Privacy of Medical Information: Rechten en plichten van werkgevers en werknemers
Dit artikel is verschenen in het januari/februari-nummer 2002 van The Maryland Bar Journal.
INLEIDING
Werkgevers verkrijgen regelmatig medische informatie over sollicitanten en werknemers via een verscheidenheid aan bronnen, waaronder ziekteverzekeringsformulieren, werknemerscompensatieverslagen, verlofaanvragen, aantekeningen van artsen betreffende afwezigheden, en algemene gesprekken en interactie met sollicitanten en werknemers. Hoewel de meeste werkgevers begrijpen dat dergelijke informatie met zorg moet worden behandeld, realiseren veel werkgevers zich niet dat medische informatie van werknemers en sollicitanten onderworpen kan zijn aan specifieke bescherming onder federale en staatswetgeving. Op federaal vlak hebben de “Americans with Disabilities Act”, de “Family and Medical Leave Act”, de “Fair Credit and Reporting Act” en de voorschriften die zijn uitgevaardigd in het kader van de “Health Insurance Portability and Accountability Act” allemaal, direct of indirect, betrekking op medische informatie die in het bezit is van een werkgever. Maryland statutes and common law also impose obligations and limits on employers.
ADA
The Americans with Disabilities Act (ADA), which is applicable to employers of at least 15 employees, prohibits discrimination “against a qualified individual with a disability because of the disability” in regard to any aspect of the individual’s application or employment. 42 USC §12112(a). Subsectie (d) bepaalt dat “het verbod op discriminatie als bedoeld in subsectie (a) ook medische onderzoeken en enquêtes omvat”. Onderdeel (d) beperkt de medische onderzoeken die werkgevers bij sollicitanten en werknemers mogen verrichten, verplicht werkgevers om afzonderlijke formulieren te gebruiken voor het verzamelen van informatie over de medische toestand of voorgeschiedenis van sollicitanten en werknemers, en verplicht werkgevers om dergelijke informatie gescheiden te houden van andere personeelsdossiers. Bovendien vereist de ADA dat werkgevers dergelijke informatie vertrouwelijk houden, behoudens bepaalde beperkte uitzonderingen.
Op grond van de wet mag een werkgever dergelijke informatie alleen bekendmaken aan: (i) leidinggevenden en managers als het gaat om “noodzakelijke beperkingen van het werk of de taken van de werknemer en noodzakelijke aanpassingen”; (ii) personeel voor eerste hulp en veiligheid “indien van toepassing, als de handicap een spoedbehandeling zou kunnen vereisen”; en (iii) overheidsfunctionarissen die de naleving van de ADA onderzoeken, op verzoek. De Equal Employment Opportunity Commission (EEOC), die toeziet op de naleving van de ADA, heeft deze bepalingen geïnterpreteerd in haar ADA Technical Assistance Manual en in Guidances.
De EEOC’s Guidance on Pre-Employment Disability-Related Inquires and Medical Examinations Under the ADA (uitgegeven op 10 oktober 1995) bepaalt dat werkgevers ook medische informatie mogen verstrekken aan werknemerscompensatieverzekeraars en werknemerscompensatiebureaus in overeenstemming met de werknemerscompensatiewetten, en “medische informatie voor verzekeringsdoeleinden mogen gebruiken” — bijvoorbeeld door aan de verzekeraar van de werkgever informatie te verstrekken die nodig is voor het beheer van een ziektekostenverzekeringsplan. De leidraad merkt ook op dat medische informatie kan worden gedeeld met vertegenwoordigers van de werkgever die betrokken zijn bij het aanwervingsproces of bij de uitvoering van een programma voor positieve actie, voor zover dergelijke vertegenwoordigers “de informatie moeten kennen.”
