排三走势图

HIPAA.外的健康排三走势图: Simply Extending HIPAA Would Be a #FAIL

Vince Kuraitis.
deven麦克风

由Deven McGraw和Vince Kuraitis

这件是系列的一部分“健康排三走势图金发姑娘困境:分享?隐私?两个都?“这探讨了是否有可能在维护隐私的同时推进互操作性。检查系列中的其他碎片 这里.

2019年初,国家协调员办公室健康 (ONC) 以及医疗保险和医疗补助服务的中心 (CMS) 拟议规则旨在实现健康信息的“互操作性”。

除此之外,这些拟议的规则将在患者手中提供更多排三走势图 - 在大多数情况下,通过应用程序或其他在线平台或服务,患者雇用代表他们收集和管理排三走势图。患者从事的应用程序是 不太可能根据健康保险便携性和问责法保护联邦隐私和安全保护 (HIPAA) - 因此,有些人呼吁政策制定者扩展HIPAA以涵盖这些应用程序,这是一项需要国会行动的一步。

在这篇文章中我们 为什么延伸HIPAA不是一个可行的解决方案 并会有可能 破坏提高患者访问排三走势图的能力的目的 seamlessly: 给他们的代理商 健康信息,从而使他们能够使用它并分享它以满足 their needs.

总之:

  • HIPAA.的 rules 没有设计 解决介绍的隐私风险 广泛的个人信息收集和在现代数字中使用 ecosystem.  
  • HIPAA.的 rules 设计了 支持信息流动 医疗保健系统,允许广泛用途和披露排三走势图 涵盖的实体和商业伙伴无需获得患者 consent.
  • HIPAA.是 “leaky” — 它明确允许涵盖的实体和 商业伙伴分享HIPAA以外的排三走势图,包括销售 未经患者同意的未确定排三走势图。
  • HIPAA.的规则 保护排三走势图并保护现任者的利益控制健康排三走势图。
  • 最终 需要国会行动来建立有意义的隐私保护 personal data.

为什么这个问题 Salient Now?

HIPAA.隐私规则为患者提供了权利 从医疗保健提供者和营业信息副本副本 卫生计划,自成立以来(原始规则于2000年最终确定) - 并提出的规则对HIPAA的承诺翻了一番。他们需要 认证的EHRS包括肯定地制定信息的功能 通过开放标准应用程序编程接口可用患者 (API)并对“阻塞”信息施加单独的惩罚结构 患者追求,当他们独自行动或寻求访问时 信息通过选定的个人健康记录应用程序或平台。

利益相关者表示担忧,患者将受到影响的应用程序,这些应用程序不受HIPAA涵盖的,并将在没有患者实现 - 或有意义地同意的情况下使用,分享和货币化敏感健康信息 - 发生的事情。 这是一个合理的担忧。 HHS.ncvhs. 关于此问题的最近报告,最近的新闻报道了关于技术公司如何处理个人信息破坏公共和卫生行业信任的担忧,以扩大卫生排三走势图生态系统。

这种困境 - 如何在解决隐私风险的同时制定更多可用于改善健康和健康(包括提供给患者)的排三走势图 - 在本系列的几个先前帖子中探讨了包括“HIPAA.外的健康排三走势图: 保护健康排三走势图法是否会驯服狂野的西方“ 和 ”患者控制的健康排三走势图:平衡患者自主权的受管制保护。“

选择 解决HIPAA以外的隐私

联邦贸易委员会(FTC)有权要求 商业应用程序采用合理的安全保障,并与之透明 客户和公众关于他们的排三走势图做法,以及FTC可以持有公司 当他们没有在隐私政策中居住的承诺时责任 和服务条款。他们基本上是消费者隐私看门狗 美国,他们有 案件 涉及公司使用和披露健康信息。然而 FTC的当局不太可能在外面充分保护健康排三走势图 HIPAA,以及FTC最近关于消费者滥用的赛道记录 信任,特别是关于大型科技公司,一直是主题 of 残酷的 criticism.

国家在制定强大的消费者方面变得更加活跃 排三走势图隐私法,但这些法律可能无法有效填补空白。为了 例如,加利福尼亚州的消费者隐私法不适用于个人排三走势图 收集加利福尼亚信息的消费者的应用和服务 来自提供商医疗记录的消费者(因为这些应用程序已被覆盖 由州的健康隐私法) - 然而这些是非常类别的应用程序 这将有更多地获取在ANC所提议的INC中的认证EHR中的信息 rules.   

国会正在考虑立法会保护 个人排三走势图 - 包括HIPAA的健康排三走势图。虽然很可能 国会将对个人排三走势图隐私作出一些行动,其中的范围 立法 - 制定时机 - 尚不清楚,特别是在总统中 election year. 

