Fortrolighed af medicinske oplysninger: Denne artikel blev bragt i januar/februar 2002-udgaven af The Maryland Bar Journal.
INDLEDNING
Arbejdsgivere indhenter regelmæssigt lægelige oplysninger om ansøgere og ansatte gennem en række forskellige kilder, herunder sygesikringsblanketter, arbejdsskadeerstatningsrapporter, anmodninger om orlov, lægenotater om fravær samt almindelig samtale og interaktion med ansøgere og ansatte. Selv om de fleste arbejdsgivere forstår, at sådanne oplysninger bør behandles med omhu, er mange arbejdsgivere ikke klar over, at medarbejderes og ansøgeres helbredsoplysninger kan være omfattet af særlig beskyttelse i henhold til forbunds- og delstatslovgivning. På den føderale side vedrører Americans with Disabilities Act, Family and Medical Leave Act, Fair Credit and Reporting Act og bestemmelser udstedt i henhold til Health Insurance Portability and Accountability Act alle direkte eller indirekte medicinske oplysninger, som arbejdsgiveren er i besiddelse af. Marylands love og common law pålægger også arbejdsgivere forpligtelser og begrænsninger.
ADA
The Americans with Disabilities Act (ADA), som gælder for arbejdsgivere med mindst 15 ansatte, forbyder forskelsbehandling “mod en kvalificeret person med et handicap på grund af handicappet” med hensyn til ethvert aspekt af den pågældendes ansøgning eller ansættelse. 42 USC §12112(a). I underafsnit (d) hedder det, at “forbuddet mod forskelsbehandling som omhandlet i underafsnit (a) skal omfatte lægeundersøgelser og -undersøgelser”. Underafsnit (d) begrænser de medicinske undersøgelser, som arbejdsgiverne må foretage af ansøgere og ansatte, forpligter arbejdsgiverne til at anvende særskilte formularer til indsamling af oplysninger om ansøgeres og ansattes helbredstilstand eller -historie og kræver, at arbejdsgiverne opbevarer sådanne oplysninger adskilt fra andre personalejournaler. Endvidere kræver ADA, at arbejdsgiverne skal holde sådanne oplysninger fortrolige, med visse snævre undtagelser.
I henhold til loven må en arbejdsgiver kun videregive sådanne oplysninger til: (i) tilsynsførende og ledere, hvis de vedrører “nødvendige begrænsninger i medarbejderens arbejde eller opgaver og nødvendige tilpasninger”; (ii) førstehjælps- og sikkerhedspersonale “når det er relevant, hvis handicappet kan kræve nødbehandling”; og (iii) regeringsembedsmænd, der undersøger overholdelse af ADA, efter anmodning. Equal Employment Opportunity Commission (EEOC), som håndhæver ADA, har fortolket disse bestemmelser i sin ADA Technical Assistance Manual og i vejledninger.
EEEOC’s Guidance on Pre-Employment Disability-Related Inquires and Medical Examinations Under the ADA (udstedt den 10. oktober 1995) fastsætter, at arbejdsgivere også kan videregive medicinske oplysninger til arbejdsskadeforsikringsselskaber og statslige arbejdsskadekontorer i overensstemmelse med lovgivningen om arbejdsskadeforsikring og “kan bruge medicinske oplysninger til forsikringsformål” – f.eks. ved at fremsende oplysninger til arbejdsgiverens forsikringsselskab, der er nødvendige for at administrere en sygeforsikringsplan. I vejledningen bemærkes det også, at medicinske oplysninger kan deles med arbejdsgiverrepræsentanter, der er involveret i ansættelsesprocessen eller i gennemførelsen af et program for positiv særbehandling, i det omfang sådanne repræsentanter “har brug for at kende oplysningerne”.
