Veri yönetişimi, veri gizliliği, veri güvenliği
Tüm sağlık verileri duyarlı değil mi? Evet, ama bazılarını korumak daha da zor
Marianne Kolbasuk McGee (Healthinfosec) •
3 Şubat 2025
Muhtemelen tüm sağlık bilgileri, verilerin doğasına göre hassastır. Ancak bazı sağlık bilgileri, ya düzenleyicilerin gözleri veya belirli tür bilgileri tehlikeye atıldığında hastaların ve diğerlerinin güçlü bağırsak reaksiyonu aracılığıyla özellikle hassas olarak kabul edilir.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Bazı uzmanlar, ultra hassas bilgilerin korunmasının çeşitli nedenlerden dolayı ekstra zorlayıcı olabileceğini söyledi. Bu kayıtlar, zihinsel ve davranışsal sağlık, üreme sağlığı bilgileri, pediatrik kayıtlar ve daha fazlası dahil olmak üzere çeşitli farklı kovalara düşebilir.
Hukuk firması Davis Wright Tremaine’den düzenleyici avukat Adam Greene, “Ekstra hassas sağlık verilerini tanımlamak için tek bedene uygun bir çözüm yok, çünkü bir birey sağlık verileri hakkında daha fazla gizlilik endişesi ve hassasiyete sahip olabilir.” Dedi.
“Kırık bir bileğin bir röntgeni çoğu insana özellikle duyarlı olmayabilir, ancak profesyonel bir sporcuya son derece duyarlı olabilir” dedi.
Bilgisayar korsanları, zihinsel sağlık kayıtları, plastik cerrahi sınav fotoğrafları ve gasp için potansiyel bir bonanza gibi diğer hassas kayıtlar gibi bazı hassas sağlık bilgilerini görüntüleyin. Örneğin, 2023’te plastik cerrahi kliniklerine yönelik bir dizi fidye yazılımı ve veri hırsızlığı saldırısı, FBI’ı bu tür tıbbi uygulamalar için siber suç uyarısı vermesini tetikledi (bkz:: Plastik cerrahlar yeni bir yüz siber gasp hakkında uyardı).
Hukuk firması Morgan Lewis’den düzenleyici avukat Amy Magnano, “Her zaman bilgisayar korsanları tarafından belirli hassas verilere sahip olan kapalı kuruluşlara odaklanacak,” dedi.
‘Kafa karıştırıcı’ ve “karmaşık” yasalar
Hukuk firması Wilmerhale’den düzenleyici avukat Kirk Nahra, “İnanılmaz derecede kafa karıştırıcı ve karmaşık ve gelişen bir yasa” dedi.
“HIPAA genellikle sağlık bilgisi kategorileri arasında ayrım yapmaz” dedi. “Son Dobbs kuralı da dahil olmak üzere istisnalar var, ancak bunların uygulamalarında temel olmadığını söyledi.
Kürtaj prosedürleriyle ilgili gizlilik korumaları belki de en sıcak tartışılan hasta bilgileridir. Örneğin, geçen Haziran – Haziran 2022 Yüksek Mahkemesi’nin ulusal kürtaj hakkını bozan Dobbs kararına yanıt olarak – Biden yönetiminin sağlık ve insan hizmetleri departmanı, erişim, kullanım ve Üreme sağlığı bilgilerinin açıklanması.
Kural, kadınları, bireyler, sağlık hizmeti sağlayıcıları veya yasal olarak yasal olan üreme sağlık hizmetlerini arayan, sağlayan, sağlayan veya kolaylaştıran diğer kişilere sorumluluk vermeye veya yükümlülüğü uygulamak istendiğinde, kadınları üreme sağlığı bilgilerinin kullanımından veya ifşa etmesini korumayı amaçlamaktadır. hangi sağlık hizmetleri sağlanır.
