La récente violation de données d'Anthem, au cours de laquelle des pirates ont eu accès aux informations personnelles de près de 80 millions d'Américains, a soulevé des inquiétudes quant à l'adéquation des lois fédérales sur la confidentialité en matière de santé.
Les lois existantes, HIPAA et HITECH, établissent des garanties de base pour protéger les informations sur la santé, mais les critiques soutiennent que ces lois ne suffisent pas.
Une préoccupation spécifique est que les lois n’interdisent pas explicitement aux assureurs maladie d’utiliser ou de divulguer des données d’une manière préjudiciable aux consommateurs. Par exemple, des critiques ont fait valoir que les assureurs maladie pourraient utiliser ces informations pour refuser la couverture ou augmenter les primes des personnes souffrant de maladies préexistantes.
Une autre préoccupation est que HIPAA et HITECH n'offrent pas une protection suffisante pour les données stockées dans le cloud. Lors de la violation d’Anthem, les pirates ont pu accéder aux données stockées dans un système basé sur le cloud.
À la lumière de ces préoccupations, certains législateurs réclament une nouvelle législation qui renforcerait les lois fédérales sur la confidentialité en matière de santé. Une proposition, présentée par le sénateur Mark Warner (D-VA), interdirait aux assureurs maladie d'utiliser ou de divulguer des données d'une manière préjudiciable aux consommateurs. Cela obligerait également les assureurs maladie à chiffrer les données stockées dans le cloud.
Une autre proposition, présentée par le sénateur Bill Cassidy (R-LA), permettrait au ministère de la Santé et des Services sociaux (HHS) d'imposer des sanctions civiles aux assureurs maladie qui enfreignent HIPAA et HITECH. Le HHS serait également autorisé à auditer les pratiques de sécurité des assureurs maladie.
Il reste à voir si ces propositions deviendront loi, mais le débat sur la confidentialité en matière de santé devrait se poursuivre. Alors que de plus en plus de données de santé sont stockées électroniquement, il est essentiel de veiller à ce que des mesures de protection solides soient en place pour protéger ces informations contre tout accès et toute divulgation non autorisés.