数据

保护HIPAA以外的健康数据:保护个人健康数据行为是否会驯服狂野的西方?

Vince Kuraitis.
dev 麦克风

由Deven McGraw和Vince Kuraitis

这篇文章是部分 系列 “健康数据金发姑娘困境:隐私?分享?两个都?”

介绍

在我们之前的帖子中,我们描述了“狂野的未受保护的健康数据.”骑兵是否会到达大量的个人健康数据,这是广泛地不受分享和使用第三方的影响?

国会认真考虑立法更好 鉴于拼凑而言,保护消费者个人数据的隐私 现有的隐私保护。在大多数情况下,票据,而他们可能 涵盖一些健康数据,并不专注于健康数据 - 与一个 例外:引入的“保护个人健康数据法”(S.1842) 参议员Klobuchar和Murkowski。 

在这个系列中,我们致力于浏览所有人 国会等各种隐私票据,并确定趋势, 常见性,以及他们方法的差异。但我们认为这项法案, 由于其独家健康焦点,值得自己的帖子。担心 HIPAA以外的健康隐私正在接受增加的注意力 推动互操作性,这使得这账单及时 潜在的关注。

HHS和ONC最近发布了一个 提出规则训练(NPRM)的通知,以改善健康信息的互操作性。这一拟议的规则已收到超过2,000点评论,其中许多评论有关如何对患者和提供者对数据隐私和安全性的需求发生冲突的重大问题。

例如,与患者的更大互操作性意味着甚至更多的医疗和声称数据将在HIPAA之外流入“狂野的西方”。这 美国医学协会指出:

“如果患者获得健康 数据 - 其中一些可能包含家族史,并且可以敏感 智能手机,他们必须清楚地了解潜在用途 应用程序开发人员的数据。大多数患者都不知道谁可以访问 到他们的医疗信息,如何以及为何收到它,以及它是如何存在的 使用(例如,应用程序可以为其自己收集或使用信息, 如保险公司使用健康信息限制/排除覆盖范围 某些服务,或可以向雇主或雇主销售信息 房东)。以这种方式使用数据的下游后果可能 最终侵蚀了患者的隐私和愿意披露信息 他或她的医生。“

前持股协调员提交了一个 信件 支持NPRM推进互操作性的规定,但也对隐私表示担忧,并要求通过全面的隐私框架来保护消费者。

鉴于国会的强烈双普拉斯支持 互操作性,这可能会为国会提供更大的动力 解决健康信息保护的差距 - 它可能更容易 国会通过更加集中的隐私法案。这也是可能的 Bipartisan账单可以纳入更广泛的隐私法规。

谁被覆盖?  Who is not covered?

该法案始于广泛的2016年卫生和人类服务部(HHS)报告的参考资料, 检查隐私的监督&由HIPAA没有监管的实体收集的健康数据的安全性 (“2016 HHS报告”)。该报告描述了HIPAA的有限范围,确定了持有HIPAA覆盖范围以外的健康信息的广泛实体范围,并建议国会关闭保护中的差距。据我们所知,这是第一个介绍了专门回应此HHS报告的Bipartisan条例草案。 

该法案不涵盖HIPAA以外的所有健康数据。 相反,“消费者设备,服务”的“运营商”的账单目标, 应用程序和软件“主要为或销售到 消费者和“使用的实质性目的是收集或使用 个人健康数据。“ (出于此帖子的目的,我们将把它们称为个人 Health Data Tools.) 个人健康数据 工具明确地包括直接给消费者遗传测试服务,移动 技术和社交媒体网站。个人健康数据以类似的方式定义 在HIPAA下受保护的健康信息:与之相关的信息 个人的过去,现在或未来的身体或心理健康状况 “识别个人,或者关于有合理的人 相信信息可用于识别个人的基础。“

该法案似乎瞄准了最有可能的实体类型 收集来自电子医疗记录的数据,或者与电子医疗记录 同意,患者,可能解决对互操作性表达的非常担忧 initiatives.

但即使在这个狭窄的焦点内,它也会有限 coverage. 

该法案明确不涵盖“个人”的产品 健康数据仅来自其他不是个人信息的信息 健康数据“(例如,GPS数据)。  This 语言似乎豁免收集社会决定因素数据的实体(如 作为年龄,收入,教育水平,邮政编码)并用于健康目的。

当产品或服务有一个时,它也可能会令人困惑 “实质性”的使用,使用收集或使用个人健康数据, 特别是当收集最终用于健康的数据时 目的不被视为个人健康数据。也可以是产品 数据收集不是业务的“实质性目的” 而是提供另一项服务的副产品。 例如,一种像a这样的植入设备 起搏器产生数据,但主要的(可以是“实质性的”)目的 该装置是保持健康的心律。

也没有涵盖产品或服务“设计或 销售到“HIPAA涵盖实体和商业伙伴,可能是因为 这些产品和服务将由HIPAA覆盖。

适用于个人健康数据的新要求 工具?新规定。

该法案不仅仅将HIPAA扩展到所涵盖的运营商 the bill. 相反,账单集 在一个相当快的时间范围内(虽然可能不快) 足够 - 见下文)以制定旨在的隐私和安全法规 apply to个人健康数据 Tools. 