Dezelfde EEOC Guidance bepaalt dat de vertrouwelijkheidsverplichtingen van de werkgever onder de ADA van toepassing zijn op medische informatie die een sollicitant of werknemer vrijwillig aan de werkgever heeft meegedeeld, naast informatie die een individu heeft verstrekt in antwoord op medische vragen of een medisch onderzoek. De Richtsnoeren stellen dat de algemene personeelsdossiers van werknemers geen “medisch gerelateerd materiaal” mogen bevatten. In dit verband wordt in de Richtsnoeren een onderscheid gemaakt tussen de loutere mededeling dat een werknemer met ziekteverlof is of een doktersafspraak heeft gehad, die niet als onder medische informatie vallende informatie wordt beschouwd, en documentatie die informatie bevat over de diagnose of symptomen van de werknemer, die wel als onder medische informatie vallende informatie wordt beschouwd. Volgens de richtsnoeren eindigen de geheimhoudingsverplichtingen niet wanneer een persoon niet langer een sollicitant of werknemer is.
Sectie 6.5 van de Technical Assistance Manual on the Employment Provisions of the ADA van de EEOC (uitgegeven in januari 1992) bepaalt dat een werkgever “stappen moet ondernemen om de veiligheid van de medische informatie te garanderen”, waaronder het bewaren van de informatie “in een medisch dossier in een aparte, afgesloten kast, afgezien van de locatie van personeelsdossiers” en het beperken van de toegang tot dergelijke dossiers tot een specifieke persoon of specifieke personen. Het Handboek staat ook de bekendmaking toe aan overheidsambtenaren die onderzoek doen naar de naleving van andere federale en staatswetten die discriminatie op grond van een handicap verbieden, en de bekendmaking op grond van “andere federale wetten en voorschriften kunnen ook de bekendmaking van relevante medische informatie vereisen.”
De EEOC’s Enforcement Guidance on Disability-Related Inquiries and Medical Examinations Under the ADA (uitgegeven op 26 juli 2000) bepaalt dat een werkgever een werknemer die solliciteert naar een andere functie binnen de organisatie, moet behandelen als een sollicitant. Dienovereenkomstig stelt de EEOC dat een huidige supervisor die op de hoogte is van medische informatie over een dergelijke werknemer, deze informatie niet mag onthullen aan een persoon die de werknemer interviewt voor de nieuwe baan of aan een supervisor van die nieuwe baan.
In deze Guidance neemt de EEOC het standpunt in dat de beperkingen op medische onderzoeken en de geheimhoudingsplicht van toepassing zijn op “alle werknemers, niet alleen die met een handicap”. Dit standpunt wordt gesteund door de Eighth, Ninth, en Tenth Circuits, maar is in strijd met het standpunt van de Fifth Circuit. Vergelijk Griffin v. Steeltek, 160 F.3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); en Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) met Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). De Third Circuit heeft onlangs geweigerd zich over deze kwestie uit te spreken. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. 23 april 2001).
Naast het geschil over de vraag of een niet-gehandicapte persoon een vordering op grond van §12112(d) kan instellen, hebben de rechtbanken zich gebogen over de omvang van de schade die vereist is om een vordering op grond van die bepaling te ondersteunen. Recente uitspraken van appelrechtbanken hebben geëist dat een eiser bewijst dat de schending van §12112(d) schade aan de eiser heeft toegebracht.
In Tice bevestigde de Third Circuit de toekenning van een summier vonnis tegen een werknemer, en oordeelde dat een eiser geen reden heeft om een vordering wegens schending van §12112(d) in te stellen zonder het bestaan van een feitelijke schade aan te tonen, “hetzij door feitelijke schade (emotioneel, geldelijk, of anderszins), hetzij door de aanwezigheid van een voortdurende illegale praktijk waaraan de eiser waarschijnlijk zal worden onderworpen zonder tussenkomst van de rechter”. De rechtbank was van oordeel dat de “blote beweringen van de eiser inzake geestelijk/emotioneel leed, geestelijke angst, stress en ongemak” niet voldoende waren. De rechtbank besloot met een verwijzing naar de beslissing van de Fifth Circuit in Armstrong en verklaarde dat “er noch in de tekst van de ADA noch in de geschiedenis ervan aanwijzingen zijn dat een technische schending van §12112(d) was bedoeld om aanleiding te geven tot schadevergoeding”.
