Veri Maskeleme ve Bilgi Arşivleme, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Nihai HHS Kuralı, Tedavi Yasasını İhlal Eden Sağlık Firmalarına Yapılan Mali Ödemeleri Kesiyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
24 Haziran 2024
Federal düzenleyiciler, bilgi engelleme uygulayan veya mantıksız olduğunu ve hastaların elektronik sağlık bilgilerine erişimini engellemesi muhtemel olduğunu bildikleri uygulamaları gerçekleştiren sağlık hizmeti sağlayıcıları için mali caydırıcı önlemler belirleyen nihai bir kural yayınladı.
Ayrıca bakınız: 2023’ün En Büyük ve En Cesur Veri İhlalleri ve İçeriden Gelen Tehditler
Pazartesi günü, Sağlık ve İnsani Hizmetler Bakanlığı, Medicare ve Medicaid Hizmetleri Merkezlerinden hastaneler, klinisyenler, doktor grupları ve bilgi engelleme uygulayan sorumlu bakım kuruluşlarının katılımcıları gibi sağlık hizmeti sağlayıcılarına yapılan cezalı ödemeleri içeren caydırıcı önlemler oluşturmak için nihai kuralı yayınladı.
Mali cezalar, sağlayıcıların aksi takdirde çeşitli HHS programlarına katılımları karşılığında kazanacakları azaltılmış yıllık teşvik ödemeleri şeklinde gelir – örneğin bir hastanenin veya klinisyenin CMS’nin Medicare’i Destekleyen Birlikte Çalışabilirlik Programı kapsamında “elektronik sağlık kayıtlarının anlamlı bir kullanıcısı” olması gibi. veya Liyakat Esaslı Teşvik Ödeme Sisteminin Birlikte Çalışabilirliğin Teşvik Edilmesi performans kategorisi.
HHS sekreteri Xavier Becerra yaptığı açıklamada, “Bu son kural, her zaman kendi sağlık bilgilerimize erişebilmemizi ve bakım ekiplerimizin kararlarına rehberlik etmek için bu bilgilerden faydalanmalarını sağlamak için tasarlandı” dedi.
“Sağlık bilgilerine uygun bir şekilde erişilip paylaşılabildiğinde, bakım daha koordineli ve etkili olur, bu da sağlık sisteminin hastalara daha iyi hizmet vermesine olanak tanır. Ancak hasta mahremiyetinin ve tercihlerinin korunmasını sağlamak için her zaman gerekli önlemleri almalıyız ve bu kural da tam olarak budur.” yapar” dedi.
Bilgi engelleme, yasaların gerektirdiği veya dokuz bilgi engelleme istisnasından birinde belirtilen durumlar dışında, elektronik sağlık bilgilerinin erişimine, değişimine veya kullanımına müdahale etme olasılığı bulunan bir uygulama olarak tanımlanır.
HHS’nin dokuz istisnası, bilgi engellemeyi oluşturmayan “makul ve gerekli faaliyetlerden” oluşuyor.
Bu istisnalardan ikisi gizlilik ve güvenliktir.
Örneğin, bir sağlık hizmeti sağlayıcısı gibi bir aktör, hastanın belirli kişiler için rıza veya yetki vermesini gerektiren bir eyalet veya federal yasaya uygun olarak, bir bireyin gizliliğini korumak amacıyla belirli EHI’ye erişim, değişim veya kullanım talebini yerine getirmezse Açıklamalar – bilgi engellemeye ilişkin gizlilik istisnası kapsamına girebilecekler.
Güvenlik istisnası kapsamında, belirli koşulların karşılanması koşuluyla, bir aktörün bilgilerin güvenliğini korumak amacıyla EHI’ye erişim, bilgi alışverişi veya kullanımına müdahale etmesi, bilginin engellenmesi olarak değerlendirilmez. Örneğin, fidye yazılımı saldırısı gibi bir güvenlik olayı sırasında, bir sağlık hizmeti sağlayıcısı bir süreliğine belirli EHI’ya erişim veya bilgi alışverişi sağlayamayabilir ve bu durum bilgi engelleme teşkil etmez.
