Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Teknoloji standartları, düzenleyici kollar engelleri kaldırmıştır. Hala yolda ne var?
Marianne Kolbasuk McGee (Healthinfosec) •
25 Temmuz 2025
Bu günlerde hastalar, büyük ölçüde bazı teknoloji standartlarındaki gelişmeler ve son yıllarda federal düzenleyici politikaların büyük bir baskısı sayesinde elektronik sağlık bilgilerine güvenli bir şekilde erişmek için daha kolay bir yola sahiptir. Ancak engeller hala devam ediyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Endüstri çapında bir dijital dönüşüme rağmen, hastalar hala birçok sağlayıcıdan sağlık bilgilerinin birleşik, entegre bir görünümüne uygun ve güvenli bir şekilde erişmekle mücadele ediyorlar. Diğer zorluklar, karmaşık tıbbi durumları olanlar ve küçükler de dahil olmak üzere belirli hasta türlerinin kayıtlarına güvenli ve özel erişim sağlamayı içerir.
Hukuk firması Polsinelli’den gizlilik avukatı Iliana Peters, “Genel olarak hem hastalarla hem de diğer sağlık hizmeti sağlayıcılarıyla birlikte bilgi paylaşımında gördüğüm ana engel, elektronik sağlık kayıtlarının veya elektronik tıbbi kayıt satıcılarının ve sistem ve anlaşmalarının tescilli doğasıdır.” Dedi.
Elektronik sağlık bilgilerinin ele alınmasıyla ilgili düzenlemeler, 2009 Hitech Yasası’na dayanıyor, ancak Sağlık ve İnsan Hizmetleri Bakanlığı’nın 21. Yüzyıl Tedavi Yasası 2020’de Nihai Kural Bilgi Paylaşımı için temeli oldu. Tedavi Yasası, sağlık BT geliştiricilerini “güvenli, standartlara dayalı uygulama programlama arayüzleri” benimsemeye çağırdı – hastaların mobil sağlık uygulamalarını kullanarak sağlık bilgilerine erişmelerini kolaylaştırmak için.
2016 yılında yasalara imza atan Tedavi Yasası’nın en önemli öncelikleri, birlikte çalışabilirlik ve elektronik sağlık bilgilerine güvenli erişim yardımıyla bakım koordinasyonunu ve hasta sonuçlarını iyileştirmek de dahil olmak üzere tıbbi yeniliği ilerletmekti (bakınız: Yeni Regs, hasta kayıtlarının erişimini iyileştirmeyi hedefliyor).
“Bu bir teknoloji sorunu değil. Bu bir güven sorunu.”
– Deven McGraw, Baş Düzenleme ve Gizlilik Sorumlusu, Citizen Health
Bu modernizasyon çabalarının kaputu altında, sağlık BT geliştiricileri, sağlık bilgilerini elektronik olarak alışverişi için Health Sead Seviye Uluslararası tarafından oluşturulan Hızlı Sağlık Birlikte Çalışabilirlik Kaynakları veya FHIR gibi ürünlerinde standartlar benimsemeye teşvik edildi.
Tedavi Yasası ayrıca sağlık hizmeti sağlayıcılarını caydırmak için düzenlemeler ve BT satıcılarının sağlık bilgi alışverişini yasadışı olarak “engellemesinden” olan sağlık bilgileri de dahil olmak üzere, ülke çapında güvenli sağlık bilgileri alışverişini teşvik eden politikaları da içermektedir.
Buna ek olarak, klinisyenler ve hastaneler tarafından ülke çapında elektronik sağlık kayıt sistemlerinin kitlesel olarak benimsenmesini sağlayan 2009 tarihli Hitech Yasası, birçok sağlık hizmeti sağlayıcısını hastaların sağlık bilgilerine güvenli bir şekilde çevrimiçi erişmeleri için portallar sunmaya itti.
Çoğu hasta çevrimiçi erişimi benimsedi. Örneğin, 2024’te, Temmuz ayında yayınlanan HHS’nin Ulusal Sağlık Koordinatörü BT raporunun ofisine göre, ulusal olarak hastaların% 65’i ve yakın zamanda kanser teşhisini yönetenlerin% 75’i tıbbi kayıtlarına çevrimiçi veya hasta portalına erişti. ASTP, 2020 ve 2024 yılları arasında hasta portallarına vekil veya bakıcı erişiminin 2020 ve 2024 yılları arasında iki kattan fazla arttığını ve 2020’de% 38’den 2024’te% 57’ye yükseldiğini söyledi.
Hukuk firması Davis Wright Tremaine’den gizlilik avukatı Adam Greene, “Hitech Yasası ve Tedavi Yasası’nın hastaların kayıtlarına erişmesini kolaylaştırma güçleri olduğunu düşünüyorum.” Dedi. “Bu yasama baskıları olmadan, hastaların bugün sahip oldukları kayıtlara elektronik erişim seviyesine sahip olacağını düşünmüyorum” dedi.
