9月2018

绘制战线
伊丽莎白·s·高尔著
郑重声明
第30卷第8期，第24页

一份关于建议制定更重要的准入报告的规则的预先通知已引起业界的注意。

七年多前，美国卫生与公众服务部(HHS)提出，除了对HIPAA规定的受保护健康信息(PHI)披露进行核算外，还应向患者提供访问报告。根据HITECH法案的规定，拟议的变更遭到了多个利益相关者团体的抵制，卫生与公众服务部最终搁置了计划。

直到现在。

目前，受保实体及其商业伙伴只需要向患者提供描述PHI披露的信息。但有关治疗、支付和医疗保健业务的信息、经适当授权的信息披露以及某些其他有限的信息披露除外。

7月，HHS宣布计划在11月发布一份拟议规则制定的提前通知，征求关于再次修改HIPAA以符合HITECH要求的反馈意见。

如果卫生与公众服务部成功实施改革，它将实现“自HITECH法案实施以来一直是OCR(民权办公室)优先考虑的事情，”琳达·克劳斯(Linda Kloss)说，她是Kloss战略顾问公司的创始人和负责人，也是Verisma系统公司的顾问。

压倒性的反对
从HITECH法案提案一开始，为患者提供PHI访问报告的努力就受到行业利益相关者的阻碍，他们坚持认为遵守该法案将导致重大的财务和管理困难。beplay最新备用网站在公众评论期间，针对拟议规则提出了数百条压倒性的负面评论，其中大多数来自提供商组织、技术公司和代表双方利益的协会。

在她的强烈反对中，一位家庭医生表示，该规则需要冗余的文件来证明需要查看PHI以履行临床职责，这将进一步加重医疗责任制度的负担。一名牙医直言不讳地说，遵守规定的经济困难将迫使他关闭自己的诊所。beplay最新备用网站

AHIMA写道，拟议的规则超出了HIPAA的范围，EHR系统没有配备跟踪符合要求的访问级别，这将大大增加管理成本。beplay最新备用网站医疗保健信息管理主管学院指出，按照提议，访问报告不会区分用于医疗服务的信息和用于非临床披露的信息。此外，合法访问可能发生在ehr以外的系统中，这将使提供合并报告或自定义视图的需求复杂化。此外，还要求列出访问PHI的工作人员的姓名，这可能侵犯了他们的权利，并使他们受到不必要的审查。

“这是一个具有挑战性的过程，很大程度上是由于电子健康记录系统的技术限制，”Kloss说，他是AHIMA前首席执行官，也是隐私和安全猛虎小组的成员，该小组于2013年负责向国家卫生信息技术协调办公室咨询委员会就访问报告要求提出建议。“没有制定标准来管理审计日志，即使在最好的电子病历中，功能也被设计为允许隐私和安全管理人员监控访问。然而，这些系统并没有考虑到患者的需求或他们对信息的渴望。”

技术上的挑战是巨大的。MRO负责隐私、合规和HIM政策的副总裁Rita Bowen表示，访问日志必须形成一个单一的报告，由于患beplay最新备用网站者护理过程涉及多个系统，因此很难做到这一点。此外，向患者提供等同于转储的数据可能很难让他们理解。

“许多病人根本不知道有多少人有权查看他们的病历，”鲍恩说。“也许不是所有的信息都应该(在访问报告中)。也许它应该更有针对性地基于病人的要求，否则对病人来说信息太多了。”

虽然在技术领域，七年相当于一生，但人们仍然担心，当今的医疗保健组织是否有能力确保合规性，特别是单一报告要求。beplay最新备用网站Bowen指出，虽然医院可能有电子病历，但仍然有多个来源系统(如实验室、药房)收集PHI。

“如果你正在运行电子病历的访问报告，它只会显示那些看过(医疗记录)的人。它不会显示那些从源系统查看记录的人，”她说。“一个组织必须已经在他们的治理计划中识别并解决了这个问题，以知道这些源系统在哪里——(尽管)他们应该已经这样做了，(所以)他们应该知道如何连接这些系统，至少生成一个报告。”

Kloss指出了Tiger Team的建议，即对向第三方披露的会计和对医疗机构内部医疗记录访问的会计进行区分。“关于后者，”她说，“建议呼吁将重点放在为患者提供有关访问的有用信息上，而不是给他们提供难以破译的数据转储。”

