8月
2014
在线记录的朋友和家人计划
Selena Chavis著
郑重声明
第二十六卷第八页
获得受保护的健康信息的机会扩大,引发了关于如何处理由此产生的隐私问题的新建议。
自1996年该法律成立以来,HIPAA对医疗保健组织中的信息发布(ROI)功能进行了严格保护和明确定义,为保护患者健康信息提供了具体指导。近年来,随着电子病历的引入和广泛采用,ROI过程中出现了新的复杂性,使许多医疗保健实体不确定如何最好地完成这项任务。
第二阶段有意义的使用标准要求合格的提供者通过在线访问为患者提供查看、下载和传输(VDT)他们的健康信息的机会。为了遵守这一法令,许多组织选择建立患者门户。供应商如何处理患者门户的实现以及供应商的各种功能都提出了一个问题,即如何制定隐私控制,同时仍然培养患者所有权的环境。
俄亥俄州立大学健康与康复科学学院的临时HIM主任Laurie Rinehart-Thompson博士说:“随着提供者告知患者并鼓励他们使用患者门户网站获取信息,患者门户网站正变得越来越常规。”他指出,电子患者访问的整个概念标志着范式的转变。“这种转变进一步体现在患者执行或指导VDT功能范围的能力上,这样其他人就可以访问患者的信息。对病人来说,医疗服务提供者的把关功能变得不那么明显了。”
由于这些变化的动态,业界敦促国家卫生信息技术协调办公室(ONC)制定最佳实践,指导不确定的供应商如何在不牺牲患者访问和控制的情况下解决患者门户环境中的投资回报率,同时仍然符合HIPAA。这项工作移交给了一个公共咨询机构——隐私和安全老虎团队——由提供商、供应商、教育工作者、政策执行人员和顾问组成。4月,工作组发布了卫生信息技术政策委员会家庭、朋友和个人代表访问建议,该建议得到卫生信息技术政策委员会(HITPC)的批准。
“大多数医疗服务提供者都希望得到这种帮助,以便基于未来做出决策,”马萨诸塞州电子健康协作组织(Massachusetts eHealth Collaborative)总裁兼首席执行官、Tiger Team联合主席米奇•特里帕蒂(mickey Tripathi)说。“尽管这些[建议]不是要求,但组织正在寻找答案,并且有机会至少能够在如何接近患者门户方面达到下一个成熟水平。”
ONC的健康信息隐私安全技术专家、MSN注册会计师海伦•卡顿-彼得斯(Helen Caton-Peters)表示,值得注意的是,老虎团队并没有建议修改投资回报率法律或法规。她解释说:“相反,这些建议敦促卫生与公众服务部(HHS)发布HITPC认为的通过认证电子病历的VDT功能实施ROI的最佳做法。”“HITPC专注于在这种电子环境中处理来自朋友、家人和患者授权的其他人的ROI请求可能面临的挑战。”
随着医疗保健模式转向以消费者为中心,门户技术有望在帮助减少医疗记录访问障碍方面发挥更大的作用。积极应对相关的隐私挑战将是保持势头的关键,HealthPort的HIM教育家、注册营养师阿丽莎·史密斯(Alisha Smith)说。她说:“虽然我确实认为一开始的挑战会很艰巨,但更多患者参与的机会、新的职业道路和改善患者治疗效果的目标只是一些积极因素,它们将远远超过挑战。”“就像任何项目一样,如果你采取适当的步骤进行改变,挑战似乎会逐渐消失。当一个组织在没有适当步骤的情况下匆忙改变时,问题就出现了。”
建议的背景
当涉及到患者记录访问时,HIPAA定义了三个群体:患者、家庭成员和朋友,以及被授权代表患者做出医疗保健相关决定的个人代表。
除某些例外情况外,HIPAA要求受保护实体在使用和披露受保护健康信息(PHI)方面向个人代表提供与被代表个人相同的权利。HIPAA还允许承保实体与家庭成员或参与患者医疗保健的其他人员共享PHI。
Tripathi指出,Tiger Team的任务是建议如何在电子环境中应用这些规则,尤其是在VDT的交叉路口。具体而言,委员会处理了与家庭、朋友和个人代表通过VDT访问有关的授权和认证问题。
在授权方面,委员会确定HIPAA已经明确定义了与谁被授权访问PHI相关的参数。关于身份验证的问题变成了“你是你声称的那个人吗?”以及“我怎么知道你就是你自称的那个人?”
