雷鋒網(wǎng)按：本文譯自Healthcare IT News

任何時(shí)候，患者都希望他們的醫(yī)療信息能夠保密，醫(yī)院也同樣需確保患者數(shù)據(jù)的安全。

但是為了實(shí)現(xiàn)更精準(zhǔn)、更高效的醫(yī)療救治，就不得不進(jìn)行一定的數(shù)據(jù)共享。

此外，隨著隱私和安全要求的變化，尤其是在這次新冠肺炎下的公共衛(wèi)生危機(jī)期間，對(duì)數(shù)據(jù)共享的需求更加迫切。

然而，這也直接與患者隱私產(chǎn)生了沖突。

因此，許多人存有疑問，HIPAA隱私權(quán)法案設(shè)立25年后的今天，是否應(yīng)該更新？

HIPAA（Health Insurance Portability and Accountability Act）是美國1996年聯(lián)邦健康保險(xiǎn)便攜與問責(zé)法案。 這項(xiàng)法案頒布的目的是，讓人們更容易維持他們的醫(yī)療保險(xiǎn)（允許個(gè)人在換工作時(shí)，可以隨同攜帶自己的醫(yī)療保險(xiǎn)，不會(huì)因?yàn)檗D(zhuǎn)換工作而承保中斷。），保障醫(yī)療信息的保密性和安全性，并幫助醫(yī)療行業(yè)控制行政成本。

HIPAA要求醫(yī)療提供者、醫(yī)療保健結(jié)算中心、醫(yī)療保險(xiǎn)這三類組織必須遵守相關(guān)規(guī)定，保護(hù)患者診斷、過程、預(yù)后數(shù)據(jù)以及個(gè)人身份、文件、郵件、口頭溝通等信息。

但這項(xiàng)法案，是否依舊完全適用于當(dāng)今時(shí)代？為了討論這些挑戰(zhàn)和其他相關(guān)問題，Healthcare IT News召集了該領(lǐng)域的兩位專家進(jìn)行討論：

Helen Oscislawski是Oscislawski LLC機(jī)構(gòu)的一名醫(yī)療保健律師，專門研究IT和隱私問題。

Gerry Blass是ComplyAssistant的CEO，該公司是醫(yī)療風(fēng)險(xiǎn)與軟件合規(guī)供應(yīng)商。

問：共享患者數(shù)據(jù)的優(yōu)點(diǎn)是什么？對(duì)醫(yī)療服務(wù)提供者和患者意味著什么？

Oscislawski：這個(gè)問題可以從許多不同的角度回答。例如，醫(yī)生可能傾向于認(rèn)為共享患者數(shù)據(jù)的一個(gè)好處，是可以改善提供給患者的護(hù)理質(zhì)量。另一方面，CIO可能會(huì)認(rèn)為共享患者數(shù)據(jù)有益于提高CIO組織IT系統(tǒng)的價(jià)值和效率。

但從法律的角度來看，只有當(dāng)“共享數(shù)據(jù)”減少了“不共享患者數(shù)據(jù)可能產(chǎn)生的潛在法律風(fēng)險(xiǎn)”，共享患者數(shù)據(jù)的好處才能體現(xiàn)。比如在某個(gè)病人身上獲得了重要的診斷測(cè)試結(jié)果，這個(gè)結(jié)果可以與醫(yī)生共享，醫(yī)生需要該信息來做出關(guān)鍵和緊急的治療決策。

但是，當(dāng)測(cè)試結(jié)果只存在于獨(dú)立的EHR系統(tǒng)上，該系統(tǒng)就不會(huì)與使用其他EHR解決方案的提供商共享臨床數(shù)據(jù)，出于這個(gè)原因，診斷測(cè)試結(jié)果便不會(huì)與醫(yī)生共享，從而對(duì)患者的診斷決策產(chǎn)生一定的負(fù)面影響。因此，這種情況可能導(dǎo)致醫(yī)師潛在的醫(yī)療事故責(zé)任，如果共享患者數(shù)據(jù)，則可以避免。

共享患者數(shù)據(jù)還有一個(gè)重要的法律優(yōu)勢(shì)，《21世紀(jì)治愈法》第4004條規(guī)定，禁止“信息封鎖”，也就是不允許醫(yī)療供應(yīng)商故意限制數(shù)據(jù)的共享，這一規(guī)定也直接導(dǎo)致每年對(duì)健康IT開發(fā)人員，HIN和HIE處以最高100萬美元的潛在罰款。 

