HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
Fedler, 1 milyon dolara kadar para cezaları dahil 21. Tedavi Yasası Regs’in uygulanmasını artırın
Marianne Kolbasuk McGee (Healthinfosec) •
4 Eylül 2025
ABD Sağlık ve İnsan Hizmetleri Bakanlığı, sağlık hizmeti sağlayıcıları, sağlık BT geliştiricileri ve hastaların elektronik sağlık verilerinin değişimini “engelleyen” sağlık bilgi ağları üzerinde “kırıldığını” söylüyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Trump yönetimi Çarşamba günü yaptığı açıklamada, Aralık 2016’da Başkan Barack Obama tarafından yasaya imzalanan ve 1 milyon dolara kadar para cezası taşıyan 2016 yılının 21. Yüzyıl Tedavi Yasası uyarınca yetkilendirilen bilgi engelleme düzenlemelerinin “aktif olarak” olacağını açıkladı.
Bilgi engelleme düzenlemeleri birkaç yıldır kitaplarda olsa da, sağlık veri engellemesine ilişkin HHS “baskısı”, Trump yönetiminin Temmuz ayında açıklanan genel baskının bir parçası gibi görünmektedir. HHS veri planı ‘sağlık teknolojisini tekrar harika hale getirmeyi’ amaçlıyor).
Genel olarak inovasyon ve güvenli sağlık veri değişimi, erişim ve kullanım yoluyla bakım ve hasta sonuçlarının koordinasyonunu iyileştirmeyi amaçlayan tedaviler Yasası, bilgi engellemeye ilişkin olanlar da dahil olmak üzere çeşitli hükümler içermektedir.
Bu Tedaviler Yasası hükümleri hem Başkan Donald Trump’ın ilk döneminde hem de Başkan Joseph Biden’in yönetiminde nihai kurallarla sonuçlandı (bkz:: Hasta kayıtlarını engelleyen bilgi sağlayıcılara mal olabilir).
HHS, düzenlemelerin, hastaların seçtikleri uygulamalar da dahil olmak üzere EHI’larına ücretsiz olarak elektronik erişimine sahip olması gerektiğini ve sağlık hizmeti sağlayıcılarının aşırı maliyetler veya teknik engeller olmadan en iyi bakımı sağlayan dijital araçları seçebilmeleri gerektiğini savunuyor.
HHS Sekreter Yardımcısı Jim O’Neill yaptığı açıklamada, “Sağlık bilgilerinin akışını engellemek, sağlık BT inovasyonunu serbest bırakmak ve sağlık ekosistemimizi dönüştürmek için kritik öneme sahiptir.” Dedi. Diyerek şöyle devam etti: “Hastalar, bakıcılar, sağlayıcılar, sağlık yenilikçileri ve diğerleri için sağlık verilerini engellediği tespit edilen sağlık hizmetleri aktörlerine karşı uygun önlemler alacağız.”
HHS, HHS’nin Ulusal Koordinatörün Sağlık BT sertifikasyon programı ofisine katılan sertifikalı sağlık BT geliştiricileri tarafından bilgi engellediğini iddia eden açıklanmayan sayıda vakayı zaten aktif olarak araştırdığını söyledi.
HHS’nin bilgi engelleme düzenlemeleri üç “aktör” kategorisi için geçerlidir – sertifikalı sağlık BT satıcıları, sağlık bilgi alışverişi veya ağlar ve sağlık hizmeti sağlayıcıları.
Tedavi Yasası, “bilgi engelleme” tanımı içinde aktörlerin uygulamaları için iki farklı “bilgi” standardı oluşturdu.
Sağlık BT Sertifikalı Sağlık BT, sağlık bilgi alışverişi ve sağlık bilgi ağları geliştiricileri için, yasa, bir uygulamanın EHI’nın erişimine, değişimine veya kullanımına müdahale edeceğini bilip bilmediklerini veya bilmesi gerektiğini bilmeleri standardını uygular.
Sağlık hizmeti sağlayıcıları için yasa, uygulamanın mantıksız olduğunu ve EHI’ya erişim, değişim veya kullanımına müdahale edeceği konusunda standartları uygulamaktadır.
Bilgi Engelleme Düzenlemeleri uyarınca, Sağlık BT Ulusal Koordinatörü Ofisi olarak da bilinen Sağlık Teknolojisi Sekreteri Yardımcısı, Sağlık BT geliştiricilerine karşı olası bilgi engelleme şikayetlerini gözden geçirme yetkisine sahiptir.
