Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
HHS, 42 CFR icra görevlerini büyük yeniden düzenleme nedeniyle Sivil Haklar Ofisine kaydırıyor
Marianne Kolbasuk McGee (Healthinfosec) •
27 Ağustos 2025
ABD Sağlık ve İnsan Hizmetleri Bakanlığı, Madde bağımlılığı bozukluğu kayıtlarının gizliliğini ihlal eden organizasyonları soruşturmak ve cezalandırmaktan sorumlu Sivil Haklar Ofisi’ni koymuştur. Bazıları, ajansın hem HIPAA hem de 42 CFR Bölüm 2 düzenlemelerini uygulamak için bant genişliğine sahip olmadığından korkuyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
HHS Sekreteri Robert F. Kennedy Jr.in tarafından ilan edilen hareket, Salı günü Federal Kayıt’ta yayınlanan delegasyon otoritesi beyanı bazı uzmanlar tarafından şüphecilikle karşılandı.
Hukuk firması David Wright Tremaine’den gizlilik avukatı Adam Greene, “OCR yıllardır ek bütçe ve personel arıyor.” Dedi. Diyerek şöyle devam etti: “Bunun yerine, son personel kesintileri tarafından yok edildi. Bu kesintiler arasında, Bölüm 2 ve Ajansın diğer Trump yönetim önceliklerine odaklanması, OCR soruşturmalarının önümüzdeki yıllarda çözülmesi önemli ölçüde daha uzun süreceğini umuyorum.”
Yetki değişikliği, Şubat 2024’te HHS’den sonra, Madde Kötüye Kullanımı ve Akıl Sağlığı Hizmetleri İdaresi veya şimdiye kadar yıllarca 42 CFR Bölüm 2 düzenlemelerini zorlayan SAMHSA ile geliyor ve OCR, Bölüm 2’yi HIPAA kuralları ve Hitech Yasası’nın belirli yönleriyle daha iyi uyumlu hale getirmek için bir kuralı değiştirdi (bakınız: bkz: Kayıt paylaşımını kolaylaştırmak için hhs kuralı, madde kötüye kullanımı verilerini koruyun).
HHS tarafından 42 CFR Bölüm 2’yi HIPAA ve HITECH Yasası ile daha iyi hizalamak için 2024 Nihai Yönetme, Mart 2020’de yürürlüğe giren koronavirüs yardımı, rahatlama ve ekonomik güvenlik – veya Cares Yasası hükümleri altında gereklidir (bakınız: Feds, hasta erişimi için itme konusunda daha fazla HIPAA rehberliği).
HHS, nihai kuralın, kamuya Bölüm 2 gizlilik hükümlerinin ihlallerini iddia eden şikayetler sunma yeteneği verdiğini, Bölüm 2 programlarının Bölüm 2 kayıtlarının ihlallerini bildirmek için program gerektirdiğini ve HHS’nin Sivil Uygulama Otoritesi – HHS OCR’ye, sivil penaltyaları değerlendirme, medeni eylem planları ile görüşme yeteneği verme yeteneği vermesini sağladığını söyledi.
Daha İyi Hizalama
HIPAA ile karşılaştırıldığında, 42 CFR Bölüm 2 düzenlemeleri daha önce federal destekli programlardan madde bozukluğu tedavisi alan hastalar için kayıtların ele alınması için farklı gizlilik gereksinimleri getirmiştir. Bu, HIPAA ile karşılaştırıldığında, kayıtlarının kullanımı ve ifşa edilmesi için hastaların daha katı yazılı onaylarını gerektiriyordu.
2024 yönetme değişikliklerinin en büyük amacı, 42 CFR Bölüm 2’yi, hasta gizliliğini korurken, madde bağımlılığı bozuklukları ve davranışsal sağlık koşulları olan hastalar için sağlık hizmeti sağlayıcıları arasında bakım koordinasyonunu iyileştirmek için HIPAA ile daha iyi hizalamaktı.
HHS OCR’nin eski kıdemli danışmanı Greene, “Hipaa ve Bölüm 2’nin en iyi hizalandığını düşündüğüm iki değişiklik var.” Dedi.
“Birincisi, HHS, HIPAA’ya da uygun bir Bölüm 2 rızasını hazırlamayı kolaylaştırmak için Bölüm 2 onay gereksinimlerini revize etti. İkincisi, tedavi, ödeme ve sağlık operasyonları için belirli hasta rızası uyarınca Bölüm 2 kayıtları alan HIPAA tarafından düzenlenmiş kuruluşlar, bu kayıtları genellikle HIPAA altındaki diğer korunan sağlık bilgilerinden farklı olarak ele alamaz.” Dedi.
Ancak “Bölüm 2 programlarının Bölüm 2 kayıtlarının diğer sağlık bilgilerinden ayrılmasının teknik ve operasyonel zorlukları nedeniyle Bölüm 2’ye uyması hala son derece zorlu kaldı.”
Gerilmiş ince mi?
