Datenschutz-Sicherheit-Perspektiven: die Interoperabilität, die Perspektiven für HIPAA aktualisieren, mehr

Patienten wollen, dass Ihre Informationen im Gesundheitswesen, privat zu bleiben. Healthcare-Anbieter-Organisationen halten wollen Patienten Daten zu sichern. Aber die Notwendigkeit, die Interoperabilität und den Austausch von geschützten Gesundheitsinformationen können oft diese beiden Ziele im Widerspruch stehen.

Weitere, wie die privacy-und security-Landschaft verändert sich immer wieder – nicht zuletzt in dieser beispiellosen Krise des öffentlichen Gesundheitswesens mit seinen komplexen und schnelllebigen Anforderungen für Daten-sharing – viele Fragen sich, ob HIPAA und sein Wahrzeichen Privatsphäre Regel braucht ein Update nach fast 25 Jahren.

Zu diskutieren diese Herausforderungen und andere Themen, die die Healthcare-IT-News gebracht hat, zusammen mit zwei Experten auf dem Gebiet.

Helen Oscislawski ist ein Gesundheits-Anwalt Anwälte Oscislawski LLC, spezialisiert in IT-und Datenschutz-Probleme. Gerry Blass ist Präsident und CEO von ComplyAssistant, einem Anbieter von governance -, Risiko-und compliance-software.

Die beiden nahmen vor kurzem in einem Q&Eine soll helfen, CIOs und CISOs und andere navigieren, diese schwierigen Fragen.

F: Was sind die Vorteile der Weitergabe von Patientendaten? Was bedeutet es für Anbieter und Patienten?

Oscislawski Diese Frage beantwortet werden kann aus einer Reihe von unterschiedlichen Perspektiven. Zum Beispiel, ein Arzt könnte geneigt sein zu glauben, dass ein pro der Austausch von Patientendaten ist, dass es der Verbesserung der Qualität der Betreuung der Patienten. Ein CIO, der auf der anderen Seite, möglicherweise finden Sie unter gemeinsame Nutzung von Patientendaten, die als nützlich für die Verbesserung der Wert und die Effizienz der CIO die IT-Systeme. Meine Antwort, jedoch, konzentriert sich ausschließlich auf gerichtlichen Vorteile des Teilens von geduldigen Daten.

Aus rechtlicher Sicht irgendwelche Vorteile für die Freigabe von Patientendaten bestehen nur, wenn eine solche Freigabe in der Wirkung vermindert oder beseitigt mögliche rechtliche Risiken oder Verbindlichkeiten, die sonst entstehen würden, wenn der patient die Daten nicht geteilt werden. Zum Beispiel, stellen Sie sich vor, dass es ein wichtiger diagnostischer test Ergebnis ist, dass auf einen Patienten und konnte gemeinsam mit einem Arzt, der braucht diese Informationen, um eine kritische und emergente Behandlung Entscheidung.

Aber das test-Ergebnis auf einer separaten EHR-system, das nicht teilen der klinischen Daten mit den Anbietern, die mit verschiedenen EHR-Lösung. Aus diesem Grund werden nur die Diagnose-test-Ergebnis wird nicht gemeinsam mit dem Arzt, und dies wiederum führt zu einer gravierenden negativen Auswirkungen auf die Gesundheit des Patienten. Daher, diese Arten von Situationen könnte dazu führen, dass potenzielle malversationen Haftung für einen Arzt, dass hätte vermeiden lassen, wenn die Daten des Patienten freigegeben.

Es ist ein weiterer wesentlicher rechtlicher pro für die Freigabe von Patientendaten, coming down the pike. Die Bestimmungen zur Umsetzung des 21st Century Kuren Handeln, und insbesondere Abschnitt 4004, die verbietet, was bezeichnet wird als „information zu blockieren,“ führt zu potenziellen erheblichen Geldstrafen von bis zu $1 million pro Jahr bewertet wird, gegen die Gesundheits-IT-Entwickler, HINs und HIEs, dass „wissentlich und unzumutbar“ beeinträchtigt die Weitergabe oder Nutzung des elektronischen Patienten-Daten.