Bilgi Engelleme Kuralı Ayrıntıları
2015’in sonlarında yasalaşan 21. Yüzyıl Tedavi Yasası kapsamında yetkilendirilen bilgi engelleme düzenlemeleri üç kategoriye ilişkindir: sertifikalı sağlık BT sağlayıcıları, sağlık bilgi alışverişi veya ağları ve sağlık hizmeti sağlayıcıları.
HHS geçen yıl, HHS Genel Müfettiş Ofisi tarafından iki kategori (sertifikalı sağlık BT sağlayıcıları ve sağlık bilgi alışverişi veya ağları) tarafından gerçekleştirilen bilgi engelleme ihlali başına 1 milyon dolara kadar cezalar belirleyen bir kurala son şeklini verdi (bkz: Bilgi Engelleme Kuralının Uygulanması Hakkında HHS: Bizi Takip Edin).
“Bilgi engelleme yaptığı tespit edilen sertifikalı sağlık BT geliştiricilerine veya HIE/HIN’lere karşı alınacak cezaları uygulayan nihai kural 1 Eylül 2023’ten bu yana yürürlükte olmasına rağmen OIG henüz bu cezaları kamuoyuna duyurmadı. Oscislawski LLC’deki Avukatlar hukuk firmasından düzenleme avukatı Krystyna Monticello, “Bu tür aktörlere karşı değerlendirildi” dedi.
“OIG, bu tarihten önce bilgilerin engellendiği iddiasıyla şikayetleri kabul etse de, OIG ve Sağlık BT Ulusal Koordinatörlüğü, uygulama tarihinden önce meydana gelen davranışlar için herhangi bir ceza verilmeyeceğini açıkça belirtti” dedi.
Monticello, OIG’nin şikayetleri engelleyen belirli bilgi türlerini araştıracağını ve önceliklendireceğini kamuoyuna açıkladığını söyledi. Bunlar arasında aşağıdaki durumlar yer almaktadır: hastaya zarar vermeyle sonuçlanan veya buna neden olma potansiyeli olan, bir sağlayıcının hastalara bakım sağlama becerisini önemli ölçüde bozan, uzun süreli meydana gelen, federal bakım programlarında mali kayba neden olan veya bilgiyle gerçekleştirilen bilgi engelleme.
Sağlık hizmeti sağlayıcılarına yönelik mali caydırıcı önlemler, bilgi engelleme uygulayan sağlayıcılara CMS’nin ödeme cezaları vermesi şeklinde gelir. Kuralın Federal Kayıt’ta yayınlanmasından 30 gün sonra yürürlüğe girer. HHS hemen bir yayın tarihi vermedi.
21. Yüzyıl Tedavi Yasası uyarınca, HHS’nin mevcut yasal yetkisi kapsamında sağlık hizmeti sağlayıcıları için bilgi engelleyici caydırıcılar oluşturmasına izin verildi.
Dolayısıyla, şu an itibariyle, bir sağlık hizmeti sağlayıcısının halihazırda caydırıcı tedbirlere tabi olan CMS ödeme programlarından herhangi birine katılmaması durumunda, bilgi engelleme nedeniyle herhangi bir olası cezayla karşı karşıya kalmaması söz konusudur.
Ancak bu ileriye doğru değişebilir. Pazartesi günü medyayla yapılan bir brifing sırasında HHS yetkilileri, HHS’nin bu tür CMS programlarına katılmayan sağlık hizmeti sağlayıcıları için başka caydırıcı önlemler eklemeyi düşündüğünü söyledi.
ONC’nin ulusal koordinatör yardımcısı Steve Posnack, HHS’nin ayrıca bilgi engelleme istisnalarını güncellemeyi düşündüğünü söyledi.
