HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
Trump’ın İkinci Döneminde Potansiyel Veri Güvenliği ve HIPAA Gizlilik Değişiklikleri Konusunda Uzmanlar
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Kasım 2024
Donald J. Trump, ABD başkanı olarak dört yıllık bir dönem daha görev yapmak üzere Ocak ayında Beyaz Saray’a dönmeye hazırlanırken, konu onun bir sonraki yönetiminin siber güvenlik öncelikleri ve HIPAA düzenlemeleri ve uygulamalarına geldiğinde sağlık sektörü ne görmeyi bekleyebilir?
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Uzmanlar, öncelikle, Biden yönetiminin üreme sağlığı bilgilerinin gizliliğini artırmayı amaçlayan HIPAA Gizlilik Kuralı’nda bu yıl yaptığı son değişiklikleri Trump yönetiminin desteklemesini beklemeyin dedi. Değişiklikler, Roe v. Wade’i ve 50 yıllık ulusal kürtaj hakkı hakkını bozan 2022 Yüksek Mahkemesi kararına yanıt olarak geldi.
HHS’nin Nisan ayında yayınlanan ve Haziran ayında yürürlüğe giren Üreme Sağlığı Hizmetleri Gizliliğini Desteklemeye Yönelik 291 sayfalık son HIPAA Gizlilik Kuralı, korunan sağlık bilgilerinin, bireylere, sağlık hizmetlerine yönelik soruşturma veya sorumluluk yüklemek amacıyla kullanılmasını veya ifşa edilmesini yasaklamaktadır. sağlayıcılar veya söz konusu sağlık hizmetinin sağlandığı koşullar altında yasal olan üreme sağlık hizmetlerini arayan, elde eden, sağlayan veya kolaylaştıran diğer kişiler (bkz.: HHS Üreme Sağlığı Bilgilerinde Gizlilik Korumasını Artırıyor).
WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra, “Mevcut bir düzenlemeyi tersine çevirmek anlamlı bir çaba gerektirse de, Trump yönetiminin Gizlilik Kuralı’nda Dobbs ile ilgili son değişikliklerden kaynaklanan uyumluluk yükümlülüklerini küçümsemesini bekliyorum” dedi.
Ancak bazı uzmanlar Trump yönetiminin daha da ileri gideceğini düşünüyor.
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, “Gizlilik Kuralı’nda yapılacak 2024 güncellemelerinin birçok cepheden saldırıya uğramasını bekliyorum” dedi.
“Öncelikle Trump yönetiminin bunu uygulamasını beklemiyorum” dedi. “İkincisi, Teksas başsavcısının 2024 değişikliklerinin hukuka uygunluğuna itiraz ettiği Teksas’ın Kuzey Bölgesi davasında, yeni yönetimin başsavcının pozisyonuna yönelik her türlü itirazı – en azından üreme sağlığı değişiklikleriyle ilgili olarak – geri çekmesini bekliyorum. “
Eylül ayında Eyalet Başsavcısı Ken Paxton tarafından HHS Sekreteri Xavier Becerra ve HHS Sivil Haklar Ofisi Direktörü Melanie Fontes Rainer’a karşı açılan Teksas davası, Biden yönetiminin üreme sağlığı verileri için gizlilik korumalarını geliştirmek amacıyla HIPAA Gizlilik Kuralına yönelik 2024 güncellemesini iptal etmeyi amaçlıyor (bkz. : Texas AG, Kürtajları Soruşturmak için HIPAA Kurallarını İyileştirmeyi Umuyor).
Greene, Teksas’ın Kuzey Bölgesi’nin, Biden yönetiminin HIPAA Gizlilik Kuralı’nda yaptığı 2024 değişikliklerini iptal edeceğini tahmin ediyor. “Yeni yönetimin değişikliklerin silinmesi yönünde öneride bulunma sürecini başlatmasını bekliyorum” diye ekledi.