Ancak bu kural, düzenlemeleri iptal etmek isteyen 15 Devlet Başsavcısı tarafından federal mahkemede meydan okunmaktadır. Kuralın, devletlerin “Medicaid faturalandırma sahtekarlığı, çocuk ve yaşlı istismarı ve sigorta ile ilgili kötüye kullanma gibi ciddi suistimalleri polislik etmek için kritik olan bilgileri toplama yeteneğini engellediğini iddia ediyorlar, çünkü sağlık hizmeti sağlayıcıları – HIPAA düzenlemelerine atıfta bulunmayı reddetti Soruşturmalar için (bakınız: 15 eyalet Sue HHS HIPAA üreme sağlığı bilgisi reg.).
Madde bağımlılığı korumaları
Ancak, yakın zamanda eklenen gizlilik teminatlarından çok önce, üreme sağlığı bilgileri için başka bir federal yasa, diğer veri türlerinin kullanımı ve açıklamaları üzerinde ek korumalar sağlamıştır – madde kullanımı bozukluğu, federal destekli tedavi programları ile bağlantılı olarak korunan hasta kayıtları ile ilgili bilgiler.
Bu düzenlemeler – Madde Kullanımı Bozukluğu Hasta Kayıtlarının Gizliliği, 42 CFR Bölüm 2 – yıllar içinde maalesef belirli engeller yarattı. Bu, federal olarak destekli Bölüm 2 programlarına katılmayan, ancak madde bozukluğu hastalarını diğer tıbbi bakım için tedavi eden sağlık hizmeti sağlayıcıları için zorlukları içerir.
Örneğin, Bölüm 2 düzenlemelerindeki HIPAA’ya karşı tutarsızlıklar, doktorların ve ER departmanlarının ilaç veya tedavi reçete etmeden önce hastanın ilgili tıbbi geçmişine erişmesini engelleyebilir.
Bu konulardan bazıları, geçen yıl HHS tarafından Bölüm 2’yi HIPAA ile daha iyi hizalamayı amaçlayan son bir kuralda ele alındı.
HHS, Madde Kullanım Bozuklukları için hastaları tedavi eden sağlayıcılar arasında koordinasyonu iyileştirmeye yardımcı olmak için Nihai Kural Modifiye Bölüm 2’yi değiştirdi ve hasta sağlığı sonuçlarını iyileştirmek için diğer tıbbi kayıtlarla davranışsal sağlık bilgilerinin entegrasyonunu artırdı (bakınız: HHS Kuralı Madde Bozukluğu gizlilik Regs, HIPAA).
“Uzun yıllar boyunca HIPAA öncesi olan 42 CFR Bölüm 2 kuralları, bugün belirli veri türleri için ayrı bir kural kümesinden potansiyel olumsuz etkileri göstermektedir ve yasa, Bölüm 2’yi daha fazla yapmak için yaklaşık 15 yıldır hareket etmektedir. Hipaa gibi, “dedi Nahra.
Ancak federal düzenleyiciler, hassas bölüm 2 bilgilerinin nasıl paylaşılabileceğini daha iyi koordine etmeyi amaçlayan eylemler yapmış olsalar da, diğer engeller hala devam ediyor.
Hukuk firması Davis Wright Tremaine’den düzenleyici avukat Adam Greene, “Yaygın bir zorluk, özellikle hassas verilerin korunmasında teknolojik sınırlamalardır.” Dedi.
“Örneğin, 42 CFR Bölüm 2, madde kullanım bozukluğu bilgilerinin hastanın rızası olmadan başka bir tedavi eden doktora ifşa edilmesini yasaklayabilir, ancak elektronik sağlık kaydı, ilaç listelerinden veya problem listelerinden madde kullanım bozukluğu bilgilerini hariç tutmaya izin vermeyebilir.
Ultra duyarlı verilerin yönetilmesi
Magnano, HHS’nin HIPAA Güvenlik Kuralına önerilen güncellemenin bazı sağlık bilgilerinin karşılaştığı bazı zorlukları ele aldığını söyledi. “HIPAA güvenlik kuralında önerilen güncellemelerden biri ağ segmentasyonudur” dedi (bkz:: HHS’nin önerilen HIPAA güvenlik kuralı revizyonunda neler var?).
