九月/十月2021

HIPAA挑战:隐私规则可能会改头换面
作者:Jaime James, MHA, RHIA
郑重声明
第33卷第5页

HIPAA的隐私规则于2000年12月颁布成为法律,此后进行了更新,包括2013年HIPAA综合规则,该规则引入了HITECH法案规定的要求,以及2020年Ciox, LLC诉Azar案法院裁决后发布的新指南。

2021年1月21日提出的最新重大更新解决了可能阻碍向基于价值的医疗过渡的障碍。修改包括加强个人的获取权,增加允许的披露,减轻监管负担,以及改善护理协调和护理管理。

拟议规则制定通知(NPRM)收到了来自各种利益相关方(如个人、律师和各种医疗保健人员、提供者和组织)的1,436条评论。

卫生和人类服务部(HHS)将审查意见,并发布另一个NPRM或新的HIPAA隐私最终规则。目前还没有具体的时间安排。一旦最终规则在联邦公报,以下日期将适用:

•生效日期:最终规则公布后60天联邦公报
•合beplay最新备用网站规日期:自生效日起180天;和
•实施日期:最终规则公布后240天联邦公报

根据行业的反应,对修改的各个方面都有支持,也有关注。人们的担忧包括需要与其他法规更加一致,如《21世纪治愈法案》、《联邦法规》第42条第2部分规定,涵盖联邦援助的物质使用障碍治疗项目,以及州健康数据隐私法。为了充分评估这些变化的影响,应该与组织的法律顾问讨论NPRM。

个人的访问权
与个人存取权有关的建议更改和考虑包括:

EHR和个人健康应用(PHA)的定义
HIM应该评估拟议的定义措辞、新术语在拟议规则中的使用情况、这些定义如何与其他监管定义保持一致,以及对组织的影响。

电子健康档案
拟议的规则补充说,个人将其记录指示给第三方的权利现在基于EHR定义,而个人为自己请求其受保护的健康信息(PHI)的权利保持不变,并且基于指定的记录集(DRS)。除了个人可以访问的drs之外,组织还必须记录个人有权直接向第三方提供的电子病历。

根据拟议的规则,EHR定义与HITECH EHR定义一致。然而,业内人士担心,拟议的定义将HITECH的定义从临床信息扩大到包括账单记录。如果定义包括临床记录和账单记录,一些专家认为,书面定义应该清楚地指出账单记录包括在内。

应审查拟议的电子病历定义如何与当前DRS定义相关联。这两种定义都包括医疗记录和账单记录;然而,DRS也包括用于做出个人决定的记录。值得注意的是,自2022年10月6日起,信息封锁电子健康信息定义将不再局限于互操作性数据元素的美国核心数据。相反,它将基于被定义为组织DRS的完整电子健康信息。

PHA
对于拟议的PHA定义,行业评论包括要求更清楚地了解拟议的定义如何与《治愈法案最终规则》保持一致。要求澄清pha与“患者选择使用的应用程序”之间的关系。业界评论包括需要澄清pha可能采用的形式,如web、移动和桌面应用程序。

评论反映了人们的担忧,即拟议的PHA定义过于宽泛,需要明确指出,向PHA披露的信息是向第三方披露的,而不是向个人披露。拟议规则承认大多数PHA应用程序不受HIPAA保护,并且有自己的数据实践,可能不遵循隐私和安全最佳实践,这一事实支持了这一点。

拟议规则要求对受保实体(ce)是否应负责教育个人关于将PHI传播给未受HIPAA覆盖的PHA的风险和益处进行评论。评论反映,这种教育责任对教育主管来说可能很麻烦。在信息封锁下,行为者不被要求,但被高度鼓励教育他们的病人使用第三方应用程序。

他已经遇到了造成混乱的情况。第三方通常代表其他非健康第三方,如律师和保险公司,正在创建PHR web应用程序位置,患者可以在其中请求发送他们的记录。有些请求特别声明该请求不是由患者指导的第三方请求。

然后,HIM必须确定该请求是否确实是由患者指导的第三方请求,并考虑个人对其信息发送到何处以及如何使用的了解程度。不幸的是,许多患者并不理解。

查阅记录的权利
拟议的规则补充说,当个人亲自检查他们的记录时,他们可以做笔记和拍照,并使用其他个人资源在DRS中捕获他们的PHI。此修改要求,当PHI在医疗点“随时可用”或与预约同时提供时,供应商不得延迟检查的权利。

在医疗行业内,人们担心这些变化在护理点上可能对组织和资源产生影响,尤其是在急诊、行为健康和远程医疗访问等护理环境中。例如,有人质疑未经同意拍摄提供者/工作人员的可能性。

