二零零八年九月十五日

HIPAA打击?
Selena Chavis著
郑重声明
第二十卷第19期，第24页

随着消费者对隐私问题的意识越来越强，一些专家警告受保护的实体将面临更严格的审查，而另一些专家则表示，新的努力仍不能解决更大的问题。

今年7月是HIPAA传奇的一个里程碑。自隐私和安全规则颁布以来，受保护实体首次被要求支付罚款。

总部位于西雅图的普罗维登斯健康服务公司同意支付10万美元，作为与民权办公室(OCR)和医疗保险和医疗补助服务中心(CMS)达成和解的一部分，这是在收到31起投诉后进行的联合调查的结果。

再加上司法部(DOJ)对HIPAA相关案件的刑事起诉似乎有所升级，许多专家都在想，最近的这些事件是否标志着HIPAA执法的转折点——这一努力的主要特点是通过向受保护实体发布纠正行动计划来自愿遵守规定。beplay最新备用网站

波士顿的医疗保健律师马克·罗杰斯(Mark Rogers)表示:“HIPAA的执行情况肯定有所上升。”“他们(卫生与公众服务部)现在在进行调查时要强硬得多。普罗维登斯的案例数量和信息量使其成为典范。”

普罗维登斯的例子当然是独特的，但OCR的一位发言人很快指出，结果不是民事罚款，而是一份正式的解决协议，并附有一份更严格的纠正行动计划，这是过去通常发布的。根据该计划，医疗保健系统需要修改政策和程序，改进对电子媒体的非现场运输和存储的管理，培训员工有关新的保障措施，并向卫生与公众服务部提交合规报告三年。beplay最新备用网站该组织还将接受审计和实地视察。

对于许多批评隐私和安全规定的人来说，这一行动是值得注意的一步，他们认为，执行力度不够大，不足以真正引起医疗保健界的注意。其他人则认为，由于大多数要求采取行动的投诉基本上都是针对“草率的安全”做法，因此纠正行动计划是适当的。

“人们希望看到OCR采取更积极的立场。但是你会因为一个医疗机构愿意修复的轻微违规行为而对其进行刑事处罚吗?Melamedia总裁丹尼斯•梅拉米德(Dennis Melamed)问道运行状况信息隐私/安全警报，一份行业贸易通讯。

截至6月30日，OCR已收到37,200多起投诉，其中80%已得到解决。其中，6 648起案件被认为需要调查，并通过纠正行动计划予以解决。其他的要么被认为超出了HIPAA的管辖范围，要么没有根据，要么被转到其他部门。

蜜月结束了吗?
OCR表示，可能会出现更多类似普罗维登斯的解决方案协议这样的活动。

“公平地说，在第一年左右，我们对受保实体进行了教育和技术援助，以使它们遵守规定，但受保实体现在也应该承担起遵守规定的责任，”OCR健康信息政策副主任苏珊·d·麦克安德鲁博士说。beplay最新备用网站“实体已经有足够的时间了解它们的义务是什么，我们有各种各样的合规工具，我们愿意使用。”beplay最新备用网站

HIPAA的范围允许每次违反最高100美元的民事罚款，违反每项要求或禁令的民事罚款每年最高25,000美元。刑事处罚适用于某些行为，例如故意违反法律获取受保护的健康信息，并提交给司法部。

某些犯罪行为的刑事处罚最高可达5万美元和1年监禁，如果犯罪行为是在“虚假借口”下实施的，最高可达10万美元和5年监禁，如果犯罪行为的目的是为了商业利益、个人利益或恶意伤害而出售、转让或使用受保护的健康信息，最高可达25万美元和10年监禁。

截至6月30日，共有436起案件被提交给司法部，但只有少数案件真正涉及起诉。在一些专家看来，司法部最近的一些案件，比如涉及阿肯色执业护士安德里亚·史密斯(Andrea Smith)的案件，她承认为了个人利益错误地泄露了病人信息。

Rogers建议电子健康记录(EHR)运动将进一步加强HIPAA更严格的执行力度，因为公众要求更多的保护。“我告诉我的客户，蜜月结束了。OCR给了大家一段适当的时间，让大家开始适应规则。“这是电子病历的采用。你把所有这些拼凑在一起，政府说我们必须保护消费者。”

然而，根据Melamed的说法，HIPAA诉讼数量很少的现实表明了一个更深层次的问题，即HIPAA投诉系统在揭露犯罪行为方面发挥了很少或根本没有作用。他指出:“我还没有看到OCR的投诉导致司法部提起刑事诉讼的案例。”

梅拉米德进一步表示，今后，大部分刑事执法活动将发生在州一级。

梅拉米德说:“现在的情况是，各州正在填补空白。”她指出，那些抱怨自己无法根据HIPAA提起诉讼的人感到沮丧。“近年来颁布了许多州法律，各州发现他们已经有了许多法律。人们会去州法院。”

然而，各州不一致的隐私和安全法律本身也产生了问题，因为跨州交换患者信息变得很困难。梅拉米德认为，这将使医疗保健领域的电子运动进一步复杂化。

加州隐私与安全顾问委员会的联合主席Rory Jaffe对此表示赞同，并指出他认为隐私问题影响和阻碍了更大的健康信息交换工作，而不是电子病历运动。

他说:“越来越难以追踪信息在哪里，以及你是否可以信任你的合作伙伴。”“我们正处于一个相当不稳定的阶段。……事情肯定会水落石出的。”

你想要什么?
这就是梅拉米德在批评人士指责HIPAA时提出的问题，他们质疑为什么这些规定没有产生更显著的民事和刑事结果。

“你对OCR有什么期望?”他说。“他们不是被设定为刑事执法人员的。他们的重点是政策和程序。”

HHS认为，围绕HIPAA执行的部分误解在于对该规则的管辖权和范围存在很大的误解。

制定HIPAA隐私和安全规则是为了规范个人可识别健康信息的使用和披露，从表面上看，它提供了第一个也是唯一一个保护健康信息隐私的国家标准。除其他规定外，它使患者对其健康信息有更多的控制权，为健康记录的使用和发布设定了界限，并建立了大多数医疗保健提供者必须实现的适当保障措施。

但是，OCR和CMS的范围是有限的，统计数据显示，这些部门收到的绝大多数投诉要么不值得采取严厉行动，要么是没有根据的，要么甚至不属于HIPAA的管辖范围，Jaffe说。

他说:“我不认为刑事执法对大多数问题(与向HIPAA提交的投诉有关)会有多大帮助。”“当然，对于那些为了经济利益或造成伤害而这样做的人，应该有更多的制裁……但这只是我们看到的少数(案例)。”

梅拉米德说，这些引人注目的数据泄露事件成为晚间新闻，并引起人们对加强患者隐私保护的关注。但OCR很快指出，许多成为头条新闻的恶意活动都不在HIPAA的范围之内。

麦克安德鲁说:“如果受保护实体的系统或做法使他们容易受到破坏，那就属于HIPAA。”他补充说，要提出投诉，公众必须意识到这种漏洞的存在。她说:“在某种程度上，一个受保护的实体没有适当有效地保护病人的隐私，这将属于HIPAA。”

贾菲认为，这正是HIPAA存在巨大盲点的地方，因为“HIPAA只涵盖三种类型的实体——供应商、结算所和健康保险公司。”梅拉米德补充说，由于这三家实体必须使用电子交易，因此该规定更加有限。

到达移动目标
梅拉米德说，更大程度的曝光和恶意窃取患者信息的行为，比如退伍军人事务部2600万份记录被盗的事件，将继续引起公众的关注。

“我们开始看到，提交给OCR的案件数量总体上略有上升，”他表示。“人们普遍担心所报道的违规行为的性质。”

他进一步建议，仅仅关注OCR和CMS并不能提供真实情况的完整图景，因为其他联邦机构也有一些健康数据隐私执法责任，超出了HIPAA的有限范围。

OCR的一位发言人指出，对HIPAA颁布以来的统计数据进行分析，可能会支持扩大法规范围的必要性，或者开发一些其他策略来确保适当的消费者保护，因为越来越明显的是，医疗保健系统的许多领域都没有被HIPAA覆盖。

梅拉米德说，考虑一下被覆盖实体的定义。由于HIPAA仅涵盖提供商、健康保险公司和计划以及医疗保健结算所，因此Google或Microsoft等其他公司不受HIPAA管辖。还有一些制药公司需要考虑，这样的公司不胜枚举。

“HIPAA的焦点是短视和短视的。我们管理医疗数据的方式超出了HIPAA，”梅拉米德说，这表明我们缺少的是全面的隐私立法。“这是一套不完整的指令，可能没有针对正确的人。”

梅拉米德说，围绕HIPAA有效性的争议提出了一些问题和考虑，这些问题和考虑适用于更大的隐私保护计划。

首先，他指出，医疗保健占美国经济的很大一部分，而且远不止是医院和医生。他质疑隐私规则是否真的针对所有正确的实体，并补充说，缺乏执行，或者缺乏投诉，证明需要民事罚款，可能表明医疗保健内部的固有文化是关注隐私的。

“医疗保健是我们所认为的虐待的温床吗?”他问道。“这个细分市场太窄了。”

另一方面，他说，投诉系统是被动的，是政府机构等着消费者提出问题，而他们可能没有意识或知识，不知道什么是糟糕的安全措施。

他补充道:“你可以用OCR提交文件，但它对你没有任何好处。”他指出，人们不能根据HIPAA提起诉讼。“不要期待满足。”

贾菲说，不管HIPAA是否有效地解决了侵犯隐私的犯罪方面的问题，仍然有一系列的活动需要刑事执法。他说:“考虑到人们访问健康记录的各种原因，执法部门肯定要发挥作用。”“这是一场与其他政策和程序不同的战斗。典型的机构在保护患者信息方面远不能做到完美。”

随着电子运动的势头不断增强，梅拉米德认为，未来的大问题将变成:“谁来负责保护人们的隐私?”

OCR的一位发言人指出，即使范围有限，HIPAA也是为隐私法规奠定基础的重要一步，并补充说，隐私和安全标准将继续改善有害的做法，特别是随着对电子健康档案问题的认识提高。

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅行的所有主题。