秋天2022

HIPAA挑战:各州AGs打击数据隐私
作者:Rita Bowen, MA, RHIA, CHPS, CHPC, SSGB
郑重声明
第34卷第4页

是时候考虑HIPAA之外的问题了吗?

各州总检察长一直在加大调查力度，打击医疗机构的数据泄露事件。

尽管医院和卫生系统在向民权办公室报告数据泄露方面非常精通，但由于HIPAA，州检察长的隐私范围更为深远。虽然HIPAA仅适用于与健康相关的信息，但州检察长也可以关注涉及个人身份信息(PII)的数据泄露。

国土安全部将个人身份信息定义为“允许直接或间接推断个人身份的任何信息，包括与该个人相关或可链接的任何信息”。它可以包括姓名、地址、社会安全号码、电子邮件地址和信用卡号码等数据，有时甚至包括生物识别数据，所有这些数据都是医疗保健组织每天从患者那里收集的。

州检察长是每个州的最高法律官员。他们为州政府机构和立法机关提供咨询，代表公众利益。他们还代表公众参与法律诉讼，代表国家或地区进行诉讼和上诉。它们的权限和范围因州而异，因此对于医疗保健组织来说，了解其运营所在州或地区的法律和规则非常重要。

数据隐私保护成为焦点
虽然欧盟有严格的数据隐私法，称为《通用数据保护条例》(General data Protection Regulation)，但美国在联邦层面没有类似的版本。因此，许多州根据《通用数据保护条例》(General data Protection Regulation)等规则制定了数据隐私法。

2021年，23个州引入了某种形式的全面数据隐私立法，其中两个州——科罗拉多州和弗吉尼亚州——将其签署为法律。2022年，犹他州和康涅狄格州紧随其后。加州的数据隐私立法自2018年开始实施，并于2020年进行了修订和扩大。

每个州的法律都有不同的要求，有些州比其他州更严格。例如:

•根据《加州消费者隐私法》(California Consumer Privacy Act)，个人信息可能包括个人姓名、社会安全号码、电子邮件地址、互联网浏览历史和指纹等一切信息。它也适用于“购买、接收或出售5万或更多加州居民、家庭或设备的个人信息”的组织，但不适用于非营利组织或政府机构。此外，它还免除了受HIPAA保护的健康信息。

•《科罗拉多州隐私法》(Colorado Privacy Act)豁免受保护的健康信息，但不豁免非营利组织。

•已受HIPAA和HITECH法案约束的覆盖实体不受弗吉尼亚消费者数据保护法的约束。

•康涅狄格州的法律，大部分将于2023年7月1日生效，没有适用于组织的最低收入门槛，也不包括任何未识别的数据或公开信息。

•《犹他州消费者隐私法》(Utah Consumer Privacy Act)将于2023年12月31日生效，与其他类似法律相比，该法的适用范围更窄，不适用于年收入低于2500万美元的实体。

在多个州运营的医疗保健组织应遵循具有最严格规则的州的报告要求，并将这些要求应用于所有设施，无论其位置如何。

谁和什么加速
隐私官员和HIM领导人需要知道哪些信息必须报告给他们特定的州检察长，以及这样做的时间表要求。例如，康涅狄格州要求在发现数据泄露后不迟于60天进行报告。

尽管隐私官和HIM员工是组织中需要了解管理PII的州隐私法的主要人员，但处理PII(如地址和信用卡信息)的其他部门也应该参与其中。这些包括患者金融服务、收入周期和安全人员。医疗保健组织还应注意处理自己与第三方供应商和/或代表该组织的供应商之间的PII。

除了向州检察长报告PII违规行为外，隐私、安全和HIM领导者还应在自己的组织内部报告，包括向合规官员和董事会报告。beplay最新备用网站

事实上，许多责任和网络保险政策都包括向董事会或其他管理机构提交一致报告的规定。否则，其保险可能不予全额支付或完全无效。

不断变化的景观
随着新的和可能模棱两可的情况出现，PII报告中的各州差异可能会变得棘手。

例如，最高法院在多布斯诉杰克逊妇女健康组织案中推翻了罗伊诉韦德案，这一判决引发了人们对执法部门向禁止堕胎州的医疗服务提供者要求患者信息的质疑，比如“经期追踪应用收集的数据、患者自我报告的症状或诊断测试结果”，以及这些要求是否会侵犯患者隐私，根据国际律师事务所McDermott Will & Emery的一篇论文。

这些应该是隐私官和HIM专业人员的首要和中心考虑因素。必须跟上新的法律和发展，了解它们如何以及何时适用，并采取适当的报告步骤以保持合规。

- Rita Bowen, MA, RHIA, CHPS, CHPC, SSGB，是MRO公司隐私，合规和HIM政策副总裁。beplay最新备用网站