Elektronik Sağlık Kayıtları, Yönetişim ve Risk Yönetimi, Gizlilik
Ayrıca: HHS, PHI Erişimini Kısıtlamaya Yönelik Hasta Taleplerine İlişkin HIPAA Gizlilik Kılavuzunu Güncelliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Nisan 2024
ABD Sağlık ve İnsani Hizmetler Bakanlığı, hastaların ve temsilcilerinin istendiğinde tıbbi kayıtlarına zamanında erişmesini sağlamak için kuruluşlara yönelik kampanyasını sürdürüyor. Düzenleyiciler, birkaç yıl önce başlayan ayrı HIPAA “erişim hakkı” anlaşmazlıkları nedeniyle, biri Oklahoma'da ve diğeri New Jersey'de olmak üzere iki huzurevi işletmecisine para cezaları verdi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Her iki “erişim hakkı” uygulama davası, ebeveynlerinin hasta olduğu vasıflı bakım tesislerinden ebeveynlerinin tıbbi kayıtlarının kopyalarını isteyen yetişkin çocukları içermektedir.
HIPAA Gizlilik Kuralı uyarınca, düzenlemeye tabi kuruluşlar, kayıt talebi aldıktan sonra 30 gün içinde bu kurala uymak zorundadır. Son iki vaka, HHS OCR'nin, kurumun Nisan 2019'da “erişim hakkı” uyumluluk girişimini başlatmasından bu yana gerçekleştirdiği 47. ve 48. “erişim hakkı” uygulama eylemleridir (bkz.: HHS Bazı HIPAA Cezalarını Düşürdü).
HHS Sivil Haklar Dairesi müdürü Melanie Fontes Rainer yaptığı açıklamada, “Hastaların sağlıkları ve refahları için mümkün olan en iyi kararları vermesi gerekiyor, bu nedenle tıbbi kayıtlarına zamanında erişim zorunludur.” dedi.
“Bu erişim olmadan hastalar yanlış tedavi, yanlış sağlık kayıtları ve sağlık durumlarının anlaşılmaması riskiyle karşı karşıyadır. Bir sağlık hizmeti sağlayıcısının tıbbi kayıtların yayınlanması taleplerini aylarca geciktirmesi veya reddetmesi kabul edilemez ve sağlayıcılara çağrıda bulunuyoruz. Hastaların güçlendirilmesine yardımcı olmak için her yerde uyumlu olmalıyız.”
Icra eylemleri
HHS Pazartesi günü yaptığı açıklamada, Hackensack Meridian Health, West Caldwell Bakım Merkezi olarak faaliyet gösteren vasıflı bir bakım tesisi olan Essex Residential Care LLC'nin, kendisine yapılan bir şikayetle başlayan “erişim hakkı” davasında 100.000 dolar para cezası ödemeyi kabul ettiğini söyledi. HHS'nin Sivil Haklar Ofisi Mayıs 2020'de.
Şikayette, WCCC'nin kişisel bir temsilciye annesinin tıbbi kayıtlarına erişim sağlamadığı iddia edildi. İddiaya göre, WCCC, oğlunun annesinin kişisel temsilcisi olarak görev yaptığını gösteren yeterli belgeleri aldıktan sonra bile kayıtların saklandığı iddia edildi.
HHS OCR'nin araştırması sonucunda WCCC, talep edilen kayıtları, ilk talep edildikten yaklaşık 161 gün sonra, 1 Aralık 2020'de hastanın oğluna gönderdi.
HHS OCR, Eylül 2023'te WCCC'ye 100.000 ABD Doları tutarındaki hukuki para cezasının uygulanmasına yönelik bir karar önerisi bildirimi yayınladığını ve WCCC'nin duruşma hakkından feragat ettiğini ve OCR'nin bulgularına itiraz etmediğini söyledi.
Düzenleme avukatı Rachel Rose, uzlaşma yerine sivil para cezalarının genellikle HHS tarafından yalnızca HIPAA tarafından düzenlenen bir kuruluşun gösterdiği uyumluluk veya bir çözüm anlaşması da dahil olmak üzere diğer resmi olmayan yollarla düzeltici eylem yoluyla tatmin edici bir çözüme ulaşamadığında kullanıldığını söyledi.
HHS OCR'nin yakın tarihli erişim hakkı davalarında yer almayan Rose, “CMP'ler, suç teşkil eden eylemlerin yanı sıra, yalnızca kapsam dahilindeki bir kuruluşa veya iş ortağına karşı ciddi uyumsuzluk durumlarında uygulanır” dedi.