I samme EEOC-vejledning hedder det, at arbejdsgiverens fortrolighedsforpligtelser i henhold til ADA gælder for medicinske oplysninger, som en ansøger eller ansat frivilligt har videregivet til arbejdsgiveren, ud over oplysninger, som en person har givet som svar på lægelige forespørgsler eller en lægeundersøgelse. I vejledningen anføres det, at medarbejdernes generelle personalemapper ikke bør indeholde “noget medicinsk relateret materiale”. I denne henseende skelnes der i vejledningen mellem en simpel meddelelse om, at en medarbejder har taget sygeorlov eller haft en lægeaftale, hvilket ikke anses for at være omfattet af medicinske oplysninger, og dokumentation, der indeholder oplysninger om medarbejderens diagnose eller symptomer, hvilket anses for at være omfattet af medicinske oplysninger. Ifølge vejledningen ophører fortrolighedsforpligtelserne ikke, når en person ikke længere er ansøger eller ansat.
I henhold til afsnit 6.5 i EEOC’s Technical Assistance Manual on the Employment Provisions of the ADA (udgivet i januar 1992) bør en arbejdsgiver “tage skridt til at garantere sikkerheden for de medicinske oplysninger”, herunder opbevare oplysningerne “i en medicinsk fil i et separat, aflåst skab, adskilt fra personalefiler” og begrænse adgangen til sådanne filer til en eller flere bestemte personer. Håndbogen tillader også videregivelse til embedsmænd, der undersøger overholdelse af andre føderale og statslige love, som forbyder forskelsbehandling på grund af handicap, og videregivelse i henhold til “andre føderale love og bestemmelser kan også kræve videregivelse af relevante medicinske oplysninger.”
EØFOC’s Enforcement Guidance on Disability-Related Inquiries and Medical Examinations Under the ADA (udstedt den 26. juli 2000) fastsætter, at en arbejdsgiver skal behandle en medarbejder, der ansøger om en anden stilling i organisationen, som en ansøger. EEOC fastslår derfor, at en nuværende tilsynsførende, der har kendskab til medicinske oplysninger om en sådan medarbejder, ikke må videregive sådanne oplysninger til en person, der interviewer medarbejderen til det nye job, eller til en tilsynsførende for det nye job.
I denne vejledning indtager EEOC den holdning, at begrænsningerne for medicinske undersøgelser og fortrolighedsforpligtelserne gælder for “alle medarbejdere, ikke kun dem med handicap”. Denne holdning støttes af den ottende, niende og tiende kreds, men er i modstrid med holdningen i den femte kreds. Sammenlign Griffin v. Steeltek, 160 F.3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); og Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) med Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). Den tredje kreds har for nylig afvist at tage stilling til dette spørgsmål. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. April 23, 2001).
Ud over tvisten om, hvorvidt en ikke-handicappet person kan rejse et krav i henhold til §12112(d), har domstolene behandlet omfanget af den skade, der kræves for at støtte et krav i henhold til denne bestemmelse. Nylige afgørelser fra appelretter har krævet, at en sagsøger skal bevise, at overtrædelsen af §12112(d) har forvoldt sagsøgeren skade.
I Tice bekræftede den tredje retskreds tildelingen af en summarisk dom mod en ansat og fastslog, at en sagsøger ikke har en søgsmålsgrund for overtrædelse af §12112(d) uden at påvise, at der foreligger en faktisk skade, “enten gennem faktisk skade (følelsesmæssig, økonomisk eller på anden måde) eller gennem tilstedeværelsen af en vedvarende ulovlig praksis, som sagsøgeren sandsynligvis vil blive udsat for, hvis ikke retten griber ind”. Retten fandt, at klagerens “blotte påstande om psykisk/emotionel lidelse, psykisk angst, stress og ulempe” ikke var tilstrækkelige. Retten konkluderede ved at citere Fifth Circuit’s afgørelse i Armstrong og erklærede, at “der er ingen indikation i hverken teksten til ADA eller dens historie på, at en teknisk overtrædelse af § 12112(d) skulle give anledning til erstatning”.
