MedTech у США: головні правила гри для роботи з медданими

Американські гірки регулювання медданих

Якщо ви створюєте медичний застосунок для організації надання психологічних послуг, носимий пристрій для моніторингу життєвих показників чи будь-який інший MedTech продукт для американського ринку, будьте готові до складної реальності: регулювання медичних даних у США — це не один універсальний закон на зразок GDPR у Європі, а багатошарова система правил, що складається з федеральних і штатних вимог. 

Щоб не загубитися в цій мозаїці, у цій статті ми розглянемо ключові регуляції, які можуть впливати на вашу діяльність.

Федеральний фундамент: HIPAA і його родина

Анатомія HIPAA: PHI, covered entities і business associates

Health Insurance Portability and Accountability Act (HIPAA) встановлює вимоги щодо захисту Protected Health Information (PHI) — індивідуально ідентифікованої медичної інформації, яку зберігає або передає “covered entity” чи її “business associate” у будь-якій формі чи на будь-якому носії.

HIPAA застосовується не до всіх на ринку MedTech, а тільки до певних категорій організацій, зокрема:

1. Постачальників медичних послуг, таких як лікарні, стоматологи й інші практикуючі фахівці (health care providers).
2. Медичних планів, наприклад, страхових компаній (health plans).
3. Посередників в обробці медичних даних, наприклад, сервісів з обробки та виставлення медичних рахунків (health care clearinghouses).
4. Підрядників, що обробляють PHI від імені цих організацій (business associates).

Перші три категорії разом називають “covered entities”. Якщо ваша компанія не підпадає під жодну з них, вимоги HIPAA на вас, як правило, не поширюються. 

Однак ситуація змінюється, якщо ви обробляєте дані від імені covered entity або надаєте послуги з доступом до PHI. Наприклад:

• лікарня передає дані про пацієнтів після операції до вашого додатка — ви виступаєте business associate;
• користувачі самі вводять свої біометричні дані в застосунок і ці дані ніколи не передаються covered entity — це не PHI за HIPAA. 

Проте в останньому випадку такі дані можуть бути визнані даними про здоров’я споживачів за штатними законами, що набагато ширше поняття.

HBNR: сигналізація при витоку даних

Якщо ваша компанія не є “covered entity” чи “business associate”, на вас все одно може поширюватися Health Breach Notification Rule (HBNR) — правило Федеральної торгівельної комісії США (FTC), яке вимагає повідомляти споживачів про порушення безпеки їх медичних персональних даних у певних випадках.

Так, HBNR застосовується до:

1. Постачальників персональних медичних записів (vendor of personal health records)

Ваш бізнес вважається постачальником персональних медичних записів, якщо він “пропонує або підтримує персональний медичний запис”. Він, в свою чергу, визначається як електронний запис ідентифікованої медичної інформації про особу, який має технічну здатність отримувати дані з кількох джерел і який управляється, надається у спільний доступ і контролюється самою особою або переважно для цієї особи.

Хоча і визначення фокусується на здатності отримувати дані з кількох джерел, FTC зазначає, що “правило все ще вимагає отримання ідентифікованої медичної інформації принаймні з одного джерела, щоб вважати її персональним медичним записом”. Тому ця кваліфікуюча ознака не є обов’язковою. 

2. Суб’єктів, пов’язаних із персональними медичними записами (PHR related entity)

Ваш бізнес є таким суб’єктом, якщо він взаємодіє з постачальником персональних медичних записів будь-яким із таких способів:

• пропонує товари чи послуги через сайт постачальника;
• отримує доступ до ідентифікованої медичної інформації у персональному медичному записі;
• передає ідентифіковану медичну інформацію до персонального медичного запису.

3. Постачальник сторонніх послуг (third party service provider)

Ваш бізнес вважається таким постачальником, якщо він надає послуги, пов’язані з використанням, зберіганням, розкриттям або видаленням медичної інформації, для постачальника персональних медичних записів або суб’єкта, пов’язаного із персональними медичними записами.

Обов’язки за HBNR виникають коли відбувається несанкціоноване отримання незахищеної ідентифікованої медичної інформації. Важливо, що це може бути не тільки хакерська атака, а й несанкціонований доступ або передача даних без згоди користувача. 