获取的时效性
拟议规则将请求响应时间缩短为“尽可能快”,但在任何情况下不得超过15个日历日(低于目前的30天要求),并包括一次性15个日历日的延期。该时间表适用于以任何形式或格式为自己要求记录的个人,以及指示将PHI的电子副本发送给第三方的个人。

要延长15天,行政长官必须执行一项政策,优先处理紧急和高优先级的要求,例如与持续护理或个人健康和安全有关的要求(在已知情况下)。

拟议的规则还禁止可能阻碍访问的“不合理措施”,例如要求在访问请求可接受时获得HIPAA授权,或者要求以书面形式,亲自提出请求,或者在其他方法可用时仅通过CE的门户提出请求。

虽然一些行业评论反映了对增加“尽快可行”的支持,但也表达了对15天要求的担忧。许多组织都有多个以纸质记录为特征的遗留系统,包括一些存储在异地的记录,必须从这些记录中编译请求。虽然提议的规则没有改变当前的语言,即响应时间基于请求的接收,但请求经常被发送到组织内的错误位置。

HIM应主动评估拟议的时间表如何影响当前的实践和资源,同时牢记如何最好地响应信息封锁和内容和方式例外下定义的“无延迟”请求。

所需表格及格式
拟议的规则更新了语言,包括CE必须根据要求以电子方式传输PHI副本。电子传输被定义为电子邮件,并通过个人的PHA(如果容易产生)。

由于大多数pha不受HIPAA的保护,一些业内人士认为,pha应该由独立的组织进行认证,以表明它们符合最低的隐私和安全标准。此外,一些人认为,民权办公室应该提供示范语言和资源,告知患者风险和利益。

身份验证负担
拟议的规则增加了明确禁止不合理的身份验证措施的措辞,例如在没有必要时要求对签名进行公证,或在可以使用远程方法时要求亲自证明身份。

HIM可以评估其当前的身份验证流程,以与拟议规则中的非详尽列表进行比较。这一变化可能会影响到实施不合理验证方法的ce。

发给第三方的副本
NPRM增加了一个特定的部分来解决个人将副本发给第三方的权利。拟议的规则与2020年的法院裁决是一致的,因此,现行的HIPAA隐私规则规定,当要求从电子病历中获取电子副本时,个人有权将其信息指示给第三方。由患者指导的第三方请求不适用于纸质医疗记录的请求,也不适用于存储在纸质或EHR中的记录的纸质副本。

拟议的规则改变了目前的要求,即患者导向的第三方请求必须以书面形式提出。根据拟议的规则,请求可以是书面的,也可以是口头的,如果请求清楚、明显和具体的话。虽然增加口头请求在请求方式上提供了更大的灵活性,但这在业内引发了一些问题。例如,是什么决定了清晰、显眼和具体?如行政长官认为不能接受口头要求,行政长官可采取哪些程序?口头请求在法庭上成立吗?他将如何保护病人的隐私不受潜在“坏人”的侵犯,并最大限度地减少因沟通不端而造成的破坏?

拟议规则还增加了新的语言,当个人指示时,提供者或健康计划必须向另一个提供者提交个人电子PHI电子副本的请求。这些也可以是口头请求。

第三方定向请求对他来说仍然是一个挑战,尤其是那些与治疗无关的请求。

许可费用
拟议的规则规定了何时必须免费向患者提供病历。这包括亲自检查和通过基于互联网的方法访问,包括通过PHA访问。

他应该将NPRM基于互联网的方法描述与信息封锁定义进行比较,信息封锁定义规定,当使用基于互联网的方法时,对记录的请求将是免费的,并且不需要人工操作。正如行业评论所反映的那样,拟议的规则需要与信息阻塞保持一致,并包括在需要手动工作时响应请求的差异。

当个人为自己要求记录时,拟议的规则将电子副本的合理成本费用限制为仅限人工。将记录复制到CD或其他电子媒体上的供应和邮费不适用。

当患者将电子病历中的电子副本交给第三方时,可能会发生变化。2020年的法院裁决确认,根据现行的隐私规则,由患者指导的第三方请求不受费用限制。与这一裁决相反,NPRM建议,对于这些请求,只能收取合理的基于成本的费用,仅限于劳动力。电子媒体的供应和邮资不收费。这一变化表明,根据所请求的格式(电子还是纸质),第三方请求将有不同的费用表(以及所需的不同请求/授权)。