In Cossette oordeelde de Eighth Circuit dat een eiser “een tastbare schade moet aantonen die is veroorzaakt door de vermeende illegale openbaarmaking” als voorwaarde om een rechtszaak aan te spannen. Mevrouw Cossette beweerde dat haar werkgever ten onrechte vertrouwelijke medische informatie bekendmaakte, zowel binnen het bedrijf als aan een niet-verwante entiteit waar ze solliciteerde naar een baan. De rechtbank verklaarde dat indien de onterechte bekendmaking aan de toekomstige werkgever ertoe zou leiden dat haar een beter betaalde baan zou worden geweigerd, zij een levensvatbare ADA vordering zou hebben. De rechtbank was vervolgens van oordeel dat de interne bekendmaking “problematischer” was. De rechtbank merkte op dat de neerbuigende en neerbuigende manier waarop collega’s haar behandelden als gevolg van de bekendmaking van de vertrouwelijke medische informatie “niet kan worden beschouwd als een nadelige actie in dienstverband die vereist is om een prima facie geval van discriminatie op grond van handicap onder §12112(a) vast te stellen”. Het stuurde de zaak echter terug om de districtsrechtbank in staat te stellen te bepalen of een dergelijke behandeling een voldoende basis was voor een vordering van onwettige openbaarmaking van medische informatie onder §12112(d).
In Griffin v. Steeltek zegevierde de eiser in zijn eerste bezoek aan de Tenth Circuit, die oordeelde dat hij niet gehandicapt hoefde te zijn om een aanklacht in te dienen onder §12112(d). Terug in de arrondissementsrechtbank verloor de heer Griffin de zaak ten gronde. Bij de verwerping van zijn tweede beroep oordeelde de Tenth Circuit in Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22 augustus 2001), dat “het stellen van de ontoelaatbare vraag op zichzelf niet voldoende is om een aanwijsbare schade toe te brengen” en dat schadevergoeding (zelfs nominale schadevergoeding) alleen beschikbaar is als de eiser aantoont dat de werkgever door het stellen van een verboden vraag “zich daadwerkelijk schuldig heeft gemaakt aan onwettige opzettelijke discriminatie”. De rechtbank bevestigde vervolgens de weigering van advocaatkosten voor de eiser, onder verwijzing naar de recente beslissing van het Hooggerechtshof in Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). De Tenth Circuit verwierp de “katalysator voor verandering”-theorie en oordeelde dat een eiser die niet ten gronde zegeviert in een ADA-zaak via een vonnis of een consent decree geen recht heeft op advocatenhonoraria “zelfs als de voortzetting van de rechtszaak een gewenste en vrijwillige verandering in het gedrag van de verweerder heeft veroorzaakt”, zoals de stopzetting van ontoelaatbare onderzoeken.
De EEOC heeft talrijke rechtszaken aangespannen waarin zij op grond van §12112(d) ADA-claims tegen werkgevers heeft ingediend op basis van ontoelaatbare vragen, het vermengen van medische informatie in personeelsdossiers, of schendingen van de vertrouwelijkheid. In al deze zaken heeft de EEOC echter ook andere schendingen van de ADA of andere burgerrechtenstatuten aangevoerd. Van de 27 zaken op de actieve procesagenda van het EEOC’s Baltimore District Office in september 2001, bevat er één een beschuldiging dat de werkgever medische informatie niet in een afzonderlijk dossier heeft bijgehouden en een andere een claim van onrechtmatige bekendmaking van vertrouwelijke medische informatie.
Er zijn geen uitspraken van de Fourth Circuit of de federale districtsrechtbank voor het District Maryland die de aansprakelijkheid van een werkgever behandelen voor schending van de ADA-bepalingen die vereisen dat medische informatie vertrouwelijk wordt gehouden. De EEOC blijft zich inspannen om deze bepalingen te doen naleven. Bovendien hebben particulieren op grond van de ADA het recht een particuliere vordering in te stellen. De omvang van de blootstelling van werkgevers wegens schending van de vertrouwelijkheidsbepalingen van de ADA moet nog worden bepaald.