该法案要求HHS与FTC和FTC协商 国家协调员办公室(ONC),建立一个工作组 15名成员代表“多元化的利益相关者观点”。这 工作队,将由联邦咨询委员会法(和 因此,必须在公共场合中的大部分会议),有一年的发展 报告国会,以及HHS,FTC和食品和药物 管理(FDA),其调查结果。  该法案将以下内容标识为特定的重点领域 Task Force:

  • 去识别的长期有效性 遗传和生物识别数据的方法;
  • 安全问题(包括网络安全 用于解决个人健康数据工具的风险和标准;
  • 隐私问题和保护标准 与消费者和员工健康数据有关;
  • 审查2016 HHS报告并建议 是否需要更新;和
  • 向教育消费者提供建议 遗传学基础知识和直接消费遗传检测。

HHS收到工作队的报告后,该法案 要求HHS发布隐私和安全法规,以管理个人 “收集,处理,分析或使用”个人健康的健康数据 六个月内的数据工具。  HHS is 需要咨询FTC,ONC,FDA,“相关利益相关者”和“头部 局长认为适当的其他联邦机构“(可能是 民权办公室?),在制定这些规定。 值得注意的是 该HHS负责监管这一特定的非涵盖组 实体,作为国会待定的其他账单将归属隐私权 the FTC.  

该法案没有规定特定隐私和安全性 HHS必须适用于个人健康数据工具;然而 条例草案确实要求HHS解决一些问题。 具体而言,该法案需要HHS consider:

  • 2016 HHS报告的调查结果;
  • FTC发布的法规和指导,如 以及HIPAA法规。
  • 与之相关的统一标准 遗传,生物识别和个人健康数据;
  • 同意要求的例外,例如 执法,学术研究或医疗保健利用研究和研究 结果,紧急医疗或决定亲子关系;
  • 可能不同的安全标准 根据个人收集的数据的性质和敏感性 Health Tools;
  • 用于去识别的适当标准 个人健康数据;和
  • 收集的适当限制,使用 或披露个人健康数据。

在制定解决该领域的规定 以上,HHS也需要考虑:

  • 制定获得用户同意的标准 这有助于确保消费者了解他们的个人健康数据如何 被访问,使用和共享;
  • 如何限制个人健康的转移 数据到第三方并为消费者提供更大控制营销的消费者 uses of their data;
  • 二次用途超出了消费者的东西 最初同意;
  • 允许撤销用户同意的过程;
  • 提供消费者的访问权限 个人健康数据的副本;和
  • 提供删除和修改个人的权利 健康数据,“在可行的范围内”。

尚未解决的问题

执法。  该法案为HHS提供了发布规定但没有 建立任何惩罚权,以违反这些规定,离开 对持有实体是否有任何责任的方式,打开问题 遵守它们。这是账单中的一个非常重要的洞 保护框架。

定时。如果账单至少部分旨在 解决可能灭绝或缓慢互操作性的疑虑 倡议,国会 - 和HHS - 需要快速移动。如果是时间里 账单是保留的,条例可以在1.5年内提出。 ONC. 希望最终确定互操作性和信息阻塞法规 到2019年底,需要互操作性要求 在规则最终的两年内由EHR供应商安装。 所以可以说是对时机的一些协同作用 新的法规和互操作性举措将完全 实施的。但六个月是HHS完成起草的很短的时间 法规并通过联邦清关过程,并获得 提出规则后的最终规则可能至少增加一年 that schedule. 

适用哪条规则?  虽然该法案试图明确HIPAA所涵盖的实体 不会受到新法规的影响,可能还有一些 覆盖范围的混乱。  For example, 将有产品销售给提供者,也可以为消费者销售 使用(例如,有些个人健康记录产品 面向消费者的门户,并为提供商提供数据服务),哪些 辨别哪些规则适用(分类 在监管过程中可以解决HHS的东西)。 

我们将在这账单上留意这项账单,因为我们将与所有人一起 国会前待的隐私票据。保持调整更多。 

dev 麦克风,JD,MPH,LLM(@HealthPrivacy.)是CIITizen(和OCR和ONC的前官员)的首席监管官。她博客了 //medium.com/@ciitizen.

Vince Kuraitis.,JD / MBA(@VinceKuraitis.)是一个独立的医疗保健战略顾问,超过了150多年来的150多年的医疗保健组织的经验。他博客 e-caremanagement.com..

传播爱心

2回复 »

  1. 在本系列的第一个文章中,我们使用了这个词“techlash”标记对Tech Co.s,政府的反对&其他人利用我们的数据和隐私。你’很好地阐述了这个术语,并添加了一品脱的毒液,许多人同意已成为经验的一部分(Bohica)。

    至于您对信任需求的观点,同意这是第一步。不容易做到。

  2. 记住甚至互联网上最小和最微妙的广告时的早期升级为垃圾邮件?自那时以来,整个世界都被欺骗了。惊喜!效用功能 - 数字世界的Rairon-d'etre-of数字世界已成为这些垃圾邮件令人担忧最担心的是:销售我们的个人数据。健康和医疗,法律,心理,财务,采购习惯,知识产权秘密,心理秘密,赌博习惯,冒险宣传性,创业欲望,性秘密和利益和方向…。这一切都用来在网上制作财富。一切都是出售。我们都被愚弄了。我们认为该网是教导美国历史以及如何添加无限系列并告诉我们Quasars。它被称为知识分子。从来没有这么多人过得那么欺骗…并将这么多数十亿美元转移到车厢上。看金钱硅谷正在销售我们的个人信息!

    政府努力使所有这些东西的子集更多“可互操作”必须有点笑话。人们处理它必须做的第一件事就是弄清楚如何让我们再次信任它们。

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *