воскресенье, 3 февраля 2013 г.

США: Правила HIPAA-HITECH, облака и прочее, часть I


Заметка Даниэля Солоува (Daniel Solove  - на фото) была опубликована в социальной сети LinkedIn 23 января 2013 года. В ней речь идёт о подзаконном нормативном правовом акте, выпущенном в соответствии с законами HIPAA и HITECH.

Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Первая часть данного закона (Title I) защищает рабочих и членов их семей от потери медицинской страховки в случае смены или потери работы.

Для нас представляет интерес вторая часть данного закона (Title II), известная как «Положения об административном упрощении» (Administrative Simplification provisions, AS), предписывающая создание национальных стандартов электронных транзакций в здравоохранении и введение национальных идентификаторов для поставщиков услуг, медицинских страховых полисов и сотрудников. В ряде положений этой же части закона рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. Эти стандарты должны повысить эффективность национальной системы здравоохранения за счёт широкомасштабного использования в отрасли электронного обмена данными.

Закон об использовании медицинских информационных технологий в клинической и экономической деятельности (Health Information Technology for Clinical and Economic Health Act, HITECH) был принят в 2009 году как 13-й раздел Закона об восстановлении и реинвестициях (American Recovery and Reinvestment Act of 2009). Данный закон направлен на продвижение и расширение использования ИТ-технологий в медицине.


Новый нормативный правовой акт, разработанный в соответствии с законодательством  HIPAA-HITECH, наконец, готов. Официально называющийся «Изменения в правилах  HIPAA обеспечения неприкосновенности личной жизни, безопасности, исполнения требований и извещения об утечках» (Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules, https://www.federalregister.gov/articles/2013/01/25/2013-01073/modifications-to-the-hipaa-privacy-security-enforcement-and-breach-notification-rules-under-the ), новый нормативный акт модифицирует положения HIPAA в соответствии с изменениями,  предусмотренными законом HITECH 2009 года. (Как видите, не только наши ведомства годами могут готовить подзаконные нормативные акты – Н.Х.)

После долгих лет ожидания и многочисленных, ставших поводом для шуток ложных сообщений о том, что новые правила вот-вот появятся, Министерство здравоохранения и социальных услуг (Department of Health and Human Services, HHS) выдало 563-страничный документ. По словам директора Управления по гражданским правам (Office for Civil Rights, OCR) Леона Родригеса (Leon Rodriguez), данные правила «представляю собой наиболее радикальные изменения в правилах HIPAA по обеспечению безопасности и неприкосновенности личной жизни с момента их первой публикации».  Я согласен с такой характеристикой, поскольку новые правила вносят ряд очень серьёзных и очень важных изменений.

Наиболее важные изменения связаны с расширением сферы применения закона HIPAA и её распространении на «ассоциированных деловых партнеров» (business associates, BA) и их субподрядчиков. Теперь ассоциированные деловые партнеры будут подпадать под требования HIPAA по обеспечению безопасности (Security Rule) и частично под требования об обеспечении неприкосновенности личной жизни (Privacy Rule), и под соответствующий контроль. Субподрядчики ассоциированных деловых партнеров также будут рассматриваться как ассоциированные деловые партнеры, и станет обязательным заключение соглашения об ассоциированном деловом партнерстве (business associate agreement, BAA) между ассоциированными деловыми партнерами и их субподрядчиками. В этой заметке я буду обсуждать именно эти изменения и их последствия для различных направлений деловой деятельности и для применения облачных вычислений в  здравоохранении

Литания перемен

Перед тем, как перейти к основной теме своего рассказа, я хотел бы отметить ряд других ключевых изменений, которые вносят новые правила.
  • Усиливается право граждан на получение электронных копий своих персональных медицинских данных (protected health information, PHI – букв. «защищаемые медицинские данные»).

  • Правило извещения об утечках  изменено таким образом, что любой недопустимый доступ, использование или разглашение персональных медицинских данных будет считаться утечкой, если только оператор или его деловой партнер не докажут низкую вероятность компрометации этих данных.

  • Вместо акцента на вред, причиненный физическому лицу, упор будет делаться на вероятность неправомерного доступа или раскрытия защищаемых данных.

  • Персональные медицинские данные умерших будут защищаться в течение 50 лет после смерти. Ранее  закон HIPAA предусматривал защиту таких данных без каких-либо ограничений по времени.

  • Пациенты, платящие за лечение из собственного кармана, получают право ограничить доступ страховых компаний к их персональным медицинским данным.

