10月2017

HIPAA挑战:数字参与需要灵活的HIPAA策略
吉尔·迪格拉夫,法学博士;海伦·菲斯特,法学博士;兰迪·西格尔,法学博士
郑重声明
第29卷第10页

移动应用程序、电子邮件和短信为健康计划和医疗保健提供者与他们的成员和患者互动提供了新的机会。然而,组织必须记住,通过这些渠道发送受电子保护的健康信息(ePHI)会带来HIPAA风险。

由于所传递信息的敏感性和通信途径的选择因用例而异,因此HIPAA要求组织评估特定操作环境的收益、风险和缓解策略。因此,组织需要一个过程来仔细考虑每个案例,以优化他们的数字参与策略。

HIPAA
除其他事项外,HIPAA管理受保护实体(CE)创建、维护、传输和接收的ePHI的安全性。ce包括卫生保健提供者、卫生保健计划和卫生保健信息交换所。虽然加密ePHI可以保护ce在发生违规行为时免受HIPAA的制裁,但HIPAA并未明确禁止传输未加密的ePHI。如行政长官选择允许以不加密的方式(透过电子邮件或短讯)传送资料,行政长官必须实施"合理及适当"的保障措施,并证明已采取"同等的替代措施"。

不幸的是,当电子邮件、短信或移动应用程序包含ePHI时,卫生与公众服务部几乎没有提供关于替代措施的指导,这些措施被认为是等效的保护措施。唯一的指导是在2013年最终的HIPAA安全规则的序言中发布的,其中卫生和人类服务部澄清说,在向个人建议安全风险后,CE应个人要求向ePHI发送电子邮件不会违反HIPAA。出于这个原因,获得接收ePHI的同意和安全风险建议是任何“等效替代措施”的基础。

移动应用程序
当用户下载应用程序并接受其服务条款时,才能获得在移动应用程序上交换ePHI的同意。由于用户熟悉移动应用程序的工作流程和功能,安全的移动应用程序得到了很好的利用。消费电子产品还受益于移动应用开发商为市场带来的增强功能,以及他们使用基于云的平台来提供最先进的安全性和计算能力。许多开发人员允许ce从小型试点开始节省资源。

然而,随着移动应用组合的增长,首席执行官的合规责任也在增加。beplay最新备用网站ce需要确定每个移动应用供应商对其HIPAA责任的理解程度,并维护符合HIPAA的环境。一些消费电子产品负责人可能还担心,由于手机应用的采用率低,尤其是在非智能手机用户中,手机应用会带来隐性成本。

电子邮件
电子邮件提供了不同的优势。任何有电子邮件账户的人都可以访问,而且内容可以上传到电子病历中。组织可以选择加密。如果他们选择不加密,病人或计划成员无需使用特定的程序就可以发送电子邮件。

然而,电子邮件带来了互联网固有的独特风险。维护电子邮件副本的服务器为其内容提供了被泄露的机会。此外,还会出现完整性控制方面的问题,因为恶意行为者可以在不被发现的情况下更改或转移电子邮件。但是,如果使用加密电子邮件,采用率可能较低,因为收件人首先需要安装程序。

组织可以通过定义一个流程来验证个人身份,获得他们的同意,并告知他们安全风险,从而降低风险。他们还可以通过从主题行中删除患者姓名、首字母缩写和医疗记录号码来限制可以通信的ePHI类型,确保社会安全号码等敏感信息永远不会包含在任何电子邮件通信中,并限制出现在锁定屏幕上的信息。

短信
短信可能比电子邮件和移动应用程序更有优势,因为它通常具有较高的打开率和回复率。此外,短信可以通过短信网络发送给任何拥有手机(不仅仅是智能手机)的人。

在安全性方面,网络威胁很难在SMS文本消息环境中执行。文本消息只能在分配了无线号码的设备上读取,并且可以将类似于电子邮件的保护措施应用于文本消息。

美国联邦通信委员会根据《电话消费者保护法》对SMS短信进行监管,该法案要求组织在向接收者发送短信之前,必须事先征得他们的明确同意。当某人在知情的情况下向行政长官透露他或她的电话号码,而该短信与提供该号码的原始用途有合理的联系时,该法案允许暗示事先明确同意。然而,对于该目的需要与信息有多密切的联系,该指导意见尚未确定。

平衡利益与风险
尽管HIPAA使应用程序、电子邮件和文本消息的使用变得复杂,但以很少的成本激发消费者满意度和忠诚度的好处往往超过了遵从性负担。beplay最新备用网站一般来说,成功驾驭这些患者参与策略的健康计划和医疗服务提供者具有以下三个特征:

•合规文化;

•良好定义的治理框架;和

•管理业务伙伴/技术供应商关系的周到方法。

强大的合规文化beplay最新备用网站
强大的符合hipaa的文化将组织的隐私价值集成到其员工、技术、临床和业务流程中。一旦组织对其HIPAA遵从性感到满意,它就可以从通过这些渠道交换ePHI的明确禁令转向细致入微的HIPbeplay最新备用网站AA应用程序,该应用程序考虑了各个用例中的好处、风险和缓解策略。

定义良好的HIPAA合规框架beplay最新备用网站
隐私专家不仅必须是HIPAA专家和执行者,还必须是政策召集人,为数字参与制定强有力的治理框架。这些框架的要素可能包括以下内容:

•咨询委员会。寻求从业者、商业领袖和会员/患者的意见。包括来自临床、员工、营销、法律、合规、信息系统和财务的代表。beplay最新备用网站

•了解消费者需求。确保用例反映了对交换ePHI的原因的理解,以及为什么成员或患者欢迎通过选定的媒介接收它。

•政策和程序。制定HIPAA策略,定义考虑新技术的标准和流程。允许针对特定用途的策略和过程基于早期实现的反馈而发展。

管理业务伙伴技术供应商
如果没有技术供应商(即使只是云提供商),许多组织不会实现正式的电子邮件、短信或移动应用程序计划。技术供应商的成熟程度各不相同。因此,需要一个深思熟虑和彻底的过程来评估每个供应商的HIPAA遵从性。beplay最新备用网站

ce必须建立评估供应商的常规程序,记录他们的发现,并协商业务关联协议(不仅仅是底层服务协议),以反映每个供应商的独特性和面临风险的ePHI。除其他事项外,合同应确认谁拥有数据,如何使用数据,如果违反HIPAA, CE将如何获得赔偿,以及通知CE违规的时间表。

ce还必须积极监控和审核其技术供应商的合规性。beplay最新备用网站

结论
为了充分利用移动应用程序、电子邮件和短信的优势,首席执行官必须采用敏捷的思维方式。通过制定治理标准和指导方针,ce可以在采用新技术方面变得更有信心,这将推进某些战略目标。

- Jill DeGraff,法学博士,Manatt Health的合伙人,Manatt, Phelps & Phillips, LLP的一个部门,一个完全整合的,多学科的法律,监管,倡导和战略商业咨询医疗保健实践。

——海伦·菲斯特,法学博士,Manatt Health的合伙人。

——兰迪·西格尔,法学博士,Manatt Health的法律顾问。