FMLA
Andere federale statuten beschermen ook medische informatie in de arbeidscontext. De Family and Medical Leave Act (FMLA), 29 U.S.C. §§ 2601 e.v., biedt indirect bescherming van medische informatie van werknemers door het recht van een werkgever te beperken om dergelijke informatie te vragen of in twijfel te trekken. Werkgevers kunnen van werknemers die FMLA-verlof nemen wegens hun eigen ernstige gezondheidstoestand of de ernstige gezondheidstoestand van een familielid verlangen dat zij een medisch attest van de zorgverstrekker overleggen. Volgens de voorschriften van het ministerie van Arbeid kan een werkgever echter geen diagnose van de werknemer of het familielid verlangen. 29 CFR § 825.306. Bovendien mag de werkgever, wanneer de medische verklaring eenmaal is verstrekt, de zorgverlener niet om aanvullende informatie vragen. Hoewel een werkgever contact mag opnemen met de zorgverlener van de werknemer ter verduidelijking of waarmerking van de medische verklaring, moet het contact worden gelegd door een zorgverlener die de werkgever vertegenwoordigt, en alleen met toestemming van de werknemer. 29 CFR § 825.307. Als de werknemer echter een werknemerscompensatieverlof heeft dat gelijktijdig loopt met FMLA-verlof en de bepalingen van het werknemerscompensatiestatuut de werkgever toestaan rechtstreeks contact te hebben met de werknemerscompensatiearts van de werknemer, dan mag de werkgever dergelijk contact blijven hebben. 29 CFR § 825.307 (a)(1).
FCRA
De federale Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, biedt ook bescherming aan medische informatie van werknemers. De FCRA regelt de toegang van een werkgever tot “consumentenrapporten” van een “consumer reporting agency”. 15 U.S.C. § 1681. De wet vereist dat een werkgever een sollicitant of werknemer meedeelt dat hij informatie gaat inwinnen bij een rapporteringsbureau voor gebruik bij de beoordeling van de baan van de betrokkene. 15 U.S.C. § 1681d. Sectie 604(g) van de FCRA verbiedt dat rapporterende instellingen rapporten met medische informatie verstrekken voor tewerkstellingsdoeleinden, of in verband met krediet- of verzekeringstransacties, zonder de specifieke voorafgaande toestemming van de consument die het onderwerp van het rapport is. Wanneer medische informatie voor tewerkstellingsdoeleinden wordt opgevraagd, moet de consument uitdrukkelijk toestemming geven voor het vrijgeven van de medische informatie, naast de toestemming aan de werkgever om een algemeen consumentenrapport op te vragen. Sectie 603(i) definieert “medische informatie” als “informatie of dossiers die, met toestemming van de persoon op wie de informatie betrekking heeft, verkregen zijn van erkende artsen of geneeskundigen, ziekenhuizen, klinieken of andere medische of medisch gerelateerde instellingen”. Informatie uit niet-medische bronnen, zoals werkgevers, is geen “medische informatie.”
HIPAA
Toen het Congres de Health Insurance Portability and Accountability Act aannam, 42 U.S.C. § 1320d, et seq. (“HIPAA”), bevatte het bepalingen over “administratieve vereenvoudiging” die waren gericht op het verbeteren van de “efficiëntie en effectiviteit van het gezondheidszorgsysteem … door het vaststellen van normen en vereisten voor de elektronische overdracht van bepaalde gezondheidsinformatie.” P.L. 104-191 § 261. De nadruk op de elektronische overdracht van gezondheidsinformatie gaf aanleiding tot bezorgdheid over de privacy, en de wet bepaalde dat de Minister van Volksgezondheid en Sociale Diensten (“HHS”) aanbevelingen moest doen aan het Congres over de privacy van gezondheidsinformatie, en bepaalde dat indien het Congres niet binnen drie jaar wetgeving aannam, de Minister voorschriften moest uitvaardigen ter bescherming van de privacy van gezondheidsinformatie. P.L. 104-191 § 264. Het Congres heeft geen wetgeving aangenomen en het HHS heeft in december 2000 de definitieve HIPAA-voorschriften inzake de bescherming van de persoonlijke levenssfeer vastgesteld. 65 Fed. Reg. 82526 (12/28/00). Naleving is vereist tegen 14 april 2003, hoewel kleine gezondheidsplannen (gedefinieerd als die met $ 5 miljoen of minder aan jaarlijkse ontvangsten, 45 C.F.R. § 160.103) een extra jaar hebben.
