Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Anlaşma, HHS OCR’nin Sağlık Kaydı Şikayetlerine Dayalı 46. Yaptırım Eylemidir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
4 Ocak 2024
Yeni bir yıl ama federal düzenleyiciler eski bir HIPAA davulunu çalıyorlar: Sağlık ve İnsani Hizmetler Bakanlığı, ajansın sağlık kayıtlarına erişim hakkıyla ilgili HIPAA şikayetini içeren 46. yaptırım eyleminde New Jersey’deki bir tıbbi muayenehaneyi 160.000 dolarlık bir anlaşmayla vurdu.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvenceye Almak
HHS Sivil Haklar Ofisi’nin kuruluşla yaptığı çözüm anlaşmasına göre, New Jersey’deki Optum Medical Care (eski adıyla Riverside Medical Group olarak biliniyordu) hastaları tıbbi kayıtlarına erişmek için yedi aya kadar beklemek zorunda kaldı. Uygulama aynı zamanda HIPAA “erişim hakkı” hükmünün gelecekte benzer potansiyel ihlallerini önlemek için bir düzeltici eylem planı uygulamalıdır.
New Jersey ve güney Connecticut’ta yaklaşık 150 lokasyonu bulunan çok uzmanlıklı bir uygulama olan OMCNJ’ye yönelik yaptırım eylemi, HHS OCR’nin 2021 sonbaharında altı hafta içinde kuruluş hakkında aldığı altı şikayetten kaynaklanıyor.
2021 yılında bireyler tarafından 5, 18 ve 22 Ekim ile 1, 17 ve 18 Kasım tarihlerinde sunulan altı şikayetin her biri, OMCNJ’nin bireyin tıbbi kayıtlarının veya şikayetçinin reşit olmayan çocuklarının tıbbi kayıtlarının bir kopyasını vermeyi reddettiğini iddia ediyor.
HHS OCR, şikayetlerle ilgili soruşturmanın, OMCNJ’nin HIPAA uyarınca korunan sağlık bilgilerine zamanında erişim sağlamada başarısız olduğunu ortaya çıkardığını söyledi. Bu örneklerin bazılarında HHS OCR, hastaların talep edilen kayıtlarını, ilgili taleplerinin OMCNJ’ye sunulmasından sonraki 84 ila 231 gün arasında aldığını tespit etti.
HIPAA erişim hakkı hükmü, sağlayıcıların, bireyin talebini aldıktan sonra en geç 30 takvim günü içinde talep edilen tıbbi kayıtlara erişim izni vermesini gerektirir.
HHS OCR direktörü Melanie Fontes Rainer Aralık ayında yaptığı açıklamada, “Sağlık hizmeti sağlayıcıları ebeveynlerin veya hastaların tıbbi kayıtlarına erişim taleplerine zamanında yanıt vermeyi öncelik haline getirmelidir” dedi.
“Tıbbi kayıtlara erişim, HIPAA kapsamında temel bir haktır ve OCR’nin her yıl binlerce şikayet aldığı bir haktır. Kanun budur; sağlayıcılar kayıt taleplerine proaktif bir şekilde yanıt vermeli ve zamanında erişim sağlamalıdır.”
HHS OCR, Nisan 2019’da HIPAA uyumluluk girişimini başlattığından bu yana “erişim hakkı” anlaşmazlıklarında 45 yaptırım eylemi daha yayınladı. “Erişim hakkı” şikayetleri, HHS OCR’nin HIPAA yaptırım önlemleri almasına yönelik en yaygın itici güçtür.
Düzeltici eylem planının bir parçası olarak, OMCNJ ayrıca revize edilmiş politika ve prosedürlerini işgücüne dağıtmalı ve HIPAA gizlilik kuralının PHI’ye bireysel erişim hakkı konusunda eğitim sağlamalıdır.
HHS OCR ile uygulama arasındaki anlaşma, anlaşmanın OMCNJ tarafından bir sorumluluk kabulü olmadığı veya HHS’nin, OMCNJ’nin HIPAA kurallarını ihlal etmediği ve hukuki para cezalarından sorumlu olmadığı konusunda bir imtiyaz olmadığı belirtilmektedir.
Tıbbi grup yaptığı açıklamada Bilgi Güvenliği Medya Grubu’na şunları söyledi: “Optum, hastaların sağlık bilgilerine zamanında erişmesini uzun süredir destekliyor. Bu sorunun nedenini ele aldık ve bunun yol açmış olabileceği rahatsızlıklardan dolayı özür dileriz.”
OMCNJ, UnitedHealth Grubunun bir parçası olan Optum bünyesinde yer alan bir tıbbi gruptur.