Daha önce 42 CFR Bölüm 2’yi yöneten ve zorlayan Samhsa, bu yılın başlarında HHS küçültme ve yeniden yapılandırma altında kalmış olan HHS ajansları arasındaydı. SAMHSA ve Sağlık Sekreteri Yardımcısı, Sağlık Kaynakları ve Hizmetler İdaresi, Toksik Maddeler ve Hastalık Kayıt Defteri Ajansı ve Ulusal İş Sağlığı ve Sağlık Enstitüsü de dahil olmak üzere birkaç kişi, yeni bir HHS birimi, sağlıklı bir Amerika veya AHA yönetiminde birleştirildi (bakınız: bkz: RFK Jr. HHS Effect, HIPAA, Siber Müdahale Birimlerinde Kesintiler).
Ancak HHS’nin yaklaşık 20.000 işçinin ortadan kaldırılmasını içeren genel küçülme ve yeniden yapılandırma, HHS OCR’nin kaynaklarını ve personelini de derinleştirdi.
OCR zaten daha küçük HHS ajanslarından biridir. Başkan Biden yönetimindeki HHS OCR’nin eski direktörü Melanie Fontes Rainer, görev süresi boyunca OCR’nin yaklaşık 90 sözleşme müfettişi tarafından desteklenen 120 ila 150 çalışandan oluşan bir personele sahip olduğunu söyledi.
Hitech Yasası, HHS OCR’ye HIPAA yerleşimlerinden ve para cezalarından topladığı parayı icra çabaları için kullanma yeteneği verirken, ajans Kongre’ye sürekli olarak yetersiz olduğunu ve HIPAA ile ilgili ihlal araştırmalarındaki artışa ayak uyduramayacağını söyledi. HIPAA ihlali raporlama aracı web sitesine göre, HHS OCR son 24 ay içinde bildirilen 785 büyük ihlal vakasını araştırıyordu.
“OCR, OCR’nin sürdürülemez iş yükleriyle sonuçlanan ek ödenekler ve kaynaklar için devam eden talepleriyle bile, OCR’nin 20 yıl boyunca neredeyse düz ödenekleri vardı.” Dedi.
Hukuk bürosu Polsinelli’den gizlilik avukatı Iliana Peters, Bölüm 2 düzenlemelerinin HHS OCR’ye sivil uygulanmasına, özellikle de son ortak HIPAA ve Bölüm 2’nin karar vermesinden sonra, “OCR’nin bu tür artan uygulama için kaynakları nasıl bulacağından emin değilim” dedi.
“OCR, son federal indirgeme çabalarının bir parçası olarak beş bölgesel ofis ve önemli sayıda federal kariyer hizmeti profesyonelini ve sözleşme personelini kaybetti.” Dedi. Bu arada, HHC OCR artan bir HIPAA vaka yükünü sürdürmeye devam ediyor, “özellikle çözülmesi daha uzun ve daha uzun süren ihlal araştırmaları ile ilgili” dedi.
“Asıl endişem, OCR potansiyel Bölüm 2 ihlallerini araştırmaya başladığında, bu tür araştırmaların çözülmesi de uzun yıllar alacak, bu da hastalar, düzenlenmiş varlıklar ve HHS için bir kaybetme kaybı senaryosu.”
Greene, HHS’nin ayrıca 42 CFR Bölüm 2’yi içeren bazı ortak karışıklık alanlarını ele almayı düşünmesi gerektiğini söyledi.
“2024 Bölüm 2 değişiklikleri, Bölüm 2 programından kayıt alan HIPAA tarafından düzenlenen bir varlığın bu kayıtları HIPAA kapsamında korumalı sağlık bilgileri olarak ele alabileceği konusunda net değildir.” Dedi. “Bazı hükümler, bir hastanın tedavi, ödeme veya sağlık operasyonları için rızasına dayanarak kayıt alındığında HIPAA uyumluluğunun genellikle yeterli olduğunu göstermektedir. Diğer hükümler sadece Bölüm 2 ve HIPAA’yı tedavi, ödeme ve sağlık operasyonları için bir rızaya dayanarak uzlaştırır.” Dedi.
Diyerek şöyle devam etti: “Çok teknik bir ayrım gibi görünüyor, ancak farkın, HIPAA tarafından düzenlenen varlıkların hastaların rızalarının doğasına göre ayrı bir bölüm 2 uyumluluk programı sürdürmesi gerektiği ölçüde büyük bir etkisi var.”
Greene, HHS OCR’nin 42 CFR Bölüm 2 düzenlemelerinin yöneticisi ve uygulayıcısı olarak kabul edilmesine rağmen, SAMHSA’nın HHS’nin madde kullanım bozukluğu tedavisinin mevcudiyetini desteklemek de dahil olmak üzere akıl sağlığı sorunlarını ele alma çabalarını desteklemede önemli bir rol oynamaya devam edeceğini söyledi. “Bölüm 2’nin portföylerinden kaldırılması bunu değiştirmiyor.”
HHS, bilgi güvenliği medya grubunun 42 CFR Bölüm 2 icra değişiklikleri hakkında ek ayrıntı talebine hemen yanıt vermedi.