首页|订阅|资源|再版|作家的指导方针

春天2022

定义指定记录集
伊丽莎白·s·高尔著
郑重声明
第34卷第2页

了解对DRS内容的各种解释如何使医疗保健组织缺乏答案。

指定记录集(DRS)作为患者访问受保护健康信息(PHI)权利的基础的概念可能起源于1996年的《HIPAA隐私规则》,但直到2020年《21世纪治愈法案最终规则》才将其重新推到聚光灯下。这是因为《治愈法案》的信息封锁条款禁止供应商干扰或阻止访问或使用电子PHI (ePHI),“在某种程度上,ePHI将被包含在45 CFR 164.501中定义的指定记录集中。”

此外,《治愈法案》要求经过认证的医疗IT开发人员提供一种方法来导出经过认证的系统包含的所有患者的电子健康信息(EHI)——例如,当患者请求他们自己的信息时,或者当医疗保健提供者将信息从一个系统迁移到另一个系统时。出口认证标准依赖于与信息封锁规定相同的EHI定义,并设定了2022年10月6日的最后期限,要求参与者遵守EHI的全部范围,以达到信息封锁合规的目的。beplay最新备用网站EHI出口标准的认证预计将于2023年12月31日完成。

Impact Advisors的负责人Dan Golder解释说:“根据HIPAA, DRS有助于确定个人访问、修改、限制和获取其受保护健康信息披露的权利。”"个人有权检查自己的健康信息,在需要时获得副本,并要求修改任何不正确的信息——所有这些都由针对每个承保实体(CE)的已定义的DRS定义提供便利。"

然而,通常情况下,DRS的确切定义是开放的解释。正如EHI工作组(由AHIMA、AMIA和HIMSS EHR协会的代表组成)在其合作报告《在电子世界中定义EHI和指定记录集》中指出的那样,“记录”一词可以指包括PHI的任何项目收集或信息分组,并由CE维护、收集、使用或传播。但是,ce通常自行解释出于合规性目的,哪些记录可以包含在DRS中。beplay最新备用网站

因此,工作组写道,“在医疗机构如何决定哪些类型的记录包含在他们的DRS中存在差异和差异。反过来,这又导致了长期以来的不一致和困惑,让首席执行官和商业伙伴(ba)不知道如何遵守联邦法规。”

并不是各有各的
Golder指出,个别组织实际上需要制定自己的DRS定义,因为45 CFR第164.501部分所规定的并不是绝对的。相反,他说,每个CE“被赋予了必要的灵活性来定义满足其特定业务需求的DRS”。

例如,组织可能有不同的医疗记录和计费系统,以及不同的索赔、登记和支付配置文件。这可能会导致不同的DRS定义。

“DRS的总体框架将是相同的,但不同的商业实体可能会有不同的细节,”Golder说,并补充说,“虽然有些人可能会主张为DRS制定一个单一的‘标准’定义,但考虑到不同的医疗系统中存在不同的业务和技术生态系统,以及需要遵守这些法规的ce的不同业务和法律结构,这可能是行不通的。”

Joe Licata是HealthMark集团的首席运营官和总法律顾问,也是健康信息外包服务协会的成员,他说,虽然组织在定义DRS时确实有一定的自由度,但HIPAA设定的最低标准会根据组织是健康计划还是CE而略有不同。

从监管的角度来看,这没有问题。利卡塔说:“但实际上它会让人很困惑,因为暗示灵活性的部分往往被过分强调了。”“我在实践中看到的是,在一个设施中,负责合规的人们通常认为他们可以‘指定’DRS中的内容——严重依赖于指定的口beplay最新备用网站语定义——只要他们在应用组织的定义时保持一致,他们就可以将DRS大大限制在法规中的最低标准之外。这当然不是一个好方法。”

利卡塔说,同样麻烦的是,采取一种“狭隘的所有权方法来处理DRS,这种方法围绕着谁创造了数据或信息,而这种方式与法规本身不一致。”

定义的指导
当谈到建立DRS定义时,Licata建议组织遵循卫生和人类服务部的脚步,采取“患者优先”的方法来制定规则,并了解他们拥有什么,在哪里拥有它,以及它的用途。他说:“要想在你的组织中建立一致和合规的DRS,这些都是至关重要的事情。”

