冬天
2023
浏览隐私和合规后多布斯beplay最新备用网站
丽贝卡·赫罗尔德
郑重声明
第35卷第1页
对组织的影响
1973年,美国最高法院以7票赞成、2票反对的结果裁定,第14修正案的正当程序条款保护了孕妇的基本隐私权,保护了孕妇堕胎的权利。2022年6月24日多布斯诉杰克逊妇女健康组织案在美国,最高法院以6比3的投票结果推翻了这一裁决。令人震惊的是,这一消息在官方决定之前就被泄露了。
由于这一变化,美国制定了许多州和地方法律,限制堕胎和其他生殖保健活动。许多限制超出了州界。越来越多的人前往仍然可以堕胎的州,这给执行这些手术的医生和其他相关人员带来了法律和隐私方面的担忧。例如,人们被拒绝开处方,癌症患者被拒绝接受治疗,甚至那些患有关节炎和溃疡的人也被医生和药剂师拒绝开与流产有关的处方,因为他们担心自己的法律后果与州堕胎法将生殖保健活动定为犯罪有关。提供生殖保健服务的卫生保健工作者及其家属受到威胁和骚扰,甚至更多。
倾覆的影响罗伊诉韦德案
2020年,禁止或限制堕胎的州的孕产妇死亡率比仍然可以堕胎的州高62%自多布斯裁决以来,截至2022年10月2日,超过2000万育龄妇女失去了堕胎的机会要真正理解这个决定是如何影响HIPAA合规性的,有必要了解这个决定是如何更广泛地影响社会的,确切地说,是beplay最新备用网站如何影响个人的健康和安全的。
自从最近对多布斯的裁决以来,不仅在妇女保健方面,而且在影响所有性别的人的数据隐私和安全问题方面,跟踪和监视活动也明显增加。无论是通过应用程序、社交媒体,还是与手机使用有关的数据,监控都被用来瞄准那些可能寻求堕胎的人。
使用“移动地理围栏”作为针对育龄妇女的一种方法也迅速变得普遍。2022年夏末,在我参加一个网络研讨会的前几天,我去理发店修了刘海。当我坐在理发店的椅子上时,我的手机收到了一条未经请求的信息,其中包含明显的生殖健康错误信息,来自一个被认定使用这种策略的团体。我之前和之后都没有收到过这样的信息;这符合向年轻女性经常出没的地方发送此类信息的组织的特征。
即使是那些提供孕期跟踪功能的应用程序作为其健康福利的一部分的雇主,也被发现从这些应用程序中获取数据,泄露了员工个人生活的私密细节。
在多布斯案的判决被泄露后不久,数据经纪人开始出售去诊所就诊的妇女的数据个人健康和位置数据被用来寻找寻求堕胎的人和帮助他们的人,并对他们提出刑事指控。越来越多的同事、邻居、朋友和家人互相举报。至少在一个案例中,一名寻求堕胎的青少年的Facebook信息甚至被签发了搜查令。
组织面临的新挑战和风险
除了造成广泛的非常现实的健康风险之外,设在生殖健康选择受到限制的州的组织发现,这种限制也会严重损害公司的增长和留住员工的能力。作为回应,许多企业为员工在其他地方获得堕胎和其他生殖保健服务——甚至是他们需要的限制性处方药——提供了旅行福利和医疗程序费用。各组织还在监测妇女的健康活动,以"抓住"可能寻求堕胎的人,而其他组织则向寻求堕胎的人提供援助。
工人们现在在问:“如果我的雇主被要求交出我的个人数据,他们会怎么做?”这个问题应该引发人力资源、法律、IT、隐私和网络安全领域的重要讨论,讨论他们应对此类情况的协议,如果它们出现的话。他们有这样的协议吗?
