Federal Hükümet Ambulans Şirketine Büyük ‘Erişim Hakkı’ Cezası Kesti

Colorado merkezli American Medical Response’a verilen ceza, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA “erişim hakkı” hükmünü içeren bir davada aldığı 49. yaptırım eylemi oldu.

HHS OCR’nin son birkaç yıldır HIPAA yaptırım eylemlerinin en büyük kısmı hasta “erişim hakkı” anlaşmazlıklarına odaklanmıştır. AMR’ye karşı verilen medeni para cezasının yanı sıra, HHS OCR, kurumun Nisan 2019’da bir hasta “erişim hakkı” uyumluluk girişimi başlatmasından bu yana 48 başka davada yaptırım eylemi gerçekleştirmiştir (bkz: Federal Hükümet 2 Huzurevi Şirketine ‘Erişim Hakkı’ Cezası Verdi).

“HIPAA hastalara tıbbi kayıtlarına zamanında erişim hakkı veriyor,” dedi HHS Sivil Haklar Ofisi müdürü Melanie Fontes Rainer Perşembe günü yaptığı açıklamada. “OCR bu hakkı soruşturmalar yoluyla ve gerektiğinde medeni para cezaları uygulayarak uygulamaya devam edecek.”

AMR davasının aksine, HHS OCR’nin “erişim hakkı” şikayeti soruşturmalarında daha önce açtığı diğer yaptırım eylemlerinin çoğu, kuruluşların mali bir anlaşma yapmayı ve düzeltici bir eylem planı uygulamayı kabul etmesiyle çözüldü.

Anlaşmazlık Ayrıntıları

AMR ile ilgili anlaşmazlık, 31 Ekim 2018’de bir hastanın AMR’ye, AMR’nin kendisine bir yaralanma nedeniyle tedavi uyguladığı sırada “15 Eylül 2015’te verilen tedaviye ilişkin tüm fatura kayıtları” da dahil olmak üzere tıbbi kayıtlarını elektronik formatta göndermesini isteyen bir faks göndermesiyle başladı.

Hasta, aylar boyunca AMR’den talep ettiği bilgilerin kopyalarını almak için defalarca girişimde bulundu. 29 Temmuz 2019’da, birey AMR’nin kendisine birden fazla talebe yanıt olarak PHI’sinin bir kopyasını sağlamadığını iddia ederek OCR’ye bir şikayette bulundu. HHS OCR, 9 Ekim 2019’da AMR’ye şikayetle ilgili bir soruşturma başlattığını bildirdi. OCR’nin soruşturmasına yanıt olarak AMR, hastanın ilk talebinden 370 gün sonra 5 Kasım 2019’da hasta kayıtlarını gönderdi.

HIPAA’nın “erişim hakkı” hükmü uyarınca, kapsam dahilindeki bir kuruluş, belirlenen kayıtlara erişim talebi üzerine, talebi aldıktan sonra en geç 30 gün içinde işlem yapmalıdır.

HHS OCR, “Kapsanan bir kuruluş, erişim hakkı talebine, talebi tamamen veya kısmen kabul ederek veya reddederek yanıt verebilir veya gereken bir işlemi yapamıyorsa, talep sahibine gecikmenin nedenlerini ve kapsanan kuruluşun talep üzerindeki işlemini tamamlayacağı tarihi belirten yazılı bir açıklama göndererek yanıt verme süresini ek 30 gün uzatabilir” dedi.

Ekim 2023’te OCR, AMR’ye kurumun AMR’ye karşı bir para cezası vermeyi amaçladığını belirten bir bildirim gönderdi. Şirket duruşma hakkından feragat etti ve OCR’nin bulgularına itiraz etmedi. OCR, Perşembe günü kararını kesinleştirdiğini ve AMR’ye karşı para cezası verdiğini söyledi.

AMR, şirketin HHS OCR ile uzlaşma yoluna gitmek yerine hukuki para cezasını kabul etmesinin nedeni konusunda Information Security Media Group’un yorum talebine hemen yanıt vermedi.

