La legge sulla protezione dei dati sanitari personali domerà il selvaggio West? – Il blog di assistenza sanitaria

La legge sulla protezione dei dati sanitari personali domerà il selvaggio West? – Il blog di assistenza sanitaria
5 (99.17%) 24 votes

Vince Kuraitis
Deven McGraw

Di DEVEN McGRAW e VINCE KURAITIS

Questo post fa parte del "Dilemma Goldilocks dei dati sanitari: la privacy? La condivisione? Tutti e due?"

introduzione

Nel nostro post precedente, abbiamo descritto il "Wild West di dati sanitari non protetti. ”La cavalleria arriverà per proteggere le enormi quantità di dati sulla tua salute personale che sono ampiamente non protetti dalla condivisione e dall'uso da parte di terzi?

Il Congresso sta prendendo seriamente in considerazione la legislazione per migliorare
proteggere la privacy dei dati personali dei consumatori, dato il patchwork di
protezioni per la privacy esistenti. Per la maggior parte, le bollette, mentre possono
coprire alcuni dati sanitari, non si concentrano solo sui dati sanitari – con uno
eccezione: la "Legge sulla protezione dei dati sanitari personali" (S.1842), introdotta da
Senatori Klobuchar e Murkowski.

In questa serie, ci siamo impegnati a guardare tutti
varie fatture sulla privacy in corso al Congresso e identificazione delle tendenze,
punti in comune e differenze nei loro approcci. Ma pensiamo che questo conto,
a causa del suo esclusivo focus sulla salute, merita un suo posto. Preoccuparsi di
la privacy sanitaria al di fuori di HIPAA sta ricevendo maggiore attenzione alla luce di
la spinta per l'interoperabilità, che rende questo disegno di legge tempestivo e
potenzialmente degno della tua attenzione.

HHS e ONC hanno recentemente pubblicato a. Questa norma proposta ha ricevuto oltre 2.000 commenti, molti dei quali hanno sollevato problemi significativi su come la regola sia potenzialmente in conflitto con le esigenze del paziente e del fornitore in termini di privacy e sicurezza dei dati.

Ad esempio, una maggiore interoperabilità con i pazienti significa che un numero ancora maggiore di dati medici e relativi ai reclami affluirà al di fuori dell'HIPAA verso il "selvaggio West".

“Se i pazienti accedono alla loro salute
dati, alcuni dei quali potrebbero contenere la storia familiare e potrebbero essere sensibili
uno smartphone, devono avere una chiara comprensione dei potenziali usi di
quei dati dagli sviluppatori di app. La maggior parte dei pazienti non sarà a conoscenza di chi abbia accesso
alle loro informazioni mediche, come e perché le hanno ricevute e come sono
utilizzato (ad esempio, un'app può raccogliere o utilizzare informazioni per i propri scopi,
come un assicuratore che utilizza le informazioni sanitarie per limitare / escludere la copertura
determinati servizi o possono vendere informazioni a clienti come un datore di lavoro o
un padrone di casa). Le conseguenze a valle dei dati utilizzati in questo modo possono
alla fine erodono la privacy e la volontà di un paziente di divulgare informazioni
il suo medico. "

Gli ex coordinatori ONC hanno presentato un sostegno per le disposizioni della NPRM che promuove l'interoperabilità, ma hanno anche espresso preoccupazione per la privacy e hanno chiesto l'adozione di un quadro globale sulla privacy per proteggere i consumatori.

Dato il forte sostegno bipartisan del Congresso per
interoperabilità, ciò può fornire una maggiore motivazione a cui il Congresso deve agire
colmare le lacune nelle protezioni per le informazioni sulla salute e potrebbe essere più semplice
affinché il Congresso approvi una legge sulla privacy più mirata. È anche possibile che questo
il disegno di legge bipartisan potrebbe essere incorporato in una più ampia legislazione sulla privacy.

Chi è coperto?
Chi non è coperto?

Il disegno di legge inizia con ampi riferimenti al rapporto 2016 del Dipartimento della salute e dei servizi umani (il "Rapporto HHS 2016"). Tale rapporto descriveva la portata limitata dell'HIPAA, identificava un ampio raggio di entità che detenevano informazioni sulla salute al di fuori della copertura dell'HIPAA e raccomandava al Congresso di colmare le lacune nelle protezioni. Per quanto ne sappiamo, questa è la prima proposta di legge bipartisan introdotta per rispondere specificamente a questo rapporto HHS.