Uyumluluk sorunları, birlikte çalışabilirlik için engeller
Hitech ve Tedaviler Yasası gibi kaldıraçları hastalara erişimi kolaylaştırmak için kullanmanın yanı sıra, HHS’nin Sivil Haklar Ofisi hastaların erişim hakkı iddialarını araştırıyor. Son altı yılda, icra faaliyetleri, hastalara – veya kişisel temsilcilere – hastaların korunan sağlık bilgilerinin “belirlenmiş kayıt setine” zamanında erişim talep eden uzun süredir devam eden HIPAA gizlilik kuralı hükmünün ihlalini içeren davaları dikkate aldı.
Bir HIPAA “Tayinli Kayıt Seti” tıbbi kayıtları içerir; faturalandırma ve ödeme kayıtları; sigorta bilgileri; klinik laboratuvar test sonuçları; X-ışınları gibi tıbbi görüntüler; Sağlık ve Hastalık Yönetimi Programı Dosyaları; ve klinik vaka notaları; ve diğer bilgiler “bireyler hakkında karar vermek için kullanılır” dedi HHS
2019’dan bu yana, Cuma itibariyle, HHS OCR, istenen elektronik formda veya kağıtta sağlık kayıtları setleriyle hastalara – veya temsilcilerinin ‘ – veya temsilcileri sağlayacak şekilde uymayan düzenlenmiş kuruluşlara en az 53 HIPAA yerleşimi ve para cezası verdi (bakınız: bkz: HHS, toplam 3 milyon dolardan fazla 3 HIPAA para cezası daha açıklıyor).
Genellikle HHS OCR’ye şikayetle başlayan bu vakaların bazılarında hastalar birden fazla talepte bulundu ve talep edilen kayıtlarını almak için yıllar bekledi ve genellikle HIPAA İcra Ajansı bir soruşturma başlatana kadar değil.
Ancak bugün çoğu hasta sağlık kayıtlarına elektronik olarak daha iyi erişime sahip olsa da, bu engellerin gittiği anlamına gelmez.
Gizlilik avukatı Peters, “Bilgi engelleme gereksinimlerine rağmen, her boyuttaki bu satıcıların çoğu, önemli ölçüde yavaş ve bazen de hasta verilerinin aksi takdirde izin verilmesini yasaklamak için hem sözleşme gereksinimlerini hem de teknik kontrolleri kullanmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Ve HHS bu tür uygulamalarla ilgili olarak uygulama yetkisini kullanana kadar, bu satıcıların yollarını değiştirmeleri pek olası değildir.”
Karmaşık olan konular, birçok hastanın birden fazla sağlayıcıdan sağlık hizmeti almasıdır. Bu, tıp uzmanları tarafından hastaların birincil bakım organizasyonunun parçası olmayan kayıtların birçok yerde saklandığı ve hastaların kayıtlarının birleşik, entegre bir görünümüne erişmesini zorlaştırdığı anlamına gelir.
ASTP’nin çalışması, hastaların yaklaşık% 60’ının 2024’te birden fazla çevrimiçi tıbbi kayıt veya hasta portalına sahip olduğunu buldu, ancak sadece% 7’si farklı portal kaynaklarından veya çevrimiçi tıbbi kayıtlardan tıbbi bilgileri tek bir yere birleştirmek için bir “portal organizasyon uygulaması” kullandığını bildirdi.
Avukat Deven McGraw, HIPAA HHS’den erişim hakkı, HHS’den erişim hakkı, 21. Yüzyıl Tedavileri Yasası’nda hasta erişimine vurgu, 21. Yüzyıl Tedavileri Yasası’nda hasta erişimine vurgu yapmamıza yardımcı oldu. “Dedi.
Ama engeller kalıyor. “Birden fazla sağlayıcısı olan hastalar, tüm sağlayıcı portalları için kullanıcı adlarını ve şifrelerini hatırlamakla mücadele ediyor ve portallarını bir uygulamaya bağlamadığı sürece, tüm bilgilerinin birleştirilmiş, kullanılabilir bir görünümünden yoksun.” Dedi.
Greene, hastaların API’ler aracılığıyla birden fazla sağlık hizmeti sağlayıcısı sistemine bağlanan tüketici uygulamalarını kullanmayı düşünerek hastaların birden fazla sağlayıcıdan kayıt indirmesine ve düzenlemelerine izin verdiğini öne sürüyor. “Bununla birlikte, bu tür uygulamalarla ilgili en büyük zorluklar, uygulamanın iyi gizlilik ve güvenlik önlemlerine sahip olduğunu kontrol etmek için hastaya düşmesi ve sağlayıcının API’lerini gezmek zor olabilir.” Dedi.
Citizen Health, nadir koşulları olan hastaların sağlık kayıtlarını entegre bir görünümle birden fazla kaynaktan toplamalarına ve erişmelerine yardımcı olmak için bir teknoloji platformu ve hizmetleri sunmaktadır.
