Yönetişim ve Risk Yönetimi, HIPAA/HITECH, Gizlilik
Senatör Bill Cassidy, Son RFI ile İlgili Sektör Geri Bildirimlerini Değerlendiriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Ekim 2023
Amerika’nın en büyük hastane lobi grubu, Kongre’nin sağlık düzenleyicilerine, tıbbi sağlayıcılara gönderilen ve hasta portallarına yerleştirilen çevrimiçi izleyicilerin tıbbi gizlilik yasasını ihlal edebileceğini bildiren bir uyarıyı geri çekmeleri için baskı yapması gerektiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Amerikan Hastaneler Birliği, Aralık 2022 bültenine karşı çıkmak için bir fırsat olarak HIPAA’nın nasıl iyileştirilebileceğine dair fikir almak üzere Senatör Bill Cassidy, R-La.’dan bir talep aldı.
Federal düzenleyiciler, hastaların tepkisi üzerine büyük sağlık kuruluşlarının, Facebook ve Google tarafından web kullanıcı izleme kodu kullanımını rapor edilebilir bir veri ihlali olarak değerlendirmeye başlamasının ardından mektubu yayınladı (bkz.: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor). Facebook aynı zamanda Pixel adlı ücretsiz takipçisi aracılığıyla veri toplaması nedeniyle toplu dava ile de karşı karşıya (bkz.: Hakim Meta Pixel Web Tracker Davasına Yeşil Işık Yaktı).
Dernek Cassidy’ye, Sağlık ve İnsani Hizmetler Departmanı bünyesindeki Sivil Haklar Dairesi’ne atıfta bulunarak, “Kongre, OCR’yi kuralı derhal geri çekmeye çağırmalı” dedi.
Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi’nin kıdemli Cumhuriyetçisi ve Senato’da görev yapan dört doktordan biri olan Cassidy, geçen ay sağlık verilerinin gizliliği ve güvenliği konularının geniş bir kapsamı hakkında bilgi almak amacıyla bilgi talebinde bulundu (bkz.: ABD Senatörü Hasta Gizliliğini Koruma Yolları Konusunda Görüş İstiyor).
Bu, HIPAA’nın güncellenmesi gerekip gerekmediğine ve düzenlemelerin uygulanmasına ilişkin konulara ilişkin geri bildirim talebinde bulunulmasını içeriyordu; biyometrik, konum ve genetik verilerin toplanmasıyla ilgili endişeler; ve hasta verilerini içeren yapay zekanın kullanımına ilişkin sorular.
Cassidy’nin sözcüsü Ty Bofferding, Information Security Media Group’a şunları söyledi: “Paydaşların katılımından ve Senatör Cassidy’nin teknik incelemesine yanıt olarak aldığımız önemli geri bildirimlerden memnunuz.” “Hala yanıtları gözden geçiriyoruz ve ileriye dönük potansiyel politika seçeneklerini değerlendiriyoruz.”
Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji, Bilgi Güvenliği Medya Grubu’na, bazı tıbbi cihaz üreticilerinin, cihazları korunan sağlık bilgileri içermesine rağmen iş ortaklığı anlaşmaları imzalamayı reddettikleri yönündeki endişelerini Cassidy ile birlikte dile getirmeyi planladığını söyledi.
Sağlık Hizmetleri Bilgi ve Yönetim Sistemleri Topluluğu, Cassidy’ye yanıtında, tanımlanabilir tüm hasta bilgilerinin (biyometrik, genetik, konum ve finansal veriler) korunması için tutarlı standartlar çağrısında bulundu. HIMSS, bunun özellikle yapay zekanın yükselişiyle ortaya çıkan bir sorun olduğunu söylüyor. HIMSS, “Yapay zekayı eğitmek için veri toplamak bazen bir kişinin verilerini başkalarının verileriyle karıştırmak ve ne olacağını görmek anlamına geliyor” diye yazdı. “Bu kötü tanımlanmış sonuç, kişinin gerçekten bilgilendirilmiş rıza verme yeteneğiyle ve ‘tanımlanmış bir amaç için veri toplama’ yönündeki temel veri yönetimi ilkesiyle çelişiyor.”
AHA, Cassidy’nin bilgi talebine verdiği yanıtta, grubun özellikle OCR’nin, çevrimiçi teknoloji izleme araçlarının bir bireyin IP adresini bir hastaneyi veya kapsam dahilindeki başka bir kuruluşun belirli tıbbi durumlara veya sağlık hizmetlerine yönelik web sayfasını ziyaretle birlikte kullanması veya ifşa etmesi yönündeki tutumuna katılmadığını söyledi. sağlayıcılar HIPAA kapsamında sıkı kısıtlamalara tabidir.
Bu, Washington DC’de güçlü bir varlığa sahip olan Chicago merkezli örgütün bülteni kınadığı ilk sefer değil. Mayıs ayında HHS OCR’a, ajansın geçen Aralık ayında yayınlanan web izleme kılavuzunu değiştirmesi veya iptal etmesi yönünde çağrıda bulunan bir yazı yazdı (bkz: AHA, HHS’ye Web İzleme Kılavuzunu ‘Değiştirmesini veya Askıya Almasını’ Söyledi).
AHA, “Bu OCR kuralı yalnızca HIPAA’yı ve uygulama düzenlemelerini ihlal etmekle kalmıyor, aynı zamanda hastalara ve halk sağlığına da anlamlı zarar veriyor.” diye yazdı. AHA, belirli üçüncü taraf teknoloji araçlarının kullanımına ilişkin yasağın, hastanelerin topluluklarına güvenilir sağlık hizmeti bilgileri sağlamasını engelleyeceğini söyledi.
Düzenleme avukatı Rachel Rose, AHA’nın bakış açısına “saygılı bir şekilde” katılmadığını belirterek, HIPAA’nın bireysel olarak tanımlayıcı 18 faktörü isimlendirdiğini açıkladı. PHI olarak “IP adresleri açıkça belirtiliyor” dedi.