De HIPAA-bepalingen inzake privacy zijn rechtstreeks van toepassing op “gedekte entiteiten”: gezondheidsplannen, clearinghouses voor gezondheidszorg, en zorgverleners die ervoor kiezen om bepaalde transacties elektronisch uit te voeren. 45 C.F.R. § 160.103. De enige gezondheidsplannen die niet onder de voorschriften vallen, zijn die met minder dan 50 deelnemers en die worden beheerd door de sponsor van het plan. Id. Hoewel de verordeningen niet rechtstreeks van toepassing zijn op werkgevers, zullen de meeste werkgevers die gezondheidsvoordelen aanbieden, worden beïnvloed door de bepalingen die van toepassing zijn op gezondheidsplannen en die welke van toepassing zijn op “business associates.”
De verordeningen vereisen dat de gedekte entiteiten overeenkomsten verkrijgen van hun “business associates” om zich te houden aan dezelfde verplichtingen inzake de bescherming van de persoonlijke levenssfeer die gelden voor de gedekte entiteiten. 45 C.F.R. § 164.502(e). Een “business associate” is elke entiteit waaraan een “covered entity” beschermde gezondheidsinformatie bekendmaakt, indien die entiteit taken uitvoert of helpt bij de uitvoering ervan, zoals de verwerking van claims, facturering of het beheer van uitkeringen, of juridische, actuariële, boekhoudkundige, adviserende, administratieve of financiële diensten verleent. 45 C.F.R. § 160.103. Indien een werkgever functies uitoefent of diensten verleent waardoor hij een “business associate” wordt van een door hem gesponsord gezondheidsplan, zal de werkgever een “business associate”-overeenkomst moeten ondertekenen en zal hij aan dezelfde HIPAA-privacyvereisten moeten voldoen als het gezondheidsplan. Veel werkgevers verlenen bijvoorbeeld administratieve diensten aan hun gezondheidsplannen door inschrijvings- en premiebetalingsfuncties af te handelen.
De opname van verleners van juridische diensten in de definitie van “business associates” betekent dat advocaten die gedekte entiteiten vertegenwoordigen, of de business associates van gedekte entiteiten (zoals werkgevers die gezondheidsplannen sponsoren) moeten bepalen of ze beschermde gezondheidsinformatie van hun klanten ontvangen en of ze verplicht zullen zijn om business associate-overeenkomsten te ondertekenen.
De HIPAA-privacyvoorschriften hebben betrekking op “beschermde gezondheidsinformatie” (“PHI”) die wordt bijgehouden door gedekte entiteiten. PHI is informatie die individueel identificeerbaar is en betrekking heeft op een medische toestand, behandeling of betaling voor gezondheidszorg. 45 C.F.R. § 164.501. Alle PHI valt onder de richtlijn, ongeacht of deze mondeling, op papier of in elektronische vorm wordt verstrekt, 45 C.F.R. § 160.103, en PHI mag alleen worden gebruikt of bekendgemaakt met toestemming van de deelnemer of zoals toegestaan door de regelgeving. De opname van beperkingen op het gebruik van PHI betekent dat de voorschriften van toepassing zijn op het interne gebruik van de informatie, niet alleen op de bekendmaking van de informatie aan buitenstaanders.