Ancak Trump, Ocak 2021’deki ilk döneminin ardından görevden ayrılmadan önce, yönetimi HIPAA Gizlilik Kuralı’nda kendi önerilen değişikliklerini de yayınladı. Biden yönetimi daha sonra bu kural koyma çabasını bir kenara bıraktı (bkz: HHS, HIPAA Gizlilik Kuralında Önerilen Değişiklikleri Açıkladı).
Greene, Trump yönetimindeki değişikliklerin “nispeten tartışmasız olduğunu, ancak Biden yönetimi başka önceliklere odaklandığı için hareketsiz kaldığını” söyledi.
Nahra kabul etti. “Trump yönetiminin, opioid bozuklukları ve sosyal hizmet organizasyonuyla ilgili mahremiyet kuralında uzun süredir geciken bir değişikliği tamamlamasını bekliyorum, çünkü bu ilk dönemde başlatılmıştı, ancak teklif edilen bir yasa teklifinin alınmasının ne kadar uzun sürdüğü nedeniyle bir öncelik değildi. kural yürürlüktedir” dedi.
Yaptırım Öncelikleri
İlk Trump yönetiminin HHS OCR liderliği tarafından başlatılan en önemli HIPAA uygulama önceliği, Biden’ın ekibinin de önceliği olmaya devam etti: HIPAA’nın bireylere sağlık kayıtlarına erişim hakkı sağlayan hükümlerinin uygulanması. Nisan 2019’dan bu yana, HHS OCR bu tür 50 vakada yaptırım kararı vermiştir (bkz.: Dental Center Zinciri, Veri İhlali Davasını 2,7 Milyon Dolara Ulaştırdı).
Trump’ın ilk döneminde HHS OCR, dört yıl boyunca muhafazakar bir düşünce kuruluşu olan The Heritage Foundation’ın lideri ve ikinci Trump yönetiminin gündem belgesi olan Project 2025’in yazarı avukat Roger Severino tarafından yönetildi.
Severino başkanlığında HHS OCR, organizasyonuna dini özgürlük ve vicdanla ilgili sivil haklar konularına odaklanan bir uygulama bölümü ekledi.
Nahra, “Dolayısıyla bu çaba yine bir öncelik haline gelebilir; bu da mahremiyet ve sivil haklarla ilgili mevcut bölümlerin aslında daha az dikkat çekebileceği anlamına gelir” diye tahmin ediyor.
Sağlık sektörünün diğer siber güvenlik sorunlarına gelince, bazı uzmanlar Trump ile Biden’ın tutumları arasındaki farkların daha az belirgin olabileceğini söyledi.
BakerHostetler hukuk firmasından düzenleme avukatı Sara Goldstein, “Gizlilik ile ilgili öncelikler Biden yönetimi OCR ile Trump yönetimi OCR arasında büyük olasılıkla önemli ölçüde farklılık gösterecek olsa da, deneyimlerime göre siber güvenlik partizan olmayan bir konudur” dedi.
İkinci Trump yönetiminin de ilk Trump yönetimiyle aynı önceliklere sahip olduğunu varsayarsak, siber güvenliğin büyük olasılıkla odak noktası olacağını ve yeni HHS liderliğinin, siber güvenlik girişimleriyle ilgili olarak önceki ekibin bazı çalışmalarını sürdürmeyi tercih edebileceğini öngörüyor.
“Trump’ın önceki döneminde OCR’nin eylemlerine dayanarak, OCR ve diğer federal kurumlar muhtemelen hem sağlık hem de diğer sektörlerde daha güçlü siber güvenlik uygulamaları uygulamaya çalışmaya devam edecek” dedi.
Biden yönetimi geçtiğimiz Aralık ayında sağlık ve kamu sağlığı sektörünün siber güvenlik duruşunu iyileştirmenin yollarını özetleyen bir konsept belgesi yayınladı.
Bu plan, potansiyel olarak HHS siber güvenlik performans hedeflerini (başlangıçta gönüllü hedefler olarak tanıtılan) hastaneler için ve muhtemelen daha sonra diğer sağlık sektörü bileşenleri için yeni gerekliliklere zorunlu kılmayı içeriyordu; bunlar Medicare ödeme teşvikleri ve cezalarıyla ilişkilendirilebilir (bkz.: Klinisyenler İçin Gelecekte Yeni Siber Kayıtlar Olabilir mi?).