ASTP/ONC ayrıca, kamuya açıklama ve ilk HHS’nin bilgi engelleme iddiasıyla ilgili ilk HHS veterinerliği için bir portala ev sahipliği yapar.
Ayrı ayrı, HHS Genel Müfettiş Ofisi, her türlü aktörde olası bilgi engelleme iddialarını araştırma yetkisine sahiptir: sağlık hizmeti sağlayıcıları, sağlık bilgi ağları ve sağlık bilgi alışverişi ve Sağlık BT sertifikalı sağlık BT geliştiricileri.
2023 yılında HHS, HHS OIG tarafından iki aktör kategorisi tarafından işlenen bilgi engelleme başına 1 milyon dolara kadar sivil para cezaları oluşturan bir kuralı tamamladı – sertifikalı sağlık BT satıcıları ve sağlık bilgi alışverişi veya ağları: bkz: bkz: HHS Bilgi Engelleme Kuralı Uygulama: Bizi izlemeye devam edin).
HHS ONC ayrıca ONC Health BT Sertifikasyon Programı Sağlığı BT geliştiricilerinin bilgi engelleme düzenlemelerini ihlal ederek belirleme ve yasaklama yetkisine sahiptir.
2024 yılında HHS, bilgi engelleme sağlayan sağlayıcılar için Medicare ve Medicaid hizmetleri için ödeme cezaları şeklinde gelen sağlık hizmeti sağlayıcıları için finansal caydırıcılar için nihai bir kural yayınladı.
Bilgi engelleme nedir?
Bilgi engelleme, yasaların gerektirdiği veya HHS’nin oyduğu dokuz bilgi engelleme istisnasından birinde belirtilenler dışında, elektronik sağlık bilgilerine erişim, değişim veya kullanımına müdahale etmesi muhtemel bir uygulama olarak tanımlanır.
HHS’nin dokuz istisnası, bilgi engelleme oluşturmayan “makul ve gerekli faaliyetlerden” oluşur. Bu istisnalardan ikisi gizlilik ve güvenliktir.
Örneğin, bir sağlık hizmeti sağlayıcısı gibi bir aktör, bir kişinin gizliliğini korumak için belirli elektronik sağlık bilgilerine erişme, değiştirme veya kullanma talebini yerine getirmezse – bir hastanın belirli açıklamalar için rıza veya izin vermesini gerektiren bir eyalet veya federal yasaya uygun olarak – bilgi patlatma için gizlilik istisnası altına girebilir.
Güvenlik istisnası uyarınca, belirli koşulların karşılanması koşuluyla, bir aktörün bu bilgilerin güvenliğini korumak için EHI’nın erişimine, değişimine veya kullanımına müdahale etmesi için bilgi engelleme olarak kabul edilmez. Örneğin, fidye yazılımı saldırısı gibi bir güvenlik olayı sırasında, bir sağlık hizmeti sağlayıcısı bir süre belirli EHI’ye erişim sağlayamaz veya alışverişi sağlayamaz ve bu bilgi engelleme oluşturmaz.
Öyleyse, HHS’nin uygulama çabalarını hedeflemesi muhtemel ne tür bilgi engellemesidir?
Hukuk firması Baker Donelson’un avukatı Layna Cook Rush, “Sağlayıcılar için en yaygın mesele, bir hastanın kaydına zamanında, elektronik erişim sağlayamamasıdır.” Dedi. Diyerek şöyle devam etti: “HHS’nin soruşturmalarına ve sağlayıcılarla ilgili potansiyel icra eylemlerine erişmeye odaklanacağını tahmin ediyoruz.”
Sağlık BT satıcıları için, HHS’nin bir sözleşmenin sona ermesinde bir müşterinin verilerini iade etmede işbirliği yapamamasına ve verilerin makul şartlarda sunulmamasına odaklanacağını söyledi. “Tedarikçiler, verilerin iadesi için mantıksız ücret veremez veya veri üretimini sağlayıcının diğer platformları kullanmasını veya entegre etmesini imkansız hale getiren bir formatla sınırlayamazlar.” Dedi.
Bilgi engelleme kuralının “bilgi” gereksinimlerine dayanarak, HHS, sağlık bilgi alışverişlerine/ağlarına ve sağlık BT geliştiricilerine karşı icra eylemlerinin getirilmesini önemli ölçüde daha kolay bulabilir. “Dedi.
