2. daļa: Jaunā federālā veselības privātuma regula

Ievads

Līdz federālā veselības privātuma regulējuma izlaišanai veselības informācijai bija maz juridiskas aizsardzības - tiešsaistē vai bezsaistē. Atšķirībā no finanšu dokumentiem, kredītatskaitēm un pat video nomas ierakstiem nav visaptveroša federālā likuma, kas aizsargātu medicīnisko dokumentu privātumu. Veicot tiešsaistes darbības, FTC ir pilnvarots saukt pie atbildības par vietnēm, kuras izmanto negodīgu vai maldinošu praksi, piemēram, neievēro viņu pašu privātuma politikas.28Atliek gaidīt, vai FTC rīkosies, lai apstrīdētu vietnes, kas neko nesaka vai publicē slikti izstrādātas privātuma politikas.29

HIPAA pieprasīja, lai HHS izdotu veselības privātuma noteikumus, jo Kongress nepieņēma šādus tiesību aktus līdz likumdošanas termiņam. Pēc būtiskiem sabiedrības komentāriem Departaments galīgo regulu izlaida 2000. gada 20. decembrī. Sākotnēji bija paredzēts, ka privātuma regula stāsies spēkā 2001. gada 26. februārī, taču administratīvās uzraudzības dēļ tā tika aizkavēta.30Buša administrācija 14. aprīlī atļāva regulai stāties spēkā, taču paziņoja, ka nākotnē iespējamas izmaiņas. Atbilstības termiņš ir 2003. gada aprīlis lielākajai daļai no tiem, uz kuriem attiecas regula.


Kas un uz ko attiecas

Privātuma regulējums ir daļa no HIPAA pilnvaroto noteikumu kopuma, kas aptver privātuma, drošības un elektronisko darījumu standartus. Kopā šie noteikumi ir izstrādāti, lai veicinātu vienotas datorizētas veselības informācijas sistēmas izveidi. HIPAA tomēr uzlika ierobežojumus HHS & rsquo; noteikumu izstrādes iestāde, ierobežojot privātuma regulas darbības jomu. Regula neattiecas uz visām personām vai organizācijām, kurām ir piekļuve personīgās veselības informācijai. Tas tieši attiecas tikai uz trim dažādiem veselības aprūpes subjektiem:

  • Pakalpojumu sniedzēji, piemēram, ārsti, slimnīcas un farmaceiti, kuri elektroniski nosūta ar veselību saistītu norāžu informāciju31& ldquo; standarta formātā; & rdquo;32
  • Veselības plāni, piemēram, tradicionālie apdrošinātāji un HMO; un
  • & ldquo; Klīringa nami, & rdquo; vienības, kas pakalpojumu sniedzējiem un apdrošinātājiem vienotā formātā apstrādā informāciju par veselīguma norādēm, piemēram, WebMD Office.33

Persona vai organizācija, kas ietilpst vienā no šīm kategorijām, tiek uzskatīta par “aptvertu vienību”. & Rdquo;3. 4

Tas ir kritisks faktors, lai noteiktu, vai regula aizsargā informāciju par veselību. Tikai individuāli identificējama informācija par veselību35ko pārraida vai uztur aptveroša vienība, aizsargā regula (i.,, & ldquo; aizsargāta informācija par veselību & rdquo;). Tas ir taisnība neatkarīgi no informācijas formāta - elektroniskas, papīra vai mutiskas.

Lielākā daļa veselības vietņu tiek publiski izkārtotas kā rīki, kas patērētājiem dod lielāku kontroli pār viņu dzīvi un veselības aprūpi. Tomēr daudzās vietnēs lietotājiem tiek prasīts sniegt daudz sensitīvas veselības informācijas, un tās var arī apkopot informāciju par lietotājiem bez lietotājiem & rsquo; zināšanas vai piekrišana.