  • В соответствии с положениями закона HITECH, правила предусматривают гораздо более жёсткие наказания за их нарушение.
Есть множество других изменений, и я перечислил здесь лишь наиболее существенные.

Расширение сферы применения закона HIPAA

С моей точки зрения, наиболее радикальным новшеством является значительное расширение сферы применения HIPAA. Теперь под правила HIPAA обеспечения безопасности и, отчасти, под правила обеспечения неприкосновенности личной жизни  подпадают ассоциированные деловые партнеры, к числу которых относятся любое физические или юридическое лицо, которое от имени подпадающей под HIPAA организации, «создает, получает, хранит или передает защищаемые медицинские данные для выполнения функции или действий, регулируемых настоящим подразделом, включая такие виды деятельности, как управление / обработку претензий; управление, обработку и анализ данных; анализ применения, обеспечение качества, меры по обеспечению безопасности пациента, перечисленные в разделе 3.20 главы 42 Свода федеральных нормативных актов (42 CFR 3.20), выставление счетов, управление льготами, управление практикой и переоценка».

Ранее деловые партнеры лишь косвенно подпадали под требования HIPAA. Организациям, чья деятельность регулируется законом HIPAA, нужно было заключать соглашения с деловыми партнерами, предусматривавшие адекватные гарантии того, что персональные медицинские данные будут защищаться. Теперь же Министерство здравоохранения вправе напрямую контролировать ассоциированных деловых партнеров.

Кроме того, субподрядчики теперь также рассматриваются как ассоциированные деловые партнеры и также подпадают под непосредственный контроль со стороны Министерства здравоохранения. Данное в новых правилах определение «ассоциированного делового партнера» охватывает любых «субподрядчиков, которые создают, получают, хранят или передают защищаемые медицинские данные от имени ассоциированного делового партнера».

В комментариях к правилам отмечается, что «применение требований HIPAA в отношении безопасности и неприкосновенности личной жизни непосредственно к субподрядчикам также обеспечивает то, что предусмотренная правилами HIPAA сфера защиты не ограничивается рамками организаций, чья деятельность регулируется этим законом, и охватывает также тех субъектов, которые создают или получают защищаемые  медицинские данные в интересах выполнения этими организациями своих функций в сфере здравоохранения». 

Как сказано в комментариях, «... субподрядчик тогда рассматривается в качестве ассоциированного делового партнера, когда соответствующая  функция, вид деятельности или услуга включает создание, получение, поддержание или передачу защищаемых медицинских данных». Целью, как объясняется в комментариях, является обеспечение того, что предусматриваемая HIPAA защита распространяется «сколь угодно далеко  «вниз по течению» информационных потоков». Ассоциированные деловые партнеры могут быть подвергнуты тем же административным и уголовным наказаниям  в соответствии с законом HIPAA, что и организации, чья деятельность непосредственно подпадает под этот закон.

Какая именно часть правил HIPAA по обеспечению неприкосновенности личной жизни применима к ассоциированным деловым партнерам? Во-первых, деловые партнеры несут  «непосредственную ответственность в соответствии правилами HIPAA по обеспечению неприкосновенности личной жизни за использование и раскрытие защищаемых медицинских данных, не соответствующее партнерскому соглашению и/или данным правилам HIPAA». Во-вторых, деловые партнеры обязаны раскрывать защищаемые медицинские данные, когда этого требует Министерство здравоохранения в ходе проверки исполнения требований HIPAA. В-третьих, в случае, если физическое лицо запросит электронную копию защищаемых медицинских данных у организации, подпадающей под HIPAA, партнеры этой организации обязаны раскрывать для неё либо для физического лица такого рода данные, с тем, чтобы подпадающая под HIPAA организация могла выполнить свои обязательства. В-четвертых, к ассоциированным деловым партнерам применимо правило о минимальном необходимом раскрытии (minimum necessary rule, - суть правила заключается в том, что защищаемые медицинские данные должны раскрываться или запрашиваться только тогда, когда в этом есть необходимость – Н.Х.).

(Окончание следует см. http://rusrim.blogspot.ru/2013/02/hipaa-hitech-ii.html )

Даниэль Солоув (Daniel Solove)

Источник: LinkedIn / Википедия
http://www.linkedin.com/today/post/article/20130123151715-2259773-the-hipaa-hitech-regulation-the-cloud-and-beyond
http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
http://en.wikipedia.org/wiki/Health_Information_Technology_for_Economic_and_Clinical_Health_Act

Комментариев нет:

Отправить комментарий