Veri yönetişimi, veri gizliliği, veri güvenliği
Dava, RI Sağlık Bilgi Borsası’nın ‘bilgi uçurma’ aleyhine misilleme yaptığını iddia ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
5 Şubat 2025
Rhode Island’ın Devlet Sağlık Bilgi Borsası’nın eski HIPAA Uyum Görevlisi, HIE’nin araştırma amacıyla hasta bilgilerinin yasadışı olarak açıklandığı iddiasıyla ilgili düdüğü üfledikten sonra işinden kovulduğunu iddia eden federal bir davada kuruluşa dava açıyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Davacı Darlene Morris, 2012 yılında Rhode Island Kalite Enstitüsü için çalışmaya başladı ve 2023 yılında Risk Yönetimi ve HIPAA Uyum Görevlisi olarak adlandırılması da dahil olmak üzere yıllar boyunca liderlik pozisyonlarında yükselişe geçti, devlet kurumunun yasa dışı bir şekilde sonlandırıldığı iddia edilen bir rol. Morris’in davasına göre Temmuz 2024’te.
2001 yılında piyasaya sürülen Riqi, Rhode Island’ın eyalette yaklaşık 550.000 sakin için veri işleyen bölgesel sağlık bilgi alışverişi, CareCurrent’i işletiyor ve sürdürüyor. Ancak 2025 ilkbaharında, CareCurrent, başka bir satıcı olan Crisp paylaşılan hizmetler tarafından yönetilecek bir teknoloji yükseltmesine tabi tutulurken, Riqi’nin HIE’nin idari gözetimine sahip olacak.
Morris, 3 Ocak’ta bir Rhode Island Federal Mahkemesi’nde başvurduğunu, Riqi Başkanı ve CEO’su Neil Sakar’ın Riqi’nin HIE’nin hasta verilerini bir tıp tarafından yürütülen bağımsız bir proje için HIE’nin hasta verilerini yasadışı olarak serbest bıraktığını iddia ediyor. öğrenci.
Riqi’deki rolüne ek olarak Sakar, Brown Üniversitesi’nde Biyomedikal Bilişim Profesörüdür.
Morris’in davası, “2023’ün başlarında, Dr. Sarkar, Rhode Island hastalarının 2,1 milyon ev adresini Brown’da yürütülen araştırmaları destekleyen bağımsız bir proje amacıyla yansıtan HIE verileri almaya çalıştı.”
Dava, “Dr. Sarkar, Riqi prosedürü kurulduğu gibi Bayan Morris’in verilerini talep etmek yerine, Bayan Morris’i atlattı ve verileri doğrudan Riqi’nin veri departmanından talep etti.” “Bundan rahatsız olan Bayan Morris, olayı Riqi’nin avukatına bildirdi.”
Birkaç ay sonra, 3 Mayıs 2023 civarında, “Dr. Sarkar, Brown’da bir tıp öğrencisi tarafından Brown’da yapılan bir araştırma çalışması hakkında Riqi Yönetim Kurulu’na bir sunum yaptı. Araştırmayı yürütmek için Dr. Sarkar, HIE verilerine güveniyordu Dava, 100.000’den fazla hastanın “olduğunu iddia ediyor.
Dava, Morris’in Temmuz 2024’te nihayetinde feshedildiğini iddia etmeden önce Morris, Sarkar ve diğer Riqi personeli, Brown Üniversitesi ve diğerlerini içeren uzun bir dizi çatışma ve çatışmayı detaylandırıyor.
Diğer iddiaların yanı sıra Morris, Sarkar’ın Rhode Island’ın HIE verilerini, devletin rızasını almadan Brown’da araştırma çalışmaları gerçekleştirmesi için açıklamasının devlet kurallarının ve düzenlemelerinin ihlali ve devlet sözleşmesinin şartlarını ihlal ettiğini iddia etti.
Morris ayrıca, Riqi’nin ABD Yanlış Talepler Yasası, Rhode Island Yanlış Talepler Yasası ve Rhode Island Whistleblowers’ın Koruma Yasası’nı ihlal eden çeşitli federal ve eyalet yasalarının “-misilleme karşıtı hükümlerini ihlal ederek” misilleme yaptığını iddia etti.
İhtiyati yardım, avukatlık ücretleri ve dava masrafları, geri ödeme ve telafi edici zararlar arıyor.
Riqi, Brown Üniversitesi ifadeleri
Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, Riqi baş strateji sorumlusu Scott Young, Morris’in veri açıklama anlaşmazlığında bilgi uçurma iddiasıyla feshedildiğini reddetti.
Yetkili, “2024’teki fonlamanın azalması nedeniyle, enstitü masrafları azaltmak için zor kararlar vermek zorunda kaldı. Bu kararlar yalnızca geçen yıl enstitünün karşılaştığı mali zorluklardan kaynaklandı” dedi.