Šajā ziņojumā galvenā uzmanība ir pievērsta tam, vai uz šādām darbībām attiecas HIPAA. Mūsu secinājums ir tāds, ka ievērojama daļa darbību ar veselību saistītās vietnēs nav iekļauta vairāku iemeslu dēļ. Galvenais iemesls ir tas, ka ļoti daudzas tīmekļa vietnes vada organizācijas, kas nav “aptvertas vienības”. & Rdquo;


Faktiski populārākās tīmekļa vietnes, piemēram, eDiets.com36un drkoop.com,37uz privātuma noteikumu neattiecas, jo tos nepārvalda veselības plāni (piemēram, veselības apdrošinātāji vai HMO) vai veselības aprūpes pakalpojumu sniedzēji, uz kuriem attiecas apdrošināšana.



Rezultātā vienas un tās pašas darbības, kas tiek veiktas dažādās vietnēs, tiks pakļautas atšķirīgai juridiskai attieksmei. Konkrētas darbības - receptes pasūtīšana, otra atzinuma saņemšana, konsultēšanās ar ārstu vai pat medicīniskās dokumentācijas uzturēšana - vienā vietnē var būt iekļauts jaunajā regulējumā un citā neregulēts.


Turklāt pat tīmekļa vietnes, kuras vada aptvertas struktūras, iesaistās dažādās aktivitātēs, no kurām daudzas neattiecas uz HIPAA. Šajās vietnēs patērētājiem būs grūti uzzināt, uz kādām darbībām attiecas HIPAA un kādas ne.

Jaunas prasības

Federālais veselības privātuma noteikums privātpersonām rada jaunas tiesības. Šīs tiesības nozīmē jaunu atbildību par dažām veselības vietnēm, kurām ir jāatbilst noteikumam.


1. Piekļuve

Privātuma regulējums personām piešķir jaunas federālas likumīgas tiesības redzēt, kopēt un labot viņu pašu informāciju par veselību. Cilvēkiem būs arī tiesības uz citiem atklātās informācijas uzskaiti. Ietvertajām personām būs jāatbild uz personas piekļuves vai grozījuma pieprasījumu līdz noteiktam termiņam (parasti 30 dienas). Ja uzņēmums noraida individuālus pieprasījumus, noraidīšanas pārskatīšanai ir noteiktas procedūras. Šo jauno tiesību dēļ tiešsaistes patērētāji var pamanīt izmaiņas veselības aizsardzības tīmekļa vietnes privātuma politikā, jo šīm vietnēm, iespējams, būs jāizstrādā jauna politika un procedūras pieprasījumu apstrādei.

2. Paziņojums

Privātuma regulējums dod personām tiesības saņemt paziņojumus no aptvertajām vietnēm par to, kā viņu veselības informācija tiks izmantota un koplietota. Šādi paziņojumi ļaus cilvēkiem izdarīt apzinātu, jēgpilnu izvēli par veselības informācijas izmantošanu un izpaušanu, ko viņi sniedz vietnēs. Saskaņā ar regulu patērētāji jāinformē par viņu tiesībām uz informāciju par viņu veselību un par to, kā viņi var izmantot šīs tiesības. Paziņojumā jāiekļauj informācija par paredzamo personiskās veselības informācijas izmantošanu un izpaušanu bez personas rakstiskas atļaujas, kā arī par attiecīgās struktūras juridiskajiem pienākumiem. Indivīdiem ir jānorāda arī kontaktpersonas vārds tīmekļa vietnē, kas atbildēs uz jautājumiem un sniegs informāciju par to, kā viņi var iesniegt sūdzības attiecīgajai struktūrai un HHS.


Tā kā indivīdiem ir jāpaziņo par viņu tiesībām un jaunajiem privātuma aizsardzības līdzekļiem, dažām vietnēm, visticamāk, būs jāmaina pašreizējā privātuma politika, lai apmierinātu federālās prasības. 1999. gadā veiktajā pētījumā par divdesmit vienu vadošo ar veselību saistīto tīmekļa vietni tika atklāts, ka daudzu vietņu politika un prakse neatbilst minimālajai godīgas informācijas praksei.38Pēc ziņojuma izlaišanas vairāki Kongresa locekļi lūdza FTC nekavējoties sākt izmeklēšanu par to, vai noteiktas veselības vietnes var iesaistīties negodīgā vai maldinošā rīcībā vai praksē. & Rdquo;39Deviņus mēnešus vēlāk FTC pabeidza izmeklēšanu, secinot, ka vietnes ir veikušas vairākus uzlabojumus savā privātuma politikā, lai gan varētu veikt citus pasākumus, lai patērētājiem izstrādātu jēgpilnu privātuma aizsardzību.40Dažas no 1999. gada pārskatā minētajām vietnēm, piemēram, drugstore.com,41būs jāievēro privātuma noteikumu paziņošanas prasības līdz 2003. gada aprīlim.