“HHS’nin yalnızca bu aktörlerin uygulamalarının elektronik sağlık bilgilerine erişim, değişim veya kullanımını müdahale edeceğini bildiğini veya bilmesi gerektiğini kanıtlamaları gerekiyor.” Dedi.
Buna karşılık, HHS, bir sağlık hizmeti sağlayıcısının da pratiğinin mantıksız olduğunu bildiğini kanıtlamak zorunda kalmanın çok daha zor bir görevine sahip olduğunu söyledi.
“Örneğin, HHS bir sağlık hizmeti sağlayıcısının, bir hastanın sonuçları tartışma fırsatı bir ‘müdahale’ olana kadar test sonuçlarına erişimini geciktirdiği ve genellikle bir istisna altına girmediği konusunda uyarmış olsa da, uygulama tüzük ve düzenleme kapsamında bilgi engelleme değildir.
Bazı uzmanlar, HHS’nin bilgi engelleme icra baskısının, yönetimin son zamanlarda “sağlık teknolojisini yeniden harika kılmak” inisiyatifi ile örtüştüğünü söyledi.
Greene, “HHS’nin CMS birlikte çalışabilirlik çerçevesinin duyurulmasıyla birlikte çalışabilirliğe odaklanması ışığında, HHS’nin bilgi engelleme kuralının daha fazla uygulanmasını açıklaması şaşırtıcı değil.” Dedi.
“Bilgi engelleme kuralı, artan sağlık verilerinin değişimini zorlama konusunda HHS’nin en önemli çubuğudur.”
Bununla birlikte, bugüne kadar, HHS’nin bilgi engelleme uygulanması önemsiz olduğunu söyledi. “Hem HHS hem de OIG son zamanlarda icra ile ilgili düzenlemeler yayınladılar, ancak aktif uygulama için pivot yeni” dedi.
Greene, bilgi engelleme düzenlemelerine uygunluk tarihinin Nisan 2021 olmasına rağmen, Sağlık Bilgi Ağları/Değişimler ve Sağlık BT geliştiricileri için 1 Eylül 2023 tarihli ve 31 Temmuz 2024 tarihli Sağlık Hizmeti Sağlayıcıları için icra kurallarının 2023 yılına kadar yayınlanmadığını belirtmek gerekir.
Harekete geçmek
Yönetimin Çarşamba duyurusunda HHS, bilgi engellemeyi engellemeye “adanmış kaynakları” artıracağını söyledi. HHS, HHS’nin çabaya odaklanmak için personel ekleyip eklemeyeceği de dahil olmak üzere, bilgi güvenliği medya grubunun bilgi engelleme icra planları hakkında ek ayrıntılar talebine hemen yanıt vermedi.
HHS yetkilileri ayrıca daha önce bilgi engelleme düzenlemelerinin HIPAA erişim hakkı ile uyumlu olarak, hastaların veya temsilcilerinin belirlenen kayıt setlerinde yer alan sağlık bilgilerine zamanında erişim sağlamasına ve zamanında erişmesine izin verdiğini söyledi (bakınız: Feds, hasta erişimi için itme konusunda daha fazla HIPAA rehberliği)
Greene, “Şimdi sağlık hizmeti sağlayıcıları, sağlık BT geliştiricileri ve sağlık bilgi ağları/borsalar için, hastalara ve üçüncü tarafların elektronik sağlık bilgilerine yasal gerçek zamanlı erişimine müdahale edebilecek sürtünme noktalarını belirlemek için uygulamalarını, prosedürlerini, sözleşmelerini ve konfigürasyonlarını gözden geçirmek için iyi bir zamandır.” Dedi.
Rush, sağlık BT satıcılarının hem müşteri sözleşmelerinin hem de politikalarının müşteri verilerini basit ve makul fiyatlı olarak geri döndürmesini veya ihraç etmesini sağlamalıdır.
“Bilgi engelleme olarak algılanabilecek teknik engellerden kaçınmalıdırlar.”
Ayrıca, sağlık hizmeti sağlayıcıları, güvendikleri teknoloji ortaklarının ve satıcılarının aktif olarak desteklediklerinden ve hastanın sağlık verilerine erişimini engellememelerini sağlamalıdır. Diyerek şöyle devam etti: “Bu, ürünlerini ve uygulamalarını onaylamak için satıcıları dikkatlice incelemek anlamına geliyor.