春天2022

定义指定记录集
伊丽莎白·s·戈尔著
备案
第34卷第2卷第10页

了解对DRS的各种解释如何使医疗保健组织缺乏答案。

指定记录集(DRS)作为患者获得受保护健康信息(PHI)的权利的基础的概念可能起源于1996年的《HIPAA隐私规则》,但是2020年的《21世纪治愈法案最终规则》将其重新推向聚光灯下。这是因为《治愈法案》中的信息封锁条款禁止供应商干扰或阻止对电子PHI (ePHI)的访问或使用,“在某种程度上,ePHI将被包括在45 CFR 164.501中定义的指定记录集中。”

此外,治愈法案要求经过认证的医疗IT开发人员提供一种方法来导出经过认证的系统包含的所有患者的电子医疗信息(EHI)—例如,当患者请求他们自己的信息时,或者当医疗保健提供者将信息从一个系统迁移到另一个系统时。出口认证标准依赖于与信息屏蔽条款相同的一嗨定义,规定行为者在2022年10月6日之前遵守一嗨的全部范围,以达到信息屏蔽合规的目的。beplay最新备用网站预计在2023年12月31日前获得一嗨出口标准认证。

“根据HIPAA, DRS有助于定义个人访问、修改、限制和获取其受保护健康信息披露的权利,”Impact Advisors负责人Dan Golder解释说。“个人有权检查其健康信息,如有需要,可获得副本,并要求修改任何不正确的信息——所有这些都可通过对每个被覆盖实体(CE)的已定义的DRS定义加以便利。”

然而,通常情况下,DRS的确切定义有待解释。正如EHI工作组——由AHIMA、AMIA和HIMSS EHR协会的代表组成——在其合作报告《定义EHI和电子世界中指定的记录集》中所指出的那样,术语“记录”可以指任何包含PHI并由CE维护、收集、使用或传播的项目收集或信息分组。但是,CEs通常自己解释哪些记录可能包含在DRS中以达到合规性的目的。beplay最新备用网站

因此,工作组写道,“在医疗保健组织如何决定哪些类型的记录包括在他们的DRS中,存在着差异和差异。反过来,这也导致了消费电子展和商业伙伴(BAs)在如何遵守联邦法规方面的长期矛盾和困惑。”

不完全是他们自己的
Golder指出,由于45 CFR第164.501部分中所规定的内容不是绝对的,因此,事实上,每个组织都需要对DRS进行自己的定义。相反,他说,每个CE“提供了所需的灵活性,以定义满足其特定业务需求的DRS”。

例如,组织可能有不同的医疗记录和计费系统,以及不同的索赔、注册和支付配置文件。这可能会导致不同的DRS定义。

Golder说:“DRS的总体框架是相同的,但细节可能会因不同的业务实体而不同。虽然有些人可能会主张对DRS进行单一的‘标准’定义,但考虑到不同的医疗系统中存在不同的业务和技术生态系统,以及需要遵守这些法规的CEs的不同业务和法律结构,这可能是行不通的。”

HealthMark集团的首席运营官和总法律顾问、健康信息外包服务协会的成员Joe Licata说,虽然组织在定义DRS时确实有一定的自由,但HIPAA设置了一个最低标准,该标准根据组织是健康计划还是CE略有不同。

从监管的角度来看,这并不成问题。利卡塔说:“但在实践中,这变得非常令人困惑,因为暗示灵活性的部分往往被过分强调。”“我在实践中看到的是,在设施中负责合规的人们通常认为他们可以‘指定’DRS中的内容——严重依赖于指定的口语定义beplay最新备用网站——只要他们在应用其组织的定义时保持一致,他们就可以大大限制DRS,超出法规中的最低标准。这肯定不是一个好方法。”

Licata说,另一个麻烦是“对DRS采取一种所有权狭窄的方法,这种方法围绕谁以一种与法规本身不一致的方式创建了数据或信息”。

定义的指导
当涉及到建立DRS定义时,Licata建议各组织遵循卫生与公众服务部门的脚步,采取“患者优先”的方法来制定规则,并了解他们拥有什么、在哪里拥有它以及它的用途。他说:“要在您的组织中从功能上拥有一致且兼容的DRS,了解这些确实是至关重要的事情。”