3. Administratīvās prasības

Patērētāji gūst labumu arī no jaunās regulas administratīvajām prasībām. Saskaņā ar konfidencialitātes noteikumu, aptvertajai vienībai būs jāieceļ privātuma amatpersona, kas izstrādā un ievieš subjekta politikas un procedūras;42apmācīt savus darbiniekus; ieviest administratīvos, tehniskos un fiziskos drošības pasākumus;43izstrādāt metodi sūdzību izskatīšanai; un izstrādāt sankcijas par tās darbaspēka locekļiem, kuri neievēro privātuma politiku vai procedūras vai noteikuma prasības. Regulā ir noteiktas šādas prasības, lai nodrošinātu, ka attiecīgie attiecīgās struktūras locekļi ir iepazinušies ar privātuma noteikumiem un ievēro tos, un ka aptvertās struktūras tiks sauktas pie atbildības par savu darbinieku rīcību.

Lietošanas un izpaušanas ierobežojumi

Jaunā regula uzliek ierobežojumus tam, kā aptvertā vienība var izmantot personisko informāciju un dalīties tajā ar citiem. Parasti noteikums aizliedz aptvertajai vienībai izmantot vai koplietot pacienta veselības informāciju, ja vien aptvertajai vienībai nav pacienta rakstiskas atļaujas vai ja regula īpaši atļauj to izmantot vai atklāt.44.

1. Ārstēšanas, apmaksas un veselības aprūpes operācijas

Viens no būtiskākajiem ierobežojumiem veselības aprūpes pakalpojumu sniedzējiem, neatkarīgi no tā, vai tie ir ķieģeļi un javas, vai Internets, ir prasība, lai viņi saņemtu pacientus & rsquo; rakstiska atļauja izmantot vai izpaust savu veselības informāciju ārstēšanas, apmaksas vai veselības aprūpes operāciju veikšanai. Piemēram, gan vietējais ķieģeļu, gan javas CVS zāļu veikals un CVS.comČetri, piecibūs jāsaņem rakstiska atļauja izmantot personas informāciju, lai aizpildītu viņas recepti. Turpretī tiešsaistes aptieka, kas aizpilda to pašu recepti, bet uz kuru neattiecas regula, piemēram, ABeeWell Pharmacy,46nebūtu nepieciešama pacienta rakstiska atļauja, jo tā nepieņem apdrošināšanu.47

2. Biznesa biedri

Veselības aprūpes plāni un pakalpojumu sniedzēji regulāri algo citus uzņēmumus un konsultantus, lai tie varētu veikt visdažādākās funkcijas, piemēram, juridiskos, finanšu un administratīvos pakalpojumus (privātuma noteikums tos dēvē par & ldquo; biznesa partneriem & rdquo;). Viņi saņem informāciju par veselību attiecīgās struktūras vārdā vai no tās. Parasti uz tiem neattiecas privātuma regulējums.

Lai nodrošinātu, ka privātuma aizsardzība seko datiem, konfidencialitātes noteikums nosaka, ka aptvertajām personām jānoslēdz līgumi ar darījumu partneriem, kas pieprasa, lai veselības informācijas saņēmēji neizmantotu un neizpaustu informāciju citādi, kā to atļauj vai prasa līgums vai kā prasa likums. un ieviest piemērotus drošības pasākumus, lai novērstu neatbilstošu izmantošanu un izpaušanu. Regula nosaka īpašus nosacījumus, kad un kā aptvertie uzņēmumi var koplietot informāciju ar biznesa partneriem.48Tomēr uz biznesa partneri tieši neattiecas privātuma noteikumi. Drīzāk tā ir apdrošinātā iestāde, kas ir atbildīga par līguma pārkāpumiem, un tad tikai tad, ja tai bija reālas zināšanas par pārkāpumu, tomēr tas neko nedarīja.49

