Sağlık, HIPAA/HITECH, Sektöre Özel
Eyalet, HHS’nin Üreme Sağlığı Bilgilerini Kolluk Kuvvetlerinden Saklayarak Hata Yaptığını Söyledi
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
6 Eylül 2024
Teksas Başsavcısı Ken Paxton, “yasadışı” HIPAA gizlilik kuralı düzenlemelerinin eyaletteki kolluk kuvvetlerinin kürtaj ve diğer üreme sağlığı davalarına ilişkin soruşturmalarını engellediğini iddia ederek Biden yönetimine dava açtı.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın yetkisini aştığını söyleyen Paxton, federal bir yargıçtan yalnızca üreme sağlığı bakımıyla ilgili korunan sağlık bilgilerinin ifşasını kısıtlamak için çıkarılan HIPAA Gizlilik Kuralı’nın 2024 güncellemesini değil, aynı zamanda 24 yıllık HIPAA Gizlilik Kuralı’nı da iptal etmesini istediğini söyledi.
Başsavcı, HHS’nin HIPAA Gizlilik Kuralını yürürlüğe koyma yetkisine sahip olmadığını, bunun nedeninin başka bir federal yasa olan İdari İşlemler Yasası olduğunu iddia ediyor. Bu yasa, federal kurumların kuralları nasıl oluşturup çıkardıklarını düzenleyen 1946 tarihli bir federal yasadır.
Şikayette, “HHS’nin 2000 Gizlilik Kuralı veya 2024 Gizlilik Kuralı’nı yürürlüğe koyma yetkisi veren herhangi bir yetkiye işaret etmediği ve işaret edemeyeceği, kuralların APA’yı ihlal ettiği” iddia ediliyor.
Paxton’ın ofisi yaptığı açıklamada, “ABD Kongresi tarafından yazılan orijinal HIPAA yasası, eyalet kolluk kuvvetlerinin soruşturma yetkisini açıkça koruyor ve yasa hiçbir şekilde HHS’ye, HIPAA tarafından düzenlenen kurumların eyalet soruşturmalarına işbirliği yapmayı reddetmesine izin verme yetkisi vermiyor” dedi.
Teksas’taki davada hem Sağlık ve İnsan Hizmetleri Bakanı Xavier Becerra hem de Sağlık ve İnsan Hizmetleri Sivil Haklar Ofisi Müdürü Melanie Fontes Rainer sanık olarak gösteriliyor.
HHS, Information Security Media Group’a yaptığı açıklamada, davanın devam eden bir dava olması nedeniyle yorum yapmayı reddetti ancak HIPAA kuralını savundu.
HHS açıklamasında, “Bu kural kendi başına geçerlidir. Biden-Harris Yönetimi, üreme sağlığı mahremiyetini korumaya ve hiçbir kadının tıbbi kayıtlarının, yalnızca ihtiyaç duyduğu yasal üreme bakımını aldığı için kendisine, doktoruna veya sevdiği kişiye karşı kullanılmamasını sağlamaya kararlıdır” denildi.
HHS’nin Nisan ayında yayınlanıp Haziran ayında yürürlüğe giren Üreme Sağlığı Bakımı Gizliliğini Desteklemek İçin 291 sayfalık son HIPAA Gizlilik Kuralı, yasal olan üreme sağlığı hizmetlerini arayan, elde eden, sağlayan veya kolaylaştıran bireyleri, sağlık hizmeti sağlayıcılarını veya diğerlerini araştırmak veya bu kişilere sorumluluk yüklemek amacıyla PHI’nin kullanılmasını veya ifşa edilmesini yasaklamaktadır (bkz: HHS Üreme Sağlığı Bilgileri İçin Gizlilik Korumalarını Güçlendiriyor).
2024’te güncellenen HIPAA gizlilik kuralı, ayrıca düzenlenmiş bir sağlık hizmeti sağlayıcısının, sağlık planının, takas odasının veya bunların iş ortaklarının, üreme sağlığıyla ilgili olabilecek belirli PHI taleplerinin kural kapsamında yasaklanan amaçlar için olmadığına dair imzalı bir onay almasını gerektirir.
