Yönetişim ve Risk Yönetimi , HIPAA/HITECH , Gizlilik
Grup, HIPAA “Çok Geniş” Kapsamında IP Adreslerini Arayarak Hastanelerde Zorluklar Oluşturuyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
25 Mayıs 2023
Amerikan Hastaneler Birliği, yeni kuralların “kamuoyunun güvenilir sağlık bilgilerine erişimini azaltacağını” ve doktorlar ve hastaneler için zorluklar yaratacağını söyleyerek, federal düzenleyicileri hastaların IP adreslerini korunan sağlık bilgileri olarak ele alan son kılavuzdan geri adım atmaya çağırıyor.
AHA, Düzenleyicilerin bu teknolojiler tarafından toplanan tüm IP adreslerini “yanlış” olarak ele alarak “hata yaptığını” savunarak, Sağlık ve İnsan Hizmetleri Bakanlığı’nı Aralık ayında yayınlanan üreme sağlığı ve diğer hassas sağlık bilgilerini korumayı amaçlayan çevrimiçi izleme kılavuzunu derhal değiştirmeye veya iptal etmeye çağırıyor. HIPAA kapsamında korunan sağlık bilgileri.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Pazartesi günü bir mektupta AHA, HHS Sivil Haklar Ofisi Direktörü Melanie Fontes Rainer’den Nisan ayında yayınlanan önerilen kural koyma değişikliklerini tamamlamasını istedi, ancak web izleme teknolojilerinin kullanımına ilişkin son HHS OCR kılavuzu hakkında “ciddi endişeleri” olduğunu söyledi.
AHA genel danışmanı ve sekreteri Melinda Reid Hatton, “Görünüşte önerilen kuralla aynı değerli hedefle yayınlanmış olan bu kılavuz çok geniştir ve hastaneler, hastalar ve genel olarak halk için önemli olumsuz sonuçlara yol açacaktır.” Mektupta, “Çevrimiçi İzleme Kılavuzu, özellikle, yalnızca bir IP adresini HIPAA kapsamında korunan sağlık bilgileri olarak ele alarak, halkın güvenilir sağlık bilgilerine erişimini azaltacaktır” diyor.
AHA, uygulamanın hastaneleri ve sağlık sistemlerini “toplumun sağlık bilgilerine erişimini iyileştirmeye yardımcı olan belirli teknolojilerin kullanımını kısıtlamaya” zorlayacağından korkuyor.
AHA’nın yazdığına göre birçok hastane, bazen analitik teknolojileri, çeviri hizmetleri, haritalar ve konum uygulamaları ve sosyal medya dahil olmak üzere dış tedarikçilere IP adresleri sağlamalarını gerektiren üçüncü taraf çevrimiçi araçları kullanıyor.
AHA, “Hastaneler bu teknolojileri yalnızca üçüncü taraf satıcıların yardımıyla kullanabilir” dedi. Ancak bu satıcılar, “HIPAA’nın kısıtlamalarına tabi olmadıkları için” – HIPAA iş ortağı anlaşmalarını imzalamak gibi – genellikle HHS OCR yönergelerine uymayı reddederler.
“Hastaneler artık ortada kaldı. Çevrimiçi İzleme Kılavuzu, hastaneleri ve sağlık sistemlerini ciddi sonuçlarla karşı karşıya getiriyor – toplu davalar, HIPAA yaptırım davaları veya mevcut web sitelerine, uygulamalara yapılan on milyonlarca dolarlık mevcut yatırımın kaybı dahil ve portallar – nihayetinde kendi yapımları olmayan bir sorun için.”
Nisan ayındaki bir röportajda HHS OCR’den Rainer, Information Security Media Group’a ajansın web izleyicilerinin kullanımıyla ilgili potansiyel HIPAA ihlalcilerini yakından incelediğini söyledi.
“Bu bir öncelik alanı. Ülke genelindeki kuruluşları araştırıyoruz” dedi ve teşkilatın izleme aracıyla ilgili HIPAA ihlallerine karşı ilk yaptırım eyleminin “umarım yakında” olacağını da sözlerine ekledi. “Bunu doğru yapmak istiyoruz.”
Polsinelli hukuk firmasının gizlilik avukatı Iliana Peters, AHA’nın endişelerine rağmen, HHS’nin her zaman IP adreslerinin HIPAA tarafından düzenlenen PHI olduğu görüşünü benimsediğini söyledi.
Ajansın eski bir kıdemli danışmanı olan Peters, “HHS’nin bu kılavuzu neden iptal ettiği benim için net değil” dedi. Örneğin, HIPAA’nın, PHI’nin kimliğinin gizlenmesini sağlamak için “gizlilik kuralının güvenli limanı amacıyla bireylerin, aile üyelerinin ve işverenlerinin IP adreslerinin kaldırılması gerektiğini” açıkça belirttiğini söyledi.
Peters, devlet ve uluslararası düzenleyicilerin de IP adreslerinin korunduğu yaklaşımını benimsediğini söyledi. “Bu nedenle, belki de daha büyük soru, bu bilgilerin tanımlanabilir olup olmadığı değil, bu bilgilerin kimliği doğrulanmamış web sitelerinde gerçekten risk altında olup olmadığıdır.”
Bu arada, AHA, düzenleyicileri cezai, hukuki veya idari soruşturmalarla ilgili ifşalardan yasal üreme sağlığı hizmetlerini içeren bilgilere ek gizlilik korumaları genişleten önerilen kural oluşturmayı sonlandırmaya çağırıyor (bkz:: HHS, Üreme Sağlığı Bilgisini Korumak İçin HIPAA Değişiklikleri İstiyor).
AHA, “Talep edenlerin sağlık bilgilerini yasal sağlık hizmeti sunumunu araştırmak veya cezalandırmak için kullanmadıklarını kanıtlamalarını isteyerek, hasta/sağlayıcı mahremiyeti ile hükümetin ara sıra sağlık bilgilerine ihtiyaç duyması arasında uygun bir denge kuruyor.” yazdı
AHA ayrıca HHS OCR’den, üreme sağlığı bilgilerine ilişkin önerilen kuralın kesinleşmesi durumunda çevrimiçi izleme kılavuzunun gerekli olup olmadığını değerlendirmesini istedi. AHA, “AHA’nın inandığı gibi, bu rehberliğin artık gerekli olmadığına inanıyorsa, OCR bunu derhal askıya almalıdır” dedi.
Düzenleyici avukat Cory Brennan, bu arada, sağlık hizmeti sunucularının – bu tür teknolojileri kullanma amacı ne olursa olsun – herhangi bir çevrimiçi aracın muhtemelen “bir IP adresinin çok ötesinde, çünkü bu araçların işleyişi bu şekilde” bireyleri tanımlayan bilgileri topladığını düşünmeleri gerektiğini söyledi. hukuk firması Taft.
Brennan, “HIPAA tarafından düzenlenen kuruluşlar, tüm çevrimiçi araçlarını bu anlayışla değerlendirmelidir.” Dedi. “Kimse düzenlenmiş kuruluşlara bu teknolojileri kullanmamalarını söylemiyor – OCR tarafından yayınlanan kılavuz, onlara bunları HIPAA ile uyumlu bir şekilde kullanmalarını hatırlatıyor.”