Veri Yönetişimi, Veri Güvenliği, Sağlık Hizmetleri
HHS, yeni SSS’nin HHS’yi desteklediğini söylüyor ” Sağlığı Yeniden Harika Yapın ‘Birlikte Çalışabilirlik Çabası
Marianne Kolbasuk McGee (Healthinfosec) •
13 Ağustos 2025
Amerika Birleşik Devletleri’ndeki milyonlarca hastanın sağlık kayıtlarını görmesi gerekebilir, ancak birçoğu HIPAA kapsamındaki haklarını onlara erişmek için bilmiyor. Diğer hastalar, birden fazla sağlayıcı sormak zorunda kaldığında ve bazen belirli kayıtlara erişemedikleri söylenerek hayal kırıklığına uğrarlar.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Federal hükümet, geçen ay Trump yönetiminin “Sağlığı Yeniden Büyük Olun” yoluyla hasta erişim ve birlikte çalışabilirlik sorunlarını ele almaya çalışıyor ve Salı günü Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi HIPAA Gizlilik Kural Erişim Hakları hakkında daha fazla rehberlik yayınladı (bakınız: HHS Veri Planı, sağlık teknolojisini tekrar harika hale getirmeyi amaçlıyor).
Uzmanlar, iki SSS’nin HIPAA’yı iyice bilen insanlar için yeni bir rehberlik sunmadığını söylese de, HHS’nin Medicare ve Medicaice hizmetleri için başlıkları tarafından başlıklı yeni birlikte çalışabilirlik standartları ve veri paylaşım kriterlerine uyma sözü veren 60’tan fazla teknoloji firması, sağlık hizmeti sağlayıcıları ve sigorta şirketleri de dahil olmak üzere diğerleri için hak ve sorumlulukları netleştirmeye yardımcı olabilir.
Birlikte çalışabilirlik girişimi, hastaların elektronik sağlık bilgilerine daha kolay erişmelerine yardımcı olmayı ve üçüncü taraf mobil uygulamalar ve AI.
Ajans, “hasta merkezli, hasta sonuçlarını iyileştirecek, sağlayıcı yükünü azaltacak ve değere değer verecek” hasta merkezli bir dijital sağlık ekosistemini teşvik etmeyi umuyor. HHS Planı, Güvenli Sağlık Bilgi Değişimi için “Açık, Standartlara Dayalı” bir Altyapı olan CMS Birlikte Çalışabilirlik Çerçevesi ile Gönüllü Endüstri Paydaşının Uyumunu Teşvik Etme Merkezidir.
Rehberlik Ayrıntıları
HHS OCR’nin HIPAA gizlilik kuralı üzerindeki SSS şeklinde “deregülatör” rehberliği, sağlık hizmeti sağlayıcılarının hastaların PHI’sını “değer temelli bakım” organizasyonlarına – hesap verebilir bakım kuruluşları gibi – hastanın yetkisi olmadan tedavi amaçları için ifşa etmesine izin verip vermediği sorusuyla açılmaktadır. HHS’nin kısa cevabı evettir, ancak rehber daha fazla ayrıntı sağlar.
İkinci SSS, HIPAA Gizlilik Kuralının bir bireyin, talep üzerine, PHI’nın bunları veya daha fazla “belirlenmiş kayıt setinde” veya hastanın sağlık hizmeti sağlayıcıları ve sağlık planları tarafından tutulan bir veya daha fazla “belirlenmiş kayıt setinde” yer alması hakkını ele alır.
Belirlenen kayıt setleri arasında tıbbi kayıtlar, faturalandırma kayıtları, ödeme ve talep kayıtları, sağlık planı kayıt kayıtları, vaka yönetimi kayıtları ve kapsamlı bir kuruluş için bireyler hakkında karar vermek için kullanılan diğer kayıtları içerir.
Bir hastanın HIPAA altında belirlenmiş bir kayıt setinde kendileri hakkında çok çeşitli PHI serisine sahip olsa da, kapalı bir kuruluşun yalnızca bireysel talep ettiği PHI’ye erişim sağlamak için gereklidir.
Ayrıca, hastalar, bir akıl sağlığı uzmanının bireyin tıbbi kayıtlarından ayrı olarak koruduğunu belirten psikoterapi notları gibi belirli PHI’ye erişme hakkına sahip değildir. Başka bir istisna, bir hasta hakkında karar vermek için kullanılmayan Phi’dir. HHS, düzenlenmiş bir işletme tarafından iş planlaması kararları için kullanılan, müşteri hizmetlerini veya akran incelemelerini geliştirmek için kullanılan PHI’yi içerebilir.
Peki, yeni ne var?
Bazı düzenleyici uzmanlar, SSS’lerin önceki HHS OCR rehberliğinde gerçekten önemli bir değişiklik yapmadığını veya HIPAA kurallarında bilgili olanlar için yeni bir zemin kapsadığını, ancak ajansın düzenlenmiş varlıklar, hastalar ve diğerleri arasında bir karışıklık seviyesi görebileceği bazı alanları vurguladığını söyledi.