Il conto non copre tutti i dati sanitari al di fuori di HIPAA.
Al contrario, il disegno di legge si rivolge agli "operatori" di "dispositivi di consumo, servizi,
applicazioni e software "progettati principalmente per o commercializzati
consumatori e "uno scopo sostanziale dell'uso è quello di raccogliere o utilizzare
dati sulla salute personale ". (Ai fini di questo post, ci riferiremo ad essi come Personale
Strumenti di dati sanitari.) Dati sanitari personali
Gli strumenti comprendono espressamente i servizi di test genetici diretti ai consumatori, mobili
tecnologie e siti di social media. I dati sulla salute personale sono definiti in modo simile
alle informazioni sanitarie protette ai sensi di HIPAA: informazioni relative al
salute fisica o mentale passata, presente o futura di un individuo e quello
“Identifica l'individuo, o rispetto al quale esiste un ragionevole
base per credere che le informazioni possano essere utilizzate per identificare l'individuo. "

Il disegno di legge sembra mirare ai tipi di entità più probabili
raccogliere dati da cartelle cliniche elettroniche per conto o con il
consenso di, pazienti, che potenzialmente rispondono alle preoccupazioni espresse sull'interoperabilità
iniziative.

Ma anche all'interno di questo focus ristretto, ci sono dei limiti
copertura.

Il conto espressamente non copre i prodotti in cui "personale"
i dati sanitari sono derivati ​​esclusivamente da altre informazioni non personali
dati sanitari "(ad esempio dati GPS). Questo
il linguaggio sembra esentare le entità che raccolgono dati sui determinanti sociali (come
come età, reddito, livello di istruzione, codice postale) e utilizzarlo per motivi di salute.

Potrebbe anche essere fonte di confusione quando un prodotto o servizio ha un
Scopo "sostanziale" dell'uso della raccolta o dell'utilizzo di dati sanitari personali,
in particolare quando si raccolgono dati che potrebbero in definitiva essere utilizzati per la salute
le finalità non sono conteggiate come dati sanitari personali. Potrebbero esserci anche prodotti
dove la raccolta dei dati non è uno "scopo sostanziale" dell'azienda ma
piuttosto un sottoprodotto della fornitura di un altro servizio. Ad esempio, un dispositivo impiantabile come un
il pacemaker genera dati ma lo scopo primario (probabilmente "sostanziale") di
il dispositivo è di mantenere ritmi cardiaci sani.

Inoltre non sono coperti prodotti o servizi "progettati per, o
commercializzato a "HIPAA riguardava entità e soci in affari, probabilmente perché
tali prodotti e servizi sarebbero coperti da HIPAA.

Quali nuovi requisiti verranno applicati ai dati sanitari personali
Utensili? Nuovi regolamenti.

Il disegno di legge non estende solo HIPAA agli operatori coperti da
il conto. Invece, il conto imposta
un processo, in un lasso di tempo abbastanza veloce (sebbene potenzialmente non veloce
abbastanza – vedi sotto) per lo sviluppo di norme sulla privacy e sulla sicurezza che lo faranno
applicare agli strumenti di dati sanitari personali.

Il disegno di legge richiede HHS, in consultazione con FTC e
Ufficio HHS del Coordinatore nazionale (ONC), per istituire una task force di up
a 15 membri che rappresentano "una serie diversificata di prospettive delle parti interessate"
Task Force, che sarà regolata dalla legge del Comitato consultivo federale (e
quindi deve condurre la maggior parte delle sue riunioni in pubblico), ha un anno per sviluppare un
riferire al Congresso, nonché a HHS, FTC e Food and Drug
Amministrazione (FDA), con i suoi risultati.
Il disegno di legge identifica quanto segue come aree specifiche di interesse per
Task Force:

  • Efficacia a lungo termine della disidentificazione
    metodi per dati genetici e biometrici;
  • Problemi di sicurezza (compresa la sicurezza informatica
    rischi) e standard per affrontarli, per gli strumenti di dati sanitari personali;
  • Preoccupazioni sulla privacy e standard di protezione
    relativi ai dati sulla salute dei consumatori e dei dipendenti;
  • Revisione del rapporto HHS 2016 e consulenza su
    se deve essere aggiornato; e
  • Consulenza sulle risorse per educare i consumatori
    le basi della genetica e dei test genetici diretti al consumatore.

Dopo che HHS riceve il rapporto della Task Force, il conto
richiede che HHS pubblichi le norme sulla privacy e sulla sicurezza per disciplinare il personale
dati sulla salute che sono "raccolti, elaborati, analizzati o utilizzati da" Salute personale
Strumenti dati entro sei mesi. HHS è
richiesto di consultare FTC, ONC, FDA, "parti interessate rilevanti" e "responsabili
di altre agenzie federali ritenute appropriate dal segretario ”(possibilmente il
Office for Civil Rights?), Nello sviluppo di questi regolamenti. è degno di nota
che HHS ha il compito di regolamentare questo particolare gruppo di non coperti
entità, come altre leggi in sospeso al Congresso conferirebbero l'autorità sulla privacy
FTC.

