医疗数据的“跨世纪纠结”:数据共享 VS 隐私保护
雷锋网 (公众号:雷锋网) 按:本文译自Healthcare IT News
任何时候,患者都希望他们的医疗信息能够保密,医院也同样需确保患者数据的安全。
但是为了实现更精准、更高效的医疗救治,就不得不进行一定的数据共享。
此外,随着隐私和安全要求的变化,尤其是在这次新冠肺炎下的公共卫生危机期间,对数据共享的需求更加迫切。
然而,这也直接与患者隐私产生了冲突。
因此,许多人存有疑问,HIPAA隐私权法案设立25年后的今天,是否应该更新?
HIPAA(Health Insurance Portability and Accountability Act)是美国1996年联邦健康保险便携与问责法案。 这项法案颁布的目的是,让人们更容易维持他们的医疗保险(允许个人在换工作时,可以随同携带自己的医疗保险,不会因为转换工作而承保中断。),保障医疗信息的保密性和安全性,并帮助医疗行业控制行政成本。
HIPAA要求医疗提供者、医疗保健结算中心、医疗保险这三类组织必须遵守相关规定,保护患者诊断、过程、预后数据以及个人身份、文件、邮件、口头沟通等信息。
但这项法案,是否依旧完全适用于当今时代?为了讨论这些挑战和其他相关问题,Healthcare IT News召集了该领域的两位专家进行讨论:
Helen Oscislawski是Oscislawski LLC机构的一名医疗保健律师,专门研究IT和隐私问题。
Gerry Blass是ComplyAssistant的CEO,该公司是医疗风险与软件合规供应商。
问:共享患者数据的优点是什么?对医疗服务提供者和患者意味着什么?
Oscislawski: 这个问题可以从许多不同的角度回答。例如,医生可能倾向于认为共享患者数据的一个好处,是可以改善提供给患者的护理质量。另一方面,CIO可能会认为共享患者数据有益于提高CIO组织IT系统的价值和效率。
但从法律的角度来看,只有当“共享数据”减少了“不共享患者数据可能产生的潜在法律风险”,共享患者数据的好处才能体现。比如在某个病人身上获得了重要的诊断测试结果,这个结果可以与医生共享,医生需要该信息来做出关键和紧急的治疗决策。
但是,当测试结果只存在于独立的EHR系统上,该系统就不会与使用其他EHR解决方案的提供商共享临床数据,出于这个原因,诊断测试结果便不会与医生共享,从而对患者的诊断决策产生一定的负面影响。因此,这种情况可能导致医师潜在的医疗事故责任,如果共享患者数据,则可以避免。
共享患者数据还有一个重要的法律优势,《21世纪治愈法》第4004条规定,禁止“信息封锁”,也就是不允许医疗供应商故意限制数据的共享,这一规定也直接导致每年对健康IT开发人员,HIN和HIE处以最高100万美元的潜在罚款。
Blass:
从隐私和安全的角度来看,增加的数据共享通常意味着,有更多的PHI位置,用于保护其业务伙伴(BA)和下游BA。然后,随着每个新地点的增加,审计范围也随之增加,同时也需要确保有适当的协议和控制措施。
问:应不应该访问患者数据?
Oscislawski: 只有那些被合法授权的个人或机构,才应该被允许访问患者数据。尽管我们正进入一个新时代:有些时候拒绝共享患者数据,也将会受到法律制裁。但极为重要的是,患者数据的保管方(医院以及他们的供应商),不应受到不正当的压力,将他们病人的数据,开放给任何声称根据这项新法律他们有权访问数据的人。
信息保护法不支持向任何有需要的人共享数据。保护病人隐私的标准,在HIPAA和等效州法律仍然适用。这意味着,当你作为医院工作人员,接触到希望访问患者数据的外部机构时,你仍旧需要询问他们访问和使用患者数据的目的是什么,以及HIPAA和州法律的例外情况下,是否允许这一目的,而不是直接让患者授权或签署同意。如果法律的答案是“不允许”,那么该机构不应该访问患者数据,除非得到了患者的同意。
问:共享患者数据有什么弊端?