Якщо виявлено витік незахищеної ідентифікованої медичної інформації, компанія має:

• без необґрунтованої затримки, і у будь-якому разі не пізніше ніж через 60 днів після виявлення порушення, повідомити кожну постраждалу особу про витік; 
• повідомити FTC через онлайн-форму «Notice of Breach of Health Information», якщо витік стосується 500 або більше осіб — одночасно з повідомленням споживачів; якщо менше — не пізніше 60 днів після завершення календарного року;
• повідомити медіа у разі порушення, що зачіпає 500 і більше жителів одного штату чи території.

Читайте також: Обробка медичних персональних даних. Що треба знати медичним закладам?

Штатний рівень або мозаїка вимог

Каліфорнія: не тільки CCPA

Каліфорнія відома завдяки California Consumer Privacy Act (CCPA). Цей всеосяжний закон про приватність, поширюються на компанії, що працюють у Каліфорнії та відповідають певним критеріям, зокрема мають річний дохід понад 25 млн доларів або збирають дані великої кількості споживачів. Попри свою широту, CCPA містить низку винятків, серед яких важливим є виняток для даних, регульованих HIPAA або Confidentiality of Medical Information Act (CMIA). 

CMIA є своєрідним каліфорнійським доповненням до HIPAA: він визначає, хто може розкривати конфіденційну медичну інформацію та за яких умов. Подібно до HIPAA, закон також поширюється на постачальників медичних послуг, медичні плани та підрядників.

Окрему увагу варто звернути на те, що CMIA вводить сучасне визначення цифрових сервісів у сфері психічного здоров’я. Зокрема, вони означають мобільний застосунок або вебсайт, який:

• збирає дані, пов’язані з психічним здоров’ям споживача;
• позиціонує себе як сервіс, що сприяє наданню психологічних або психотерапевтичних послуг;
• використовує ці дані для фактичного надання таких послуг.

Слід також зазначити, що CMIA містить особливо важливу норму, згідно з якою компанія може вважатися постачальником медичних послуг не лише тоді, коли вона традиційно надає медичні послуги, але й тоді, коли вона:

• організована з метою зберігання медичної інформації та робить її доступною для користувача або для постачальників медичних послуг на запит; або
• створює продукти (наприклад, програмне забезпечення чи мобільні застосунки), що дозволяють користувачу керувати власними медичними даними або призначені для діагностики, лікування чи менеджменту медичного стану.

Таким чином, навіть компанія, яка просто розробляє застосунок для зберігання та передачі медичних даних, може бути прирівняна до постачальника медичних послуг для цілей CMIA. 

Така компанія буде зобов’язана:

• отримувати письмовий дозвіл для будь-якого розкриття медичної інформації третім особам; 
• надавати пацієнтам доступ до їхньої медичної інформації та копії на їхню письмову вимогу та забезпечити реалізацію інших прав;
• створити та підтримувати адміністративні, технічні та фізичні заходи для захисту конфіденційності медичних даних ;
• повідомляти про витоки даних;
• не передавати, продавати, використовувати для маркетингу або іншим чином використовувати медичну інформацію для мети, яка не є необхідною для надання медичних послуг пацієнту.

Коннектикут: consumer health data у центрі уваги

Connecticut Data Privacy Act (CTDPA), окрім загальних правил приватності, містить спеціальні вимоги щодо обробки даних про здоров’я споживачів. 

Ключова особливість законодавства Коннектикуту полягає в тому, що ці вимоги поширюються на будь-яку компанію, яка обробляє дані про здоров’я резидентів штату, незалежно від кількості користувачів, бізнес-масштабу чи доходів від продажу даних. Це робить CTDPA одним із найширших у застосуванні законів щодо медичної інформації серед штатів США.

Коннектикут визначає дані про здоров’я споживачів як персональну інформацію, яку контролер використовує для ідентифікації фізичного або психічного стану здоров’я споживача чи встановлення діагнозу. Більше того, по відношенню до цієї категорії даних CTDPA вводить окрему роль — контролера даних про здоров’я споживачів.