Il disegno di legge non impone particolari privacy e sicurezza
protezioni che HHS deve applicare agli strumenti di dati sanitari personali; comunque, il
la fattura richiede che HHS affronti una serie di problemi. In particolare, la fattura richiede HHS a
tenere conto:

  • I risultati del Rapporto HHS 2016;
  • Regolamenti e linee guida emanati dalla FTC, come
    così come i regolamenti HIPAA.
  • Standard uniformi per il consenso relativi a
    dati sulla salute genetica, biometrica e personale;
  • Eccezioni ai requisiti di consenso, come ad esempio per
    attività di contrasto, ricerca accademica o ricerca sull'utilizzo dell'assistenza sanitaria e
    risultati, cure mediche di emergenza o determinazione della paternità;
  • Standard minimi di sicurezza che possono differire
    in base alla natura e alla sensibilità dei dati raccolti da Personal
    Strumenti sanitari;
  • Standard adeguati per la disidentificazione di
    dati sanitari personali; e
  • Limitazioni appropriate sulla raccolta, utilizzo
    o divulgazione di dati sanitari personali.

Nello sviluppo di regolamenti per affrontare le aree identificate
sopra, HHS deve anche considerare:

  • Sviluppo di standard per ottenere il consenso dell'utente
    ciò aiuta a garantire che i consumatori comprendano come saranno i loro dati sulla salute personale
    essere accessibile, utilizzato e condiviso;
  • Come limitare il trasferimento della salute personale
    dati a terzi e fornire ai consumatori un maggiore controllo sul marketing
    usi dei loro dati;
  • Usi secondari oltre ciò che il consumatore
    inizialmente acconsentito a;
  • Un processo per consentire la revoca del consenso dell'utente;
  • Fornire un diritto di accesso ai consumatori
    copie dei dati sanitari personali; e
  • Fornire un diritto di eliminare e modificare personale
    dati sanitari, "nella misura del possibile".

Problemi irrisolti

Rinforzo.
Il disegno di legge conferisce a HHS l'autorità di emanare regolamenti ma non lo fa
istituire un'autorità penale per la violazione di tali regolamenti, lasciando un
domanda aperta se ci sarà modo di ritenere responsabili le entità
per aderire a loro. Questo è un buco piuttosto significativo nel conto
quadro di protezioni.

Timing. Se il conto è almeno parzialmente finalizzato
affrontare le preoccupazioni che potrebbero far deragliare o rallentare l'interoperabilità
iniziative, Congresso – e HHS – devono muoversi rapidamente. Se le linee temporali in
la fattura viene mantenuta, i regolamenti potrebbero essere proposti entro 1,5 anni dall'entrata in vigore. ONC
spera di mettere a punto le norme sull'interoperabilità e sul blocco delle informazioni
entro la fine del 2019 e i requisiti di interoperabilità dovrebbero essere
installato dai rivenditori EHR entro due anni dalla fine della regola. Quindi ci sono probabilmente alcune sinergie nei tempi
delle nuove normative e quando le iniziative di interoperabilità saranno pienamente
implementato. Ma sei mesi sono un tempo molto breve per HHS per completare la stesura
regolamenti e farli passare attraverso il processo di liquidazione federale e arrivare a
un'ultima regola dopo che sono state proposte le regole potrebbe aggiungere almeno un altro anno a
quel programma.

Quali regole si applicano?
Anche se il disegno di legge cerca di chiarire che le entità coperte da HIPAA
non saranno soggetti alle nuove normative, probabilmente ce ne saranno ancora alcune
confusione nella copertura. Per esempio,
ci saranno prodotti venduti sia ai fornitori che ai consumatori
uso (ad esempio, alcuni prodotti di cartelle cliniche personali che hanno entrambi
portali rivolti al consumatore e forniscono servizi di dati ai fornitori), che
è più difficile discernere quali serie di regolamenti si applicano (risolverlo
è qualcosa che HHS potrebbe affrontare durante il processo normativo).

Terremo d'occhio questo disegno di legge, come faremo con tutti
le fatture sulla privacy pendenti prima del Congresso. Resta sintonizzato per ulteriori informazioni.

Deven McGraw, JD, MPH, LLM (@healthprivacy) è il Chief Regulatory Officer di Ciitizen (ed ex funzionario di OCR e ONC). Lei blog su.

Vince Kuraitis, JD / MBA (@VinceKuraitis) è un consulente di strategia sanitaria indipendente con oltre 30 anni di esperienza in oltre 150 organizzazioni sanitarie.