根据Licata的说法,关于PHI和ePHI的使用有特定的指导语言,可以帮助评估组织在定义其DRS时应该采取的方向。首先,如果这些信息被用于或合理地可能被用于决策——即使是那些与医疗保健无关的决策——那么应该将这些信息包含在DRS中是一个安全的假设。这将包括CE维护的所有PHI,如账单和付款记录、保险信息、实验室或测试结果、成像或x射线、疾病管理程序文件和临床病例记录。

“对于违反这一规则,我经常看到‘我们创造了这个记录吗?利卡塔说:“在这里,没有任何法规依据的测试被付诸实践。”“一种完全相反的思考方式是,如果收集的数据或信息有一个决策功能,那么你几乎应该温和地假设它可能在DRS中,除非你有一个很好的理由,为什么它应该被排除在外。”

当然也有例外。例如,虽然临床病例笔记通常包括在内,但涉及心理治疗笔记的一系列例外情况。

Licata分享了一种判断组织是否将其DRS定义得过于狭窄而不符合要求的聪明方法:填写空白:文件的这一部分不是DRS的一部分,因为。

如果回应是以下任何一种情况,则可能意味着存在问题的定义:

•我们没有创造这个记录。
•这是另一个行政长官的记录。
那是医院的记录,不是我们的。
这不是这位医生的病历。
那是实验室的。
•我们外包成像;他们可以向放射科咨询。
那位病人对我们不满意,我们预计会提起诉讼。

利卡塔说:“顺便说一句,我还没有看到一个我认为在定义上‘过于包容’的组织,当然,我们看到了许多合理的排除和各种各样的定义。”

在设置定义时,Licata建议向关键利益相关者解释存储的内容、原因以及如何识别和分类数据。他说,太多的组织缺乏如何在电子病历系统中工作的基本、实用的广泛知识。因此,他建议在过于担心起草一个严格的定义之前,先调查一下现有的情况。

在具有重要行为健康和药物滥用治疗功能的实践中,由于管理如何处理该信息的具体限制和例外,建立定义变得更加复杂。

“但说实话,在这种情况普遍存在的情况下,我们通常不会看到围绕正确处理方法的困惑。通常情况下,HIM和管理流程无法正确处理数据。“临床工作人员通常在这些例外情况和例外情况方面受过很好的培训,因为他们每天都在与患者互动。”

就其本身而言,EHI工作组在解释和应用EHI定义时确定了几个关键考虑因素。某些数据类可能不被认为是EHI,这取决于它们的“状态”。例如,某些数据类可能具有不用于决策制定的状态条件,因此不会被视为EHI。

工作组写道:“在决策中使用特定数据类是定义EHI的关键因素,这是一个固有的挑战,但在HIT系统中不一定容易通过编程跟踪,导致参与者要么广泛撒网,要么依赖人工识别。”

工作队确定的现状条件包括:

•未经验证的数据。例如,在临床审查或核对之前的外部记录,尚未由临床医生审查或检查的设备读数,在临床审查或核对之前提交给临床医生的患者生成的数据,或者如果医学生编写的材料稍后经过验证,则用于教学工作流程的数据。

•草拟数据。例如,正在编写或编辑但尚未签名的临床记录,正在编写或编辑的报告,预表以及用于教学工作流程的数据,前提是医学生开始工作,随后由其他作者接管。

•重复数据。当信息以两种格式或系统保存时,持有人可以灵活选择从哪种系统生成EHI,例如,音频转录文件和转录文本或实验室系统和电子病历中用于决策的实验室结果信息。

第四种状态是“不符合ePHI定义的数据”。根据该报告,国家卫生信息技术协调员办公室将EHI定义为ePHI,其范围是ePHI将被包括在DRS中,无论该记录组是否由CE使用或维护或为CE使用或维护。然而,工作队成员认为,这扩大了EHI 45 CFR 171.102定义的适用性。然而,ePHI的定义和“个人可识别的健康信息”(它有助于设置ePHI的范围)表明,收集上下文和HIPAA定义在定义EHI时仍然发挥作用。

专责小组继续表示,他们相信行政长官或行政长官的广管局必须以行政长官或广管局的身份收集资料,而不是以雇主或其他身份收集资料。例如,如果旅行信息是由非ce /BA收集的,并且不会成为医疗或账单记录的一部分,则不符合EHI的条件。但是,如果CE/BA收集了相同的信息作为医疗/账单记录的一部分,或者可能用于对患者做出决定,那么它就是EHI。此外,不能识别患者身份的数据类,例如缺乏HIPAA隐私规则安全港标准下的18种个人标识符的信息,不被视为EHI。

