Könnte HHS Informationen blockierende Regel unbeabsichtigte Folgen haben, auf die Daten Freigabe und Sicherheit?

Könnte HHS Informationen blockierende Regel unbeabsichtigte Folgen haben, auf die Daten Freigabe und Sicherheit?

Das US Department of Health and Human Services hat neue Vorschriften vorgeschlagen, dass eine tiefgreifende Wirkung auf, wie Dienstleister im Gesundheitswesen Anteil der Patientendaten. Das Büro für den Nationalen Koordinator für Gesundheit IT und den Zentren für Medicare & Medicaid-Dienste sind jeweils die Beurteilung von Industrie-get Kommentare über Ihre vorgeschlagenen Regeln.

HHS eindeutig beabsichtigt zu verändern, wie Patienten Datenaustausch zwischen Anbietern und Patienten zu umreißen, zulässige Geschäftspraktiken, die nicht als Informationen blockieren und indem die healthcare-Anbieter und deren service-Provider, um Daten auszutauschen breiter.

„Abschnitt 4004 of the 21st Century Kuren Gesetz verbietet die Informationen blockieren und ermächtigt die HHS zur Identifizierung von Tätigkeiten, die nicht als Informationen blockieren“, erklärte Amy S. Leopard, partner bei Bradley Arant Boult Cummings, eine Anwaltskanzlei, spezialisiert in verschiedenen Branchen, darunter Gesundheitswesen.

Leopard ist spezialisiert im Gesundheitswesen, Datenschutz und Sicherheit. Sie war zuletzt mit HIMSS Mitarbeiter auf die Kommentare zu den HHS vorgeschlagen, Informationen Blockierende Regeln.

Was genau ist Informationen blockieren?

Informationen blockiert ist, wenn ein Anbieter im Gesundheitswesen, Gesundheit Daten-Technologie-Entwickler, health information exchange oder Gesundheits-Informations-Netzwerk, (zusammengefasst als „Akteure“) greift in eine Praxis, die wahrscheinlich zu stören, zu verhindern oder wesentlich davon abhält, den Zugriff, den Austausch oder die Verwendung von elektronischen Gesundheitsdaten.

ONC entwickelt, die Ausnahmen, die die Zauber aus diesen Praktiken, die keine Informationen zu blockieren, aber diese Ausnahmen sind sehr schmal und enthalten detaillierte Anforderungen.

„Als Bedingung der Verwirklichung HHS-Zertifizierung auf Ihren Produkten, die Gesundheit IT-Entwickler kann Informationen blockieren und muss bescheinigen der Regierung, dass Sie nicht Informationen blockieren,“ Leopard sagte.

„Der Breite Zugriff brachte hier Stelle enorme Anforderungen an Sicherheit, compliance und Dokumentation notwendig, um die Unterstützung verweigerte Zugriff wird weitaus detaillierter zu vermeiden, die Vorwürfe von Informationen zu blockieren.“

Amy S. Leopard, Bradley Arant Boult Cummings

„Krankenhäuser und Fachkräfte, für die Teilnahme an der Medicare-und Medicaid-Programm zur Förderung der Interoperabilität – früher bekannt als sinnvolle Nutzung – müssen bezeugen, CMS, dass Sie nicht wissentlich und willentlich begrenzt oder eingeschränkt ist, die Kompatibilität oder Interoperabilität von Ihren zertifizierten electronic health record technology“, fügte Sie hinzu.

Die HHS Office of Inspector General wird halten Gesundheit IT-Entwickler, Gesundheits-Informationsaustausch und Netzwerken und medizinischen Dienstleistern die Verantwortung für beide Informationen blockieren und falsche Bescheinigungen, die von der Regierung Informationen zu blockieren. Gesundheits-IT-Entwickler können Strafen von bis zu $1 million und ein Verbot der zertifizierten Produkte.

„Wenn die OIG bestimmt ein healthcare-provider verpflichtet, die Informationen zu blockieren, es würde die Angelegenheit an die entsprechende Agentur – zum Beispiel von CMS -, OCR -, das Justizministerium – werden vorbehaltlich der geltenden gesetzlichen Behörden,“ Leopard erklärt. „HHS angefordert kommentieren, ob fehlanreize bereits unter aktuellen Regelungen sind hinreichend wirksam.“

Bereitstellung von Zugriff auf EHRs

Leopard glaubt, dass die Regel ist, die derzeit geschrieben werden, so breit, dass es würde umfassen die Bereitstellung von Zugang zu EHR-system darüber hinaus Zugriff auf die ärzten, Patienten und der von Ihnen benannten Anbieter wie auch als Außenstehende Anbieter.

„Anbieter müssen den „Zugang“ zu Ihren elektronischen gesundheitsinformationssystemen, um es Dritten ermöglichen, zu lokalisieren und abrufen von Informationen von und für alle source-Systeme, in denen der provider speichert Informationen im Gesundheitswesen“, sagte Sie.