其他要问的问题包括:“最近一次相关政策更新是什么时候?”以及“公司使用的程序和应用程序的使用条款、隐私声明和安全政策是什么?”当应用程序的数据可以揭示可能的生殖健康活动(如位置、健康数据,甚至是通过应用程序交流的笔记)时,组织可能会通过应用程序供应商的行为将其员工、患者和客户置于风险之中。
HHS关于HIPAA合规性的指南beplay最新备用网站
2022年6月,美国卫生与公众服务部(HHS)民权办公室发布了《HIPAA隐私规则》关于个人受保护的健康信息(PHI)与堕胎和其他性健康和生殖健康保健相关要求的指南。以下是从指导中了解到的要点:
•法律要求的披露。HIPAA允许(但不要求)受保实体(ce)在没有个人授权的情况下披露有关个人的PHI,如果此类披露是由HIPAA以外的法律要求的。根据“法律要求”披露PHI的许可仅限于法院授权(如逮捕令)已发出的情况。如果存在不符合这些HIPAA要求的法律,则它们不被认为是HIPAA允许的披露。
•出于执法目的的披露。HIPAA允许(但不要求)ce在特定情况下出于执法目的披露个人的PHI信息。如果执法部门要求PHI,但他们没有必要的法院命令,或者他们没有要求特定个人的特定PHI项目,如果CE认为这不符合其患者或其组织的最佳利益,或者如果它不符合HIPAA对此类披露的要求,则可以选择不提供信息。
此外,ce可以通过法院命令或法院命令的搜查令或传票或传票等法律程序响应执法请求,只要满足隐私规则中规定的允许执法披露的所有条件,则仅披露所请求的PHI。例如,如果执法部门要求提供有关所有正在接受或请求生殖保健的个人的信息,这通常不符合发布PHI所必需的HIPAA要求。此类请求的范围应明确限制,并应限于所描述的目的:收集有关个人和地点的具体数据、为犯罪受害者、为死者、为在行政长官设施内发生的犯罪或为犯罪造成的紧急情况。
•避免对健康或安全构成严重威胁的披露。HIPAA允许(但不要求)企业在必要时披露PHI,以防止或减轻对个人或公众健康或安全的严重和迫在眉睫的威胁,并且披露的对象是有合理能力防止或减轻威胁的一个或几个人。卫生与公众服务部指出,向执法部门或其他有关个人对生殖保健的兴趣、意图或先前经验的人披露个人健康信息与职业道德行为标准不一致。
组织需要将上述操作合并到其现有的信息披露策略和程序中,如果没有,则创建新的策略和程序。更多的例子和细节,请参阅完整的民权办公室指南。
应对相关HIPAA合规挑战的行动beplay最新备用网站
前面的注意事项强调了准备好回答员工问题、考虑患者影响、响应个人数据请求以及遵守HIPAA和其他法律要求的重要性。除了将新指南纳入信息披露政策和程序之外,组织还应采取以下关键行动来成功应对这些挑战:
•更新或制定政策和支助程序,以收集与生殖健康活动有关或可能与生殖健康活动有关的数据。定义“个人数据”和“PHI”和/或更广泛的术语“健康数据”,因为它适用于组织。所有能够访问这些信息的工作人员都需要理解这些定义并相应地处理这些数据。
请记住,健康数据通常包括护理人员的笔记、与患者的对话音频、成绩单和患者记录中的远程医疗视频。HIPAA要求ce保护PHI的机密性。这包括这类关于病人生殖健康的信息,包括关于堕胎的信息。因此,该信息受HIPAA保护,ce和任何支持业务伙伴(ba)随后都需要维护该信息的机密性。然而,在禁止堕胎的州,医院仍可能面临挑战,或试图被当地法院强迫提供与禁止或限制堕胎法律中使用的术语相关的信息,因为这些信息可能被视为非法或有争议。
•考虑到卫生与公众服务部的指导,建议组织在其病人记录、治疗、支付和手术活动中省略或谨慎使用政治化术语,如“堕胎”。考虑使用不同的术语,如果可能的话,不包括堕胎限制法律中使用的术语,5因为如果包含这些特定术语的记录请求可以包括在搜查令或其他类型的法院命令中,那么包括这些术语可能会造成并发症。
•更新或创建政策和支持程序,将数据收集和保留限制在完成任务和目标所需的最低限度。这还应包括一旦这些数据不再需要用于支持收集它们的原始目的和适用的法律要求时删除这些数据的程序。收集和存储的健康数据越少,需要保护的数据就越少。
•更新或创建政策和支持程序,以建立和维护文件,例如在库存中,指示这些数据存储的所有位置。不仅包括组织拥有的计算和存储设备内的位置,还包括合同第三方(如BAs)和员工拥有的设备内的位置。如果组织不知道数据的位置,他们就无法保护PHI。他们也不能快速获得访问权限以满足对相关数据的访问请求。这对所有PHI都是必要的,而不仅仅是与生殖健康有关的PHI。
•在卫生保健提供者内部实施额外保障措施。例如,一些这样的行动包括在所有存储位置和所有传输中对PHI进行强加密,在监视和响应潜在的HIPAA违规行为时更加警惕(特别是如果它们位于禁止堕胎的州),并确保BAs内的强大安全实践。
•与人力资源和其他领域协调IT、隐私和网络安全,以确定包括生殖健康术语在内的健康数据的收集、存储和使用地点。这可能是福利,如健康和健身福利计划;旅行和住宿福利计划;以及其他不受hipaa保护的用途。确保人力资源和其他相关领域的此类信息以与前面描述的相同的方式处理。
•创建一个集中的角色,与所有需要个人数据的外部实体进行沟通。创建这样一个集中的角色也应该包括在合同第三方(例如ba)中,通过合同指示在收到此类请求时迅速联系相关组织。拥有这样的角色将简化和支持处理这类情况的一致性。为这些人提供培训,以确保他们了解可以发布的信息类型,并确保他们对不应公开发布的信息类型有深刻的理解。这个角色通常在公共关系部门,有时也在法律部门。该角色应与隐私、网络安全和IT领域密切合作。
