0
雷鋒網按:本文譯自Healthcare IT News
任何時候,患者都希望他們的醫療信息能夠保密,醫院也同樣需確保患者數據的安全。
但是為了實現更精準、更高效的醫療救治,就不得不進行一定的數據共享。
此外,隨著隱私和安全要求的變化,尤其是在這次新冠肺炎下的公共衛生危機期間,對數據共享的需求更加迫切。
然而,這也直接與患者隱私產生了沖突。
因此,許多人存有疑問,HIPAA隱私權法案設立25年后的今天,是否應該更新?
HIPAA(Health Insurance Portability and Accountability Act)是美國1996年聯邦健康保險便攜與問責法案。 這項法案頒布的目的是,讓人們更容易維持他們的醫療保險(允許個人在換工作時,可以隨同攜帶自己的醫療保險,不會因為轉換工作而承保中斷。),保障醫療信息的保密性和安全性,并幫助醫療行業控制行政成本。
HIPAA要求醫療提供者、醫療保健結算中心、醫療保險這三類組織必須遵守相關規定,保護患者診斷、過程、預后數據以及個人身份、文件、郵件、口頭溝通等信息。
但這項法案,是否依舊完全適用于當今時代?為了討論這些挑戰和其他相關問題,Healthcare IT News召集了該領域的兩位專家進行討論:
Helen Oscislawski是Oscislawski LLC機構的一名醫療保健律師,專門研究IT和隱私問題。
Gerry Blass是ComplyAssistant的CEO,該公司是醫療風險與軟件合規供應商。
問:共享患者數據的優點是什么?對醫療服務提供者和患者意味著什么?
Oscislawski:這個問題可以從許多不同的角度回答。例如,醫生可能傾向于認為共享患者數據的一個好處,是可以改善提供給患者的護理質量。另一方面,CIO可能會認為共享患者數據有益于提高CIO組織IT系統的價值和效率。
但從法律的角度來看,只有當“共享數據”減少了“不共享患者數據可能產生的潛在法律風險”,共享患者數據的好處才能體現。比如在某個病人身上獲得了重要的診斷測試結果,這個結果可以與醫生共享,醫生需要該信息來做出關鍵和緊急的治療決策。
但是,當測試結果只存在于獨立的EHR系統上,該系統就不會與使用其他EHR解決方案的提供商共享臨床數據,出于這個原因,診斷測試結果便不會與醫生共享,從而對患者的診斷決策產生一定的負面影響。因此,這種情況可能導致醫師潛在的醫療事故責任,如果共享患者數據,則可以避免。
共享患者數據還有一個重要的法律優勢,《21世紀治愈法》第4004條規定,禁止“信息封鎖”,也就是不允許醫療供應商故意限制數據的共享,這一規定也直接導致每年對健康IT開發人員,HIN和HIE處以最高100萬美元的潛在罰款。
Blass:從隱私和安全的角度來看,增加的數據共享通常意味著,有更多的PHI位置,用于保護其業務伙伴(BA)和下游BA。然后,隨著每個新地點的增加,審計范圍也隨之增加,同時也需要確保有適當的協議和控制措施。
問:應不應該訪問患者數據?
Oscislawski:只有那些被合法授權的個人或機構,才應該被允許訪問患者數據。盡管我們正進入一個新時代:有些時候拒絕共享患者數據,也將會受到法律制裁。但極為重要的是,患者數據的保管方(醫院以及他們的供應商),不應受到不正當的壓力,將他們病人的數據,開放給任何聲稱根據這項新法律他們有權訪問數據的人。
信息保護法不支持向任何有需要的人共享數據。保護病人隱私的標準,在HIPAA和等效州法律仍然適用。這意味著,當你作為醫院工作人員,接觸到希望訪問患者數據的外部機構時,你仍舊需要詢問他們訪問和使用患者數據的目的是什么,以及HIPAA和州法律的例外情況下,是否允許這一目的,而不是直接讓患者授權或簽署同意。如果法律的答案是“不允許”,那么該機構不應該訪問患者數據,除非得到了患者的同意。
問:共享患者數據有什么弊端?