“在这两种情况下,由于数据不被认为是ePHI,它不会达到构成EHI的门槛,”工作组写道。

进化的定义
根据Golder的说法,大多数组织已经为ePHI和他们的DRS建立了明确的定义,因为后者是1996年由HIPAA定义的。此外,HIPAA安全规则要求组织完成年度安全风险评估(SRA),其中包括ePHI存储、接收、维护和传输位置的文档。

问题是,这些组织中的许多人甚至在进行年度sra时也没有定期更新其DRS定义。

“为了跟上我们不断发展的技术系统,更新DRS的定义似乎被搁置了,”戈尔德观察到。“这是不幸的,因为创新,包括远程医疗,无处不在的手机和应用程序的使用,智能医疗设备,患者门户,与提供商的安全消息传递以及FHIR[快速医疗互操作性资源],都从根本上改变了我们访问,使用和收集个人健康信息的方式。我们对存托凭证的定义也应该进行相应的修改。”

幸运的是,他指出,许多组织现在正在根据信息封锁规则重新检查和更新他们的DRS定义。他们的重点是记录这些患者、提供者和卫生系统现在每天都在利用的ePHI的新来源。

然而,随着EHR系统的发展和新技术的实现,许多组织将从重新审视其现有的DRS定义中受益。当他们这样做的时候,戈尔德说,他们应该“专注于自上次更新DRS以来增加到他们技术生态系统中的新技术和新兴技术,特别是在患者推动这种创新的领域。”

“随着电子技术的进步,帮助收集医疗信息——以fitbit或联网智能血糖仪为例——电子健康信息起源的定义和记录这些信息的媒体类型正在扩大,这意味着我们对EHI和DRS的定义也应该不断发展。”

事实上,根据Golder的说法,考虑到技术的发展速度,在可预见的未来,每个组织的DRS的定义可能会保持不稳定。他建议每年结合年度sra审查和更新DRS定义,以确保发现任何新的ePHI来源并将其添加到现有定义中。

灰色的阴影
“最终,每个组织在定义DRS时都会有不同程度的灰色地带,”Golder说。

例如,每个州可能有不同的法律来规定ce如何处理、记录和管理PHI、ePHI和EHI。其他考虑因素包括第三方付款人的标准和要求以及各种监管机构的要求。ePHI的技术和来源也可能因组织而异,因此需要为每个组织定制DRS定义。

面对如此多的变动因素,向专家寻求指导是明智之举。其中包括专业、联邦、州和法律组织,如AHIMA和Law Insider。所有这些都提供了意见、指导和示例文档,以帮助组织定义DRS或更新其定义。

作为第一站,Licata建议组织关注他们的信息发布供应商,他们通常在“数百种稍微不同的操作方法上有经验,可以告诉他们如何做。”

他补充说:“因为我们进入了客户的合规环境,在某种程度上,我们可以围绕他们的期望塑造自己,beplay最新备用网站我们当然会这样做,我们可能会促进与我们认为处理这些流程很好的人进行讨论,并在同一实践领域,等等。”当然,在没有对方同意的情况下,我们不会分享这些信息,但通常人们都愿意分享最佳做法。”

利卡塔表示,正确定义存托凭证的影响超出了监管合规的范畴。beplay最新备用网站它还会影响患者的满意度。“用最简单的方式来说,这只是一种预期,”他说。“当病人要求查阅‘所有的东西’时,他们可能会认为自己得到了‘所有的东西’,所以对例外或法律术语的混淆应用真的很令人沮丧。

“在过去的30年里,病人的心理模式发生了变化——很大程度上是由于HIPAA,”他继续说。“患者认为,如果有必要,他们有权控制和拥有大多数关于他们的信息,他们关心的是他们的提供者掌握了哪些个人信息。”

——Elizabeth S. Goar是威斯康星州的一名自由撰稿人。

beplay电竞
斯库尔基尔路3801号
宾州春城,1975年
版权所有©2023
的出版商郑重声明
版权所有。
联系
 关于我们
作家的指导方针
隐私政策
条款与条件