhi apakah nama tersebut akan muncul di situs publik Patient Fusion dengan nama “Anonim” atau dengan nama depan pasien.
FTC mengatakan hal ini berlangsung selama sekitar satu tahun hingga sebuah artikel diterbitkan Forbes Soroti sifat sensitif dari beberapa komentar dan pertanyaan dari kotak teks yang diposting di Patient Fusion. Saat itulah perusahaan menerapkan prosedur otomatis untuk mencegah publikasi ulasan saat konsumen memasukkan informasi pribadi.
Dalam satu kali pengaduan, FTC menuduh bahwa Practice Fusion secara tersurat atau tersirat menyatakan bahwa jawaban survei akan dikirim ke penyedia layanan kesehatan konsumen, namun gagal mengungkapkan secara memadai bahwa mereka juga akan menyebarkan tanggapan tersebut secara publik. Menurut Federal Trade Commission (FTC), fakta ini penting bagi konsumen dalam memutuskan apakah akan menanggapi survei tersebut atau tidak.
Untuk menyelesaikan kasus ini, Practice Fusion setuju untuk tidak salah menggambarkan sejauh mana penggunaannya dan menjaga serta melindungi privasi dan kerahasiaan informasi apa pun yang tercakup. Selain itu, jika sebuah bisnis ingin membuat informasi konsumen yang tercakup menjadi publik, bisnis tersebut harus terlebih dahulu: 1) mengungkapkan secara jelas dan mencolok kepada konsumen—secara terpisah dan terlepas dari kebijakan privasi, halaman ketentuan penggunaan, atau dokumen serupa—niatnya untuk membuat informasi publik; dan 2) Mendapatkan persetujuan positif dari konsumen.
Ketentuan penyelesaian ini hanya berlaku untuk Praktik Penggabungan, namun ada pelajaran yang dapat diambil oleh pihak lain di industri ini.
Jika ada informasi kesehatan pribadi, tangani dengan hati-hati. Konsumen mengkhawatirkan kerahasiaan informasi kesehatan mereka, dan mereka mempunyai alasan kuat untuk khawatir. Mengingat apa yang dipertaruhkan, para pelaku industri menyadari perlunya berhati-hati.
Jelaskan niat Anda. Khusus untuk produk dan layanan baru, jangan berasumsi bahwa konsumen memiliki keahlian yang sama dengan Anda. Penjelasan Anda jelas dan gunakan kata-kata sederhana untuk menjelaskan apa yang ingin Anda lakukan dengan data mereka.
Dapatkan persetujuan tegas yang jelas dari konsumen sebelum mengungkapkan informasi sensitif kepada publik. Bisnis yang tertarik untuk mendapatkan pelanggan setia (dan menghindari masalah hukum) meminta izin konsumen sebelum mengungkapkan data pribadi dan menunggu jawaban “ya” yang jelas sebelum melanjutkan. Ketika informasi layanan kesehatan menjadi masalah, ini bukan waktunya untuk mengambil pilihan negatif atau metode persetujuan lain yang tidak jelas.
Pengungkapan harus menjangkau dan menangkap konsumen. TI bidang kesehatan menarik perhatian perusahaan-perusahaan yang mungkin belum familiar dengan pendekatan Komisi, maka inilah beberapa FTC 101: Jika pengungkapan informasi diperlukan untuk mencegah penipuan, informasi tersebut harus jelas dan mencolok. Untuk FTC, “jelas dan terbaca” adalah standar kinerja, bukan ukuran font. Catatan kaki yang dicetak dengan halus, blok teks yang padat, kalimat ganda yang berisi jargon, atau hyperlink yang ambigu mungkin tidak akan berhasil. Jadi, jika perusahaan perlu mengungkapkan informasi, bagaimana mereka dapat membuatnya jelas dan menonjol? Berikut aturan praktisnya: Pikirkan teknik menarik yang sama yang biasa Anda gunakan saat Anda benar-benar ingin menarik perhatian calon pelanggan — grafik, warna, tipografi besar, penempatan menonjol, kata-kata yang jelas, dll.
Jangan mengubur fakta dasar dalam kebijakan privasi yang sulit dipahami. Anda harus membaca keluhan tersebut untuk mendapatkan detailnya, namun setelah Practice Fusion mulai mengumpulkan hasil survei konsumen untuk dipublikasikan, perusahaan tersebut mengubah apa yang disebutkan dalam kebijakan privasinya, namun tidak mengungkapkan informasi secara jelas di halaman survei itu sendiri. Tentu saja, halaman kebijakan privasi dan ketentuan penggunaan perusahaan harus akurat dan mudah dipahami, namun mengandalkan halaman tersebut sebagai sarana eksklusif untuk menyampaikan rincian penting—misalnya, bahwa Anda bermaksud mempublikasikan informasi sensitif kesehatan konsumen—tidaklah bijaksana.
Konsultasikan sumber daya FTC untuk bisnis. Perusahaan yang terbiasa hanya menggunakan HIPAA mungkin kurang paham dengan pendekatan FTC. Kunjungi Pusat Bisnis untuk mempelajari dasar-dasar kepatuhan. Misalnya, buku “.com Disclosures: How to Make Effective Disclosures in Digital Advertising” membahas tentang cara mengomunikasikan informasi penting secara online dengan jelas. Alat interaktif Aplikasi Kesehatan Seluler dapat membantu Anda mempelajari undang-undang federal mana (dan mungkin lebih dari satu undang-undang) yang berlaku untuk bisnis Anda. dan Pengembang Aplikasi Kesehatan Seluler: Praktik Terbaik FTC memberikan pengenalan tentang privasi dan keamanan yang baik.
FTC menerima komentar publik mengenai usulan penyelesaian dengan Practice Fusion hingga 8 Juli 2016.