Oscislawski:這個問題可以從不同的角度來回答。共享特定數據是有利還是有弊,決于數據的準確性。
診斷測試數據從它的原始系統共享出來,如果它的準確性是確定的,那么結果有利于共享病人數據。但是,如果患者數據來自一個沒有修正版本的測試結果的系統,那么結果的準確性就會受到損害,共享數據將是一個錯誤開始,致使診斷不準確。
Blass:如果“數據來自未更正測試結果的系統...”,則表明數據完整性不足,這會違反HIPAA安全規則,當然正如Oscislawski所說,這對病人的護理產生了不利影響。
問:IT團隊在保護數據不被別人訪問的同時,實現數據共享的風險和影響是什么?
Oscislawski:根據HIPAA安全規則,IT團隊應該已經開發了詳細的基于角色的訪問圖表,并根據特定的工作功能或合法授權個人訪問患者數據的目的相應地分配憑據。
Blass:HIPAA安全規則也要求有一個驗證和驗證請求組織和個人身份的過程。因此,需要繼續遵循這些相同的安全標準和實現規范,并開發行業最佳實踐。
問:醫療保健CIO和CISO如何在促進與HIPAA互操作性的原則之間達到最佳平衡?
Oscislawski:CIO和CISOs平衡HIPAA與互操作性和信息阻塞規則的最佳方式,是真正理解各自的需求和限制。我經常聽到關于HIPAA的某些條款是如何定義或應用的錯誤信息或誤解。互操作性和信息阻塞規則也是如此。關鍵是要學會準確解讀規則實際上說了什么,沒有說什么。
Blass:要警惕那些對這些規則過于籠統地加以概括的人,比如,“你必須分享你的所有患者信息,因為,如果你不這樣做,就屬于非法信息封鎖。”問題出在細節上,CIO和CISOs需要了解HIPAA和interoper的細節。在HIPAA的早期,特別是從隱私的角度來看,人們缺乏對隱私實踐通知的了解,誰都可以透露PHI。這導致了后期由于對違反、懲罰、制裁等舉措的恐懼,從而拒絕進行數據授權披露。今天,人們對這個問題有了更清晰的理解,但這需要一段時間,而且可能仍然會讓一些提供商感到困惑。
Oscislawski是正確的,關于“要么全有,要么沒有”這種一刀切的方法是不正確的,關于非法信息攔截及其與HIPAA的關系的教育,肯定將是一個重要的優先事項和必要性,以試圖避免HIPAA早期出現的混亂。
問:這對HIPAA有什么潛在的影響?這是否意味著我們需要更新HIPAA?
Oscislawski:政府已經意識到,HIPAA和42 CFR第2部分的更新,可能需要充分實現病人數據互操作共享的潛力。作為其“向協調醫療的監管沖刺”的一部分,OCR發布了一份信息請求(RFI),征求公眾關于如何修改HIPAA以促進協調的、基于價值的醫療保健的建議和意見。
除要求就HIPAA提出一般性意見外,該協會還要求就HIPAA隱私規則的具體領域提出意見,包括:(1)鼓勵分享治療和護理協調方面的信息;(2)促進家長參與照顧…(3)解決阿片類藥物危機和嚴重精神疾病;(4)按照HITECH法案的要求,對治療、支付和醫療運營的PHI信息披露進行會計處理。
Blass:事實上,HIPAA規則自1996年以來就沒有明顯的更新。2013年的HITECH/Omnibus最終規則確實考慮到了更大的罰款和訴訟可能性,以及對BAs和覆蓋實體更嚴格的管理要求,但沒有考慮到過去10年網絡安全風險的顯著增加和漏洞控制的范圍。
為此,還有其他框架可以使用,比如NIST CSF等。所以,從Oscislawski提到的話題來看,我同意我們應該看到HIPAA的更新;從隱私和安全的角度來看,我們應該看到HIPAA和其他框架之間有更強的聯系,比如NIST CSF和/或其他框架。
問:醫療服務提供商如何成功地讓他們的團隊和患者,了解共享數據的價值?
Oscislawski:我建議把重點放在教育內部團隊和患者“關于新規則和變化的真正含義的準確信息上”。我認為,這種教育內容的準確和清晰至關重要——如果做得正確的話。我認為患者自己會做出正確的決定。
Blass:同意——它應該成為培訓和持續提醒的一部分,既要保護PHI,又要在適當的時候分享它,以及兩者的價值。它確實是本應可操作的訓練的延伸。
雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