特里帕蒂说,VDT的困难在于,患者很容易将自己的用户名和密码传递给他们选择的任何人。“从安全的角度来看,这不是一个好的做法,因为你无法追踪任何东西,”他说。
了解建议
在朋友和家人授权方面,一项建议侧重于提出VDT访问请求的患者。可以通过带外通知(专用的管理通道)远程发出请求,以通知或确认。该建议还建议,朋友或家人的访问必须与患者确认,可能是通过带外确认。如果患者丧失行为能力,HIPAA允许共享与治疗相关的信息。在这些情况下,供应商必须决定VDT是否是合适的工具。
史密斯说:“我希望企业能够制定相关政策,指导员工如何处理这类情况。”“仅仅因为它被推荐,并不意味着组织会采用这种处理方式。”
在个人代表授权的情况下,组织必须遵循各州的法律,这些法律各不相同,因此很难提出国家最佳实践建议。这些细微差别使得培训员工了解ROI州法律如何运作至关重要。“它是否具有全有或全无的方法,或者它是否允许开发不同的访问配置文件,就像许多组织使用电子病历所做的那样?”史密斯问道。
Smith表示,之前关于身份欺骗和身份验证的建议受到了额外的关注。她说:“随着身份盗窃和计算机黑客行为的增多,确定如何识别试图访问信息的人非常重要。”她指出,通常最好采用双因素安全链接,包括用户名、密码和一个(或多个)问题。“也许在回答问题之后,如果信息从以前从未访问过的设备上被访问,就会向患者发送安全电子邮件、短信或电话,提醒他们有人访问了他们的账户。”
还需要注意的是,当患者修改偏好或个人代表的法律地位发生变化时,需要有流程和功能来切断VDT与朋友、家人和个人代表的联系。特里帕蒂说,就数据内容和执行的功能而言,VDT访问应该超越要么全有要么全无。“病人门户网站有很多功能,”他指出。“你想让每个人都能接触到所有东西吗?”
对于提供者来说,最困难的方面可能是决定是否授予朋友、家庭成员和其他声称拥有合法权利的人访问权限。莱因哈特-汤普森解释说:“访问权限必须得到患者的确认。”“如果病人不再希望个人获得访问权限,或者如果一个人不再被法律授权获得访问权限,那么病人也必须有一个能够停止访问的程序。”
此外,建议鼓励提供者教育患者VDT的风险和益处,包括涉及代理访问的风险和益处。
对他的影响
根据Rinehart-Thompson的说法,Tiger Team的建议减轻了ROI操作的压力,因为访问权限一旦被授予,就成为由请求者承担的活动过程,而不再落在ROI人员的肩上。
史密斯说,这些建议强调了投资回报大使的必要性,他们可以帮助患者更好地了解他们的医疗保健文件。她指出:“ROI的员工已经熟悉当前的流程,因此我将这种从熟悉领域的变化视为利用和推进当前知识的机会。”“我们正在逐渐离开纸质世界,改变我们的流程以适应电子时代。虽然在某些情况下,这意味着我们正在开发新的技能,但我们经常将流程从旧方法转换为新方法。”
技术的作用
虽然技术可以帮助减轻电子记录请求的负担,但如果没有遵循适当的实施前步骤或草率的决定占据主导地位,它也会造成新的复杂性。Smith说:“看看第一阶段的有意义使用。“许多组织急于达到标准,只是为了获得奖励,现在这些组织正在与一个糟糕的系统作斗争,他们没有花时间去实施。”
在第2阶段有意义的使用下,在EHR报告期间,必须向合格提供者看到的所有独特患者的50%以上提供及时的在线健康信息访问。此外,在EHR报告期间,合格提供者所见的所有独特患者(或其授权代表)中有5%以上必须向第三方提供其健康信息。患者门户网站显然是帮助医疗保健组织遵守法规的工具,但Smith指出,出于身份验证方面的考虑,明智地选择一种技术势在必行。她说:“我相信,只有采取适当的措施,技术才能帮助减轻这两项措施的负担。”“否则,我相信一个组织将有大量的问题需要解决。”
为了避免失误,Smith建议组织采用政策和程序,培训员工,与商业伙伴讨论所有变化,与供应商会面,并对供应商、员工和患者进行教育。
莱因哈特-汤普森倾向于能够提供自动访问跟踪的技术,同时不允许该过程在自动驾驶仪上运行。她说:“技术并不能消除人为干预的需要,特别是在一开始就必须确定请求者的访问权。”“虽然常规的日常操作被技术简化了,但始终需要更高级别的健康信息管理功能,以确保正确的人在正确的时间访问正确的信息。”
Caton-Peters指出,HITPC以前就如何最好地利用技术帮助患者在开设在线帐户(身份验证)和实际获得访问权限(身份验证)时进行验证提出了建议。她说:“ONC正与美国国家标准与技术研究所合作,在《网络空间可信身份国家战略倡议》(National Strategy for Trusted Identities in Cyberspace Initiative)的框架下推进这一技术方法,该倡议包括医疗保健领域的一些试点项目。”“为患者和供应商简化现有的ROI程序是我们都在努力实现的技术目标。”
虽然患者享受电子访问他们的PHI已成为标准做法,但Rinehart-Thompson表示,Tiger团队的建议意义重大,因为他们将这一过程推进到一个新的水平:鼓励其他授权个人进行电子访问。然而,正如报告中所指出的那样,这种新的访问级别要求医疗保健组织更加谨慎,现在必须确保只有法律授权的机构或患者直接授权的机构才能查看数据。
她说:“这种额外的途径对病人和病人护理来说可能是一件非常好的事情,但必须妥善管理。”
- Selena Chavis是佛罗里达州的一名自由撰稿人,她的文章经常出现在各种贸易和消费者出版物上,内容涵盖从企业和管理到医疗保健和旅行的所有主题。