AMR davasında yer almayan düzenleyici avukat Rachel Rose, AMR’nin duruşmadan feragat etme ve HHS OCR’nin bulgularına itiraz etmeme kararına, tarafların bir çözüm anlaşması müzakere etmesi yerine kurumun bir medeni para cezası vermesine yol açan çeşitli hususların katkıda bulunmuş olabileceğini söyledi.

“AMR bir maliyet-fayda analizi yapmış ve ödemeyi seçmiş olabilir [the penalty] “Avukat kullanımını sınırlandırırken” dedi.

Rose, “HHS OCR bakış açısından, bulguların AMR tarafından kabul edilmiş olması mümkün olabilir,” dedi. Aksi takdirde bir çözüm anlaşması, AMR’nin mali uzlaşma ödemesinin şirketin uyumsuzluğunun bir göstergesi olmadığını söyleyen müzakereli bir dil içerebilirdi. “Bunu Sahte İddialar Yasası davalarında, davalılar anlaştığında çok görüyoruz.”

AMR’nin Yanıtı

Şirket, ISMG’ye yaptığı açıklamada, “AMR, hastaların kişisel sağlık kayıtlarına erişiminin son derece önemli olduğu konusunda tamamen hemfikir” dedi.

Açıklamada, “Bu nedenle AMR, hastalarımızın kayıtlarına erişebilmelerini sağlamak için önemli önlemler alıyor ve hatta bu kayıtları çevrimiçi olarak talep etmeyi kolaylaştırmak için birden fazla bilgi kaynağı sağlıyor” denildi.

“AMR, hasta kayıtlarını elde etmek için açıkça tanımlanmış bir süreç sağlıyor, ancak bu durumda maalesef bu süreç takip edilmedi. Ancak, bu ihtiyaçlara sürekli destek sağlamak için AMR, bu hizmeti sağlayan tedarikçileri değiştirdi ve bunun ileride herhangi bir talebe zamanında yanıt verilmesine yardımcı olacağına inanıyoruz,” ifadeleri yer alıyor.

Şirket, “AMR olarak OCR’nin yaptırım eylemine katılmasak da, bu sorunun çözülmüş olmasından dolayı mutluyuz” dedi.

AMR, “Bu konuları çok ciddiye alıyoruz, bu nedenle AMR olarak hastaların ve hasta savunucularının kayıt talepleri için uygun kanalları tam olarak anlamalarını ve tedarikçilerimizin bu sorumlulukları zamanında yerine getirebilmelerini sağlamak için özenle çalışıyoruz” dedi.

Engelleri Aşmak

Rose, HHS OCR’nin son beş yıldır HIPAA’nın “erişim hakkı” hükmünü en önemli uygulama önceliklerinden biri haline getirmesine rağmen, birçok kapsam altındaki kuruluşun hala uyum sağlamakta zorluk çekmesinde çeşitli faktörlerin rol oynadığını söyledi.

Bunlar arasında personel sorunları ve masraflar nedeniyle operasyonel bir öncelik olarak hasta kayıtları talebine uyumun olmaması da var, dedi. Ancak HHS OCR’nin uyumluluk bakış açısından, “bu, hükümet için kolay bir hedef ve önemli bir konu, son beş yıldaki 49 uygulama eylemi de bunu gösteriyor. Yani, yakalanma olasılığı artıyor. Sonuç olarak, bu sigorta oranlarını ve kredileri etkileyebilir, bu yüzden dikkate alınması gereken bir şey.”

Rose, kapsam dahilindeki kuruluşların kayıt taleplerine uymayarak istemeden maliyetli hatalar yapmamak için birkaç adım atabileceğini, bunların arasında “eğitim, yeterli politikalar ve prosedürler ve iş akışı ve iletişim sorunlarını ele almak için bir kurumsal risk yönetimi programı uygulamak” olduğunu söyledi. Ayrıca kapsam dahilindeki kuruluşların bu işlevi saygın bir iş ortağına dış kaynak olarak vermeleri için daha fazla seçenek var, bu yüzden gerçekten hiçbir mazeret olmamalı.