De definitie van PHI is zeer breed en gaat veel verder dan wat de uitdrukking “beschermde gezondheidsinformatie” gewoonlijk in gedachten zou kunnen brengen. Informatie over premiebetalingen, claims, reeds bestaande aandoeningen, subrogatie, en coördinatie van uitkeringen kunnen allemaal PHI zijn. Informatie hoeft geen identificatoren zoals naam, adres of sofi-nummer te bevatten om individueel identificeerbaar te zijn. Zo kan bijvoorbeeld een claimrapport over een groot bedrag dat alleen diagnoses of procedures en betaalde bedragen bevat, individueel identificeerbare informatie bevatten, indien er een redelijke basis is om aan te nemen dat de informatie kan worden gebruikt om de betrokken personen te identificeren. 45 C.F.R. § 164.501.
Gezondheidsplannen die onder de regelgeving vallen, moeten:
– Een schriftelijk privacybeleid en procedures vaststellen en implementeren die voldoen aan de vereisten van de regelgeving, 45 C.F.R. 164.503(i);
– Een kennisgeving van het privacybeleid en de procedures aan elke deelnemer verstrekken, 45 C.F.R. 164.520;
– Train werknemers in het privacybeleid en de privacyprocedures, 45 C.F.R. 164.530(b);
– Benoem een privacyfunctionaris, 45 C.F.R. 164.530(a);
– Verkrijg toestemming om PHI te gebruiken voor andere doeleinden dan betaling en gezondheidszorgactiviteiten, 45 C.F.R. 164.508(a); en
– Alleen de minimaal noodzakelijke PHI bekendmaken, 45 C.F.R. § 164.502(b).
Daarnaast geven de regelingen deelnemers aan regelingen het recht om hun PHI te inspecteren en een kopie ervan te krijgen, 45 C.F.R. § 164.524, te verzoeken om wijziging van hun PHI, 45 C.F.R. § 164.526, een boekhouding te ontvangen van openbaarmakingen van PHI, 45 C.F.R. 164.528, en verzoeken om beperking van het gebruik en de openbaarmaking van PHI, 45 C.F.R. 164.522(a).
De HIPAA-bepalingen inzake privacy leggen de nadruk op het onderscheid tussen de werkgever die een gezondheidsplan sponsort en het gezondheidsplan zelf, en leggen beperkingen op aan wat het gezondheidsplan aan de werkgever mag onthullen. Een gezondheidsplan mag PHI alleen aan de werkgever bekendmaken als de werkgever verklaart dat de documenten van het plan zijn aangepast aan de HIPAA-bepalingen inzake privacy, 45 C.F.R. § 164.504(f), met inbegrip van de volgende bepalingen:
– Verbod voor de werkgever om PHI te gebruiken of bekend te maken op een andere wijze dan is toegestaan of vereist in de documenten van het plan of zoals wettelijk is vereist, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Verbod op het gebruik of de openbaarmaking van PHI voor werkgerelateerde acties of in verband met andere door de werkgever gesponsorde uitkeringsregelingen, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Verplichting van de werkgever om elk onjuist gebruik of elke onjuiste openbaarmaking van PHI aan het plan te melden, 45 C.F.R. § 164.f)(2)(ii)(C);
– Verplichting van de werkgever om elk onjuist gebruik of elke onjuiste openbaarmaking van PHI aan het plan te melden, 45 C.F.R. § 164.f)(2)(C).504(f)(2)(ii)(D);
– Verplichten van de werkgever om PHI terug te geven of te vernietigen nadat het toegestane gebruik is voltooid, 45 C.F.R. § 164.504(f)(2)(ii)(I); en
– Beschrijven welke werknemers toegang zullen hebben tot PHI , 45 C.F.R. § 164.504(f)(2)(iii)(A), en het beperken van deze toegang tot de administratieve functies van het plan die de werkgever uitvoert, 45 C.F.R. § 164.504(f)(2)(iii)(B).
Werkgevers die gezondheidsplannen sponsoren en die in het verleden geen onderscheid hebben gemaakt tussen informatie die van de werkgever is en informatie die van het plan is, zullen dit onderscheid nu moeten erkennen en het gebruik van en de toegang tot de informatie van het plan moeten beperken.