Blass Aus Datenschutz-und Sicherheits-Perspektive, erhöhte Daten-sharing in der Regel bedeutet, dass es mehr Orte, die von PHI zu schützen, für überdachte Entitäten, Ihren Geschäftspartnern (BAs) und downstream-BAs. Der Umfang der überprüfungen erhöht sich dann mit jeder neuen location, zusammen mit der Notwendigkeit sicherzustellen, dass die richtigen Vereinbarungen und Kontrollen.

F: Wer sollte und sollte nicht haben Zugriff auf die Patientendaten?

Oscislawski Nur Personen, die „gesetzlich berechtigte“ Zugriff auf die Patientendaten für einen rechtlich zulässigen Zweck sollte Zugang zu den Patientendaten. Obwohl wir bewegen uns in einem Zeitalter, wenn es neue und echte rechtliche Konsequenzen für unzulässige Verweigerung der Freigabe von Patientendaten, es ist unglaublich wichtig, dass die Hüter der Patienten Daten, einschließlich Anbietern, Einrichtungen und Ihre HIPAA BAs – sind nicht ordnungsgemäß unter Druck in eine öffnung Ihrer Patientendaten zu jedem und jeder, der behauptet, dass Sie das Recht auf Zugriff auf die Daten als ein Ergebnis dieses neuen Gesetzes.

Die Informationen blockieren Gesetz nicht unterstützen, carte blanche gemeinsame Nutzung von Daten mit jedermann und jeder, der es will. Die standards der Schutz der Privatsphäre des Patienten geschützt unter HIPAA und gleichwertige Staatliche Gesetze noch gelten. Das bedeutet, dass, wenn Sie angesprochen werden, durch eine externe Partei suchen, um Zugriff auf die Patientendaten, die Sie noch haben, um durch zu gehen der Frage “ was ist der Zweck Ihrer Verwendung und Zugriff auf die Patientendaten, und ist es ein zulässiger Zweck ist ausdrücklich erlaubt unter HIPAA-und Landesrecht Ausnahmen, ohne dass der patient die Einwilligung oder Einverständniserklärung. Wenn die Antwort ist „nicht“, dann sollte diese person nicht immer Zugriff auf die Daten des Patienten, es sei denn, der Zugang ist schriftlich durch den Patienten.

Blass Aus HIPAA Sicht die gleichen Regeln gelten für die Verwendung und Weitergabe, die mindestens notwendig sind, etc. Die gleichen governance -, Risikomanagement-und compliance-Anforderungen notwendig sind, zu schützen PHI und stellen Sie sicher, es ist rechtlich geteilt. Die Notice of Privacy Practices (NPP), die unter die HIPAA-Regel wird entweder eine Aktualisierung benötigen, aufgrund der 21st Century Kuren Handeln oder wird es eine Notwendigkeit für eine neue Mitteilung zur Ergänzung der KKW. Es könnte auch einen Einfluss auf die BA-Vereinbarungen aus der Sicht des Heilmittel Gesetzes, wie gut. Wir können sehen, dass diese öffnung auch das Potenzial für neue Strategien, Verfahren und Prüfungen, die vollständige übereinstimmung Bild für beide HIPAA und die Heilmittel Wirken.

F: Was sind die Nachteile des Teilens von geduldigen Daten?

Oscislawski Wieder, diese Frage beantwortet werden kann aus einer Reihe von unterschiedlichen Perspektiven. Aus rechtlicher Sicht, jede mögliche rechtliche Nachteile des Teilens von geduldigen Daten fließen würde von den potenziellen rechtlichen Risiken und Verbindlichkeiten, die entstehen können, aus solchen teilen. Um den Punkt zu illustrieren, können wir meiner vorherigen Beispiel beim Austausch der Diagnose-test, und schalten Sie Ihren Kopf ein wenig. Es, ob die Freigabe der Daten könnte ein pro oder Contra hängt von der Genauigkeit der Daten.

