Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Gönüllü çaba standartları gerektirir, hastaları güçlendirir, ancak gizlilik ne olacak?
Marianne Kolbasuk McGee (Healthinfosec) •
31 Temmuz 2025
Trump yönetimi, sağlık hizmeti ekosisteminde hasta verilerinin birlikte çalışabilirliğini, değişimini ve erişilebilirliğini artırmak için bir girişim başlattı. Çaba, teknoloji firmalarından, sağlık hizmeti sağlayıcılarından ve sigortacılardan standartlara ve veri paylaşım kriterlerine gönüllü olarak uymalarını ister.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
“Sağlık Teknolojisi Tekrar Harika Yapın” planı olarak adlandırılan çaba, ABD Sağlık ve İnsan Hizmetleri Bakanlığı ve Medicare ve Medicaid Hizmetleri Merkezleri tarafından öncülük ediyor.
Plan, gönüllü endüstri paydaşının CMS birlikte çalışabilirlik çerçevesine uyumu, “güvenli sağlık bilgi alışverişi için açık, standartlara dayalı” bir altyapı ile uyum sağlamaya odaklanmaktadır. Ayrıca, “Konuşma AI asistanları” dahil olmak üzere çeşitli üçüncü taraf hasta uygulamalarının geliştirilmesini ve kullanımını teşvik eder, hastaların sağlıkları hakkında daha iyi kararlar almak için ilgili sağlık bilgilerine erişirken daha kişiselleştirilmiş bilgiler kazanmalarına yardımcı olur.
Başkan Donald Trump Çarşamba günü yaptığı bir Beyaz Saray etkinliği sırasında Başkan Donald Trump, “Bu, hangi sistemi kullanırlarsa kullansınlar, hangi sistemi kullanırlarsa kullansınlar, bir doktordan başka bir doktora kolayca iletmesine izin verecektir.” Dedi.
Trump, çabanın hükümet tarafından yürütülen merkezi bir veritabanını içermeyeceğini söyledi.
Aksine, CMS, “panoyu öldüren” daha “hasta merkezli” bir ekosistem yaratmayı taahhüt eden endüstri oyuncuları ve sağlık sektörü paydaşlarıyla çalışmayı planlıyor – endüstrinin hala kağıt formlarına ve sağlık verilerini toplamak ve alışverişi için fakslara büyük ölçüde güveniyor.
Şimdiye kadar, 60’tan fazla şirket Apple ve Google gibi teknoloji devleri, UnitedHealth Group ve CVS’nin Aetna gibi sigorta şirketleri, Citizen Health ve Microsoft AI gibi uygulama geliştiricileri ve Intermountain Health ve Cleveland Clinic gibi sağlık hizmeti dağıtım ağları da dahil olmak üzere çabayı desteklemektedir. HHS, bu şirketlerin 2026’nın ilk çeyreğinde hastalar için yeni yetenekler sunarak “sonuçlar vermeye” söz verdiğini söyledi.
Bu, hastaların sağlık kayıtlarını “CMS hizalanmış bir ağdan” veya kişisel sağlık kayıt uygulamalarından almalarını ve yıllar önce sağlık bilgilerini elektronik olarak değiştirmek için sağlık seviyesi yedi uluslararası tarafından oluşturulan QR kodları, akıllı sağlık kartları veya hızlı sağlık hizmeti kaynakları veya FHIR ile oluşturulan bağlantıları kullanarak sağlık hizmeti sağlayıcılarıyla paylaşmalarını içerir.
Örneğin, “Panosu Öldür” özelliği, yeni bir sağlık hizmeti sağlayıcısını ziyaret ederken hastaların tıbbi geçmişlerini formlara tekrar tekrar yazmak zorunda kalmalarına yardımcı olacağını söyledi.
Planın bir parçası olarak HHS, hem hastalar hem de sağlayıcılar için dijital kimlik bilgilerinin “IAL2 veya eşdeğeri için CMS onaylı bir hizmet, örneğin MDL’ler ve Aal2 geçişkeyleri” kullanacağını söyledi. IAL2 Kimlik Güvence Seviyesi 2, MDL mobil ehliyettir ve AAL2 kimlik doğrulama güvence seviyesi 2’dir.