Blass：從隱私和安全的角度來看，增加的數(shù)據(jù)共享通常意味著，有更多的PHI位置，用于保護(hù)其業(yè)務(wù)伙伴（BA）和下游BA。然后，隨著每個(gè)新地點(diǎn)的增加，審計(jì)范圍也隨之增加，同時(shí)也需要確保有適當(dāng)?shù)膮f(xié)議和控制措施。

問：應(yīng)不應(yīng)該訪問患者數(shù)據(jù)？

Oscislawski：只有那些被合法授權(quán)的個(gè)人或機(jī)構(gòu)，才應(yīng)該被允許訪問患者數(shù)據(jù)。盡管我們正進(jìn)入一個(gè)新時(shí)代：有些時(shí)候拒絕共享患者數(shù)據(jù)，也將會(huì)受到法律制裁。但極為重要的是，患者數(shù)據(jù)的保管方（醫(yī)院以及他們的供應(yīng)商），不應(yīng)受到不正當(dāng)?shù)膲毫Γ瑢⑺麄儾∪说臄?shù)據(jù)，開放給任何聲稱根據(jù)這項(xiàng)新法律他們有權(quán)訪問數(shù)據(jù)的人。

信息保護(hù)法不支持向任何有需要的人共享數(shù)據(jù)。保護(hù)病人隱私的標(biāo)準(zhǔn)，在HIPAA和等效州法律仍然適用。這意味著，當(dāng)你作為醫(yī)院工作人員，接觸到希望訪問患者數(shù)據(jù)的外部機(jī)構(gòu)時(shí)，你仍舊需要詢問他們?cè)L問和使用患者數(shù)據(jù)的目的是什么，以及HIPAA和州法律的例外情況下，是否允許這一目的，而不是直接讓患者授權(quán)或簽署同意。如果法律的答案是“不允許”，那么該機(jī)構(gòu)不應(yīng)該訪問患者數(shù)據(jù)，除非得到了患者的同意。

問：共享患者數(shù)據(jù)有什么弊端？

Oscislawski：這個(gè)問題可以從不同的角度來回答。共享特定數(shù)據(jù)是有利還是有弊，決于數(shù)據(jù)的準(zhǔn)確性。

診斷測(cè)試數(shù)據(jù)從它的原始系統(tǒng)共享出來，如果它的準(zhǔn)確性是確定的，那么結(jié)果有利于共享病人數(shù)據(jù)。但是，如果患者數(shù)據(jù)來自一個(gè)沒有修正版本的測(cè)試結(jié)果的系統(tǒng)，那么結(jié)果的準(zhǔn)確性就會(huì)受到損害，共享數(shù)據(jù)將是一個(gè)錯(cuò)誤開始，致使診斷不準(zhǔn)確。

Blass：如果“數(shù)據(jù)來自未更正測(cè)試結(jié)果的系統(tǒng)...”，則表明數(shù)據(jù)完整性不足，這會(huì)違反HIPAA安全規(guī)則，當(dāng)然正如Oscislawski所說，這對(duì)病人的護(hù)理產(chǎn)生了不利影響。

問：IT團(tuán)隊(duì)在保護(hù)數(shù)據(jù)不被別人訪問的同時(shí)，實(shí)現(xiàn)數(shù)據(jù)共享的風(fēng)險(xiǎn)和影響是什么?

Oscislawski：根據(jù)HIPAA安全規(guī)則，IT團(tuán)隊(duì)?wèi)?yīng)該已經(jīng)開發(fā)了詳細(xì)的基于角色的訪問圖表，并根據(jù)特定的工作功能或合法授權(quán)個(gè)人訪問患者數(shù)據(jù)的目的相應(yīng)地分配憑據(jù)。

Blass：HIPAA安全規(guī)則也要求有一個(gè)驗(yàn)證和驗(yàn)證請(qǐng)求組織和個(gè)人身份的過程。因此，需要繼續(xù)遵循這些相同的安全標(biāo)準(zhǔn)和實(shí)現(xiàn)規(guī)范，并開發(fā)行業(yè)最佳實(shí)踐。

