Заметка Лизы Пратер (Lisa Prather - на фото слева) и Брендона фон Кригельштейна (Brandon von Kriegelstein - на фото справа) из фирмы Katten Muchin Rosenman LLP была опубликована 19 сентября 2025 года на сайте компании JD Supra
Лиза Пратер и Брендон фон Кригельштейн
Американский штат Техас вводит новые правила хранения электронных медицинских документов (electronic health records, EHR). Недавно принятый Сенатом штата законопроект Senate Bill 1188 (SB 1188, https://legiscan.com/TX/text/SB1188/2025 ) требует, чтобы с 1 января 2026 года любые электронные медицинские документы, находящиеся под контролем подпадающих под требования закона субъектов - физических и юридических лиц (covered entity), физически хранились в Соединенных Штатах (или на территории США). Это требование распространяется на все электронные медицинские документы независимо от того, были ли они созданы до 1 января 2026 года и хранятся ли самим подпадающим под требования закона лицом или же третьей стороной от имени такого лица.
Мой комментарий: Как это обычно бывает с подобными законами, принимаемыми влиятельными штатами США, данный закон затронет практически всю отрасль здравоохранения в США (в этом смысле он по своим последствиям мало отличается от законов, принимаемых на федеральном уровне), а также окажет существенное трансграничное воздействие. Вполне возможно, что впоследствии похожие законы будут приняты и другими штатами.
Как отмечается в законопроекте, термин «подпадающее под требования закона физическое или юридическое лицо» (covered entity) понимается согласно определению, данному в статье 181.001 Кодекса охраны здоровья и безопасности штата Техас.
Термин охватывает практикующих врачей.
Термин не охватывает:
Как отмечается в законопроекте, термин «подпадающее под требования закона физическое или юридическое лицо» (covered entity) понимается согласно определению, данному в статье 181.001 Кодекса охраны здоровья и безопасности штата Техас.
Термин охватывает практикующих врачей.
Термин не охватывает:
- агентства по оказанию услуг на дому и в сообществах, лицензированные в соответствии с главой 142 Кодекса;
- учреждения сестринского ухода (nursing facility), лицензированные в соответствии с главой 242 Кодекса;
- учреждения постоянного ухода (continuing care facility), регулируемые в соответствии с главой 246 Кодекса;
- дома престарелых и инвалидов (assisted living facility), лицензированные в соответствии с главой 247 Кодекса;
- учреждения частичного ухода за пожилыми людьми и инвалидами (intermediate care facility), лицензированные в соответствии с главой 252 Кодекса;
- учреждения дневной активности и медицинских услуг (activity and health services), лицензированные в соответствии с главой 103 Трудового Кодекса (Human Resources Code); и
- поставщиков услуг в рамках программ Техаса проживания на дому (Texas home living, TxHmL) и предоставления услуг на дому и в сообществах (home and community-based services, HCS), которым предоставлены исключения.
В то же время Кодекс охраны здоровья и безопасности штата Техас (Health and Safety Code), раздел 2 «Здравоохранение», подраздел I «Медицинская документация» (Medical records, глава 181 «Защита персональных данных в составе медицинской документации» (Medical records privacy), статья 181.001 «Определения терминов» (Definitions) содержит следующее определение термина «подпадающее под требования закона физическое или юридическое лицо»:
(b) (2) «Подпадающее под требования закона физическое или юридическое лицо» (covered entity) означает любое лицо, которое:
(b) (2) «Подпадающее под требования закона физическое или юридическое лицо» (covered entity) означает любое лицо, которое:
(A) для получения коммерческой, финансовой или профессиональной выгоды, денежных гонораров или платежей, либо на кооперативной, некоммерческой или безвозмездной основе, - занимается, полностью или частично, обладая при этом реальными конструктивными знаниями, формированием, сбором, анализом, использованием, оценкой, хранением и/или передачей защищаемой медицинской информации (protected health information, PHI).
Данный термин охватывает деловых партнёров, плательщиков за медицинские услуги, государственные органы и подразделения, организации по управлению информацией или компьютерами, школы, исследователей в сфере здравоохранения, медицинские учреждения, больницы, поставщиков медицинских услуг и лицо, поддерживающее интернет-сайты;
(B) становится обладателем защищаемой медицинской информации;
(C) получает и/или хранит защищаемую медицинскую информацию в соответствии с положениями настоящей главы Кодекса; или же
(D) является сотрудником, агентом или подрядчиком лица, подпадающего под подпункты (A), (B) или (C), в той мере, в какой этот сотрудник, агент или подрядчик создает, получает, получает, хранит, использует или передает защищаемую медицинскую информацию.