对患者的影响
病人对披露账目的要求一直很低。一方面，业内专家表示，很少有人提出这样的要求，因为他们不知道有什么可用的，也不知道如何提出要求。根据老虎小组2013年的调查结果，大多数要求获得信息的患者都有一个特定的问题，最好通过量身定制的回应来解决。例如，他们担心前配偶试图访问PHI。

“这些通常是在例外的基础上处理的，而不是试图广泛审查医生、护士、技术人员等任何人的任何访问权限。这是一个比今天研究的更有限的场景，”克劳斯说。

然而，其他人认为，请求数量有限可以归咎于HIPAA和隐私缺乏透明度。“每个人都被欺骗了，以为自己的隐私受到了保护，”患者权益组织公民健康自由委员会(Citizen’s Council for Health Freedom)的主席和联合创始人、注册会计师、PHN特维拉·布莱斯(Twila Brase)说，他也是这本新书的作者检查室里的老大哥:关于电子健康记录的危险真相．

“患者认为HIPAA意味着隐私，但事实完全相反，”她继续说道。“(患者)认为，因为他们签署了HIPAA披露协议，所以信息只在(他们)和医生之间保密。但那张表格只说你收到了隐私通知。这种欺骗在全国范围如此广泛，实施得如此之好，以至于人们和他们的立法者认为他们的信息是私人的。”

披露信息的有限需求加剧了行业的阻力。例如，根据Bowen的说法，要求设施提供过去六年的信息是一个相当大的负担，因为它的目的是帮助很少被要求的人。

“对于时间和精力来说，它可能无法平衡，”她说，并补充说，尽管如此，人们一致认为，患者仍将受益于扩大信息披露，主要是通过“访问记录提供的信任和透明度”。我们希望共享这些信息是为了病人的利益，病人有权知道谁在看他们的信息。”

克劳斯补充说:“消费者和患者对自己的医疗保健的参与正在以惊人的速度增长，我们都同意这是一件好事。提高我们如何提供护理和如何分享信息的透明度是必要和重要的副产品。”

历史会重演吗?
除了业界对更广泛披露的好处以及电子病历和其他医疗保健技术的进步达成共识外，许多人仍然不相信将披露要求扩大到包括访问报告将在另一轮行业反馈中幸存下来。克劳斯预计，在早期草案中收到数千条评论的OCR，将再次期待广泛的投入，“从目前的技术支持请求的程度，到患者一旦披露信息可能会做什么。”

她补充说:“毫无疑问，OCR将投入时间和资源，考虑将提出的广泛关切，并最终提出合理的中间立场，以实现‘富有成效的透明度’。”

主要的症结可能是熟悉的:要求在来自一个系统的单一报告中提供完整的访问日志，并确定访问患者PHI的每个人。根据Bowen的说法，第一个方面很麻烦，第二个方面可能会导致患者被信息压垮。

她表示:“我们正在考虑这样一个事实:那些为了真正的业务需求而查看和访问记录的员工将需要知道(这些记录将被披露)。”他说:“归根结底就是限制人们获取必要的东西。现在大多数都是这样做的，但这确实意味着可以访问电子病历的员工应该只能访问他们需要的类别。”

达成共识
抛开顾虑不谈，大多数人都同意病人有权知道谁在接触他们的PHI。鲍恩指出，当要求披露账目时，大多数患者只是想知道，任何访问他们的PHI的人都有理由这样做，不会造成伤害。

她说:“他们实际上是在寻找那些不需要在那里的人。”“这一切都归结为信任和透明度. ...任何人都不应该得到你的信息，除非他们有理由这样做。”

Brase建议拟议的规则应该比之前的努力更进一步，包括PHI被访问的原因。这样的规定不仅可以保护患者免受伤害，而且还可以揭示与HIPAA和PHI保护相关的问题。然而，即使没有这种程度的细节，向患者提供访问报告也会“开始引发有关PHI被利用频率的问题”。反过来，这将“帮助患者意识到他们没有隐私，并将其转向帮助保护他们免受HIPAA的侵害。”

Kloss认为，信息披露的会计是一项重要的患者权利，因为它允许行业与患者沟通，并通过要求他们披露谁在查看PHI，他们为什么需要访问这些信息，以及他们打算如何使用这些信息，使组织负起责任。

“此外，”她总结道，“我们必须能够证明我们正在以一种敏感和深思熟虑的方式管理请求和响应过程，我们正在整个卫生系统中保护他们的个人信息，并且我们已经实施了质量控制措施，以确保没有未经授权的披露。”

——Elizabeth S. Goar是佛罗里达州坦帕市的自由撰稿人。