I Cossette fastslog Eighth Circuit, at en sagsøger “skal påvise en håndgribelig skade forårsaget af den påståede ulovlige videregivelse” som en forudsætning for at opretholde en retssag. Cossette hævdede, at hendes arbejdsgiver uretmæssigt havde videregivet fortrolige medicinske oplysninger både inden for virksomheden og til en ikke-relateret enhed, som hun søgte et job hos. Retten erklærede, at hvis den uretmæssige videregivelse til den potentielle arbejdsgiver førte til, at hun blev nægtet et bedre betalt job, ville hun have et levedygtigt ADA-søgsmål. Retten fandt derefter, at den interne afsløring var “mere problematisk”. Retten bemærkede, at det at blive behandlet på en nedladende og nedladende måde af kolleger på grund af afsløringen af de fortrolige medicinske oplysninger “ikke er nok til at udgøre en negativ ansættelseshandling, som ville være nødvendig for at fastslå en prima facie-sag om forskelsbehandling på grund af handicap i henhold til § 12112(a)”. Den hjemviste dog sagen for at give distriktsdomstolen mulighed for at afgøre, om en sådan behandling var et tilstrækkeligt grundlag for en påstand om ulovlig videregivelse af medicinske oplysninger i henhold til §12112(d).
I Griffin v. Steeltek fik sagsøgeren medhold i sit første besøg i Tenth Circuit, som fastslog, at han ikke behøvede at være handicappet for at kunne anlægge sag i henhold til §12112(d). Tilbage i distriktsdomstolen tabte Griffin i sagens realitet. Da Tenth Circuit afviste hans anden appel, fastslog den i Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22. august 2001), at “det at blive stillet det utilladelige spørgsmål ikke i sig selv er tilstrækkeligt til at påføre en erkendelsesværdig skade”, og at der kun kan opnås erstatning (herunder selv nominel erstatning), hvis sagsøgeren godtgør, at arbejdsgiveren ved at stille et forbudt spørgsmål “faktisk har udøvet ulovlig forsætlig forskelsbehandling”. Retten bekræftede derefter afslaget på at give sagsøgeren et afslag på advokathonorar med henvisning til Højesterets nylige afgørelse i sagen Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). Tenth Circuit afviste teorien om “katalysator for forandring” og fastslog, at en sagsøger, der ikke får medhold i en ADA-sag via en dom eller et samtykkedekret, ikke har ret til advokathonorarer, “selv om forfølgelsen af en retssag har forårsaget en ønsket og frivillig ændring i sagsøgtes adfærd”, f.eks. ophør af utilladelige undersøgelser.
EEOC har anlagt adskillige retssager med påstande om ADA-krav mod arbejdsgivere i henhold til §12112(d) baseret på utilladelige forespørgsler, sammenblanding af medicinske oplysninger i personalemapper eller brud på fortrolighed. I alle disse sager har EEOC imidlertid også påstået andre overtrædelser af ADA eller andre borgerrettighedslove. Af de 27 sager, som EEOC’s distriktskontor i Baltimore i september 2001 havde på sin aktive retssagsliste, indeholdt en sag en påstand om, at arbejdsgiveren havde undladt at opbevare lægelige oplysninger i en separat sagsmappe, og en anden sag indeholdt en påstand om uretmæssig videregivelse af fortrolige lægelige oplysninger.
Der findes ingen afgørelser fra Fourth Circuit eller den føderale distriktsdomstol for distriktet Maryland, som omhandler en arbejdsgivers ansvar for overtrædelse af ADA-bestemmelserne, der kræver, at lægelige oplysninger skal holdes fortrolige. EEOC fortsætter med at forsøge at håndhæve disse bestemmelser. Desuden har enkeltpersoner en privat ret til at anlægge sag i henhold til ADA. Omfanget af arbejdsgivernes eksponering for overtrædelse af ADA’s bestemmelser om fortrolighed er endnu ikke fastlagt.