Licata认为,关于PHI和ePHI的使用有特定的指导语言,可以帮助评估组织在定义DRS时应该采取的方向。首先,如果信息被使用或合理地可能被用来做决定——即使是那些与医疗保健无关的决定——在DRS中包含信息是一个安全的假设。这将包括CE维护的所有PHI,如账单和支付记录、保险信息、实验室或测试结果、成像或x光、疾病管理程序文件和临床病例记录。

“作为对这一规则的违反,我经常看到‘这一记录是我们创造的吗?利卡塔说:“在这里,没有规定依据的测试失误进入实践。”“一个完全相反的思考方式是,如果有一个决策功能,数据或信息被收集,那么你几乎应该采取温和的先决条件,它可能在DRS中,除非你有一个非常好的理由为什么它应该被排除。”

也有例外。例如,虽然临床病例记录通常包括在内,但有一整套关于心理治疗记录的例外。

Licata认为,判断组织是否将DRS定义得太窄而不符合要求的一种聪明方法是填补空白:文件的这一部分不是DRS的一部分,因为。

如果回答是以下任何一种情况,这可能意味着定义有问题:

•这个记录不是我们创造的。
•这是另一项CE记录。
那是医院的记录,不是我们的。
那不是这位医生的病历。
•这是实验室的数据。
•我们外包成像;他们可以向放射科询问。
•那个病人对我们不满意,我们预计会提起诉讼。

利卡塔说:“顺便说一句,我还没有看到一个我认为在定义上‘过于包容’的组织,当然我们也看到了许多合理的排除和各种定义。”

在设置定义时,Licata建议向关键的涉众解释存储什么、为什么存储以及如何识别和分类数据。他说,太多的组织缺乏如何在电子病历系统中工作的基本、实用的广博知识。因此,他建议,在过分担心起草一个严格的定义之前,先调查一下什么是到位的。

在具有重要行为健康和药物滥用治疗功能的实践中,由于在如何处理这些信息方面存在特定的限制和例外情况,因此定义的确立要复杂得多。

“但说实话,在这种情况普遍存在的情况下,对正确处理方式的困惑并不是我们通常看到的。通常有HIM和管理过程失败,正确处理数据,”利卡塔说。“临床工作人员通常在这些例外和例外方面都受过很好的训练,因为他们每天都在与患者互动。”

就其本身而言,在解释和应用“一健”的定义时,“一健”工作队确定了几个关键的考虑因素。某些数据类可能不被认为是EHI,这取决于它们的“状态”。例如,一些数据类可能有一种状态状态,使其不在决策中使用,因此不会被认为是EHI。

工作组写道:“在决策中使用特定的数据类是EHI定义的一个关键因素,这是一个固有的挑战,但在HIT系统中不一定容易通过编程跟踪,导致参与者要么广泛地撒下什么被认为是EHI,要么依赖于人工识别。”

专责小组确定的状态条件包括:

•多组数据。示例包括临床审查或和解前的外部记录、尚未由临床医生审查或检查的设备读数、临床审查或和解前提交给临床医生的患者生成的数据,或用于教学工作流程的数据(如果医学院学生编写了稍后验证的材料)。

•数据草案。例如,正在编写或编辑但尚未签署的临床记录,正在编写或编辑的报告,预制表,以及用于教学工作流程的数据,前提是医科学生开始工作,然后由其他作者接管。

•重复数据。当信息以重复的格式或系统保存时,持有者可以灵活地选择从哪个系统中产生EHI,例如,音频转录文件和转录文本或实验室结果信息,这些信息既存在于实验室系统中,也存在于电子病历中,用于决策。

第四个状态是“不符合ePHI定义的数据”。根据该报告,国家卫生信息技术协调员办公室将EHI定义为ePHI,只要ePHI将包含在DRS中,而不管这组记录是否由CE使用或维护或为CE服务。然而,工作组成员认为这扩大了EHI 45 CFR 171.102定义的适用性。然而,ePHI和“单个可识别的健康信息”的定义(有助于设置ePHI的范围)表明,收集的上下文和HIPAA定义在定义EHI时仍然发挥作用。