Utah merkezli Intermountain Health, bilgi güvenliği medya grubuna yaptığı açıklamada, CMS’nin sağlık verilerini “gerçekten” birlikte çalışabilir hale getirme girişiminin “tamamen destekleyici” olduğunu söyledi. Intermountain Health baş strateji sorumlusu Dan Liljenquist, “Bu çaba, sağlık hizmeti sağlayıcılarının bilgiyi sorunsuz bir şekilde paylaşmasına ve bakım sunumunu koordine etmesine izin vererek hastalara büyük fayda sağlayacak.” Dedi.
Hastaların sağlık bilgilerine erişmesine yardımcı olmak için uygulamalar ve hizmetler sağlayan Citizen Health baş düzenleyici ve gizlilik sorumlusu Deven McGraw, firmasının, HHS’nin vatandaş sağlığındaki hasta sağlığı bilgilerine erişimi olması durumunda CMS çabalarına katılmayı kabul etmeyeceğini söyledi.
“Citizen Health, kullanıcılarımıza hiçbir üçüncü tarafın rızası olmadan tıbbi kayıtlarına erişemeyeceğini taahhüt ediyor ve bu CMS çabalarına katılımımız bu taahhüdüyle zayıflamıyor veya çatışmıyor.” Dedi.
“En azından bir hasta uygulaması olarak katılımımız söz konusu olduğunda, bu çabanın getirdiği yeni gizlilik ve güvenlik endişeleri görmüyorum” dedi. İkinci Obama İdaresi ve İlk Trump yönetimi kapsamında Sağlık BT ve Sivil Haklar Ofisi Ulusal Koordinatörünün eski HHS ofisi olan McGraw, “CMS’nin yaptığı HIPAA ve diğer gizlilik yasalarıyla tutarlı sağlık bilgileri alışverişini artırmaya çalışmaktır.” Dedi.
Düzenleyici gelişme?
Sağlık hizmeti sağlayıcıları arasında ülke çapında güvenli sağlık veri alışverişi ve tıbbi kayıtlarına daha kolay hasta erişimi HHS’nin yirmi yılı aşkın bir süredir ve çeşitli başkanlık idareleri altında bir amacı olmuştur.
Bu hırs ilk olarak 2004 yılında Başkan George W. Bush tarafından “çoğu” Amerikalının 10 yıl içinde elektronik bir sağlık kaydına sahip olmaları için bir hedef belirlediğinde önemli bir şekilde dikkat çekti.
Bush’un erken vizyonu daha sonra, Başkan Barak Obama tarafından yasaya imzalanan 2009 Hitech Yasası tarafından kodlandı ve EHR’lerin CMS’den milyarlarca dolarlık finansal teşvikler yoluyla hastaneler ve doktor uygulamaları tarafından benimsenmesini destekledi.
O zamandan beri, 2016 yılında Kongre, birlikte çalışabilir güvenli sağlık veri alışverişi yoluyla hasta bakım koordinasyonunu iyileştirme programlarını da destekleyen 21. Yüzyıl Tedavi Yasası’nı kabul etti.
Tedavi Yasası uyarınca, 2018 yılında HHS, güvenilir değişim çerçevesini ve ortak anlaşmayı veya güvenli, birlikte çalışabilir ülke çapında sağlık bilgi alışverişini teşvik etmek için bir yönetişim çerçevesi olan TEFCA’yı başlattı (bakınız: HHS Güvenilir Sağlık Veri Değişimi Yönetişim Çerçevesi).
Yıllar geçtikçe, hasta portalları ve mobil uygulamalar aracılığıyla dijital sağlık kayıtlarına hasta erişimi iyileşti, ancak engeller hala devam ediyor. Ayrıca, birçok sağlık hizmeti varlığı, bağlı olmayan tıbbi sağlayıcılar gibi dış kaynaklardan hasta bilgilerini almak için fakslara ve kağıt kayıtlarına da büyük ölçüde bağımlıdır (bakınız: Hastalar hala sağlık bilgilerine tam erişimle mücadele ediyor).
