雷鋒網(wǎng)按：本文譯自Healthcare IT News

任何時候，患者都希望他們的醫(yī)療信息能夠保密，醫(yī)院也同樣需確保患者數(shù)據(jù)的安全。

但是為了實現(xiàn)更精準、更高效的醫(yī)療救治，就不得不進行一定的數(shù)據(jù)共享。

此外，隨著隱私和安全要求的變化，尤其是在這次新冠肺炎下的公共衛(wèi)生危機期間，對數(shù)據(jù)共享的需求更加迫切。

然而，這也直接與患者隱私產(chǎn)生了沖突。

因此，許多人存有疑問，HIPAA隱私權法案設立25年后的今天，是否應該更新？

HIPAA（Health Insurance Portability and Accountability Act）是美國1996年聯(lián)邦健康保險便攜與問責法案。 這項法案頒布的目的是，讓人們更容易維持他們的醫(yī)療保險（允許個人在換工作時，可以隨同攜帶自己的醫(yī)療保險，不會因為轉換工作而承保中斷。），保障醫(yī)療信息的保密性和安全性，并幫助醫(yī)療行業(yè)控制行政成本。

HIPAA要求醫(yī)療提供者、醫(yī)療保健結算中心、醫(yī)療保險這三類組織必須遵守相關規(guī)定，保護患者診斷、過程、預后數(shù)據(jù)以及個人身份、文件、郵件、口頭溝通等信息。

但這項法案，是否依舊完全適用于當今時代？為了討論這些挑戰(zhàn)和其他相關問題，Healthcare IT News召集了該領域的兩位專家進行討論：

Helen Oscislawski是Oscislawski LLC機構的一名醫(yī)療保健律師，專門研究IT和隱私問題。

Gerry Blass是ComplyAssistant的CEO，該公司是醫(yī)療風險與軟件合規(guī)供應商。

問：共享患者數(shù)據(jù)的優(yōu)點是什么？對醫(yī)療服務提供者和患者意味著什么？

Oscislawski：這個問題可以從許多不同的角度回答。例如，醫(yī)生可能傾向于認為共享患者數(shù)據(jù)的一個好處，是可以改善提供給患者的護理質量。另一方面，CIO可能會認為共享患者數(shù)據(jù)有益于提高CIO組織IT系統(tǒng)的價值和效率。

但從法律的角度來看，只有當“共享數(shù)據(jù)”減少了“不共享患者數(shù)據(jù)可能產(chǎn)生的潛在法律風險”，共享患者數(shù)據(jù)的好處才能體現(xiàn)。比如在某個病人身上獲得了重要的診斷測試結果，這個結果可以與醫(yī)生共享，醫(yī)生需要該信息來做出關鍵和緊急的治療決策。

但是，當測試結果只存在于獨立的EHR系統(tǒng)上，該系統(tǒng)就不會與使用其他EHR解決方案的提供商共享臨床數(shù)據(jù)，出于這個原因，診斷測試結果便不會與醫(yī)生共享，從而對患者的診斷決策產(chǎn)生一定的負面影響。因此，這種情況可能導致醫(yī)師潛在的醫(yī)療事故責任，如果共享患者數(shù)據(jù)，則可以避免。

共享患者數(shù)據(jù)還有一個重要的法律優(yōu)勢，《21世紀治愈法》第4004條規(guī)定，禁止“信息封鎖”，也就是不允許醫(yī)療供應商故意限制數(shù)據(jù)的共享，這一規(guī)定也直接導致每年對健康IT開發(fā)人員，HIN和HIE處以最高100萬美元的潛在罰款。 

Blass：從隱私和安全的角度來看，增加的數(shù)據(jù)共享通常意味著，有更多的PHI位置，用于保護其業(yè)務伙伴（BA）和下游BA。然后，隨著每個新地點的增加，審計范圍也隨之增加，同時也需要確保有適當?shù)膮f(xié)議和控制措施。

問：應不應該訪問患者數(shù)據(jù)？

Oscislawski：只有那些被合法授權的個人或機構，才應該被允許訪問患者數(shù)據(jù)。盡管我們正進入一個新時代：有些時候拒絕共享患者數(shù)據(jù)，也將會受到法律制裁。但極為重要的是，患者數(shù)據(jù)的保管方（醫(yī)院以及他們的供應商），不應受到不正當?shù)膲毫?，將他們病人的?shù)據(jù)，開放給任何聲稱根據(jù)這項新法律他們有權訪問數(shù)據(jù)的人。

信息保護法不支持向任何有需要的人共享數(shù)據(jù)。保護病人隱私的標準，在HIPAA和等效州法律仍然適用。這意味著，當你作為醫(yī)院工作人員，接觸到希望訪問患者數(shù)據(jù)的外部機構時，你仍舊需要詢問他們訪問和使用患者數(shù)據(jù)的目的是什么，以及HIPAA和州法律的例外情況下，是否允許這一目的，而不是直接讓患者授權或簽署同意。如果法律的答案是“不允許”，那么該機構不應該訪問患者數(shù)據(jù)，除非得到了患者的同意。