•考虑数据保护和隐私国家和国际法律。这包括州法律,如加州消费者隐私法和加州隐私权法,弗吉尼亚州消费者数据保护法,康涅狄格州数据隐私法等,以及预计将在明年颁布的法律。在为需要在其他地点旅行和住宿的生殖健康服务、健康服务和相关服务提供员工福利时,组织还应考虑美国以外的数据保护法律法规。对欧盟《通用数据保护条例》和其他现有的国际法规的影响进行评估,这些法规适用于将获得这些福利的员工、承包商、实习生或其他人。它将要求对收集的个人数据进行审查。
•以课程和宣传的形式,向负责和(或)有权获取各类健康数据的所有工作人员提供持续的教育。此外,向工作人员提供有关HIPAA合规性的额外培训,以确保有关堕胎和其他生殖治疗、付款和手术的信息得到适当保护。beplay最新备用网站教育应该针对这个问题。大多数组织不提供包括这些具体工作活动的教育;相反,在他们看来,他们只做了最低限度的必要工作,“检查培训框”。这种心态不仅是糟糕的领导,也是浪费机会。
如果组织花时间进行HIPAA安全和隐私教育,那么投资的价值就会成倍增加,使其有效地与组织自己的工作活动联系起来,不仅满足最低要求,而且还要超越并实际提供防止隐私泄露和合规性违规的教育。beplay最新备用网站这就是为什么HIPAA和其他法规首先要求教育;拥有一支受过良好教育和意识清醒的员工队伍,他们将以防止违规和安全事件发生的方式履行他们的工作职责。监管者、审计员、董事会和专家都认为典型的“检查标记”基本培训不足以满足HIPAA的要求。不提供针对具体工作职责的有效培训也可被视为疏忽的商业行为,这可能导致违约和事故。
这不是一个详尽的清单。然而,执行这些操作将解决Dobbs决定对HIPAA遵从性的影响所涉及的主要问题,同时还揭示了必要的其他操作。beplay最新备用网站
立即采取行动,避免不合规和患者伤害beplay最新备用网站
这些关键实践是企业确保降低风险、满足相关法规遵从性需求并为员工提供有价值的利益(在某些情况下是必要的)的强大起点。beplay最新备用网站
可能对披露有关堕胎或其他生殖保健信息的义务感到关切的组织应就其根据其他联邦和州法律应承担的责任寻求法律咨询。
在组织考虑细节和特定数据项时,他们还需要确定医疗保健情况以外的个人数据。例如,确定他们如何为前往其他州进行生殖健康服务的旅行和住宿提供这种新的福利,可被视为包括在这些其他法律要求之内。而且,非常重要的是,他们需要确定他们的数据库中是否有员工和其他工人的个人数据,而学生、病人、客户、消费者和其他人的个人数据也位于这些数据库中,这些数据可能被广泛的其他法律要求所覆盖。
组织需要评估所有法律要求对每个相关地点的影响,这些地点有员工、承包商、实习生或其他将获得这些福利的人。它将要求对收集的个人数据进行审查。
欲了解更多有关此主题的信息,您可以查看相关的ISACA网络研讨会https://store.isaca.org/s/community-event?id=a334w000004yNgQAAU&blaid=3484607.
-丽贝卡•赫罗德是她与儿子诺亚共同创立的隐私与安全Brainiacs SaaS服务公司的首席执行官,也是她于2004年创立的隐私教授咨询公司的首席执行官。本文中的任何信息都不应被视为法律意见;只有代表客户的律师才能提供这种正式的指导。
参考文献
1.Declercq E, Barnard-Mayers R, Zephyrin L, Johnson K.美国孕产妇保健鸿沟:有限的孕产妇保健服务和各州提出新的堕胎限制的更糟糕结果。英联邦基金网站。https://www.commonwealthfund.org/publications/issue-briefs/2022/dec/us-maternal-health-divide-limited-services-worse-outcomes.出版于2022年12月14日。
2.科尔斯坦M,德鲁威克J,琼斯RK,菲尔宾J.罗伊案100天后:美国15个州至少66家诊所停止提供堕胎护理。古特马赫研究所网站。https://www.guttmacher.org/2022/10/100-days-post-roe-least-66-clinics-across-15-us-states-have-stopped-offering-abortion-care.出版于2022年10月6日。
3.数据经纪人正在收集和出售孕妇的数据。TechStory网站。https://techstory.in/data-brokers-are-collecting-and-selling-data-on-pregnant-women/.出版于2022年7月31日。
4.HIPAA隐私规则和与生殖保健有关的信息披露。健康与公众服务部网站。https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/phi-reproductive-health/index.html.更新于2022年6月29日。
5.数据显示,堕胎法最严厉的州,孕产妇的支持最弱。国家公共广播电台网站。https://www.npr.org/2022/08/18/1111344810/abortion-ban-states-social-safety-net-health-outcomes#.出版于2022年8月18日。