Diyerek şöyle devam etti: “Diyelim ki, Bölüm 2 bilgilerine sahip bazı varlıklar var – madde, kullanım, bozukluk, tedavi bilgileri – ve bazı kuruluşlar, bu bilgilerin ayrı bölümlenmiş alanlarda depolanması için kasıtlı karar verdiler,” dedi.
Düzenlemelerde gezinme
HIPAA ve Bölüm 2 gibi federal yasaların yanı sıra, Federal Ticaret Komisyonu tarafından son birkaç yıl içinde HIPAA ile ilgili olmayan sağlık verilerini içeren bir avuç gizlilik ve ihlal davasında uygulanmayı artırdı – devlet yasaları da karışıma ekliyor. özellikle hassas veriler de dahil olmak üzere sağlık bilgilerinin gizliliğini içeren karmaşık zorluklar.
Nahra, “Öncelikle bu yeni yasaların devreye girdiği ve veri kategorilerinin önemli olduğu eyalet düzeyinde.” Dedi. Nahra, “Şirketlerin hem HIPAA’nın içinde hem de bunun dışında bu sorunları düşünmesi gerekiyor – ve aslında yasaların daha fazlası HIPAA dışında geçerlidir çünkü genellikle HIPAA oyma çıkışları var.” Dedi.
Örneğin, geçen yıl yürürlüğe giren Washington, My Health My Veri Yasası, HIPAA tarafından kapsanmayan sağlık verilerini dahil etmek de dahil olmak üzere ek kırışıklıklar ekliyor.
Benim Sağlığım Veri Yasası, “bir tüketiciye bağlı veya makul bir tüketiciyle bağlantılı veya tüketicinin geçmiş, şimdiki veya gelecekteki fiziksel veya zihinsel sağlık durumunu tanımlayan” tüketici sağlık verilerini kapsar. Buna genetik veriler, üreme sağlığı bilgileri ve biyometri gibi hassas bilgileri içerir.
Yine de, “Dobbs tarafından yönlendirilen Washington Yasası, klinik araştırma için belirli hasta kategorilerini bulmayı zorlaştırmanın istenmeyen bir sonucuna sahip, denemeler için daha çeşitli hasta popülasyonları bulmak için önemli etkileri var.” Dedi.
Harekete geçmek
Sağlık hizmetleri ve diğer düzenlenmiş kuruluşlar, ele aldıkları bazı sağlık verilerinin belirli ek korumalar gerektirebilecek ekstra hassas kategorilere girip giremeyeceğini değerlendirmek için belirli adımlar atabilir.
Greene, göz önünde bulundurulması gereken bazı faktörlerin, sağlık verilerinin federal yasalar uyarınca – 42 CFR Bölüm 2 veya eyalet yasası gibi tipik korunan sağlık bilgilerinin ötesinde ek yasal gereksinimlerle karşı karşıya olup olmadığını içerdiğini söyledi.
“Çoğu eyalette belirli hassas sağlık bilgileri kategorileri için ek yetkilendirme gereksinimleri vardır” dedi.
Dikkate alınması gereken diğer faktörler, bilginin sosyal güvenlik numaraları gibi kimlik hırsızlığı için yüksek bir risk oluşturup oluşturmadığı – veya bireyin gizlilik endişelerini artırdığına dair göstergeler varsa, “bir ebeveynin katılımı veya profesyonel olmadan üreme sağlığı hizmeti alması gibi Sporcu, “dedi.
Greene ayrıca, düzenlenmiş kuruluşların, ekstra hassas sağlık verilerini korumak için platformlarının yeteneklerini ve sınırlamalarını tam olarak anlamalarını sağlamak için elektronik sağlık kayıt satıcılarıyla yakın çalışmak isteyebileceğini öne sürmektedir.
Kuruluşlar ayrıca “açıklamaların önlenemeyeceği koşulları ele almak için hasta kayıt sürecinin bir parçası olarak bir hasta onayının gerekli olup olmadığını dikkate almalıdır” dedi.