Oscislawski: 这个问题可以从不同的角度来回答。共享特定数据是有利还是有弊,决于数据的准确性。
诊断测试数据从它的原始系统共享出来,如果它的准确性是确定的,那么结果有利于共享病人数据。但是,如果患者数据来自一个没有修正版本的测试结果的系统,那么结果的准确性就会受到损害,共享数据将是一个错误开始,致使诊断不准确。
Blass: 如果“数据来自未更正测试结果的系统...”,则表明数据完整性不足,这会违反HIPAA安全规则,当然正如Oscislawski所说,这对病人的护理产生了不利影响。
问:IT团队在保护数据不被别人访问的同时,实现数据共享的风险和影响是什么?
Oscislawski: 根据HIPAA安全规则,IT团队应该已经开发了详细的基于角色的访问图表,并根据特定的工作功能或合法授权个人访问患者数据的目的相应地分配凭据。
Blass: HIPAA安全规则也要求有一个验证和验证请求组织和个人身份的过程。因此,需要继续遵循这些相同的安全标准和实现规范,并开发行业最佳实践。
问:医疗保健CIO和CISO如何在促进与HIPAA互操作性的原则之间达到最佳平衡?
Oscislawski: CIO和CISOs平衡HIPAA与互操作性和信息阻塞规则的最佳方式,是真正理解各自的需求和限制。我经常听到关于HIPAA的某些条款是如何定义或应用的错误信息或误解。互操作性和信息阻塞规则也是如此。关键是要学会准确解读规则实际上说了什么,没有说什么。
Blass: 要警惕那些对这些规则过于笼统地加以概括的人,比如,“你必须分享你的所有患者信息,因为,如果你不这样做,就属于非法信息封锁。”问题出在细节上,CIO和CISOs需要了解HIPAA和interoper的细节。在HIPAA的早期,特别是从隐私的角度来看,人们缺乏对隐私实践通知的了解,谁都可以透露PHI。这导致了后期由于对违反、惩罚、制裁等举措的恐惧,从而拒绝进行数据授权披露。今天,人们对这个问题有了更清晰的理解,但这需要一段时间,而且可能仍然会让一些提供商感到困惑。
Oscislawski是正确的,关于“要么全有,要么没有”这种一刀切的方法是不正确的,关于非法信息拦截及其与HIPAA的关系的教育,肯定将是一个重要的优先事项和必要性,以试图避免HIPAA早期出现的混乱。
问:这对HIPAA有什么潜在的影响?这是否意味着我们需要更新HIPAA?
Oscislawski: 政府已经意识到,HIPAA和42 CFR第2部分的更新,可能需要充分实现病人数据互操作共享的潜力。作为其“向协调医疗的监管冲刺”的一部分,OCR发布了一份信息请求(RFI),征求公众关于如何修改HIPAA以促进协调的、基于价值的医疗保健的建议和意见。
除要求就HIPAA提出一般性意见外,该协会还要求就HIPAA隐私规则的具体领域提出意见,包括:(1)鼓励分享治疗和护理协调方面的信息;(2)促进家长参与照顾…(3)解决阿片类药物危机和严重精神疾病;(4)按照HITECH法案的要求,对治疗、支付和医疗运营的PHI信息披露进行会计处理。
Blass: 事实上,HIPAA规则自1996年以来就没有明显的更新。2013年的HITECH/Omnibus最终规则确实考虑到了更大的罚款和诉讼可能性,以及对BAs和覆盖实体更严格的管理要求,但没有考虑到过去10年网络安全风险的显著增加和漏洞控制的范围。
为此,还有其他框架可以使用,比如NIST CSF等。所以,从Oscislawski提到的话题来看,我同意我们应该看到HIPAA的更新;从隐私和安全的角度来看,我们应该看到HIPAA和其他框架之间有更强的联系,比如NIST CSF和/或其他框架。
问:医疗服务提供商如何成功地让他们的团队和患者,了解共享数据的价值?
Oscislawski: 我建议把重点放在教育内部团队和患者“关于新规则和变化的真正含义的准确信息上”。我认为,这种教育内容的准确和清晰至关重要——如果做得正确的话。我认为患者自己会做出正确的决定。
Blass: 同意——它应该成为培训和持续提醒的一部分,既要保护PHI,又要在适当的时候分享它,以及两者的价值。它确实是本应可操作的训练的延伸。
雷锋网雷锋网
。