应该是hipaa Extended?

延伸HIPAA涵盖这些应用程序怎么样?国会不能相对迅速地传递吗? 在考虑Hitech期间,我们在2008年回到了这次辩论, 和 国会正确地拒绝了它。 消费者应控制在设计和销售的应用中的信息。 HIPAA的规则并非旨在解决广泛的个人信息收集和在现代数字生态系统中使用的隐私风险。 相反,HIPAA的规则旨在支持医疗保健系统内的信息流量,并允许广泛用途和披露排三走势图,而无需获得患者同意 - 以及患者在患者支付的付款目的披露的情况下为了护理,甚至对患者的反对意见。 

HIPAA.隐私规则允许提供者和健康计划 使用并披露可识别的健康信息以进行治疗,付款和 “医疗保健行动” - 俗称TPO。 TPO披露是最常见的,但它们 不是没有患者同意的唯一允许的披露。 展览A的披露是全部 隐私规则明确允许。

将HIPAA扩展到消费者应用程序的问题

HIPAA.明确允许有关实体和商业伙伴分享HIPAA以外的排三走势图

消费者应用程序访问健康信息不是 只威胁到HIPAA覆盖范围外的信息。 HIPAA的 “保护”一直促进了披露患者排三走势图之外的披露 没有患者授权的医疗保健系统。每一次 可识别的健康信息是根据允许其中一个披露的 目的(参见展览A),信息可能会在HIPAA之外移动 覆盖范围,除非它披露于已经覆盖的另一个实体 该规则(例如,给另一个涵盖的实体(就像医生分享 彼此的信息用于治疗目的)或商业助理)。 因此,可识别的排三走势图在法律上移动 每天都在HIPAA之外的提供者和计划并完成了 HIPAA隐私规则首先生效。  可能需要HIPAA排三走势图的收件人来保护该排三走势图 根据另一项法律(例如,州隐私法律管理国家公共法律) 卫生部门),但这不是保证。

供应商卫生保健提供者和健康计划 - 被称为 商业伙伴 - 也可以利用HIPAA隐私规则 允许的用途和披露,只要合同 - 他们的业务 助理协议(BAA) - 允许这个。 在许多方面,制作 HIPAA下的面向消费者的应用商业伙伴将是双重的 problematic: 然后这样的应用程序可以分享 排三走势图在没有消费者授权的情况下许可播种,并且根据隐私规则和 医疗保健提供者或计划也可以控制(通过BAA)如何 应用程序的排三走势图可以使用和共享。 (毕竟,通过定义HIPAA业务 联系人“代表”涵盖的实体“。) 这几乎不适用于民主化的目标 医疗保健,赋予其排三走势图的患者,以便它们可以使用它 - 并分享 它 - 他们认为适合。

可共享和销售排三走势图

HIPAA.还允许披露 - 甚至是销售 “去识别”患者排三走势图,只要排三走势图被证明到HIPAA 标准。商业员工可以去识别他们从涵盖的排三走势图收到的排三走势图 实体并使用它,分享它,并尽可能地销售它,只要他们的宠物 允许这个。 (在其中一位作者的经验中,这是一个相当普遍的 provision in BAAs.)    

DE-EDITEDIFIED排三走势图并不像完全可识别的排三走势图那样危险,但 排三走势图不是重新识别的零风险。在医疗保健行业中金属化鉴定排三走势图的金属化相当普遍。  Adam Tanner’s book, 我们的机构,我们的排三走势图:公司如何赚取数十亿销售我们的医疗记录,描述HIPAA DE识别的排三走势图如何跨排三走势图集合跨排三走势图集合,以编制特定患者的详细概况,即使这些患者不按名称“识别”。虽然有许多有益的De-entedified排三走势图的有益用途(例如用于研究目的),但Tanner的书籍详细信息购买和销售了他指的是“世俗的商业目的”的排三走势图。在另一个例子中,如果他们同意基于患者排三走势图,他们的练习融合是医生最初的医生免费; 与医生的协议也使他们有权去识别和货币化排三走势图。最近,Omny Health,一个健康技术启动,使提供商能够“卖出”他们的排三走势图,是 投票 受众是2019年健康2.0会议上最有前途的新技术。 由于HIPAA不需要披露去识别排三走势图的接收者,因此难以理解在医疗保健系统中的这项活动的全部范围(在Tanner的书中也讨论了一个问题)。