ABD Yüksek Mahkemesi’nin 2022 Dobbs kararında, 50 yıldan uzun bir süre boyunca ülke çapında kürtaj hakkını garanti altına alan yasal bir emsal olan Roe v. Wade’i iptal etmesinin ardından HHS’nin OCR’si 2024 HIPAA gizlilik kuralı güncellemesini yayınladı.
Teksas’taki davada, HHS kuralının kapsamına giren üreme sağlığı hizmetlerinin yalnızca kürtajı değil, aynı zamanda “cinsiyet disforisi için hormon ve ilaç tedavisini, cinsiyet disforisiyle ilgili cerrahi prosedürleri ve cinsiyet deneylerini” de kapsadığı iddia ediliyor.
HHS kuralında kürtaj dışında herhangi bir üreme sağlığı hizmetinden özel olarak bahsedilmiyor.
Teksas’taki davada, “Özetle, 2024 Gizlilik Kuralı, eyalet yetkililerinin ve kolluk kuvvetlerinin bir suç veya eyalet yasasının olası diğer bir ihlaline dair kanıt elde etmesini kısıtlıyor” iddiası yer alıyor.
Teksas başsavcılığı, ISMG’nin davaya ilişkin yorum talebine hemen yanıt vermedi.
Hasta Mahremiyeti Tehlikesi mi?
Gizlilik uzmanları, Teksas’ın federal mahkemeden HIPAA gizlilik kurallarını iptal etmesini istemesinin sadece şok edici olmakla kalmayıp aynı zamanda hasta gizlilik hakları açısından yıkıcı olabileceğini söyledi.
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, “Bu, HHS’nin 2000 yılında kuralı ilk kez yürürlüğe koymasından bu yana HIPAA Gizlilik Kuralı’na yönelik gördüğümüz en kapsamlı saldırılardan biri” dedi.
“Dava başarılı olursa, ABD’de sağlık bilgilerinin korunmasını temelden değiştirebilir ve potansiyel olarak Gizlilik Kuralı’nın kolluk kuvvetlerine yapılan açıklamalara ilişkin sınırlamalarını veya daha genel olarak Gizlilik Kuralı’nı geçersiz kılabilir” dedi.
WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra da benzer bir değerlendirme sunuyor.
“En azından göründüğü kadarıyla 2000 yılında yazılan ve 2003’ten beri yürürlükte olan ve Bush Yönetimi tarafından nihai haliyle yayınlanan Gizlilik Kuralı’nı reddetmek oldukça şaşırtıcı bir meydan okuma,” dedi Nahra. “Bu dava sonucunda sağlık gizlilik hakları ortadan kaldırılırsa Teksaslı tüketicilerin ne düşüneceğini merak ediyorum.”
Greene, mahkemelerin Teksas lehine karar vermesi durumunda, en azından bunun HHS’nin kolluk kuvvetlerine yapılan açıklamaları düzenleme yetkisini, ek yasal yetki olmaksızın sınırlayacağını söyledi.
“Şikayet kolluk kuvvetlerine yapılan ifşalara odaklansa da, Teksas genel olarak mahkemeden Gizlilik Kuralı’nın tamamını iptal etmesini ve iptal etmesini istiyor,” dedi.
Greene, “Buna göre, eğer Teksas kazanırsa, o zaman iki büyük soru ortaya çıkacak: mahkemenin, kolluk kuvvetleriyle ilgili olanların ötesinde Gizlilik Kuralı’nın bazı bölümlerini iptal edip etmeyeceği; ve kararın ülke çapında ne ölçüde uygulanacağı” dedi.
Ancak davayı kazanmak devletin kesin zaferi değil.
“Bu argüman, Gizlilik Kuralı’nın temeli olan yasal yetkilendirmeyi ele almıyor,” dedi. HIPAA’nın 264(c)(1) Bölümü, “Kongre’nin üç yıl içinde gizlilik standartlarını yürürlüğe koymayı başaramaması durumunda – ki Kongre bunu başaramadı – o zaman HHS, yetkilendirilmesi veya gerekli olması gereken bireysel olarak tanımlanabilir sağlık bilgilerinin kullanımlarını ve ifşalarını ele alan gizlilik düzenlemeleri yürürlüğe koymalıdır,” dedi Greene.
