Hükümet, Sağlık Hizmetleri, HIPAA/HITECH
Uzman: Kennedy’nin siber, gizlilik sorunlarını nasıl ele alacağına dair ‘tahminler bulutlu’
Marianne Kolbasuk McGee (Healthinfosec) •
13 Şubat 2025
Perşembe günü ABD Senatosu, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na liderlik etmek için tartışmalı aday Robert F. Kennedy Jr. Oylar çoğunlukla 52 ila 48 arasında parti çizgileri boyunca düştü, önemli bir Cumhuriyetçi senatör – Mitch McConnell – Başkan Donald Trump’ın HHS Sekreteri seçmesine karşı oy kullanma rütbelerini kırdı.
Ayrıca bakınız: FedRamp ve Stateramp’ı anlamlandırıyor
Son iki Senato Komitesi onay duruşması sırasında milletvekilleri tarafından saatlerce incelemeye rağmen, çok fazla bir şey değilse – Kennedy’nin sağlık verileri gizliliği ve siber güvenlik sorunları konusundaki tutumu hakkında, aşı şüpheci ve komplo teorisyeni olarak tartışılan itibarının aksine ( Görmek: Trump, Robert F. Kennedy Jr.).
Kamu-Özel Sağlık Sektörü Koordinasyon Konseyi genel müdürü Greg Garcia, “Bir RFK Jr. HHS’nin siber güvenlik düzenlemesini veya politikasını nasıl ele alacağına dair tahminlerimiz bulutlu.” Dedi.
Trump’ın açılışından bu yana HHS’deki kariyer yetkilileri, geçiş incelemesi sırasında politika veya düzenleme ile ilgili dış iletişimleri askıya almaya yönlendirildi, bu nedenle büyük olasılıkla Kennedy’nin siber güvenlik ve ilgili konulardaki pozisyonları hakkında spekülatifler “” dedi Garcia .
“Onay duruşmaları sırasında veya başka yerlerde sağlık siber güvenliği hakkındaki tartışmaların farkında değilim, ancak bu yönetimin varsayılan pozisyonu regülasyon ise, belki de HIPAA Güvenlik Kuralı, önerilen kararın bildirimine zorlanacaklar. Aralık, “dedi Garcia.
Biden yönetiminin son haftalarında, HHS Sivil Haklar Ofisi 20 yaşındaki HIPAA güvenlik kuralına önerilen bir güncelleme yayınladı. Önerilen düzenlemeler Mart ayına kadar kamuoyuna açıktır. 7 (bakınız: HHS’nin önerilen HIPAA güvenlik kuralı revizyonunda neler var?).
Teklifler, şifreleme ve çok faktörlü kimlik doğrulama gibi güvenlik kontrolleri için yetkilerden, güvenlik riski analizinin nasıl yürütüleceğine ve diğer gereksinimlerin uzun bir listesine kadar uzanmaktadır.
Garcia, önerilen düzenlemeler hakkındaki görüşlerini paylaşan birçok HSCC üyesi “, bu Tome’a uyumluluğun son derece maliyetli, zaman alıcı, savurgan ve verimsiz ve sonuçta etkisiz olacağından ve gerçek siber güvenliğe ulaşmanın zorunluluğuna karşı dikkat dağıtıcı olacağından endişe duyuyor” dedi.
HSCC “yakında hükümete, önerilen düzenlemenin talep ettiğinden daha güçlü bir siber güvenlik duruşuna götüreceğine inandığımız daha yüksek düzey ilkeler sunacak” dedi.
Federal İşler Direktörü Chelsea Arnone, Sağlık Hizmetleri Cisos ve CIO’ların profesyonel birliği – Biden yönetiminin önerilen HIPAA güvenlik kuralı hakkında “derinden endişe duyuyor” dedi.
Arnone, “Yeni HHS Sekreterinin endişelerimizi ciddiye alacağından, teklifi iptal edeceğinden ve daha dengeli bir yaklaşım geliştirmek için sağlık sektörü ile işbirliği yapacağından ümit ediyoruz.” Dedi.
“HHS’nin sağlık hizmeti sağlayıcılarının zaten yaptığı önemli ve anlamlı siber güvenlik yatırımlarını tanıması kritik öneme sahiptir. Gelecekteki düzenleyici çabalar, yeni, aşırı kuralcı düzenlemeler uygulamak yerine mevcut yatırımları desteklemelidir.” Dedi.
HIPAA için sırada ne var?
HHS’nin OCR’sinin HIPAA düzenleyici ve uygulama çalışmaları ile alacağı yön, ajansa liderlik etmek için kimin adlandırıldığına da bağlı olacaktır.
Şimdilik, yeni bir yönetmen seçilene kadar, ajans, daha önce başka bir HHS Ajansı, Sağlık Kaynakları ve Hizmetler İdaresi’nde Sivil Haklar, Çeşitlilik ve İçerme Ofisi Direktörü olarak görev yapan Direktör Anthony Archeval tarafından yönetiliyor. Biden yönetiminin çoğu sırasında HHS OCR, HHS Sec. Xavier Becerra.
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “Beyaz Saray’ın HHS sekreterinin kim olduğuna bakılmaksızın HHS politikasını belirlemesini bekliyorum.” Dedi.
Onay duruşmaları sırasında, geçmişte kürtaj haklarını destekleyen Kennedy, milletvekillerine şimdi pozisyonunun Trump’ın “her kürtajın bir trajedi olduğunu” söyledi.
Kennedy’nin kürtaj hakkındaki görünüşe göre değiştiği görüş, HHS’nin HIPAA düzenleyici ve icra planlarına nasıl dönüşebilir HHS OCR’nin geçen Haziran ayında yürürlüğe giren son HIPAA gizlilik kuralı güncellemesini nasıl desteklediği – veya desteklemiyor – gelişmiş bir HIPAA Gizlilik Kuralı Güncellemesi üreme sağlığı bilgileri için gizlilik korumaları (bkz:: HHS, üreme sağlığı bilgileri için gizlilik korumalarını destekliyor).
HHS’nin 291 sayfalık nihai HIPAA Gizlilik Kuralı Üreme sağlığı gizliliğini desteklemek için, bireyler, sağlık hizmeti sağlayıcıları veya üreme arayan, sağlayan veya kolaylaştıran diğer kişiler için sorumluluk sorunu araştırmak veya uygulamak istendiğinde korunan sağlık bilgilerinin kullanımını veya ifşa edilmesini yasaklar. Bu tür sağlık hizmetlerinin sağlandığı koşullar altında yasal olan sağlık hizmetleri.
Biden yönetimi, 2022 Yüksek Mahkemesi Dobbs / Jackson kararına, kürtaj elde etme ulusal bir hakkı deviren kararına yanıt olarak gizlilik kuralını değiştirdi.
Ancak şu anda, 15 Devlet Başsavcısı, bir Teksas federal mahkemesinin HIPAA Gizlilik Kural Modifikasyonlarını boşaltmaya çalışıyor, düzenlemelerin devletlerin çocuk istismarı ve diğer potansiyel suçları soruşturmasını engellediğini iddia ediyor (bkz: bkz: 15 eyalet Sue HHS HIPAA üreme sağlığı bilgisi reg.).
Hales, “Kampanya söylemi, HHS’nin uygulama takdirini kullanacağını ve üreme sağlığı gizliliği ihlallerini ne araştıracağını ne de zorlayacağını gösteriyor.”
Hales, bu arada, devlet avukatları genel avukatlar, üreme sağlığı bilgileri için HIPAA gizlilik korumalarını uygulama yetkisini elinde tutuyor.
Bu, bu 15 eyaletin avukatlarının gizlilik kuralını boşaltmaya çalışırken, diğer eyaletlerin Başsavcılarının üreme sağlığı bilgileri önlemleri için güncellenmiş düzenlemeleri uygulamayı seçebileceği anlamına gelir.
Biden yönetiminin HIPAA güvenlik kuralını güncellemek için Aralık ayı karar verme önerisine gelince, bazı uzmanlar da öngördüğünü öngörüyor.
Hales, “Belirli güvenlik kuralı modifikasyonları sağlık endüstrisi lobisinden güçlü bir muhalefetle karşı karşıya. Bu yıl HHS, nihai güvenlik kuralı değişikliklerini yayınlamadan önce önemli değişiklikler yapabilir.”
Hales, “Siber güvenlik korumalarının tüm sektörlerde güçlendirilmesi çok önemlidir. Yasama girişimleri ve Ulusal Standartlar ve Teknoloji Enstitüsü gibi yönetici ajanslarının çalışmaları siber güvenlik gelişimine öncülük edecek ve HHS takip edecek.” Dedi.