消费者对实际排三走势图做法很少了解 HIPAA所涵盖的实体,因为只有HIPAA的隐私实践通知 需要包含有关允许的使用和披露的信息 HIPAA(不是实际发生的使用和披露的信息) 只需要通过涵盖实体向患者提供(不是 商务伙伴)。  And as noted 早些时候,没有要求患者同意这些信息流量(以及 大多数情况下,无法阻止它们)。  

结论

总之,HIPAA的规则都保护排三走势图 - 但也保护 现任者对控制健康排三走势图的兴趣,这引起了一些 由于“隐私”,对拟议规则反对的动机怀疑 担心。在我们的经验中,HIPAA所涵盖的实体很少批评它 在其允许的用途和披露健康排三走势图的披露中,太宽松。 

美国政策制定者准备采取有意义的步骤 使患者获得所有数字健康的访问更加无缝的过程。  Some 利益相关者甚至已经消失,甚至建议ONC / CMS应该延迟 实施规则。但要问 按隐私名称点击暂停按钮似乎尤为讽刺, 由于为个人提供了他们信息的副本是一个标志 公平信息实践,所有隐私法的基础。同一等 时间,患者的玫瑰色愿景赋予她的数字健康排三走势图, 使用它并将其分享,并按照自己的喜悦,受到应用程序生态系统的威胁 对排三走势图实践没有足够的透明,不提供 用户有意义的选择,并没有足够负责 有害的用途和披露和未能成为负责任的健康管家 data. 

需要为个人排三走势图建立有意义的隐私保护的国会行动 - 包括健康排三走势图 - 包括健康排三走势图 - 但将HIPAA扩展到消费者应用不是答案。 在临时,消费者健康应用排三走势图共享实践的更大透明度至少可以帮助消费者对适应其需求和价值观的应用程序做出更好的选择 - 如果此类透明度是自愿的,并且不一定需要进一步的国会行动。有关哪些应用程序在哪些应用程序有最佳策略和跟踪记录的需求存在的需求存在于保护排三走势图中,因此不想设想为应用程序评级服务开发的市场。应用程序的自愿行为守则已经由此开发 顾问联盟, 这 消费者技术协会,和阿玛的 Xcertia. 倡议。 (全面披露:作者(McGraw)之一为顾问联盟行为准则做出了贡献。)提供商和消费者倡导团体可以将人们指向有助于他们的资源,使其成为适合他们的排三走势图共享选择。 这些透明度措施有助于解决隐私问题,同时我们等待大会更有意义的保护。

deven麦克风,JD,MPH,LLM(@HealthPrivacy.)是CIITizen(和OCR和ONC的前官员)的总法律顾问和首席监督管理官。她博客了 ciitizen.com。

Vince Kuraitis.,JD / MBA(@VinceKuraitis.)是一个独立的医疗保健战略顾问,超过150多年的保健机构的经验。 He blogs at e-caremanagement.com..

传播爱心

2回复 »

  1. 阿德里安,谢谢你评论和我’很高兴我们可以同意HIPAA不仅仅将简单地扩展到应用程序&其他在线平台。

    关于你提出的许多其他问题,好吧,不是要去那里;我们不’T同意一切。读者可以自己决定。

  2. 我同意延伸HIPAA是一个#fail。“Innovators”官僚已经一直在非正式地延伸HIPAA。健康信息交换和排三走势图经纪人,如鉴别师是一个明显的延伸,进一步稀释患者’■能够了解或控制他们的排三走势图如何使用它们。持续的42CFR部分行为健康保护的持续尝试也是HIPAA延伸的一个例子。我们也有延伸“for operations”排三走势图用于包括有效研究和创建秘密知识产权的利润。

    它仍有待观察到的是,Tefca有多依赖于延伸HIPAA。

    金发姑娘困境是由于HIPAA缺乏同意。它’先生认为我们可以根据HIPAA建立任何稳定的互操作性框架。它’很容易理解为什么,为什么没有人真的希望在各国和国际倡议的最重要的情况下,在游戏中有10个不同的隐私法案,在国会中重新打开HIPAA同意。对隐私的兴趣继续增长,正如NY Times系列所证明的那样,以及关于竞选小径的讨论。

    HIPAA.缺乏同意的净结果是在顾问联盟中所代表的各种利益,以通过自我服务的同意定义来填补监管空缺。问题是,顾问联盟正在通过长期的排三走势图经纪人渴望充当HIPAA之外的中介机构,更换公开的监管或政治进程。

    HIPAA.涵盖的实体及其供应商有他们的游说。排三走势图经纪人有顾问联盟大厅。患者有什么?希望,在临床医生上促进临床管理的实践创新并没有授权排三走势图经纪人,这是一个严格的解释和强烈执法。

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *