Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Hastane Grupları, HHS’nin HIPAA ile İlgili ‘Kural’ Yayımlayarak Yetkisini Aştığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
7 Kasım 2023
Amerikan Hastaneler Birliği, diğer üç kuruluşla birlikte, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın, hastaneler tarafından çevrimiçi izleyici kullanımının potansiyel olarak HIPAA’yı ihlal ettiğine dair geçen yıl yayınladığı uyarıyı geri çekmesini isteyen federal bir dava açtı.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Dava, HHS sekreteri sıfatıyla Xavier Becerra ve HHS Sivil Haklar Ofisi yöneticisi rolündeki Melanie Fontes Rainer aleyhine, ABD Kuzey Teksas Bölgesi Bölge Mahkemesi, Fort Worth Bölümü’nde açıldı. 2 Kasım’da AHA ve diğer üç davacı – Teksas Hastane Birliği, Birleşik Bölgesel Sağlık Sistemi ve Teksas Sağlık Kaynakları.
Kuzey Teksas’ta 29 hastane ve düzinelerce başka tıbbi bakım tesisine sahip, kâr amacı gütmeyen bir sağlık sistemi olan Texas Health Resources, Temmuz ayında HHS OCR ve Federal Ticaret Komisyonu’ndan sağlayıcıların tele-sağlık hizmeti kullandıkları konusunda uyarıda bulunan bir mektup alan 130 hastane ve tele-sağlık sağlayıcısı arasında yer aldı. Web siteleri ve mobil uygulamalardaki web izleyiciler, HIPAA ve FTC düzenlemelerini potansiyel olarak ihlal ediyordu (bkz.: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
FTC ve HHS, HHS OCR’nin geçen Aralık ayında yayınladığı ve hastanelerin ve diğer HIPAA kapsamındaki kuruluşların, hastaların IP adresleri ve bilgileri de dahil olmak üzere korunan sağlık bilgilerinin izin verilmeyen şekilde ifşa edilmesine yol açacak şekilde izleme teknolojilerini kullanmasına izin verilmediğini belirten uyarı mektuplarını gönderdi. konumlar – teknoloji satıcılarını ve diğer üçüncü tarafları takip etmek için (bkz: Hasta Portallarındaki HHS Web Takipçileri HIPAA’yı İhlal Ediyor).
Diğer uyumluluk önlemlerinin yanı sıra, web izleme araçlarını kullanan kapsam dahilindeki kuruluşların, bu teknoloji satıcılarının HIPAA iş ortaklığı anlaşmaları imzalamasını sağlamaları gerekir.
Ajans Uyarıları
HHS OCR yetkilileri son aylarda ajansın web izleme kullanımı HIPAA’yı ihlal eden düzenlemeye tabi kuruluşları araştırdığı ve kuruluşların potansiyel yaptırım eylemleriyle karşı karşıya kalabileceği konusunda uyardı (bkz: HHS Düzenleyicileri Web Takipçisi Kullanımını Neden Yoğun Bir Şekilde İnceliyor?).
AHA’nın HHS’ye karşı açtığı dava, grubun web takibine ilişkin federal rehberliğe karşı çıktığı son hamledir. Mayıs ayında AHA, HHS OCR’dan Fontes Rainer’a, düzenleyicilerin bu teknolojiler tarafından toplanan tüm IP adreslerini HIPAA kapsamında korunan sağlık bilgileri olarak ele alarak “hata yaptığını” öne sürerek ajansın çevrimiçi izleme kılavuzunu derhal değiştirmesi veya iptal etmesi yönünde çağrıda bulunan bir mektup gönderdi (bkz.: AHA, HHS’ye Web İzleme Kılavuzunu ‘Değiştirmesini veya Askıya Almasını’ Söyledi).
Eylül ayında AHA, Senatör Bill Cassidy, R-La’ya yazdığı bir mektupta, yasa koyucunun sağlık verileri gizliliğini iyileştirme yolları hakkında bilgi talebine yanıt olarak Kongre’ye, HHS OCR’nin web hakkındaki bültenini “derhal geri çekmesi” gerektiğini söyledi. izleyiciler (bkz: Hastane Lobicileri Senatöre Çevrimiçi Takip Sınırları Konusunda Basın Sunuyor).
AHA’nın davası, yalnızca HHS OCR’nin web izleme kılavuzunun yürürlükten kaldırılmasını istemekle kalmıyor, aynı zamanda grup aynı zamanda bir hastanın IP adresi veya e-posta adresinin diğer bazı tanımlayıcılarla “yasaklı kombinasyonunun” “bireysel olarak tanımlanabilir” teşkil etmediğini söyleyen bir mahkeme kararı da istiyor. HIPAA korumalı sağlık bilgileri”.
AHA ayrıca, OCR’nin, AHA üyesi hastanelerin yanı sıra davada adı geçen diğer davacı kuruluşların üyelerine karşı web izleme kılavuzuyla ilgili yaptırım tedbirleri almasının durdurulması için ihtiyati tedbir talebinde bulunuyor.
Dava, diğer iddiaların yanı sıra, HHS OCR’nin, HIPAA ve IP adreslerinin diğer tanımlayıcılarla birleştirilmiş IP adreslerinin HIPAA kapsamındaki IIHI teşkil ettiğini belirten rehberindeki Birinci Değişiklik uyarınca “yetkisini aştığını” iddia ediyor.
Davada, “Bültenin kuralının en azından ciddi Birinci Değişiklik kaygıları doğurduğu göz önüne alındığında, IIHI tanımının bu kaygıları ortadan kaldıracak şekilde yorumlanması gerektiği” iddia ediliyor.
AHA, yaptığı basın açıklamasında HHS’nin rehberliğini “hastanelerin ve sağlık sistemlerinin hizmet ettikleri topluluklarla sağlık hizmeti bilgilerini paylaşma, erişilebilirliği artırmak için kendi web sitelerini analiz etme ve halk sağlığını iyileştirme becerilerini altüst eden, verimsiz bir kural” olarak nitelendirdi.
HHS, Bilgi Güvenliği Medya Grubu’nun davaya ilişkin yorum talebine hemen yanıt vermedi.
‘Tırmanılacak Büyük Tepe’
HHS’ye karşı açılan davada yer almayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, AHA’nın davasının “tırmanması gereken büyük bir tepe olduğunu” söyledi.
Başlangıç olarak, “AHA’nın mahkemeyi, OCR bülteninin İdari Usul Kanunu tarafından tanımlanan bir ‘Kural’ olduğuna, aksi takdirde davanın geçerlilik eksikliği nedeniyle reddedilme tehlikesiyle karşı karşıya olduğuna ikna etmesi gerekiyor” dedi. “Bülteni bir ‘Kural’ olarak nitelendirmek abartı gibi görünüyor. Görünüşte bülten, izleme teknolojilerinin usulüne uygun olarak oluşturulmuş ve 2003’ten bu yana yürürlükte olan HIPAA Gizlilik Kuralını nasıl ihlal edebileceğini açıklıyor” dedi.
“Davalarının yasal dayanağının saldırıya uğraması kesin ve bunun geçerli olup olmayacağı henüz bilinmiyor.”
Hales, HHS ve FTC’deki düzenleyicilerin incelemesine rağmen AHA’nın şikayetinin “davacıların tüketici e-postalarını ve IP adreslerini toplayıp üçüncü taraf satıcılara ifşa etmek istediklerini kabul ettiğini” söyledi.
Şikayette, hastanelerin ve diğer davacı derneklerinin üyelerinin, tanımlayıcıların “yasaklı kombinasyonunu” toplamak ve üçüncü taraf teknoloji satıcılarına ifşa etmek için kimliği doğrulanmamış kamuya açık web sayfalarındaki çevrimiçi teknolojileri kullanmak “istedikleri” ancak bunu çeşitli şekillerde yapmaktan kaçındıkları iddia ediliyor. HHS’nin rehberliği uygulama tehdidine dayanıyor.
Dava şikayetinde, “Bülten, bu değerli araçların kullanılmasının önünde engel teşkil ediyor, bunun nedeni kısmen birçok üçüncü taraf teknoloji satıcısının iş ortaklığı anlaşması yapmayı reddetmesi.”
Ancak Hales, bu tartışmanın sonuçta AHA’ya ve diğer davacılara da zarar verebileceğini söyledi. “Bu bana FTC’nin ilgisini çekecek ve hastane sistemi davacılarının peşini bırakmayacak bir adli kabul gibi görünüyor.”