高级管理人员应评估和了解这些变化可能对其组织产生的潜在财务和业务影响。

估计收费表
建议规则规定,行政长官如向个人收取费用,必须在其网站(如行政长官有网站)上预先提供有关费用的通知。此外,收费表必须在服务点和要求时提供给患者。拟议的规则概述了哪些费用将包括在预先通知中。

此外,应要求,必须提供详细的费用估计和报表。虽然个别人士的收费预估要求不会自动延长回应要求的容许时间,但行政长官可在需要更多时间的情况下,使用15天的宽限期。

现行的《私隐规则》并没有禁止行政长官要求个人预先缴付费用。虽然拟议的规则保持这一福利不变,但卫生与公众服务部继续鼓励个人教育服务提供者免除费用,或为那些无法预付费用或有经济困难的人提供灵活性。

私隐实务(NPP)规定通知
鉴于目前核电厂法规的繁琐性质和成本,提出了以下修改建议:

•取消获取个人书面确认接收直接治疗提供者NPP的要求;

•以个人与指定人员讨论NPP的权利取代书面确认;

•不再需要保留核电站6年;和

•修改NPP的内容。

NPP的变化大多被认为是积极的,但也有一些人对患者继续需要以书面形式承认自己的权利表示担忧。

护理协调和护理管理
提出了若干改进建议,以改善护理协调和护理管理。

修改医疗保健操作(HCO)定义。在现行规定下,卫生与公众服务部发现,一些消费标准将HCO解释为仅包括基于人口健康的活动。这是属于卫生组织定义的保健计划的一个障碍,因为它们提供个人层面的护理协调和病例管理活动。

拟议规则在定义中更改了标点符号(逗号变为分号),以澄清HCO包括基于人群和个人层面的护理协调和病例管理活动。

为病例管理和护理协调活动增加最低限度的必要例外。现行的《隐私规则》包括对医疗保健提供者为治疗目的向其披露信息或提出要求的最低限度必要例外。拟议规则增加了明确声明这也包括与个人有关的护理协调和病例管理活动的语言。

对于HCO,拟议的规则增加了一个新的最低必要例外,用于健康计划对个人的护理协调和病例管理活动的披露或要求。

拟议的规则保留了个人要求不披露其信息的权利,并保留了其他类型披露的最低必要要求。

为病例管理和护理协调目的,向第三方澄清PHI披露。这一变化澄清并增加了一个新的小节,明确允许ce向社会服务机构、社区组织、家庭和社区服务提供者以及其他提供健康相关服务的类似第三方披露个人层面护理协调和病例管理活动的PHI。

虽然大多数这些服务不在HIPAA范围内,但HHS并不打算限制披露或要求特定的个人授权。来自业界的评论包括要求提供这些组织的其他示例,并澄清在向这些方披露PHI时如何记录这些案例。

替换和扩大PHI信息披露,以帮助经历药物滥用障碍、严重精神疾病和紧急情况的个人。这些修改直接与护理协调的允许披露有关,具体做法如下:

•将“专业判断”替换为“善意信念”,即披露符合HIPAA隐私条款中的五项个人的最佳利益;和

•扩大安全认证机构使用或披露PHI的能力,而无需确定对健康或安全的威胁是否“严重且迫在眉睫”,而是是否“严重且合理可预见”。

许多行业利益相关者认为这些变化是积极的。但是,需要考虑其他政府规定。信息封锁、防止伤害和隐私例外引用了要求使用专业判断的隐私规则。此外,还有机会进一步调整隐私规则和42 CFR第2部分的规定。

修改对电信中继服务(TRS)的公开。TRS是一项由联邦政府授权的服务,为聋哑人、重听人、聋哑人或有语言障碍的人之间的电话通话提供便利。

拟议规则明确允许ce及其商业伙伴向TRS通信助理披露PHI。它还修改了业务伙伴的定义,以排除TRS提供者,并澄清不需要业务伙伴协议。

扩大对武装部队的信息披露。目前的HIPAA隐私规则没有明确包括武装部队的两个分支。拟议的规则将披露范围扩大到所有军种,并增加了公共卫生服务委员会和国家海洋和大气管理局委员会。

展望未来
虽然这些都是拟议的规则,但重要的是他要了解卫生与公众服务部在隐私方面的方向,以及隐私规则的修改如何与新的信息封锁规则和其他法规相交叉。这些变化对他和卫生保健组织有潜在的业务和财务影响。要记住的一点是,一般来说,在HIPAA下允许的内容在信息封锁下成为共享的义务。

无论国家方案机制的结果如何,高级专员都能够就拟议的改革所带来的积极方面和挑战领导组织讨论。

- Jaime James, MHA, RHIA,是MMRA的立法政策和合规高级HIM顾问。beplay最新备用网站