Як контролер даних про здоров’я споживачів компанія зобов’язана:

• забезпечити реалізацію прав суб’єктів персональних даних (право на підтвердження факту обробки, на доступ, на виправлення, на видалення, на перенесення даних, та ін.);
• отримувати явну згоду на обробку чутливих персональних даних;
• підготувати та опублікувати Політику приватності, що описуватиме категорії даних, мету обробки, права користувачів і контакти для звернень;
• проводити Оцінку впливу на захист даних (DPIA) для високоризикової обробки, зокрема для обробки медичних даних;
• укладати договори (DPA) із процесорами;
• забезпечити захист персональних та медичних даних, зокрема, не надавати доступ до них неавторизованим особам і не продавати такі дані без згоди споживача. 

Вашингтон: найсуворіший гравець

My Health My Data Act (MHMDA) сьогодні вважається найсуворішим і найширшим законом, що регулює персональні дані, що стосуються здоров’я у США. Закон суттєво виходить за межі традиційних підходів до визначення медичної інформації та встановлює вимоги, які суттєво впливають на будь-який цифровий продукт, що працює зі споживачами у штаті Вашингтон.

MHMDA визначає дані про здоров’я споживачів як персональну інформацію, пов’язану або розумно пов’язувану зі споживачем, яка ідентифікує його минулий, теперішній або майбутній фізичний чи психічний стан здоров’я. Це визначення охоплює майже весь можливий спектр даних, включаючи:

• медичні стани, лікування, захворювання чи діагнози;
• соціальні, психологічні, поведінкові або медичні втручання;
• хірургічні втручання та медичні процедури;
• використання або придбання рецептурних препаратів;
• фізіологічні функції, життєві показники, симптоми або вимірювання;
• діагностику, діагностичні тести, лікування чи медикаменти;
• дані про гендерно-підтримуючий догляд, репродуктивне та сексуальне здоров’я;
• біометричні дані;
• генетичну інформацію;
• дані геолокації, що можуть вказувати на звернення за медичними послугами;
• інформацію, яка ідентифікує факт пошуку споживачем медичних послуг;
• будь-які дані, отримані шляхом асоціювання або інференції, включно з алгоритмічними висновками на основі немедичних даних.

Останній пункт робить MHMDA унікально широким: якщо ваш застосунок виводить будь-які судження про здоров’я користувача на основі його поведінки, покупок або пошукових запитів це також вважається даними про здоров’я споживачів. 

При цьому закон не містить жодних порогів за масштабом бізнесу. MHMDA застосовується до будь-якої компанії, веде бізнес у Вашингтоні, або виробляє чи надає продукти, чи послуги, призначені для споживачів у Вашингтоні та самостійно чи спільно з іншими особами визначає мету та засоби збору, обробки, обміну чи продажу даних про здоров’я споживачів.

Компанія, яка підпадає під дію MHMDA зобов’язана:

• розробити та підтримувати Політику приватності щодо медичних даних споживачів (при чому, згідно із думкою генерального прокурора штату, вона має бути окремою від загальної політики);
• отримувати активну, окрему та відмінну згоду на збір та на передачу медичних даних споживачів;
• забезпечити реалізацію прав споживачів (право на підтвердження факту обробки, на доступ, на отримання переліку всіх третіх осіб, на видалення, на відкликання згоди, на оскарження);
• обмежити доступ до медичних даних споживачів лише тими працівниками, процесорами та підрядниками, яким доступ необхідний для цілей, на які споживач надав згоду, або для надання продукту чи послуги, які споживач запросив у компанії;
• розробити політику інформаційної безпеки;
• укладати договори (DPA) з процесорами;
• отримувати дійсну авторизацію від споживача перед продажем або пропозицією продажу медичних даних споживача, за винятком випадків, передбачених законом.

Що буде якщо підійти до цього несерйозно?

Як федеральні, так і штатні закони не залишають простору для легковажності у роботі з медичними даними:

1. HIPAA: цивільні штрафи від $100 до $50,000 за кожен випадок порушення. Сукупні річні санкції за одну категорію порушень можуть досягати $1,5 млн. За навмисне або корисливе розкриття медичної інформації передбачене кримінальне покарання, включно з позбавленням волі. Контроль здійснює HHS OCR, а генеральні прокурори штатів можуть подавати позови від імені постраждалих.

Найвідоміші кейси:

• Anthem, Inc. (2018) — штраф $16 млн, найбільший в історії HIPAA. Серія кібератак через фішингові листи призвела до викрадення даних 78,8 млн осіб. Скомпрометовано імена, номери соціального страхування, медичні ідентифікатори та дати народження. HHS OCR встановило системні порушення політик безпеки та недостатній моніторинг.
• Montefiore Medical Center (2024) — штраф $4,75 млн за інсайдерську атаку. Співробітник медичного центру протягом шести місяців викрадав та продавав дані 12,517 пацієнта.