Danışmanlık firması HITprivacy LLC’den gizlilik avukatı David Holtzman, Teksas başsavcılığının satın aldığı şikayetin, HIPAA kurallarının Kongre’nin hasta sağlık bilgilerinin gizliliğine ilişkin standartları “yayımlama” emrinin ürünü olduğu fikrini çürüttüğünü söyledi.
“Küstahça bir bakış açısı, korkak ve siyasi amaçlı bir eyalet başsavcısının, federal kurum eylemlerini küçümseyenlere dost olan bir federal bölge mahkemesinde kasıtlı olarak açılan bir dava hazırlaması olurdu,” dedi.
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, Teksas’taki davanın, eyaletlerin federal otoriteye karşı açtığı davalardaki artan eğilimi takip ettiğini söyledi.
Hales, “Kırmızı eyaletler Dobbs kararının ardından kürtaj karşıtı yasalar çıkardı. Aynı zamanda HHS’nin üreme hakları ve diğer konularla ilgili kural koyma yetkisine saldıran davalar açtılar” dedi.
Hales, bunun üstüne, Haziran ayında Yüksek Mahkeme’nin, kanunların hükümet kurumları tarafından yorumlanmasına izin veren uzun süredir devam eden “Chevron” yargı doktrinini ortadan kaldıran kararının, “popüler olmayan idari düzenlemelere saldırıları” teşvik ettiğini söyledi (bkz: Uzmanlar Chevron’un Devrilmesinin Ardından Siber Düzenleme Kaosuna Karşı Uyarıyor).
“Teksas’taki yeni dava, federal bir kuruma yönelik en cesur saldırıdır. HIPAA Gizlilik Kuralı’nın tamamını geçersiz kılma girişimi, Chevron’dan ve Teksas federal mahkemelerini kapsayan Beşinci Daire Temyiz Mahkemesi’nin son kararlarından önce düşünülemezdi,” dedi Hales.
Teksas’ın HHS’ye karşı açtığı dava “görünüşte İdari Prosedür Yasası ile ilgili, ancak aslında ülkemizdeki mevcut duygusal ve politik iklimle ilgili. Daha fazlasının geleceğini bekliyorum” dedi.
Tam Döngü
Holtzman, Omnibus HIPAA Yasası’na on yıldan uzun bir süre önce dahil edilen İdari Basitleştirme hükümlerinin sağlık sektöründe elektronik bilgi sistemlerinin kullanımını kolaylaştırmayı amaçladığını söyledi.
“Ancak Kongre, federal hükümetin topladığı verileri, hasta sağlık bilgilerinin kullanımı ve ifşası konusunda koruma sağlanmadığı takdirde her Amerikalının sağlık kayıtlarını içeren elektronik bir dosya geliştirmek için kötüye kullanabileceğinden endişeliydi,” dedi.
“Aynı hasta mahremiyeti korumalarını baltalamayı amaçlayan Teksas davası şimdi bizi Kongre’nin önlemeye çalıştığı hükümetin aşırı müdahalesiyle karşı karşıya getiriyor,” dedi.
Paxton davası, Teksas’ta görülen HHS HIPAA kurallarına yönelik iki büyük itirazdan biridir. Amerikan Hastane Derneği ve diğer gruplar, HHS’yi web izleme araçlarının potansiyel olarak HIPAA Gizlilik Kuralını ihlal ettiği kuralı nedeniyle dava etti. HHS, HHS OCR’nin web izleyicilerinin kullanımıyla ilgili HIPAA rehberliğinin belirli hükümlerinde yetkisini aştığını tespit eden bir Teksas federal mahkemesi kararına itirazını geri çekti (bkz: HHS OCR, Mahkemenin Web Takip Kararına Yönelik Temyiz Başvurusunu Geri Çekti).