FMLA
Andre føderale vedtægter beskytter også medicinske oplysninger i ansættelsesmæssig sammenhæng. Family and Medical Leave Act (FMLA), 29 U.S.C. §§ 2601 ff. giver indirekte beskyttelse af medarbejdernes medicinske oplysninger ved at begrænse en arbejdsgivers ret til at anmode om eller stille spørgsmålstegn ved sådanne oplysninger. Arbejdsgivere kan kræve, at ansatte, der tager FMLA-orlov på grund af deres egen alvorlige helbredstilstand eller en omfattet slægtninges alvorlige helbredstilstand, skal fremlægge en lægeerklæring fra sundhedsplejersken. I henhold til regler udstedt af arbejdsministeriet kan en arbejdsgiver imidlertid ikke kræve en diagnose af medarbejderen eller den pågældende slægtning. 29 CFR § 825.306. Desuden kan arbejdsgiveren ikke anmode om yderligere oplysninger fra sundhedsplejersken, når der foreligger en lægeerklæring. En arbejdsgiver kan kontakte medarbejderens læge med henblik på at præcisere eller bekræfte lægeerklæringen, men kontakten skal foretages af en læge, der repræsenterer arbejdsgiveren, og kun med medarbejderens tilladelse. 29 CFR § 825.307. Hvis medarbejderen derimod har fravær på grund af arbejdsskadeerstatning sideløbende med FMLA-orlov, og bestemmelserne i arbejdsskadeerstatningsloven tillader arbejdsgiveren at have direkte kontakt med medarbejderens arbejdsskadebehandler, kan arbejdsgiveren fortsat have denne kontakt. 29 CFR § 825.307 (a)(1).
FCRA
Den føderale Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, yder også beskyttelse til medarbejdernes medicinske oplysninger. FCRA regulerer en arbejdsgivers adgang til “forbrugerrapporter” fra et “forbrugerrapporteringsbureau”. 15 U.S.C. § 1681. Loven kræver, at en arbejdsgiver skal oplyse en ansøger eller ansat om, at den vil fremskaffe oplysninger fra et rapporteringsbureau til brug ved overvejelse af den pågældendes ansættelse. 15 U.S.C. § 1681d. Afsnit 604(g) i FCRA forbyder forbrugerrapporteringsbureauer at levere rapporter, der indeholder medicinske oplysninger, til ansættelsesformål eller i forbindelse med kredit- eller forsikringstransaktioner uden forudgående specifikt samtykke fra den forbruger, der er genstand for rapporten. Hvis der søges om helbredsoplysninger med henblik på beskæftigelse, skal forbrugeren udtrykkeligt give sit samtykke til udlevering af helbredsoplysningerne ud over at give arbejdsgiveren tilladelse til at indhente en generel forbrugerrapport. I afsnit 603(i) defineres “medicinske oplysninger” som “oplysninger eller optegnelser, der med samtykke fra den person, som de vedrører, er indhentet fra autoriserede læger eller praktiserende læger, hospitaler, klinikker eller andre medicinske eller medicinsk relaterede faciliteter”. Oplysninger fra ikke-medicinske kilder, f.eks. arbejdsgivere, er ikke “medicinske oplysninger.”
HIPAA
Da Kongressen vedtog Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d, et seq. (“HIPAA”), indeholdt den bestemmelser om “administrativ forenkling”, der havde til formål at forbedre “effektiviteten og virkningsgraden af sundhedssystemet … … gennem fastlæggelse af standarder og krav til elektronisk overførsel af visse sundhedsoplysninger”. P.L. 104-191 § 261. Betydningen af elektronisk overførsel af sundhedsoplysninger gav anledning til bekymring om privatlivets fred, og loven pålagde ministeren for sundhed og menneskelige tjenester (“HHS”) at fremsætte henstillinger til kongressen om privatlivets fred for sundhedsoplysninger og fastsatte, at hvis kongressen ikke vedtog lovgivning inden for tre år, skulle ministeren udstede regler for at beskytte privatlivets fred for sundhedsoplysninger. P.L. 104-191 § 264. Kongressen vedtog ikke nogen lovgivning, og HHS udstedte de endelige HIPAA-bestemmelser om beskyttelse af privatlivets fred i december 2000. 65 Fed. Reg. 82526 (28/12/00). Kravet er opfyldt senest den 14. april 2003, selv om små sundhedsplaner (defineret som dem med 5 millioner dollars eller mindre i årlige indtægter, 45 C.F.R. § 160.103) har et år mere til rådighed.