問：共享患者數(shù)據(jù)有什么弊端？

Oscislawski：這個問題可以從不同的角度來回答。共享特定數(shù)據(jù)是有利還是有弊，決于數(shù)據(jù)的準確性。

診斷測試數(shù)據(jù)從它的原始系統(tǒng)共享出來，如果它的準確性是確定的，那么結果有利于共享病人數(shù)據(jù)。但是，如果患者數(shù)據(jù)來自一個沒有修正版本的測試結果的系統(tǒng)，那么結果的準確性就會受到損害，共享數(shù)據(jù)將是一個錯誤開始，致使診斷不準確。

Blass：如果“數(shù)據(jù)來自未更正測試結果的系統(tǒng)...”，則表明數(shù)據(jù)完整性不足，這會違反HIPAA安全規(guī)則，當然正如Oscislawski所說，這對病人的護理產(chǎn)生了不利影響。

問：IT團隊在保護數(shù)據(jù)不被別人訪問的同時，實現(xiàn)數(shù)據(jù)共享的風險和影響是什么?

Oscislawski：根據(jù)HIPAA安全規(guī)則，IT團隊應該已經(jīng)開發(fā)了詳細的基于角色的訪問圖表，并根據(jù)特定的工作功能或合法授權個人訪問患者數(shù)據(jù)的目的相應地分配憑據(jù)。

Blass：HIPAA安全規(guī)則也要求有一個驗證和驗證請求組織和個人身份的過程。因此，需要繼續(xù)遵循這些相同的安全標準和實現(xiàn)規(guī)范，并開發(fā)行業(yè)最佳實踐。

問：醫(yī)療保健CIO和CISO如何在促進與HIPAA互操作性的原則之間達到最佳平衡？

Oscislawski：CIO和CISOs平衡HIPAA與互操作性和信息阻塞規(guī)則的最佳方式，是真正理解各自的需求和限制。我經(jīng)常聽到關于HIPAA的某些條款是如何定義或應用的錯誤信息或誤解?；ゲ僮餍院托畔⒆枞?guī)則也是如此。關鍵是要學會準確解讀規(guī)則實際上說了什么，沒有說什么。

Blass：要警惕那些對這些規(guī)則過于籠統(tǒng)地加以概括的人，比如，“你必須分享你的所有患者信息，因為，如果你不這樣做，就屬于非法信息封鎖。”問題出在細節(jié)上，CIO和CISOs需要了解HIPAA和interoper的細節(jié)。在HIPAA的早期，特別是從隱私的角度來看，人們?nèi)狈﹄[私實踐通知的了解，誰都可以透露PHI。這導致了后期由于對違反、懲罰、制裁等舉措的恐懼，從而拒絕進行數(shù)據(jù)授權披露。今天，人們對這個問題有了更清晰的理解，但這需要一段時間，而且可能仍然會讓一些提供商感到困惑。

Oscislawski是正確的，關于“要么全有，要么沒有”這種一刀切的方法是不正確的，關于非法信息攔截及其與HIPAA的關系的教育，肯定將是一個重要的優(yōu)先事項和必要性，以試圖避免HIPAA早期出現(xiàn)的混亂。

問：這對HIPAA有什么潛在的影響？這是否意味著我們需要更新HIPAA？

Oscislawski：政府已經(jīng)意識到，HIPAA和42 CFR第2部分的更新，可能需要充分實現(xiàn)病人數(shù)據(jù)互操作共享的潛力。作為其“向協(xié)調(diào)醫(yī)療的監(jiān)管沖刺”的一部分，OCR發(fā)布了一份信息請求(RFI)，征求公眾關于如何修改HIPAA以促進協(xié)調(diào)的、基于價值的醫(yī)療保健的建議和意見。

除要求就HIPAA提出一般性意見外，該協(xié)會還要求就HIPAA隱私規(guī)則的具體領域提出意見，包括：(1)鼓勵分享治療和護理協(xié)調(diào)方面的信息；(2)促進家長參與照顧…(3)解決阿片類藥物危機和嚴重精神疾?。?4)按照HITECH法案的要求，對治療、支付和醫(yī)療運營的PHI信息披露進行會計處理。

Blass：事實上，HIPAA規(guī)則自1996年以來就沒有明顯的更新。2013年的HITECH/Omnibus最終規(guī)則確實考慮到了更大的罰款和訴訟可能性，以及對BAs和覆蓋實體更嚴格的管理要求，但沒有考慮到過去10年網(wǎng)絡安全風險的顯著增加和漏洞控制的范圍。

為此，還有其他框架可以使用，比如NIST CSF等。所以，從Oscislawski提到的話題來看，我同意我們應該看到HIPAA的更新；從隱私和安全的角度來看，我們應該看到HIPAA和其他框架之間有更強的聯(lián)系，比如NIST CSF和/或其他框架。

問：醫(yī)療服務提供商如何成功地讓他們的團隊和患者，了解共享數(shù)據(jù)的價值?

Oscislawski：我建議把重點放在教育內(nèi)部團隊和患者“關于新規(guī)則和變化的真正含義的準確信息上”。我認為，這種教育內(nèi)容的準確和清晰至關重要——如果做得正確的話。我認為患者自己會做出正確的決定。

Blass：同意——它應該成為培訓和持續(xù)提醒的一部分，既要保護PHI，又要在適當?shù)臅r候分享它，以及兩者的價值。它確實是本應可操作的訓練的延伸。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。