3. Mārketings

Viens no pretrunīgākajiem privātuma noteikuma aspektiem ir tāds, ka tas ļauj izmantot veselības informāciju mārketinga nolūkos bez pacienta apstiprinošas, informētas atļaujas.piecdesmitKad paciente ir devusi rakstisku atļauju izmantot savu veselības informāciju ārstēšanas, apmaksas un veselības aprūpes operāciju veikšanai & rdquo; pakalpojumu sniedzēja (piemēram, tiešsaistes farmaceite) pēc tam savu veselības informāciju var izmantot savu, kā arī trešo personu produktu un pakalpojumu tirdzniecībai. Nav nepieciešams, lai šī piekrišanas veidlapa paziņotu pacientam, ka, parakstot veidlapu, viņa dod atļauju izmantot savu informāciju mārketinga nolūkos. Turklāt pakalpojumu sniedzējs var noteikt nosacījumu, ka pacientam jāparaksta šī veidlapa, piemēram, receptes aizpildīšana. Sākotnējā mārketinga kontaktā pakalpojumu sniedzējam jādod pacientam iespēja atteikties no šādu materiālu saņemšanas nākotnē. Šī shēma sniedzējiem būtībā dod vienu bezmaksas šāvienu & rdquo; mārketingā bez pacienta informētas atļaujas.

Piemēram, CVS vai CVS.com farmācijas uzņēmuma vārdā varētu sastādīt Prozac patērētāju sarakstu un nosūtīt viņiem mārketinga informāciju par alternatīvu antidepresantu, ja vien sākotnējā mārketinga informācija pacientiem teikusi, ka viņi varētu atteikties no turpmākajiem mārketinga materiāliem.51Privātuma noteikums tomēr velk līniju informācijas kopīgošanai arcitimārketinga nolūkos. Tas neļauj aptvertajām personām koplietot klientu informāciju ar citām pusēm mārketinga vajadzībām, ja vien pacients nav parakstījis citu detalizētu veidlapu, kurā norādīts, ka viņa dod atļauju šādā veidā kopīgot informāciju. Piemēram, CVS nevarējapārdotsavu Prozac lietotāju sarakstu farmācijas uzņēmumam vai telemārketerim bez visiem pacientiem & rsquo; īpaša atļauja izmantot un koplietot viņu informāciju mārketingam. Turpretī tiešsaistes aptieka, uz kuru regula neattiecas, var sastādīt un pārdot pacientu sarakstus, ievērojot tikai tās privātuma politikas ierobežojumus.

Izpilde un sodi

HIPAA nosaka civiltiesiskus un kriminālsodus par privātuma regulējuma pārkāpumiem. Civiltiesiskie sodi svārstās no 100 USD līdz maksimāli 25 000 USD gadā par katru pārkāpto standartu. Kriminālsodi tiek piemēroti par noteiktu nelikumīgu veselības informācijas izpaušanu ar maksimālo brīvības atņemšanu uz 10 gadiem un / vai 250 000 USD sodu atkarībā no izdarītā nodarījuma.

Saskaņā ar regulu pacientam nav federālu likumā noteikto tiesību iesūdzēt tiesā, bet tas rada jaunu federālu pienākumu rūpēties & rdquo; attiecībā uz informāciju par veselību. Tas nozīmē, ka privātuma noteikumu pārkāpumi var būt pamats valsts deliktu darbībām.

Jebkura persona, kas uzskata, ka apdrošinātā persona neievēro privātuma noteikumus, var arī iesniegt sūdzību HHS sekretāram. Pārklātajām vietnēm būs jāsadarbojas ar HHS un jāsniedz departamentam ieraksti un atbilstības ziņojumi. HHS Pilsonisko tiesību birojs ir pilnvarots īstenot regulu.