Данный термин охватывает деловых партнёров, плательщиков за медицинские услуги, государственные органы и подразделения, организации по управлению информацией или компьютерами, школы, исследователей в сфере здравоохранения, медицинские учреждения, больницы, поставщиков медицинских услуг и лицо, поддерживающее интернет-сайты;
(B) становится обладателем защищаемой медицинской информации;
(C) получает и/или хранит защищаемую медицинскую информацию в соответствии с положениями настоящей главы Кодекса; или же
(D) является сотрудником, агентом или подрядчиком лица, подпадающего под подпункты (A), (B) или (C), в той мере, в какой этот сотрудник, агент или подрядчик создает, получает, получает, хранит, использует или передает защищаемую медицинскую информацию.
Предыдущий проект законопроекта содержал требование о том, чтобы электронные медицинские документы постоянно проживающих в штате Техас лиц (резидентов штата) были недоступны для лиц, находящихся за пределами США. В принятой окончательной версии этого положения нет; вместо этого требуется, чтобы подпадающие под требования закона лица обеспечили, что электронные медицинские документы резидентов Техаса «…были доступны лишь тем лицам, которым эта информация необходима для выполнения обязанностей в рамках трудовых отношений физического лица, связанных с лечением, оплатой или деятельностью по оказанию медицинского ухода» (см. https://legiscan.com/TX/text/SB1188/2025 ).
Подпадающие под требования закона лица обязаны внедрить разумные и надлежащие административные, физические и технические меры безопасности для защиты конфиденциальности, целостности и доступности электронных медицинских документов.
Учитывая требование законопроекта SB 1188 о хранении электронных медицинских документов на территории США, такие меры безопасности, скорее всего, как минимум должны будут включать системные ограничения на скачивание/копирование тех электронных медицинских документов, к которым осуществляется удаленный доступ, чтобы предотвратить непреднамеренное сохранение данных за пределами США.
В законопроекте термин «подпадающее под требования закона лицо» трактуется шире, чем он обычно понимается в соответствии с «Законом о переносимости и подотчётности медицинского страхования» (Health Insurance Portability and Accountability Act, HIPAA - этот закон США, принятый в 1996 году, содержит в своей 2-й части ряд положений, касающихся защиты медицинских данных и защиты неприкосновенности личной жизни – Н.Х.). Законопроект SB 1188 в значительной степени заимствует широко сформулированное определение данного термина, содержащееся в законе штата Техас о защите персональных данных в медицинских документах (Texas Medical Records Privacy Act ( https://statutes.capitol.texas.gov/Docs/HS/htm/HS.181.htm ), которое охватывает практически любую организацию/лицо, занимающиеся формированием, сбором, анализом, использованием, оценкой, хранением или передачей защищаемой медицинской информации (PHI).
К ним относятся плательщики за медицинские услуги (например, страховые компании – Н.Х.), государственные учреждения, организации по управлению информацией и компьютерами, школы, исследователи в сфере здравоохранения, медицинские учреждения, больницы, поставщики услуг медицинского ухода и практикующие медицинские работники, деловые партнеры (в соответствие с определением в законе HIPAA) и поддерживает интернет-сайты лица, которые:
- получает доступ к PHI;
- получают или хранят PHI, или же
- являются сотрудниками, агентами или подрядчиками ранее упомянутых подпадающих под требования закона организаций.
Штрафы за несоблюдение нового закона могут быть значительными. Комиссия штата Техас по здравоохранению и социальным услугам (Texas Health and Human Services Commission) или другой соответствующий регулирующий орган уполномочены расследовать и налагать наказания и штрафы за несоблюдение требований, которые могут включать отзыв или приостановление действия лицензии/регистрации/сертификации. Кроме того, Генеральный прокурор Техаса может добиваться вынесения судебного запрета в отношении нарушителей и/или применения гражданско-правовых штрафов в размере от 5 до 250 тысяч долларов США в зависимости от конкретных фактов/обстоятельств правонарушения.
Хотя многие договоры управляемого медицинского обслуживания (managed care) уже накладывают ограничения на трансграничную передачу и хранения данных пациентов, в Техасе ранее не было отдельного закона, регламентирующего трансграничную передачу и хранение электронных медицинских документов, - не говоря уже о законе, действие которого распространялось бы на более широкую аудиторию, чем лица, заключающие договоры с плательщиками за медицинские услуги.
Учитывая широкий охват положений о хранении данных в SB 1188 и возможность суровых штрафов за их несоблюдение, подпадающим под требования закона лицам в Техасе следует тщательно проанализировать свои текущие политики и процедуры хранения/доступа к данным электронных медицинских документов, а также свои договоры с третьими сторонами, чтобы обеспечить соблюдение положений SB 1188 к моменту вступления их в силу 1 января 2026 года.
Лиза Пратер и Брендон фон Кригельштейн
Источник: сайт компании JD Supra
https://www.jdsupra.com/legalnews/new-texas-law-on-storage-of-health-care-2830287/
Комментариев нет:
Отправить комментарий