HIPAA-reglerne om beskyttelse af privatlivets fred gælder direkte for “omfattede enheder”: sundhedsplaner, clearinghuse for sundhedsydelser og sundhedsudbydere, der vælger at gennemføre visse transaktioner elektronisk. 45 C.F.R. § 160.103. De eneste sundhedsplaner, der ikke er omfattet, er dem, der har færre end 50 deltagere og administreres af planens sponsor. Id. Selv om bestemmelserne ikke gælder direkte for arbejdsgivere, vil de fleste arbejdsgivere, der tilbyder sundhedsydelser, blive berørt via de bestemmelser, der gælder for sundhedsplaner, og de bestemmelser, der gælder for “forretningsforbindelser”.
Forordningerne kræver, at de omfattede enheder skal indhente aftaler fra deres “forretningsforbindelser” om at overholde de samme forpligtelser til beskyttelse af privatlivets fred som dem, der gælder for de omfattede enheder. 45 C.F.R. § 164.502(e). En forretningsforbindelse er enhver enhed, som en omfattet enhed videregiver beskyttede sundhedsoplysninger til, hvis den pågældende enhed udfører eller hjælper med at udføre funktioner som f.eks. behandling af krav, fakturering eller forvaltning af ydelser eller leverer juridiske, aktuarmæssige, regnskabsmæssige, rådgivende, administrative eller finansielle tjenester. 45 C.F.R. § 160.103. Hvis en arbejdsgiver udfører funktioner eller leverer tjenester, der gør den til en forretningsforbindelse til en sundhedsordning, som den sponsorerer, skal arbejdsgiveren underskrive en aftale om forretningsforbindelse og skal overholde alle de samme HIPAA-krav til beskyttelse af personlige oplysninger som sundhedsordningen. F.eks. leverer mange arbejdsgivere administrative tjenester til deres sundhedsordninger ved at håndtere tilmeldings- og præmiebetalingsfunktioner.
Inddragelsen af leverandører af juridiske tjenester i definitionen af “forretningsforbindelser” betyder, at advokater, der repræsenterer omfattede enheder eller forretningsforbindelser til omfattede enheder (f.eks. arbejdsgivere, der sponsorerer sundhedsordninger), bør afgøre, om de modtager beskyttede sundhedsoplysninger fra deres klienter, og om de vil være forpligtet til at underskrive aftaler om forretningsforbindelser.
HIPAA-reglerne om beskyttelse af personlige oplysninger dækker “beskyttede sundhedsoplysninger” (“PHI”), der opbevares af omfattede enheder. PHI er oplysninger, der er individuelt identificerbare og vedrører en medicinsk tilstand, behandling eller betaling for sundhedspleje. 45 C.F.R. § 164.501. Alle PHI er omfattet, uanset om de er mundtlige, på papir eller i elektronisk form, 45 C.F.R. § 160.103, og PHI må kun anvendes eller videregives som godkendt af deltageren eller som tilladt i henhold til bestemmelserne. Medtagelsen af begrænsninger i brugen af PHI betyder, at bestemmelserne gælder for den interne brug af oplysningerne og ikke kun for videregivelse af oplysningerne til udenforstående.
Definitionen af PHI er meget bred og rækker langt ud over, hvad udtrykket “beskyttede sundhedsoplysninger” normalt kan give anledning til at tænke på. Oplysninger om præmiebetalinger, erstatningskrav, præeksisterende lidelser, subrogation og koordinering af ydelser kan alle være PHI. Oplysninger behøver ikke at indeholde identifikatorer som navn, adresse eller socialsikringsnummer for at være individuelt identificerbare. F.eks. kan en rapport om en stor erstatningssag, der kun indeholder diagnoser eller procedurer og betalte beløb, indeholde individuelt identificerbare oplysninger, hvis der er et rimeligt grundlag for at tro, at oplysningerne kan bruges til at identificere de omfattede personer. 45 C.F.R. § 164.501.