Düzenleyici avukat Rachel Rose, HHS OCR’nin ilk Trump yönetimi sırasındaki faaliyetlerine dayanarak, HIPAA gizliliği ve güvenlik kuralı uygulanmasının çeşitli nedenlerle yeni HHS liderliği altında süreceğini beklediğini söyledi.
“İlk Trump yönetimi altında alınan icra eylemleri ile artan tehdit peyzajı ve 2024 değişim sağlık ihlali, çeşitli sağlayıcıların gelir döngülerini olumsuz etkileyen, gizlilik kuralının ve güvenlik kuralının HIPAA’nın uygulanması muhtemeldir. , “dedi.
“Dahası, HIPAA’nın temel taşı, kapalı bir varlık – ve özellikle bir sağlayıcı ve bir hasta arasındaki güvenleri korumaktır.” Dedi.
Diğer sağlık sektörü siber sorunları
HIPAA ile ilgili konuların yanı sıra, Kennedy diğer sağlık hizmetleri siber güvenlik düzenleyici konularla da karşılaşacak.
Kennedy, 2024 başkanlık yarışında aday olarak ayrıldığında ve Trump’ı ikinci bir Trump yönetiminde bir rol karşılığında onayladığında Trump, Kennedy’ye “sağlık üzerine vahşileşme” izni verdiğini söyledi. Kennedy ayrıca, ABD Gıda ve İlaç İdaresi’nin büyük bir sarsıntısını açıklamıştı ve halk sağlığı konularında “yozlaşmış” olmakla suçlandı.
Ancak Kennedy, FDA’da büyük değişikliklerle ilerlerse, bazı uzmanlar ajansın son yıllarda yoğunlaşan tıbbi cihaz siber güvenlikindeki çalışmalarının kargaşaya yakalanacağından şüphe ediyor.
Rose, “Kimsenin hastaların ölümüne neden olduğu için suçlanmak istediğini sanmıyorum. “Gerçek şu ki, tıbbi cihaz siber güvenlik hastalar, sağlayıcılar ve cihaz üreticileri arasında ortak bir sorumluluktur.”
Diğerlerinin de benzer değerlendirmeleri vardır. “Cihaz güvenliğinin sağlayıcı, hasta ve bakıcının sağlık sistemine olan güveninde önem seviyesi göz önüne alındığında, Sekreter Kennedy’nin tıbbi cihaz siber güvenlik ilerlemeleri için desteğe devam etmesini bekleriz.” Dedi. ve Sağlık Bilgi ve Yönetim Sistemleri Derneği.
Buna ek olarak Leary, HIMSS’nin Trump yönetiminin ve Kongre’nin siber güvenlik politikası ve AI politikası hakkında “aynı sayfaya gireceğini” umduğunu söyledi.
Yetkili, “Dünyanın diğer kısımları aktif olarak bu iki kritik alanı etkileyen politikaları modernize etmekle uğraşıyor. ABD, diğer başkentlerde tasarlanan yasama ve düzenleyici çerçevelerin ardından anlamlı mevzuat geçirmeli veya ABD kuruluşlarına bırakılmalıdır.” Dedi.
Bazı uzmanlar, Kennedy – ve Trump yönetiminin geri kalanı – yerleşirken, sağlık sektörü siber güvenlik momentumunun önemli ölçüde durmadığı önemlidir.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi başkanı Denise Anderson, “Dört yılda bir ABD hükümetinde yeni bir yönetim olsun, ister mevcut bir yönetim olsun. Ciro var. Ciro var ve bazı girişimler beklemeye alınabilir.” Dedi.
“Sonuç olarak, yeni personel ve liderlik sektördeki sorunlar ve ortaklıklardan haberdar edilmeli ve insanlar hızlandıkça geçici olarak beklemeye alınabilir, yavaşlatılabilir, değiştirilebilir veya ortadan kaldırılabilir.
Tehdit aktörleri genellikle kötü niyetli faaliyetler yürütmek için hükümet içindeki geçişlerden faydalandığını söyledi. Diyerek şöyle devam etti: “Bu durumlar, ISAC’ların ve sektör koordinasyon konseylerinin nerede sağlık gibi kritik altyapı sektörlerinin tehditler karşısında esnek kalmasını sağlayan istikrarlı, güvenilir endüstri toplulukları olarak değer getirdiğini mükemmel bir şekilde göstermektedir.”