McGraw, bir hastanın bir uygulamayı bir portal hesabına bağlama ve kayıtların otomatik olarak yenilenmesi için bu bağlantıyı devam ettirme seçeneğinin de hala zor olduğunu söyledi.
“Kalıcı jeton sorununu ele alalım – teknoloji, devam eden jetonlar oluşturmak için var. Ancak sağlayıcılar genellikle çok kısa aralıklarla ne kadar kaldıkları için zaman dilimlerini belirliyorlar.” Dedi. “Bu, hastanın ‘ayar ve unut’ yaklaşımını istediği durumlarda bile, hastanın uygulama için bu sorunsuz bağlantısı olmadığı anlamına gelir.
Ayrıca, FHIR API’leri aracılığıyla mevcut olmayan – tıbbi görüntüler gibi – hastaları bir Radyoloji ofislerine HIPAA tıbbi kayıt isteği yoluyla dosyaları almaya zorlayan kayıtlar vardır. “Bu süreç hastalar için hala zordur” dedi.
Cumhurbaşkanı Barak Obama’nın ikinci döneminde hem HHS OCR hem de ONC’de eski bir yetkili McGraw, “Bu, karmaşık sağlık koşulları olan hastaları özellikle zorlaştıran bir konudur, çünkü genellikle ziyaret etmeleri gereken birden fazla portallara sahipler” dedi.
“Hastaların, Citizen Health dahil ancak bunlarla sınırlı olmamakla birlikte, kişisel sağlık kayıt uygulamaları ve platformları gibi kayıtlarını pekiştirmek için araç kullanma yeteneğini uzun zamandır destekleyenler, bunu halihazırda hastalara yardımcı olmak için orada olan bir çözüm olarak görüyoruz.” Dedi.
“Elektronik tıbbi kayıt satıcıları da portallarında konsolide bir görüşe izin vererek yardımcı olabilir, ancak bu muhtemelen müşterilerinin – sağlık hizmeti sağlayıcılarının – rızasını gerektirecektir, yani diğer sağlayıcılardan üretilen hastalara veri göstermek için gerçek veya algılanan yasal riskin üstesinden gelmemiz gerekecek” dedi.
“Bu bir teknoloji sorunu değil. Bu bir güven sorunu” dedi.
“Sağlayıcılar, bir hastanın bilerek bir uygulamayı bildiği, verileri için ne anlama geldiğini, hastanın kimlik kanıtını iddia ettiklerini ve belirli bir sağlayıcıdan toplama kaydetmeyi kabul ettiklerini ve hastayı portal/fhir Api’nin portal/fhir Api için bir sorunla eşleştirmeleri için onaylamaya rıza gösterdiğini, Hastanın verileri için ne anlama geldiğini anladığını ve kabul ettiği konusunda endişelerini dile getirdiler.
“Bunların hepsini ele almak için var olan teknik çözümler var – ama bence sağlayıcılar hala bu çözümlerin endişelerini gidermek için ‘yeterli’ olup olmadığı konusunda hala belirsizliğe sahipler.”
Diğer Zorluklar
Greene, bu arada, bazı küçükler gibi bazı hasta türlerini içeren başka erişim sorunları da olduğunu söyledi.
“Hem hastaların hem de sağlayıcıların karşılaştığı en büyük zorluk ergen kayıtlarıdır” dedi.
“Sağlayıcıların ebeveynlere veya velilere, hak sahibi olmadıkları gizli erişimlere erişimi engellerken, ergen çocukları hakkında haklı oldukları ergen çocukları hakkında gerçek zamanlı erişim sağlamaları çok zordur.” Dedi.
Diyerek şöyle devam etti: “Bu, ergenlerin kayıtlarını hasta portalından hariç tutan bir sağlık hizmeti sağlayıcısının, bu tür kayıtlara erişmek için daha resmi bilgi sürümü süreçlerinden geçmek zorunda kalmasına neden olan bir sağlık hizmeti sağlayıcısına neden olabilir.”
Engeller hala devam ederken, hastalar ve sağlık hizmeti sağlayıcıları nihayetinde hastanın kendi sağlık kayıtlarına erişiminin kritik öneme sahip olduğunu anlıyorlar. McGraw, “Hasta erişiminin çok daha az bir öncelik olduğunu hala hatırlıyorum – ve sağlayıcıların veri alışverişinde daha iyi bir iş yapacaksa hastaların kayıtlarına erişmesi gerekmeyeceğini söyleyerek daha fazla insanı hatırlıyorum.” Dedi.
Diyerek şöyle devam etti: “Bu engelleri yoldan çıkarmak için ne kadar çok yaparsak, bu erişim sayılarının arttığını göreceğiz. Hasta erişiminin kazan-kazan yönü sağlık ekosisteminde giderek daha fazla gerçekleşiyor.”