Biden’ın planı, hastanelerin önümüzdeki birkaç yıl içinde siber güvenliğe yatırım yapmasına yönelik hibeler gibi mali yardımlar için 2025 mali yılında önerilen 1,3 milyar dolarlık finansmanı içeriyordu.
Ancak bütçe teklifinde, 2029 mali yılından itibaren siber güvenlik standartlarını karşılayamayan belirli hastanelere Medicare ödemelerinin azaltılması şeklinde mali cezalar da yer alıyor (bkz: Federaller Siberi Güçlendirmek İçin Sağlık Sektörüne Sopa ve Havuç Sallıyor).
Bazı uzmanlar, Trump yönetiminin sağlık sektörüne yönelik yeni siber güvenlik taleplerinde de ilerlemesi durumunda kuruluşlara yardım edecek kaynakların hâlâ hayati önemde olacağını söyledi.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin güvenlik şefi Errol Weiss, “Hastanelere yönelik herhangi bir siber güvenlik talimatının, bu programları destekleyecek finansmanla birlikte sağlanması gerekir” dedi.
“Tarihsel olarak, hastaneler siber güvenlik konusunda yeterince finanse edilmiyor, kuruluşlar teknolojiden yoksun kalıyor ve daha da önemlisi bu ağları düzgün bir şekilde koruyacak deneyimli siber güvenlik çalışanları var” dedi.
“Fon ayrıca, tam zamanlı bir CISO’ya sahip olmayan hastaneler için sanal bir CISO programını da desteklemeli, böylece doğru bir şekilde stratejik bir plan oluşturabilir, etkili bir siber güvenlik programı uygulayabilir ve ortaya çıkan tehditler ve en iyi uygulamalar konusunda güncel kalabilirler.”
Biden’ın sağlık hizmetlerine yönelik siber güvenlik planının muhtemelen Trump’ın ekibi tarafından incelenecek bir diğer kritik bileşeni de HIPAA’ya dönüyor: 20 yıllık HIPAA Güvenlik Kuralının güncellenmesi.
Biden yönetiminin HHS OCR’si geçtiğimiz ay, önerilen kural koyma bildirimini nihai kuralı yayınlamadan önce 60 günlük kamuoyu yorumuyla birlikte Aralık ayında yayınlama planlarını içeren, incelenmek üzere Beyaz Saray’ın Yönetim ve Bütçe Dairesi’ne önerilen bir HIPAA Güvenlik Kuralı güncellemesi sundu (bkz. : Beyaz Saray, HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).
NPRM’yi Aralık ayında yayınlama planları kalıcı olursa, kamuoyunun yorumu toplandıktan sonra kuralla ilgili bir sonraki adımın (eğer varsa) ne yapılacağına karar vermek açıkça Trump’ın yeni HHS OCR liderliğine kalacak (bkz: HIPAA Düzenlemelerini Neler Bekliyor?).
Nahra, “Gelen yönetimin bu konularla ilgili herhangi bir özel görüşünün farkında değilim, ancak Biden ekibinin başlattığı herhangi bir konuda hızlı bir şekilde ilerlemelerini beklemiyorum” dedi.
Ancak Greene biraz daha iyimser. “HHS’nin önümüzdeki ay HIPAA Güvenlik Kuralı için daha ayrıntılı ve sıkı gereklilikler içerecek şekilde önerilen güncellemeleri yayınlamasını bekliyorum” dedi. “Trump yönetimi muhtemelen Biden yönetiminden önerilen tüm kuralları yakından inceleyerek inceleyecek, ancak muhtemelen Güvenlik Kuralındaki değişiklikleri tamamlamaya devam edecek” dedi.
“Sağlık sektöründe artan siber güvenlik çabalarına duyulan ihtiyacın iki parti tarafından da kabul edildiğini düşünüyorum.”