Sundhedsordninger, der er omfattet af bestemmelserne, skal:
– Vedtage og implementere skriftlige politikker og procedurer for beskyttelse af personlige oplysninger, der opfylder kravene i bestemmelserne, 45 C.F.R 164.503(i);
– Give en meddelelse om politikker og procedurer for beskyttelse af personlige oplysninger til hver enkelt deltager, 45 C.F.R. 164.520;
– Uddanne de ansatte i privatlivspolitikker og -procedurer, 45 C.F.R. 164.530(b);
– Udpege en ansvarlig for privatlivets fred, 45 C.F.R. 164.530(a);
– Indhente tilladelse til at bruge PHI til andre formål end betaling og sundhedsplejeoperationer, 45 C.F.R. 164.530(a);
– Indhente tilladelse til at bruge PHI til andre formål end betaling og sundhedsplejeoperationer, 45 C.F.R. 164.508(a); og
– Kun videregive de mindst nødvendige PHI, 45 C.F.R. § 164.502(b).
Dertil kommer, at bestemmelserne giver planens deltagere ret til at inspicere og få en kopi af deres PHI, 45 C.F.R. § 164.524, anmode om ændring af deres PHI, 45 C.F.R. § 164.526, modtage en redegørelse for videregivelse af PHI, 45 C.F.R. § 164.526, modtage en redegørelse for videregivelse af PHI, 45 C.F.R. § 164.524, 45 C.F.R. § 164.526, modtage en redegørelse for videregivelse af PHI, 45 C.F.R. 164.528 og anmode om, at brugen og videregivelsen af PHI begrænses, 45 C.F.R. 164.522(a).
HIPAA-reglerne om beskyttelse af privatlivets fred understreger forskellen mellem den arbejdsgiver, der sponsorerer en sundhedsplan, og selve sundhedsplanen, og pålægger restriktioner for, hvad sundhedsplanen må videregive til arbejdsgiveren. En sundhedsplan må kun videregive PHI til arbejdsgiveren, hvis arbejdsgiveren attesterer, at planens dokumenter er blevet ændret som krævet i HIPAA’s regler om beskyttelse af personlige oplysninger, 45 C.F.R. § 164.504(f), herunder bestemmelser:
– der forbyder arbejdsgiveren at bruge eller videregive PHI på anden måde end som tilladt eller krævet i planens dokumenter eller som krævet i henhold til loven, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Forbud mod brug eller videregivelse af PHI i forbindelse med ansættelsesrelaterede foranstaltninger eller i forbindelse med enhver anden ydelsesordning sponsoreret af arbejdsgiveren, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Krav om, at arbejdsgiveren skal indberette enhver ukorrekt brug eller videregivelse af PHI til planen, 45 C.F.R. § 164.504(f)(2)(ii)(D);
– Krav om, at arbejdsgiveren returnerer eller destruerer PHI, når den tilladte brug er afsluttet, 45 C.F.R. § 164.504(f)(2)(ii)(I); og
– Beskrivelse af, hvilke medarbejdere der vil have adgang til PHI , 45 C.F.R. § 164.504(f)(2)(ii)(I); og
– Beskrivelse af, hvilke medarbejdere der vil have adgang til PHI , 45 C.F.R. § 164.504(f)(2)(iii)(A), og begrænsning af denne adgang til de administrative funktioner, som arbejdsgiveren udfører, 45 C.F.R. § 164.504(f)(2)(iii)(B).
Arbejdsgivere, der sponsorerer sundhedsplaner, og som ikke tidligere har skelnet mellem oplysninger, der er arbejdsgiverens, og oplysninger, der er planens, skal nu anerkende denne skelnen og begrænse brugen af og adgangen til planens oplysninger.