De bepalingen inzake administratieve vereenvoudiging van de HIPAA leggen zowel strafrechtelijke als civielrechtelijke sancties op voor niet-naleving. Voor overtredingen die opzettelijk zijn begaan en bedoeld zijn om commercieel voordeel te behalen of kwaadwillige schade toe te brengen, omvatten de strafrechtelijke sancties boetes tot $ 250.000 en tien jaar gevangenisstraf. 42 U.S.C. § 1320d-6. Civielrechtelijke sancties van maximaal $100 per overtreding kunnen worden opgelegd, tot een maximum van $25.000 per jaar voor overtredingen van dezelfde eis of hetzelfde verbod. 42 U.S.C. § 1320d-5. Met meer dan 50 afzonderlijke vereisten en verboden in de privacy-voorschriften kunnen de civielrechtelijke sancties oplopen tot meer dan $1,25 miljoen per jaar.
De voorschriften voorzien niet in een particuliere vordering, maar de normen in de voorschriften kunnen de maatstaf worden voor wat “redelijke zorg” is in de omgang met gezondheidsinformatie van werknemers, en rechtbanken in de staten zouden de voorschriften kunnen gebruiken om te bepalen of werkgevers en gezondheidsplannen redelijk hebben gehandeld in de omgang met gezondheidsinformatie van werknemers. Dit zou werkgevers kunnen blootstellen aan rechtszaken op grond van de wetgeving inzake onrechtmatige daad.
De privacyvoorschriften stellen een ondergrens, geen plafond. Als de HIPAA-privacyvoorschriften strenger zijn dan de staatswet, gelden de federale normen. Anderzijds, indien de staatswet de deelnemers aan een gezondheidsplan meer bescherming biedt, is de staatswet van toepassing. 45 C.F.R § 160.203.
MARYLAND LAW
In 1990 heeft Maryland de wet op de vertrouwelijkheid van medische dossiers aangenomen, Md. Code Ann., Health-Gen. I, § 3-401, et seq., “om te voorzien in de vertrouwelijkheid van medische dossiers, en in het algemeen om de privacyrechten van patiënten te versterken.” Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Het statuut schrijft nauwgezet voor in welke gevallen medisch personeel informatie mag vrijgeven zonder de toestemming van de betrokken persoon. Id., § 4-305. Er is geen bepaling voor een ongeoorloofde bekendmaking aan een werkgever of voor arbeidsdoeleinden. Soortgelijke wettelijke beperkingen bestaan met betrekking tot het vrijgeven van medische informatie door een verzekeraar of een organisatie voor verzekeringsdiensten en stellen de toegang van een werkgever tot dergelijke informatie afhankelijk van de toestemming van de verzekerde werknemer. Zie Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland kent een al lang bestaand wettelijk verbod om van een sollicitant te verlangen dat hij informatie verstrekt over een medische aandoening, tenzij de aandoening “rechtstreeks, wezenlijk en tijdig verband houdt met het vermogen of de geschiktheid van de sollicitant om de functie naar behoren uit te oefenen”. Md. Ann. Code, Lab. & Empl., § 3-701. Bovendien is de Occupational Safety and Health Act van Maryland, Md. Ann. Code, Lab. & Empl., § 5-101 e.v., verbiedt een werkgever een nadelige werkgelegenheidsmaatregel te nemen tegen een werknemer of sollicitant op basis van informatie die is verkregen op grond van de deelname van de persoon aan de collectieve medische dekking van de werkgever, tenzij een vergelijkbaar bewijs van relevantie of van een frauduleuze onjuiste voorstelling van zaken door de werknemer met betrekking tot een medische aandoening ontbreekt. Id., § 5-604.