So, zum Beispiel, wenn der diagnostische test ist der gemeinsame von der ursprünglichen Quelle-system und die Genauigkeit ist sicher, dann wird das Ergebnis begünstigt die Freigabe der Patientendaten – und dies ist ein Profi. Allerdings, wenn der patient die Daten stammen aus einem system, das nicht über die aktuellste oder korrigierte version der test-Ergebnisse, dann ist die Richtigkeit der Ergebnisse gefährdet ist, und die Weitergabe der Daten wäre ein con, weil es eine chance, es der Erhöhung der rechtlichen Risiken und Haftungen für den end-Benutzer, die auf Sie verlassen, wenn es nicht genau ist.

Blass In dem Fall, wo die „Daten stammen aus einem system, das nicht die aktuellste oder korrigierte version des test-Ergebnis -…,“, dass würde bedeuten, einen Mangel an Integrität der Daten verletzen würden, der HIPAA-Sicherheits-Regel, und natürlich präsentieren eine con und die möglichen Auswirkungen auf die Versorgung der Patienten, als Helen erwähnt.

F: Was sind die Risiken und Auswirkungen für die IT-teams ermöglichen die gemeinsame Nutzung von Daten, beim Schutz von Parteien, die keinen Zugriff haben sollten?

Oscislawski ich bin nicht sicher, grundsätzlich gibt es nichts anderes, was getan werden muss. Unter der HIPAA-Sicherheits-Regel, die IT-teams sollten bereits die Entwicklung von detaillierten, rollenbasierten Zugriff auf charts und zuweisen von Anmeldeinformationen entsprechend autorisierten Personen beruhen, die speziell auf Ihre berufliche Funktion oder den gesetzlich zugelassenen Zweck, für die solche individuellen Zugang zu Patientendaten

Blass Der HIPAA-Sicherheits-Regel bereits auch erforderlich, dass es einen Prozess für die Authentifizierung und überprüfung der Identität des anfordernden Organisation und Individuum. Daher diese gleichen Sicherheits-standards und die Umsetzung der Spezifikationen müssen auch weiterhin verfolgt werden, sowie die Entwicklung von best practices der Branche.

F: Wie kann im Gesundheitswesen CIOs und CISOs beste balance, die lehren aus der Förderung der Interoperabilität mit HIPAA?

Oscislawski Der beste Weg, den CIOs und CISOs können die balance HIPAA mit der Interoperabilität und Daten-Sperrung Regeln ist, um wirklich zu verstehen, die Anforderungen und Einschränkungen der einzelnen. Zu oft höre ich von Fehlinformationen oder Missverständnisse darüber, wie bestimmte Vorschriften des HIPAA definiert oder angewendet. Das gleiche gilt für die Interoperabilität und Daten-Sperrung Regeln. Der Schlüssel ist, um eine Schulbildung erhalten, auf eine genaue Lektüre dessen, was die Regeln eigentlich sagen, oder nicht sagen.

Vorsichtig sein, von Personen, die übermäßig Breite Verallgemeinerung, was die Regeln sagen, wie: „teilen Sie alle Ihre Patienten-Informationen, weil, wenn Sie nicht, Sie engagieren sich in illegale Informationen zu blockieren.“ Der Teufel steckt im Detail, und die CIOs und CISOs müssen verstehen, die details der beiden HIPAA und die Regeln für die Interoperabilität, um die richtige balance.

Blass In den frühen Tagen des HIPAA, vor allem aus privacy-Sicht, es war ein Mangel an Verständnis für die Hinweise der Datenschutzbestimmungen, und wer könnte das PHI offen legen, an wen. Das führte zu Ablehnung, um autorisierte Angaben aufgrund der Unkenntnis und der Angst vor Verletzungen, Strafen, Sanktionen, etc. Heute gibt es ein viel klareres Verständnis, aber es dauerte eine Weile, und vielleicht immer noch verwirrend für einige Anbieter.