HIPAA’s bestemmelser om administrativ forenkling pålægger både strafferetlige og civilretlige sanktioner for manglende overholdelse af bestemmelserne. For overtrædelser, der er bevidste og har til formål at opnå kommercielle fordele eller skade i ond hensigt, omfatter de strafferetlige sanktioner bøder på op til 250 000 USD og ti års fængsel. 42 U.S.C. § 1320d-6. Der kan pålægges civile bøder på op til 100 USD pr. overtrædelse, dog højst 25 000 USD pr. år for overtrædelse af samme krav eller forbud. 42 U.S.C. § 1320d-5. Med over 50 separate krav og forbud i bestemmelserne om beskyttelse af privatlivets fred kan de civile sanktioner nå op på over 1,25 mio. dollars om året.
Forordningerne giver ikke mulighed for en privat søgsmålsret, men standarderne i bestemmelserne kan blive målestok for, hvad der er “rimelig omhu” i forbindelse med håndteringen af medarbejdernes sundhedsoplysninger, og statslige domstole kan bruge bestemmelserne til at vurdere, om arbejdsgivere og sundhedsordninger har handlet rimeligt i forbindelse med håndteringen af medarbejdernes sundhedsoplysninger. Dette kunne give arbejdsgivere mulighed for at blive sagsøgt i henhold til statens erstatningsret.
Forordningerne om beskyttelse af privatlivets fred fastsætter et gulv, ikke et loft. Hvis HIPAA-kravene til beskyttelse af privatlivets fred er strengere end delstatslovgivningen, gælder de føderale standarder. Hvis delstatslovgivningen på den anden side giver deltagerne i en sundhedsordning større beskyttelse, gælder delstatslovgivningen. 45 C.F.R § 160.203.
MARYLAND LAW
I 1990 vedtog Maryland loven om fortrolighed af lægejournaler, Md. Code Ann., Health-Gen. I, § 3-401, ff. “for at sikre fortroligheden af lægejournaler og generelt for at styrke patienternes ret til privatlivets fred”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Loven foreskriver snævert de tilfælde, hvor medicinsk personale kan videregive oplysninger uden tilladelse fra den pågældende person. Id., § 4-305. Der er ingen bestemmelse om uautoriseret videregivelse til en arbejdsgiver eller i forbindelse med ansættelsesformål. Der findes lignende lovbestemte begrænsninger med hensyn til et forsikringsselskabs eller en forsikringsserviceorganisations videregivelse af lægelige oplysninger, og arbejdsgiverens adgang til sådanne oplysninger er betinget af den forsikrede arbejdstagers samtykke. Se Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland har længe haft et lovbestemt forbud mod at kræve, at en ansøger til en ansættelse skal give oplysninger om en helbredstilstand, medmindre tilstanden har en “direkte, væsentlig og rettidig sammenhæng med ansøgerens evne eller egnethed til at udføre arbejdet korrekt”. Md. Ann. Code, Lab. & Empl., § 3-701. Desuden er Marylands lov om sikkerhed og sundhed på arbejdspladsen, Md. Ann. Code, Lab. & Empl., § 5-101 ff. forbyder en arbejdsgiver at træffe en negativ ansættelsesforanstaltning over for en ansat eller ansøger på grundlag af oplysninger, der er indhentet i kraft af den pågældendes deltagelse i arbejdsgiverens gruppesygesikring, medmindre der foreligger et tilsvarende bevis for relevans eller for en svigagtig fejlagtig fremstilling fra den ansattes side med hensyn til en sygdom. Id., § 5-604.