Recentelijk uitgevaardigde staatswetgeving beperkt het recht van een werkgever om genetische informatie te gebruiken in verband met arbeidsbeslissingen. Vanaf 1 oktober 2001 is het een onwettige arbeidspraktijk voor een werkgever om iemand niet aan te nemen of te weigeren, of om iemand te ontslaan, of om iemand anderszins te discrimineren vanwege de genetische informatie van de persoon of de weigering van de persoon om zich aan een genetische test te onderwerpen of de resultaten van een genetische test beschikbaar te stellen. Voor deze doeleinden wordt onder “genetische informatie” verstaan informatie (i) over chromosomen, genen, genproducten of erfelijke eigenschappen die afkomstig kunnen zijn van een persoon of een familielid; (ii) verkregen voor diagnostische of therapeutische doeleinden; en (iii) verkregen op een tijdstip waarop de persoon waarop de informatie betrekking heeft asymptomatisch is voor de ziekte, maar omvat niet (a) routinematige lichamelijke metingen; (b) chemische, bloed- en urineanalyses die algemeen aanvaard zijn en in de klinische praktijk worden gebruikt; of (c) tests voor het gebruik van geneesmiddelen. Een “genetische test” is een laboratoriumtest van menselijke chromosomen, genen of genproducten die wordt gebruikt om de aan- of afwezigheid van geërfde of aangeboren veranderingen in genetisch materiaal vast te stellen die in verband worden gebracht met ziekte of aandoening.
Ten slotte zou het gewoonterecht van Maryland verdere bescherming bieden voor zover de toegang van een werkgever tot de medische informatie van een werknemer een “inbreuk op de persoonlijke levenssfeer” zou vormen. Maryland erkent een oorzaak van actie voor een “inbreuk op de beslotenheid” en de “publicatie van privéfeiten”. Zie Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. denied, 314 Md. 458, 550 A.2d 1168 (1988). Het eerste vereist een “opzettelijk binnendringen in de eenzaamheid of afzondering van een ander in zijn privé-aangelegenheden of -belangen, dat zeer beledigend zou zijn voor een redelijk persoon”. Zie Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Dit laatste is het geval wanneer iemand een zaak betreffende het privéleven van een ander openbaar maakt en de openbaar gemaakte zaak (a) zeer beledigend zou zijn voor een redelijk persoon, en (b) niet van legitieme zorg is voor het publiek. Id. bij 77. Het element publicatie vereist verspreiding buiten een “kleine groep van personen”. Id. at 78.
Hoewel er geen gerapporteerde uitspraken zijn van de Maryland rechtbanken die zich uitspreken over een vordering wegens inbreuk op de persoonlijke levenssfeer gebaseerd op het verwerven, het gebruik of de verspreiding van medische informatie, is de kwestie in andere jurisdicties wel aan de orde geweest. Zie b.v. Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (stelt dat ongeoorloofde openbaarmaking van medische gegevens een vordering wegens schending van de persoonlijke levenssfeer kan doen ontstaan). Dergelijke vorderingen hebben het echter niet goed, tenzij de eiser kan aantonen dat de medische informatie zonder zijn of haar medeweten of toestemming werd verkregen of dat de informatie op grote schaal werd verspreid onder personen die geen rechtmatig belang bij de informatie hadden. Het Hof van Beroep van Missouri in St. Anthony’s Med. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) verwierp de bewering dat de openbaarmaking van dossiers door het ziekenhuis zonder toestemming of medeweten van de eiser een onwettige “inbreuk op de persoonlijke levenssfeer” of “bekendmaking van privéfeiten” vormde, omdat de dossiers niet via bedrog of andere onredelijke methoden waren verkregen en de bekendmaking niet geschiedde “aan het publiek in het algemeen of aan een groot aantal personen”); Zie ook , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (idem); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (waarin werd geoordeeld dat de vordering van de eiser wegens inbreuk op de persoonlijke levenssfeer als gevolg van een door de werkgever geëiste urinetest niet slaagde omdat er geen sprake was van “onredelijke wijze van binnendringen of binnendringen met een ongerechtvaardigd doel”).
CONCLUSIE
Werkgevers die medische informatie over sollicitanten of werknemers verkrijgen of bewaren, moeten zich bewust zijn van de verschillende staats- en federale beschermingen en beperkingen die op die informatie van toepassing zijn, en moeten beleid en procedures ontwikkelen om ervoor te zorgen dat dergelijke informatie alleen in overeenstemming met de wet wordt verkregen, opgeslagen, gebruikt en openbaar gemaakt.