„Diese definition könnte den Dienstleistern im Gesundheitswesen zu bieten, jemand mit der Fähigkeit, physisch Zugriff auf EHRs für klinische Zwecke eingesetzt und Finanz-Systemen, die für die Patienten, Abrechnung, um zu suchen und abrufen von Patienten-Gesundheits-info – viel breiter als patient portal-Zugang oder übertragung auf einen anderen Anbieter oder auf einen Patienten oder seinem Beauftragten“, erklärte Sie.

Der Zugang zu eröffnenden könnte führen zu vorhersehbaren und unvorhersehbaren negativen Konsequenzen, wenn er nicht richtig verwaltet wird, hat Sie Hinzugefügt.

Gesundheitswesen CISOs und CIOs konfrontiert sind, die wachsenden Anforderungen zu bieten EHR-Zugang zu mehr Parteien, bei gleichzeitiger Sicherung der Daten beibehalten, die innerhalb des EHR.

„CISOs und sofort sehen, die zahlreiche Datenschutz-und Sicherheitsbedenken bei der Bereitstellung von EHR-Zugang über Ihren eigenen ärzten,“ Leopard angegeben. “Wenn die Regel abgeschlossen in der vorliegenden form-provider-Organisationen müssen Maßnahmen ergreifen, um anzunehmen, Datenschutz-und Sicherheitsrichtlinien sind zugeschnitten auf die spezifischen Datenschutz-oder Sicherheitsrisiko Bedenken. Dies bedeutet, dass sowohl das Verständnis und die die Grundlage für die Unterscheidungen in access policies anstatt die Annahme breit oder generische Privatsphäre und Politik.“

Nicht teilen, aus Gründen der Sicherheit

Insbesondere wenn ein Anbieter im Gesundheitswesen Organisation bestimmt, nicht zu teilen, elektronischen Gesundheitsdaten aus Gründen der Sicherheit, jene Gründe, die angegangen werden müssen, eine schriftliche Erklärung vorbereitet, auf der Grundlage einer Risikobewertung mit den Parametern maßgeschneidert auf, den besonderen Risiken der Sorge, Leopard erklärt.

„Nicht mehr wird es ausreichend sein, den Zugang zu verweigern, basierend auf „Sicherheit“ im Allgemeinen“, sagte Sie. „Ebenso, wenn die basis für die Ablehnung einer Anforderung für den Zugriff der staatlichen oder bundesstaatlichen Gesetze zum Datenschutz, die spezifische Grundlage, die Sie betreffen, muss eine schriftliche Richtlinie über die Einsetzung der spezifischen Gesetz und Begründung für die Verweigerung des Zutritts und wie der Schauspieler kann erfüllen die gesetzliche Anforderung, damit die Informationen übermittelt werden können – zum Beispiel, indem versucht wird, eine Einwilligung, wo nötig.“

Mit high-level-Datenschutzrichtlinien, die einfach verlangen Patienten die Zustimmung für die Offenlegung, ohne zu beschreiben, wie die Patienten ausüben werden sinnvolle Wahl über Zustimmung könnte als ein Vorwand oder Rationalisierung für die Informationen zu blockieren, sagte Sie.

„Weiter, Beschränkungen des Zugangs müssen konsequent angewendet in einer nicht diskriminierenden Art und Weise,“ fuhr Sie Fort. “Datenschutz-und Sicherheitsrichtlinien und-Praktiken muss gleichmäßig aufgetragen werden, um die Organisation selbst, zu Menschen, mit denen es eine Geschäftsbeziehung, und für diejenigen, mit denen es keine Beziehung.

„Healthcare-provider-Organisationen, die sich weigern zu exchange-Gesundheits-Informationen mit Konkurrenten oder mit einem Patienten-app auf der basis von belastenden Datenschutz oder die Sicherheit, dass nicht andere müssten streng rechtfertigen einen Ansatz,“ fügte Sie hinzu.

Als ein Beispiel, wenn die Organisation stellt eine Anforderung, dass Drittanbieter-apps, die Informationen über Namen des Patienten nutzen, multi-Faktor-Authentifizierung, die Schauspieler benötigen würde, um zu Folgen, dass die Authentifizierung Anforderung, für sich und seine Mitgliedsorganisationen den Zugriff auf die gleichen Informationen, Leopard erklärt.

„Der Breite Zugriff brachte hier Stelle enorme Anforderungen an Sicherheit, compliance und Dokumentation notwendig, um die Unterstützung verweigerte Zugriff wird weitaus detaillierter zu vermeiden, die Vorwürfe von Informationen zu blockieren,“ sagte Sie. „Organisationen müssen sich zu binden, Ihre Politik wieder auf Ihre Sicherheit Risikobewertung, aktualisieren Ihre Richtlinien werden intern konsistent ist, und ausreichende Schulungen für die Mitarbeiter beteiligt, die in EHR-Bereitstellung zu verstehen, dass die Organisation access-Politik.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.