Monticello, “Federal teşvik programlarına katıldıklarında bile bilgi engelleme uygulayan sağlık hizmeti sağlayıcıları arasında hissedilen mali etkide eşitsizlik olması muhtemeldir.” dedi.
“Her federal teşvik programının farklı teşvik yapıları vardır – piyasa sepet oranı ayarlamaları, pozitif veya negatif ödeme ayarlamaları, paylaşılan tasarruflar veya paylaşılan zararlar – ve bu nedenle, belirli bir sağlayıcı için uygulanacak caydırıcı önlemler programa bağlı olarak farklı olacaktır. Sağlayıcı katılıyor” dedi.
Örneğin, Monticello’ya göre “CMS Kalite Ödeme Programına katılan bir doktor, Birlikte Çalışabilirliği Teşvik kategorisi puanında sıfır alacaktır; bu, bilginin engellenmesi durumunda doktor için nötr veya negatif bir ödeme ayarlaması anlamına gelebilir.”
“Medicare Paylaşılan Tasarruf Programına katılan bir hastane, bilgi engellemenin uygulanması durumunda paylaşılan tasarruflar veya paylaşılan kayıplar için uygun olmayacaktır; oysa Birlikte Çalışabilirliği Teşvik Programına katılan bir hastane, aşağıdakiler için piyasa sepet oranı ayarlamaları için uygun olmayacaktır: o yıl böyle bir durumda.
“Ayrıca, birden fazla federal teşvik programına katılan bir sağlık hizmeti sağlayıcısı, aynı bilgi engelleme örnekleri nedeniyle katıldıkları her federal teşvik programından caydırıcı yaptırımlarla karşı karşıya kalacaktır.”
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, bir sağlayıcının Medicare geri ödeme programlarına (varsa) katıldığı gibi faktörlere bağlı olarak mali caydırıcı önlemlerin “ağır” olabileceğini söyledi.
“Önerilen caydırıcı kuralda, HHS, Birlikte Çalışabilirliği Teşvik Programı kapsamındaki uygun hastaneler için ortalama caydırıcı miktarı 394.353 ABD Doları ve Birlikte Çalışabilirliği Teşvik Programı kapsamında uygun klinisyenler için ortalama bireysel caydırıcı tutarı 686 ABD Doları olarak tahmin etti” dedi. Ancak önerilen kurala ilişkin kamuoyu yorumu sırasında bazı tahminlerin “çok daha yüksek” olduğu ortaya çıktı.
HIPAA’da Dikkat Edilecek Hususlar
Posnack, 21. Yüzyıl Tedavi Yasası’ndaki bilgi engelleme hükümlerinin ve HIPAA “erişim hakkı” hükümlerinin olası ihlallerinin, bir sağlık kurumunun talep edilen sağlık bilgilerine erişim sağlayamadığı aynı olaylar için geçerli olabileceğini söyledi. “Her iki kanun da aynı anda geçerlidir” dedi.
Greene, bilgi engelleme kuralı ile HIPAA erişim hakkı hükmünün, talep edenin hasta veya hastanın kişisel temsilcisi olması durumunda yakından ilişkili olduğunu söyledi.
“Bunun nedeni, bilgi engelleme kuralının, erişimi reddetmek için HIPAA temellerini içermesidir. Bununla birlikte, bir kuralı ihlal etmek mümkünken diğerini ihlal etmek mümkün değildir” dedi.
Örneğin, Greene’e göre erişimde makul olmayan, kasıtlı beş günlük bir gecikme, bilgi engelleme kuralını ihlal edebilir ancak HIPAA’yı ihlal etmez. “Tersine, hastaya erişim sağlamada makul bir 35 günlük gecikme HIPAA’yı ihlal edebilir ancak bilgi engelleme kuralını ihlal etmeyebilir, çünkü bir sağlayıcının uygulaması yalnızca sağlayıcı uygulamanın mantıksız olduğunu biliyorsa bilgi engellemedir.”