2. HBNR: кожне порушення розглядається як недобросовісна або оманлива практика відповідно до законодавства FTC. Цивільний штраф до $53,088 за кожне порушення. FTC має повний спектр повноважень для примусового виконання.

Найвідоміші кейси:

• GoodRx Holdings (2023) — штраф за порушення правил повідомлення про витоки. Як постачальник персональних медичних записів, GoodRx підпадав під дію HBNR. Компанія не повідомила користувачів, FTC та медіа про несанкціоноване розкриття індивідуально ідентифікованої медичної інформації Facebook, Google, Criteo, Branch та Twilio. 
• Easy Healthcare Corporation (2023)  — штраф $100,000 за порушення HBNR. Компанія не повідомила користувачів про несанкціоноване розкриття їхньої незахищеної індивідуально ідентифікованої медичної інформації третім сторонам.

3. CMIA: будь-яка фізична особа може подати позов проти компанії за недбале розкриття медичної інформації. Мінімальні збитки — $1,000 без доведення фактичної шкоди, плюс компенсація реальних збитків. За навмисні порушення — адміністративний штраф до $2,500 за кожен випадок.

Найвідоміший кейс:

• Adventist Health Hanford (2024) — врегулювання на $10,000 з генеральним прокурором. Дві жінки звернулися до лікарні після мертвонароджень. Медичний персонал без ордера передав поліції інформацію про їхній стан здоров’я та ймовірне вживання наркотиків. Обидві жінки були помилково звинувачені у вбивстві.

4. CTDPA: приватне право на позов відсутнє. Усі питання правозастосування зосереджені в офісі генерального прокурора. Порушення кваліфікується як недобросовісна торгівельна практика, штраф до $5,000 за умисне порушення.

Найвідоміший кейс:

• TicketNetwork, Inc. (липень 2025) — штраф $85,000, перша справа за CTDPA. Порушення вимог до політики конфіденційності: документ був практично нечитабельним, гіперпосилання для opt-out не працювало. Компанія неодноразово заявляла про виправлення недоліків, але вони залишалися.

5. MHMDA: кожна фізична особа має право подати приватний позов. Будь-яке порушення автоматично вважається порушенням Washington Consumer Protection Act. Штрафи: $7,500 за навмисне та $2,500 за ненавмисне порушення. 

Найвідоміші кейси:

• Maxwell v. Amazon.com, Inc. (лютий 2025) — перший позов за MHMDA. Позивачі стверджують, що Amazon через свій SDK, інтегрований у тисячі додатків (Weather Channel, OfferUp, Speedtest), збирав геолокаційні та біометричні дані без належної згоди для таргетованої реклами. Справа активна.
• K.R. v. Uncle Ike’s (листопад 2025) — другий позов. Звинувачення на адресу роздрібного продавця марихуани в Сіетлі у передачі інформації про покупки медичної марихуани Google через tracking pixels. Дані відвідувачів сайту, які планували медичні консультації, передавалися третім сторонам без згоди.

Детальніше про Медичні персональні дані за GDPR: розбираємо датасети

Практичні кроки для MedTech компаній

Розуміння регуляторних вимог — це лише половина справи. Справжній виклик полягає у їх практичному впровадженні в операційну діяльність компанії. Наведені нижче кроки допоможуть структурувати цей процес та уникнути типових помилок.

Крок 1: Визначте свій регуляторний статус

Перший і найважливіший крок — це чітке розуміння того, які саме закони застосовуються до вашої компанії. Розпочніть з федерального рівня та визначте, чи є ваша компанія “covered entity” або “business associate” за HIPAA. Якщо ваша компанія не підпадає під HIPAA, наступним кроком є перевірка застосовності HBNR. На штатному рівні аналіз стає складнішим через різноманітність підходів. Якщо ви працюєте в Каліфорнії, важливо визначити, чи є ви постачальником медичних послуг за CMIA. Для Коннектикуту критичним є розуміння, що закон не містить порогів за кількістю користувачів чи доходами. Аналогічна ситуація у Вашингтоні, де MHMDA застосовується до будь-якої компанії, що веде бізнес у штаті або пропонує продукти чи послуги споживачам Вашингтону.