“Bayan Morris’in tuttuğu da dahil olmak üzere bir dizi pozisyon, enstitünün maliyesini dengeleme çabalarının bir parçası olarak elendi. Şikayetinde hazırladığı hikaye, yanlışlıklar ve yanıltıcı bilgilerle doludur ve zorlayan finansal gerçekleri görmezden gelir. Enstitü pozisyonları ortadan kaldırmak ve çalışanları işten çıkaracak “dedi.
“Kusurlu şikayetin hiçbir yerinde, herhangi bir PHI’nin tehlikeye atıldığı ve HIPAA’nın kendisine atıfta bulunmadığı belirtilmiyor.” Dedi.
“Bunun nedeni, bireysel bir kişiyi tanımlamak için kullanılabilecek herhangi bir bilginin ‘tanımlanmamış’ olması, yani bu bilgiyi herhangi bir kişi hakkında olarak tanımayı imkansız hale getirecek şekilde kaldırıldı veya değiştirildi. , “Dedi genç.
“Devlet ve federal hukuk ve düzenlemeler tarafından istenen süreç izlendi. Bu durumda. Ayrıca, bir dış uzman – RIQI veya araştırmacılarla ilişkili olmayan bir kişi – verilerin tanımlandığını ve bireysel gizliliğin Korundu, “dedi. “Hiçbir araştırmacının herhangi bir tanımlayıcı bilgiye erişimi yoktu.”
Brown Üniversitesi’ne gelince, RIQI’dan erişilen veriler “her zaman federal ve eyalet yasalarına, üniversite politikalarına ve Enstitü ile olan sözleşmemizin hükümlerine bağlı kaldı” dedi.
“Korunan verilerin uygun ve gizli kullanımını sağlamak için katı kontroller ve veri güvenliği önlemleri ve diğer uyum önlemleri ile, sağlık bilgileri alışverişi verilerinin kullanılması, Brown’da biyomedikal ve halk sağlığı araştırmalarında önemli bir araç kanıtlamıştır ve bu da potansiyeline sahiptir. Sağlık zorluklarına baskı yapmak için gelişmiş tıbbi bakım, hasta sonuçları ve çözümleri yoluyla tüm Rhode Islanders’a fayda sağlayın. “
Daha büyük resim
Morris / Riqi davasındaki ileri geri iddiaların yanı sıra, anlaşmazlık, düzenleyici avukatın “potansiyel HIPAA ihlalleri ve HIES ve katılımcıları için sahip olabileceği daha geniş etkileri hakkında kritik sorular” gündeme getirmektedir. Oscislawski’deki hukuk firması avukatlarından Helen Oscislawski, dava hakkında bir blog yazısında.
HIPAA altında, Phi belirli koşullar yerine getirildiği sürece araştırma için kullanılabilir ve açıklanabilir. Bu, PHI’larının araştırma için kullanımı için açık yetkilendirme sağlayan bireyleri içerir; Araştırma bir Kurumsal İnceleme Kurulu veya Gizlilik Kurulu tarafından onaylanmıştır; Araştırma, sınırlı bir veri kümesi kullanılarak ve bir veri kullanım anlaşmasına uygun olarak yürütülmektedir; Veriler, HIPAA Güvenli Liman veya Uzman Tayin Yöntemleri uyarınca tanımlanmıştır.
Başka bir koşul, eğer açıklama araştırmaya hazırsa ve araştırmacı, PHI’nin sadece bir araştırma protokolü hazırlamak veya çalışma fizibilitesini değerlendirmek için kullanıldığına dair yazılı veya sözlü güvence sağlıyorsa ve PHI’nin kapsanan varlıktan kaldırılmaması ve Oscislawski, araştırma amacı için Phi’nin gerekli olduğunu yazdı.
Riqi anlaşmazlığına katılmayan Oscislawski, ISMG’ye Morris’in davasının RIQI’ye veri katkıda bulunmadıkça diğer HIES’i doğrudan etkilemediğini söyledi.
“Ancak, ülke genelindeki HIES benzer veri paylaşım anlaşmaları ve gizlilik yasaları altında faaliyet gösteriyor.” Dedi. Durum, HIES’in belirli kullanım durumları ve PHI’nin araştırma amacıyla nasıl erişilebileceği ve kullanılabileceğine dair yasal olarak uyumlu prosedürler geliştirmesinin ne kadar önemli olduğunu hatırlatıyor.
“Ayrıca HIES’in personelini bu kullanım vakaları ve prosedürleri üzerinde eğitmenin önemini vurguluyor ve bu tür bir eğitimin HIE’nin yönetici yönetimi, C-suite ve yönetim kurulu üyelerini eğitmeyi içermesi gerektiğini unutmuyor.” Dedi.
Hasta bilgisini içeren araştırma projelerine katılımı “HIES’ten özel ilgiyi hak edecek kadar yaygındır” dedi.
Morris’i temsil eden bir avukat ISMG’nin yorum talebine hemen yanıt vermedi.