США: Новые положения закона HIPAA в 2022 году

Данная заметка была опубликована на сайте издания «Журнал HIPAA» (HIPAA Journal) 1 января 2022 года.

Мой комментарий: Закон США о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Первая часть данного закона (Title I) защищает рабочих и членов их семей от потери медицинской страховки в случае смены или потери работы. Для специалистов по безопасности и по управлению документами и информацией представляет интерес вторая часть данного закона (Title II), известная как «Положения об административном упрощении» (Administrative Simplification provisions, AS), предписывающая создание национальных стандартов электронных транзакций в здравоохранении и введение национальных идентификаторов для поставщиков услуг, медицинских страховых полисов и сотрудников. В ряде положений этой же части закона рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. Эти стандарты должны повысить эффективность национальной системы здравоохранения за счёт широкомасштабного использования в отрасли электронного обмена данными.

Прошло всего несколько лет с тех пор, как приобрели силу закона новые правила HIPAA (HIPAA Rules - речь идёт о подзаконном нормативном правовом акте, выпущенном в соответствии с законами HIPAA и HITECH – Н.Х.), однако в 2022 году ожидается внесение в них изменений. Последним обновлением правил HIPAA было Сводное правило HIPAA (HIPAA Omnibus Rule), введённое в 2013 году, в которое были включены новые требования, установленные Законом об использовании медицинских информационных технологий в клинической и экономической деятельности (Health Information Technology for Clinical and Economic Health Act, HITECH).

10 декабря 2020 г. Управление по гражданским правам (Office for Civil Rights, OCR) опубликовало Уведомление о предлагаемом нормотворчестве (Notice of Proposed Rulemaking, NPRM), в котором предложен ряд изменений в требования HIPAA об обеспечении неприкосновенности личной жизни (HIPAA Privacy Rule), и ожидается, что окончательная редакция правил будет выпущено в 2022 году; пока, однако, не сообщается, когда изменения HIPAA 2022 года вступят в силу и станут обязательными к исполнению.

В течение последних нескольких лет обсуждались новые правила HIPAA, включающие изменения в том, как защищаются документы о злоупотреблении психоактивными веществами и психическом здоровье. В рамках усилий по преодолению опиоидного кризиса Министерство здравоохранения и социальных услуг (Department of Health and Human Services, HHS) рассматривает возможность внесения изменений как в положения закона HIPAA, так и в положения части 2 главы 42 Свода федеральных нормативных актов (42 CFR часть 2), которые служат для защиты неприкосновенности частной жизни пациентов с расстройствами, связанными со злоупотреблением психоактивными веществами (Substance Use Disorder, SUD), которые обращаются за лечением в рамках поддерживаемых из федерального бюджета программ, для повышения уровня предоставляемого им ухода.

Многие группы заинтересованных сторон в сфере здравоохранения призывали более тесно согласовать положения части 2 главы 42 CFR с HIPAA, чтобы дать возможность практикующим врачам просматривать полную историю болезни пациентов, включая документы по SUD-расстройствам, чтобы получить полное представление об истории болезни пациента с целью принятия обоснованных решений о его лечении. Если подробности лечения SUD-расстройств утаиваются от врачей, существует риск того, что пациенту могут быть назначены опиоиды в восстановительный период. В этом вопросе в 2020 году был достигнут прогресс, но не за счет нормотворчества HHS или OCR, а в рамках Закона «О помощи, содействии и экономической безопасности в связи с коронавирусом» (Coronavirus Aid, Relief, and Economic Security Act, CARES).

Закон CARES 2020 года более тесно согласовал положения части 2 главы 42 Свода федеральных нормативных актов с положениями закона HIPAA. Этот закон был принят Конгрессом 27 марта 2020 года, с целью обеспечить каждому американцу доступ к необходимой ему медицинской помощи во время пандемии COVID-19, и смягчить экономические последствия пандемии коронавируса COVID-19.

Лица, страдающие от расстройств, связанных со злоупотреблением психоактивными веществами (SUD-расстройств), также должны были иметь возможность получать необходимое им лечение в период пандемии COVID-19, что означало необходимость внесения изменений в положения 42 CFR, часть 2 о конфиденциальности документов о пациентах с SUD-расстройствами.

Закон CARES улучшает положения 42 CFR, часть 2, расширяя возможности поставщиков медицинских услуг по обмену документами лиц с SUD-расстройствами, но одновременно ужесточает требования в случае нарушения конфиденциальности. Короче говоря, внесённые законом CARES изменения обеспечили более тесное согласование положений 42 CFR, часть 2, с законом HIPAA.

Изменения положений 42 CFR, часть 2, основаны на проекте «Закона о защите наследия Джессики Граб» (Protecting Jessica Grubb’s Legacy Act, https://www.congress.gov/116/bills/s1012/BILLS-116s1012is.pdf ), который был представлен сенаторами от штата Западная Вирджиния – республиканцем Капито (Capito) и демократом Манчином (Manchin). Вместо получения согласия от пациента с SUD-расстройством на каждый случай использования или раскрытия информации, и указания в формах согласия конкретных сторон, которым будет предоставлена соответствующая информация, пациенты могут дать широкое согласие на использование своих относящихся к SUD-расстройствам документов для целей лечения, оплаты и поддержки медицинской деятельности.

Впоследствии SUD-документы могут быть раскрываться подпадающим под действие закона субъектом или его деловым партнером, на любых основаниях, связанных с лечением, оплатой или оперативной деятельностью (Treatment, Payment, and Operations, TPO), как и в случае с HIPAA. Использование и раскрытие должны быть ограничены минимально необходимой информацией, и пациент может в любое время отозвать (в письменной форме) своё согласие. Закон CARES также позволяет передавать SUD-информацию органу общественного здравоохранения, если она обезличена в соответствии с правилами HIPAA.

Для пациентов с SUD-расстройствами были введены меры защиты, устанавливающие ограничения на использование документов о SUD-расстройствах в уголовных, гражданских или административных расследованиях или разбирательствах; также существуют запреты на дискриминацию пациентов, страдающих SUD-расстройствами. Будут применяться те же требования к уведомлению об утечках, что и в законе HIPAA, поэтому при любой утечке данных пациент должен быть уведомлен без неоправданной задержки, и не позднее 60 дней с момента обнаружения утечки.

Источник: сайт «Журнал HIPAA» (HIPAA Journal)
https://www.hipaajournal.com/new-hipaa-regulations/