Крок 2: Проведіть аудит даних

Після визначення регуляторного статусу необхідно провести ретельний аудит усіх даних, які обробляє ваша компанія. Створіть детальний реєстр даних, який документує всі аспекти життєвого циклу інформації. Почніть з інвентаризації категорій даних та джерел їх походження. Критично важливим є картування всіх третіх сторін, з якими ви ділитеся даними, включно з процесорами, рекламними платформами, аналітичними сервісами та партнерами по інтеграції. 

Крок 3: Розробіть або оновіть документацію

Створіть або оновіть всю необхідну документацію, адаптовану до специфічних вимог кожної юрисдикції. Це включає політики приватності, договори з підрядниками та процесорами, а також внутрішні процедури обробки даних.

Крок 4: Впровадьте механізми згоди та реалізації прав користувачів

Розробіть систему отримання та управління згодою користувачів, враховуючи різницю вимог між юрисдикціями. Уникайте темних патернів та забезпечте, щоб механізми згоди були простими та зрозумілими. Паралельно створіть систему обробки запитів користувачів на доступ, виправлення, видалення та інші права. Встановіть чіткі процедури верифікації заявників та логування всіх запитів і відповідей.

Крок 5: Забезпечте технічні та організаційні заходи безпеки

Впровадьте комплексну програму інформаційної безпеки, яка включає шифрування даних, багатофакторну автентифікацію, контроль доступу на основі ролей та регулярні бекапи. Організаційні заходи починаються з призначення відповідальної особи за захист даних та регулярного навчання персоналу не лише технічним аспектам, а й правовим вимогам і культурі поваги до приватності.

Крок 6: Підготуйте план реагування на витоки даних

Створіть та регулярно тестуйте комплексний план реагування на витоки даних через симуляції інцидентів. План має враховувати різні терміни повідомлення для різних юрисдикцій, включати процедури внутрішнього розслідування та передбачати механізми ескалації до керівництва. Пам’ятайте, що поняття “витоку” включає не лише кібератаки, а й несанкціоновані розкриття даних третім особам.

Крок 7: Моніторте зміни законодавства

Регуляторний ландшафт постійно еволюціонує. Штати активно розглядають нове законодавство про медичні персональні дані. Генеральні прокурори випускають тлумачення та керівництва, а федеральні агенції оновлюють свої позиції. Призначте відповідальну особу для моніторингу змін та підпишіться на оновлення від HHS Office for Civil Rights, FTC та генеральних прокурорів релевантних штатів.

Якщо ваша компанія працює у кількох штатах, найефективнішою стратегією часто є дотримання найсуворіших вимог серед усіх застосовних законів. Хоча це може здатися надмірним, такий підхід спрощує операційну діяльність, уникаючи необхідності впроваджувати різні процедури для різних штатів. 

Пам’ятайте, що комплаєнс не є одноразовим проєктом, а постійним процесом. Інвестуйте у впровадження культури приватності в організації, де кожен співробітник розуміє важливість захисту медичних даних. Регулярно переглядайте політики, проводьте аудити, тестуйте процедури та активно співпрацюйте з юридичними й технічними експертами. Це має стати невіддільною частиною вашої операційної діяльності, а не окремим compliance-проєктом.

Хто може допомогти з побудовою комплаєнсу для роботи з медичними даними у США?

Лігал Айті Груп (Legal IT Group) мають глибоку експертизу у сфері захисту медичних персональних даних і допомагають MedTech компаніям та медичним установам впроваджувати ефективні рішення відповідно до вимог HIPAA, HBNR та штатних регуляцій, таких як MHMDA, CTDPA і CMIA. Команда супроводжує весь цикл обробки даних: від проведення DPIA та Security Risk Assessment і налаштування процесів отримання згоди користувачів до розробки внутрішніх політик приватності та процедур реагування на витоки. Юристи Legal IT Group готують Business Associate Agreements та Data Processing Agreements та проводять аудит практик обробки на відповідність федеральним і штатним вимогам. Завдяки комплексному підходу Legal IT Group дозволяють компаніям не лише уникнути штрафів і позовів, а й вибудувати прозору та безпечну систему роботи з медичними даними, яка підвищує довіру споживачів і партнерів у складному американському регуляторному середовищі.