HHS OCR, yakın zamanda gerçekleştirdiği diğer yaptırım eyleminde 29 Mart'ta, Tulsa, Oklahoma'da hemşirelik bakımı sunan çok tesisli bir kuruluş olan Phoenix Healthcare'in, “erişim hakkı” anlaşmazlığını çözmek için 35.000 dolar ödemeyi ve düzeltici eylemler uygulamayı kabul ettiğini söyledi.
Bu dava, Green County Bakım Merkezi olarak faaliyet gösteren Phoenix Healthcare hastasının kızının Nisan 2019'da HHS OCR'ye yaptığı şikayetle başladı. Annesinin kişisel temsilcisi olarak görev yapan kız, Phoenix'in annesinin talep ettiği tıbbi kayıtları kendisine vermeyeceğini iddia etti.
HHS OCR'nin teknik yardım sağlama girişimleri de dahil olmak üzere hastanın kayıtlarına erişmeye yönelik birkaç denemeden sonra Phoenix, istenen kayıtları 30 Ocak 2020'de (ilk talepten 323 gün sonra) gönderdi.
HHS OCR, başlangıçta 2021'de “erişim hakkı” anlaşmazlığında HIPAA ihlalleri iddiası nedeniyle Phoenix Healthcare'e karşı 250.000 dolarlık bir para cezası talep etmeye çalışmıştı.
Ancak önerilen para cezası, Phoenix'in bir HHS idare hukuku hakimi ve ardından bir departman temyiz kurulu ile davaya itiraz etmesinden sonra 75.000 $'a düşürüldü ve sonunda tekrar 35.000 $'lık bir mali uzlaşma ve düzeltici eylem planına indirildi.
HHS OCR ile yapılan anlaşma kapsamında Phoenix ayrıca, bireyin PHI'larına erişim hakkıyla ilgili Gizlilik Kuralı gerekliliklerini ele almak amacıyla HIPAA politikalarını ve prosedürlerini revize etmek de dahil olmak üzere belirli düzeltici eylemlerde bulunmayı da kabul etti.
Ne WCCC ne de Phoenix Healthcare, Information Security Media Group'un HHS OCR'nin ilgili HIPAA “erişim hakkı” uygulama eylemlerine ilişkin yorum taleplerine hemen yanıt vermedi.
Güncellenmiş Gizlilik Kılavuzu
Son eylemlerden ayrı olarak, HHS OCR Pazartesi günü, HIPAA Gizlilik Kuralı uyarınca hastaların tıbbi prosedürler sırasında PHI'larına kimlerin erişebileceği konusunda kısıtlama talep etmelerine izin verildiğini açıklayan güncellenmiş bir kılavuz yayınladı.
Bu, örneğin tıp stajyerlerinin tıbbi bir prosedür sırasında hastanın PHI'sına erişiminin kısıtlanması yönündeki hasta taleplerini içerebilir. Ancak HHS OCR, kapsam dahilindeki bir kuruluşun genellikle talep edilen kısıtlamaları kabul etmesi gerekmediğini söyledi.
HHS OCR, “Kapsanan bir kuruluş, bir bireyin talep edilen kısıtlamasını kabul ederse, tıbbi acil bir durumda veya Gizlilik Kuralında belirtilen diğer belirli koşullar altında bireyin tedavisi amaçları dışında, üzerinde anlaşılan kısıtlamaya uymak zorundadır.” dedi. Ajans, kapsam dahilindeki kuruluşun ayrıca üzerinde anlaşılan kısıtlamayı da belgelemesi gerektiğini söyledi.
Kılavuz, HHS'nin bu hafta eğitim hastanelerine ve tıp okullarına gönderdiği ve özellikle anestezi altındaki bireyler üzerinde hassas muayeneler yapan tıp uzmanlarıyla ilgili olarak hastalardan bilgilendirilmiş onam alınması gerekliliklerini ayrıntılarıyla açıklayan bir mektupla birlikte yayınlandı.
Rose, “Bu rehberliğe yol açmış olabilecek iki öğenin altını çizeceğim” dedi. “Öncelikle, son on yılda, doktorların ve diğer sağlık çalışanlarının cinsel saldırılardan veya özellikle cerrahi prosedürler sırasında çekmeye izin verilmeyen hastaların fotoğraflarını çekmekten sorumlu tutulmasında bir artış oldu” dedi.
İkincisi, HHS OCR geçen yıl üreme sağlığı bilgilerine ilişkin HIPAA Gizlilik Kuralında yapılacak olası değişiklikler için önerilen kural koymaya ilişkin bir bildirim yayınladı (bkz: HHS Üreme Sağlığı Bilgilerini Korumak İçin HIPAA Değişiklikleri İstiyor).
Rose, “Bu NPRM neredeyse bir yıl önce yayınlandı, bu nedenle HHS'nin kamuoyuna çok sayıda yorum aldığı bir alan olabilir” dedi.