CMS, ISMG’nin birlikte çalışabilirlik çerçevesi ve “Sağlık Teknolojisini Tekrar Harika Yap” girişimi kapsamındaki diğer planlar hakkında ek ayrıntılar talebine hemen yanıt vermedi. Bu, yeni CMS birlikte çalışabilirlik çerçevesinin HHS’nin uzun süredir devam eden TEFCA ve diğer ilgili çabalarla nasıl karşılaştırıldığı ve tezat oluşturduğu konusunda talep edilen açıklamayı da içerir.
Bazı uzmanlar, CMS planının Hitech, 21. Yüzyıl Tedavileri Yasası ve Sağlık BT liderliğindeki girişimler Ulusal Koordinatörünün çeşitli HHS ofisinden köklü ilkeler üzerine inşa edildiğini söyledi.
Sağlık Bilgi Yönetimi ve Sistem Derneği’ndeki bilişim stratejisi kıdemli direktörü Rob Havasy, “FHIR, USCDI V3 ve Da Vinci Kullanım Örnekleri gibi mevcut standartları ve çerçevelerden yararlanıyor, bunları Medicare, Medicaid ve uygun fiyatlı bakım pazarı programlarında CMS politika kaldıraçlarıyla hizalıyor.” Dedi.
“HIMSS perspektifinden bakıldığında, bu girişim zaten var olanı ölçeklendirmek için odaklanmış bir çabayı temsil ediyor. Artık gönüllü hizalama ve dijital kimlik ve AI hazırlığı gibi ileriye dönük bileşenlerle güçlendirilen temel birlikte çalışabilirlik stratejilerinin yeniden teyit edilmesidir.” Dedi.
Gizlilik, güvenlik endişeleri
HHS, yeni planın tüm önerilerinin HIPAA gizliliği ve güvenlik gereksinimlerine uyacağını söyledi.
Bununla birlikte, HHS girişiminin bir dizi potansiyel gizlilik ve güvenlik endişesini dile getirdiğini söyledi.
Demokrasi ve Teknoloji Merkezi’nden gizlilik avukatı Andrew Crawford, “İnsanlar bilgilerini kiminle paylaştıklarını ve nasıl kullanılacağını dikkatlice düşünmelidir.” Dedi.
“HIPAA ve gizlilik kuralı, kapsamlı olmayan kuruluşlar tarafından sağlık bilgilerinin paylaşılmasını engellemiyor ve planın bazı unsurları insanları sağlık bilgilerini bu şirketlerle paylaşmaya teşvik ediyor.” Dedi.
“Sağlam gizlilik korumaları olmadan, insanların sağlık bilgilerinin bir kişinin talep ettiği ürün veya hizmeti sağlamak için gerekli olanın ötesinde toplanacak, kullanılacak ve paylaşılacağından endişe ediyorum.” Dedi.
Yüzlerce kuruluşu temsil eden küresel bir profesyonel sağlık olan Siber Güvenlik ve Gizlilik Kıdemli Müdürü Avukat Lee Kim, CMS’nin Passkeys ve diğer sağlam mekanizmalar tarafından etkinleştirilen güvenli dijital kimlik kimlik bilgileri hakkındaki planlarının, hasta verilerini korumak ve erişimi iyileştirmek için doğru yönde bir adım olduğunu söyledi.
“Bununla birlikte, sağlayıcılar kimlik kanıtlamasıyla önemli zorluklarla karşılaşabilirler. Derin dişlerin artan kullanımı, kimlik hırsızlığı ve dolandırıcılık gibi endişelere ek olarak, sadece yüksek güvence ile kimlikleri doğrulamanın zorluğuna katkıda bulunuyor.” Dedi.
Ayrıca, CMS’nin hastaların check -in için QR kodlarını kullanmasına izin verme planı ve sağlık veri paylaşımı başka bir risk getirdiğini söyledi.
“QR kodu kimlik avı – quing olarak da adlandırılan – son birkaç yıldır büyüyen bir sorun olmuştur ve insanları hassas bilgileri ortaya çıkarmak için kandırmak için kullanılan hileli kodlar.” Dedi. “Bu işi yapmak için CMS ve ortaklarının dijital olarak imzalanmış, zaman sınırlı QR kodları ve güçlü hasta eğitimi gibi önlemlere ihtiyacı olacak, böylece bu araçlar bir güvenlik açığı değil, bir kolaylık olarak kalacaklar.”