Düzenleyici avukat Rachel Rose, “HIPAA’yı anlayanlar için hiçbir şey yeni değil.” Dedi. “Akran incelemesi gibi belirli öğelerde belirlenmiş kayıt setlerine dahil edilmemesi, alınan sorulardan kaynaklanabilir” dedi.
“Gizlilik endişeleri SSS ve ‘Sağlığı Yeniden Harika Yap’ ın doğasında var olan kavramların ayrılmaz bir parçasıdır.” “Belirlenen kayıt setleri her iki SSS’de de göründüğünden, kapalı varlıklara neyin erişilebilir olması gerektiğini ve neyin duvarlanması gerektiğini işaret ediyor.” Dedi.
Hukuk firması Bakerhostetler’in ortağı olan avukat Aleksandra Vold, rehberlikten gelen tek değişikliğin, belirlenen kayıt setinin bir parçası olarak kabul edilen şey listesinde “tedavi için onay formları” dahil HHS OCR olduğunu söyledi. “Ama meslektaşlarım ve ben zaten bu pozisyonu alıyoruz” dedi.
“Hastalarda, bir sağlayıcının bir görüntüye baktığı zaman damgası gibi, bireyin bakımı hakkında bir karar vermek için kullanılan bilgi olmadığı gibi, meta veriler gibi, belirlenmiş kayıt setinin bir parçası olmayan elektronik sağlık kayıt uygulamasından meta veriler isteyen hastalarda bir artış gördük.” Dedi. “Bu, OCR’nin meta verilerin belirlenen kayıt setinin bir parçası olmadığını açıklığa kavuşturması için büyük bir fırsat olurdu” dedi.
HHS OCR, güncellenmiş rehberliğin CMS’nin birlikte çalışabilirliğini ve hasta erişimini desteklediğini söylese de Vold, SSS’de gerçekten hiçbir şey görmediğini “yeni inisiyatifin yolunu açıklamak veya ilerletmek veya yol açmak için bir şey yapmadığını” söyledi. Bunlar uzun süredir devam eden kuralların normal yorumlarıdır “dedi.
Rose, HHS OCR’nin kapsamlı kuruluşlara ve iş ortaklarına yeterli gizlilik ve güvenlik önlemleri oluşturduklarını vurgulayabileceğini öne sürerken, “hastaları istedikleri ve alabilecekleri bilgi türlerini netleştiren bir kaynağa yönlendirirken” – birlikte çalışabilirliği ve erişimi iyileştirme teması kapsamında.
HHS’nin birlikte çalışabilirlik planı, sağlık kayıtlarını bir “CMS hizalı ağdan” veya kişisel sağlık kayıt uygulamalarından alabilen hastaları ve bunları hızlı sağlık hizmeti kartlarını veya hızlı sağlık hizmeti kaynaklarını destekleyen bağlantıları veya sağlık hizmeti sağlayıcılarıyla paylaşarak sağlık hizmeti sağlayıcılarını veya sağlık bilgilerini elektronik olarak değiş tokuş etmek için yıllar önce sağlık seviyesi yedi uluslararası tarafından oluşturulan bağlantılarla paylaşmaktadır.
Rose, “Birlikte çalışabilirliğin kara maddeleri ve FHIR standartları, API’lar ve güvenlik kuralı gereksinimlerinin, arka planları, haydut QR kodlarını ve Bölüm 2 uyumluluğunu azaltmak için mevcut olmasını sağlamak.” Dedi.
Ayrıca, HHS OCR’nin son birkaç yıldan fazla bir süre içinde, bireylerin sağlık kayıtları taleplerine uymayı reddeden veya geciktiren düzenlenmiş kuruluşlara karşı düzinelerce HIPAA icra eyleminde HIPAA’nın hasta erişimi hakkı üzerinde bir spot ışığı olduğunu belirtmek gerekir.
Geleceğe baktığımızda, HHS OCR, federal programlar tarafından ele alınan belirli madde bozukluğu kayıtları üzerindeki gizlilik gibi güncellenmiş rehberlikte ele alınacak diğer alanları dikkate almalıdır.
“Eksik olan, HIPAA ile daha fazla hizalanmış olmasına rağmen, HIPAA’nın diğer sağlayıcılara tedavi açıklamalarını aşan hasta izinleri ve sağlayıcıdan sağlayıcı gereksinimleri olan 42 CFR Bölüm 2 ve Samhsa ile ilişkili nüanslardır.” Dedi.
HHS OCR’nin gelecekteki rehberlik için dikkate alması gereken bir diğer alan, geçen yıl HHS OCR’nin bir HIPAA Gizlilik Kural Güncellemesinde sonuçlandırdığı üreme sağlığı bilgileri için bazı gelişmiş korumaları etkili bir şekilde ortadan kaldıran bir Teksas federal mahkemesi kararı etrafında açıklama, dedi (bakınız: Texas AG, kürtajları araştırmak için HIPAA kurallarını yükseltmeyi umuyor).