Den nyligt vedtagne statslige lovgivning begrænser en arbejdsgivers ret til at anvende genetiske oplysninger i forbindelse med ansættelsesbeslutninger. Fra den 1. oktober 2001 er det ulovlig ansættelsespraksis for en arbejdsgiver at undlade eller nægte at ansætte eller afskedige en person eller på anden måde forskelsbehandle en person på grund af personens genetiske oplysninger eller personens afvisning af at lade sig underkaste en genetisk test eller at stille resultaterne af en genetisk test til rådighed. I dette øjemed forstås ved “genetiske oplysninger” oplysninger: (i) om kromosomer, gener, genprodukter eller arvelige egenskaber, der kan stamme fra en person eller et familiemedlem, (ii) indhentet til diagnostiske eller terapeutiske formål, og (iii) indhentet på et tidspunkt, hvor den person, som oplysningerne vedrører, er asymptomatisk for sygdommen, men omfatter ikke (a) rutinemæssige fysiske målinger, (b) kemiske analyser, blod- og urinanalyser, der er almindeligt accepteret og anvendes i klinisk praksis, eller (c) test for brug af lægemidler. En “genetisk test” er en laboratorieundersøgelse af menneskelige kromosomer, gener eller genprodukter, der anvendes til at identificere tilstedeværelsen eller fraværet af arvelige eller medfødte ændringer i det genetiske materiale, som er forbundet med sygdom eller lidelse.
Finally, Maryland common law ville yde yderligere beskyttelse i det omfang, at en arbejdsgivers adgang til en ansats medicinske oplysninger ville udgøre en “krænkelse af privatlivets fred”. Maryland anerkender en søgsmålsgrund for “krænkelse af privatlivets fred” og “offentliggørelse af private forhold”. Se Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. afvist, 314 Md. 458, 550 A.2d 1168 (1988). Førstnævnte kræver en “forsætlig indtrængen i en andens ensomhed eller afsondrethed i hans private anliggender eller bekymringer, som ville være stærkt krænkende for en rimelig person”. Se Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Sidstnævnte krav foreligger, når man offentliggør en sag vedrørende en andens privatliv, og den offentliggjorte sag er af en art, som (a) ville være stærkt krænkende for en rimelig person, og (b) ikke er af legitim interesse for offentligheden. Id. på 77. Offentliggørelseselementet kræver spredning ud over en “lille gruppe af personer”. Id. at 78.
Selv om der ikke findes nogen rapporterede afgørelser fra domstolene i Maryland, der tager stilling til et erstatningskrav om krænkelse af privatlivets fred baseret på erhvervelse, brug eller udbredelse af medicinske oplysninger, er spørgsmålet opstået i andre jurisdiktioner. Se f.eks. Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (fastslår, at uautoriseret videregivelse af lægejournaler kan begrunde et krav om krænkelse af privatlivets fred). Sådanne krav klarer sig imidlertid ikke godt, medmindre sagsøgeren kan påvise, at de medicinske oplysninger blev indhentet uden hans eller hendes viden eller tilladelse, eller at oplysningerne blev bredt spredt til personer uden nogen legitim interesse i oplysningerne. Missouri Court of Appeals i sagen St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) afviste påstanden om, at hospitalets videregivelse af journaler uden sagsøgerens samtykke eller viden udgjorde enten et ulovligt “indgreb i privatlivets fred” eller “offentliggørelse af private forhold”, fordi journalerne henholdsvis ikke blev indhentet gennem bedrag eller andre urimelige metoder, og fordi offentliggørelsen ikke skete til “offentligheden i almindelighed eller til et stort antal personer”); se også , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (samme); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (fastslog, at sagsøgerens krav om indtrængen i privatlivets fred som følge af en urinprøve, som arbejdsgiveren havde krævet, ikke kunne imødekommes, fordi der ikke var påvist hverken “urimelig måde at trænge ind på eller indtrængen med et uberettiget formål”).
KONKLUSION
Arbejdsgivere, der indhenter eller opbevarer medicinske oplysninger om ansøgere eller ansatte, skal være opmærksomme på de forskellige statslige og føderale beskyttelsesforanstaltninger og begrænsninger, der gælder for disse oplysninger, og bør udarbejde politikker og procedurer for at sikre, at sådanne oplysninger kun indhentes, opbevares, anvendes og videregives i overensstemmelse med loven.