問：醫(yī)療保健CIO和CISO如何在促進(jìn)與HIPAA互操作性的原則之間達(dá)到最佳平衡？

Oscislawski：CIO和CISOs平衡HIPAA與互操作性和信息阻塞規(guī)則的最佳方式，是真正理解各自的需求和限制。我經(jīng)常聽到關(guān)于HIPAA的某些條款是如何定義或應(yīng)用的錯(cuò)誤信息或誤解?；ゲ僮餍院托畔⒆枞?guī)則也是如此。關(guān)鍵是要學(xué)會(huì)準(zhǔn)確解讀規(guī)則實(shí)際上說了什么，沒有說什么。

Blass：要警惕那些對(duì)這些規(guī)則過于籠統(tǒng)地加以概括的人，比如，“你必須分享你的所有患者信息，因?yàn)?，如果你不這樣做，就屬于非法信息封鎖。”問題出在細(xì)節(jié)上，CIO和CISOs需要了解HIPAA和interoper的細(xì)節(jié)。在HIPAA的早期，特別是從隱私的角度來看，人們?nèi)狈?duì)隱私實(shí)踐通知的了解，誰都可以透露PHI。這導(dǎo)致了后期由于對(duì)違反、懲罰、制裁等舉措的恐懼，從而拒絕進(jìn)行數(shù)據(jù)授權(quán)披露。今天，人們對(duì)這個(gè)問題有了更清晰的理解，但這需要一段時(shí)間，而且可能仍然會(huì)讓一些提供商感到困惑。

Oscislawski是正確的，關(guān)于“要么全有，要么沒有”這種一刀切的方法是不正確的，關(guān)于非法信息攔截及其與HIPAA的關(guān)系的教育，肯定將是一個(gè)重要的優(yōu)先事項(xiàng)和必要性，以試圖避免HIPAA早期出現(xiàn)的混亂。

問：這對(duì)HIPAA有什么潛在的影響？這是否意味著我們需要更新HIPAA？

Oscislawski：政府已經(jīng)意識(shí)到，HIPAA和42 CFR第2部分的更新，可能需要充分實(shí)現(xiàn)病人數(shù)據(jù)互操作共享的潛力。作為其“向協(xié)調(diào)醫(yī)療的監(jiān)管沖刺”的一部分，OCR發(fā)布了一份信息請(qǐng)求(RFI)，征求公眾關(guān)于如何修改HIPAA以促進(jìn)協(xié)調(diào)的、基于價(jià)值的醫(yī)療保健的建議和意見。

除要求就HIPAA提出一般性意見外，該協(xié)會(huì)還要求就HIPAA隱私規(guī)則的具體領(lǐng)域提出意見，包括：(1)鼓勵(lì)分享治療和護(hù)理協(xié)調(diào)方面的信息；(2)促進(jìn)家長(zhǎng)參與照顧…(3)解決阿片類藥物危機(jī)和嚴(yán)重精神疾??；(4)按照HITECH法案的要求，對(duì)治療、支付和醫(yī)療運(yùn)營(yíng)的PHI信息披露進(jìn)行會(huì)計(jì)處理。

Blass：事實(shí)上，HIPAA規(guī)則自1996年以來就沒有明顯的更新。2013年的HITECH/Omnibus最終規(guī)則確實(shí)考慮到了更大的罰款和訴訟可能性，以及對(duì)BAs和覆蓋實(shí)體更嚴(yán)格的管理要求，但沒有考慮到過去10年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的顯著增加和漏洞控制的范圍。

為此，還有其他框架可以使用，比如NIST CSF等。所以，從Oscislawski提到的話題來看，我同意我們應(yīng)該看到HIPAA的更新；從隱私和安全的角度來看，我們應(yīng)該看到HIPAA和其他框架之間有更強(qiáng)的聯(lián)系，比如NIST CSF和/或其他框架。

問：醫(yī)療服務(wù)提供商如何成功地讓他們的團(tuán)隊(duì)和患者，了解共享數(shù)據(jù)的價(jià)值?

Oscislawski：我建議把重點(diǎn)放在教育內(nèi)部團(tuán)隊(duì)和患者“關(guān)于新規(guī)則和變化的真正含義的準(zhǔn)確信息上”。我認(rèn)為，這種教育內(nèi)容的準(zhǔn)確和清晰至關(guān)重要——如果做得正確的話。我認(rèn)為患者自己會(huì)做出正確的決定。

Blass：同意——它應(yīng)該成為培訓(xùn)和持續(xù)提醒的一部分，既要保護(hù)PHI，又要在適當(dāng)?shù)臅r(shí)候分享它，以及兩者的價(jià)值。它確實(shí)是本應(yīng)可操作的訓(xùn)練的延伸。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。