Helen ist richtig, dass high-level-Schlussfolgerungen „alle oder keiner“ sind normalerweise falsch ist, und dass Arbeitskräfte Ausbildung, die auf rechtswidrigen Informationen-blocking und seine Beziehung zu HIPAA wird sicherlich eine große Priorität und die Notwendigkeit, zu versuchen zu vermeiden, die Verwirrung, die aufgetreten sind, während der frühen Tage des HIPAA.

F: Welche potenziellen Auswirkungen könnte dies auf HIPAA? Bedeutet es, wir brauchen updates der HIPAA?

Oscislawski Die Regierung hat realisiert, dass updates für HIPAA, sowie 42 CFR Teil 2, werden wahrscheinlich benötigt, um sein potential voll zu entfalten interoperablen Austausch von Patientendaten. Als Teil des „Regulatory Sprint, um Koordinierte Sorgfalt,“ OCR-veröffentlicht eine Anfrage von information (RFI) Suche nach Empfehlungen und Eingaben aus der öffentlichkeit, wie HIPAA geändert werden könnten, zu fördern koordinierte, value-based healthcare. Neben der Erwirkung von Allgemeinen input auf HIPAA, der RFI bat um Kommentare zu speziellen Bereichen der HIPAA Privatsphäre Regel, einschließlich: (1) Förderung der Austausch von Informationen für die Behandlung und Koordination der Pflege; (2) die Erleichterung der Beteiligung der Eltern in der Pflege; … (3) Behandlung der opioid-Krise und schweren psychischen Erkrankungen; und (4) Rechnungswesen für die Offenlegung von PHI für die Behandlung, Bezahlung und Gesundheitsversorgung Operationen, wie erforderlich, durch die HITECH Act.

Blass ist Die Tatsache, dass die HIPAA-Regeln wurden nicht signifikant aktualisiert seit 1996. Die HITECH/Omnibus Letzte Regel 2013 haben-Konto für größere Geldstrafen und Potenzial für Klagen, zusammen mit den strengeren Anforderungen für BAs und überdachte Entitäten zu verwalten, hat aber nicht berücksichtigt, für die signifikante Steigerungen in der cybersecurity-Risiken, die in den vergangenen 10 Jahren und den Umfang der Schwachstellen zu kontrollieren.

Dafür gibt es andere frameworks zu arbeiten, wie die NIST-CSF und andere. Also, aus der Sicht der genannten Themen von Helen, ich bin damit einverstanden, dass sollten wir sehen, updates HIPAA; und von Datenschutz-und Sicherheitsaspekten sollten wir sehen, eine stärkere Verbindung zwischen HIPAA und anderen frameworks, wie NIST-CSF und/oder anderen frameworks.

F: Wie Dienstleister im Gesundheitswesen erfolgreich erziehen Ihre internen teams und Ihre Patienten auf den Wert von teilen von Daten?

Oscislawski ich würde empfehlen, mit Schwerpunkt auf die Ausbildung von internen teams und Patientinnen auf genaue Informationen über, was die neuen Regeln und die änderungen tatsächlich bedeuten. Genauigkeit und Klarheit der Inhalte dieser Bildung, die ich denke, [sind] im Vordergrund – wenn es richtig gemacht wird. Dann, denke ich, dass die Patienten machen den Wert-Bestimmung selbst.

Blass Vereinbart – es sollten ein Teil von der Ausrichtung der jährlichen Ausbildung und ständige Erinnerungen auf beiden schützen PHI, und wenn es die richtige ist, es zu teilen und den Wert von beiden. Es ist wirklich eine Verlängerung der Ausbildung sollte bereits in Betrieb sein.

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.