专责小组接着表示,他们相信行政长官或行政长官中的广管局局长在担任广管局局长或广管局局长而非雇主或以其他身份行事时,必须收集有关资料。例如,如果旅行信息是由非ce /BA收集的,并且不会成为医疗或账单记录的一部分,那么它就不符合EHI的资格。但是,如果CE/BA将相同的信息收集为医疗/账单记录的一部分,或可能用于对患者做出决定,则为EHI。此外,不能识别患者身份的数据类,比如在HIPAA隐私规则的安全港标准下,缺乏18种个人标识符的信息,不被认为是一嗨。

“在这两种情况下,由于数据不被认为是ePHI,它将不符合构成EHI的门槛,”工作组写道。

进化的定义
Golder认为,大多数组织已经为ePHI和他们的DRS建立了明确的定义,因为后者是在1996年由HIPAA定义的。此外,HIPAA安全规则要求组织完成年度安全风险评估(SRA),其中包括ePHI存储、接收、维护和传输的文件。

问题是,这些相同的组织中有许多没有定期更新他们的DRS定义,即使在他们执行年度sra时也是如此。

Golder指出:“更新DRS定义以跟上我们不断发展的技术系统的步伐似乎已经半途而废。”“这是不幸的,因为包括远程医疗、无处不在的手机和应用程序、智能医疗设备、患者门户、与供应商的安全消息传递以及FHIR(快速医疗互操作性资源)在内的创新,都从根本上改变了我们访问、使用和收集个人健康信息的方式。我们的DRS定义应该进行相应的修改。”

幸运的是,他指出,许多组织现在正在根据信息阻塞规则重新检查和更新它们的DRS定义。他们重点记录了患者、提供者和卫生系统目前每天都在利用的这些新的ePHI来源。

然而,随着EHR系统的发展和新技术的实现,许多组织将从重新审视其现有的DRS定义中受益。Golder说,当他们这样做的时候,他们应该“专注于自上次更新DRS以来添加到他们的技术生态系统中的新的和正在出现的技术,特别是在患者已经推动这种创新的领域。”

“随着电子技术在帮助收集医疗信息方面的进步——比如fitbit或联网的智能血糖仪——电子健康信息的来源和记录媒体类型的定义正在扩大,这意味着我们对EHI和DRS的定义也应该在不断发展。”

事实上,根据Golder的说法,考虑到技术的发展速度,每个组织的DRS的定义很可能在可预见的未来仍然是不固定的。他建议每年与年度SRAs一起审查和更新DRS定义,以确保确定任何新的ePHI来源,并将其添加到现有定义中。

灰色的阴影
“(最终)每个组织在定义DRS时都有不同的程度和灰色区域,”Golder说。

例如,每个州可能有不同的法律来管理要求ce如何处理、记录和管理PHI、ePHI和EHI。其他考虑因素包括第三方支付人的标准和要求以及各监管机构的要求。ePHI的技术和来源也可能因组织而异,因此需要为每个组织定制DRS定义。

有这么多活动部件,向专家寻求指导是一个明智的举措。其中包括专业的、联邦的、州的和法律组织,如AHIMA和Law Insider。它们都提供了意见、指导和示例文档,以帮助组织定义其DRS或更新其定义。

作为第一站,Licata建议组织关注他们发布信息的供应商,他们通常拥有“数百种不同的操作方法,可以告知如何进行操作”的经验。

他补充称:“因为我们进入了客户的合规环境,在某种程度上,我们可以围绕他们的期望塑造自己,beplay最新备用网站我们肯定会这样做,我们可能会促进与我们认为能很好地处理这些流程、在同一实践领域的人进行讨论,等等。当然,如果没有另一方的同意,我们不会分享这些信息,但人们通常愿意分享最佳实践。”

Licata说,正确定义DRS的影响超出了法规遵从性。beplay最新备用网站它也会影响病人的满意度。他说:“用最简单的方式来说,这就是期望。”“当病人请求访问‘所有信息’时,他们可能预计自己得到的是‘所有信息’,所以令人困惑的例外应用或法律术语可能真的令人沮丧。

“在过去的30年里,病人的心理模式已经发生了变化,这在很大程度上要归功于HIPAA,”他继续说。“患者认为,大多数与自己有关的信息是他们有权控制的,必要时可以拥有,他们关心提供者掌握了哪些个人信息。”

- Elizabeth S. Goar是威斯康星州的一名自由撰稿人。