NATHANIEL LACKTMAN, ESQ. и KELLY THOMPSON, ESQ.
Большинство компаний, занимающихся цифровым здравоохранением и телемедицинскими услугами, прекрасно осведомлены о безопасности данных и возможных пробелах в ней. Однако, возможно, наиболее важным моментом остается обмен защищенной медицинской информацией (PHI) со сторонними платформами, будь то анализ данных, исследования, маркетинг и другие цели. Поскольку обмен и обработка данных в области здравоохранения будут только расти, поставщики услуг в области здравоохранения должны понимать, когда и каким образом они могут предоставлять PHI, включая возможность монетизации, и когда им нужно просить разрешения на подобные действия у самих пациентов. В этой статье будут рассмотрены некоторые законы и правила, касающиеся конфиденциальности, о которых следует помнить компаниям в области телемедицины и цифрового здравоохранения, перед тем как они могут начать предоставлять, обрабатывать и монетизировать информацию о пациентах.
Неосведомленность о больших возможностях использования данных, могут как заставить компании необоснованно опасаться передавать медицинскую информацию о своих пациентах, так и наоборот, стремиться поделиться ею. Обработка данных, позволяющая поставщикам услуг выделять шаблоны и связи, в целом может принести пациентам пользу, поскольку это помогает сделать некоторые услуги более точными и эффективными. Рассмотрим этот момент на примере медико-генетического консультирования, когда с увеличением количества данных о хронических заболевания растет и эффективность этой программы. Недавний отчет HFMA (некоммерческая организация руководителей финансового менеджмента здравоохранения) и Humana (американская компания, специализирующаяся на медицинском страховании) показал, что 70% поставщиков медицинских услуг считают обмен данными важным пунктом для успеха программ в области ухода за больными и здравоохранения в целом. Также Pew Reserch (центр социологических исследований) выяснил, что, хотя американцы чувствительно относятся к личной информации, 52% из них считают приемлемым обмен медицинскими данными. Совместный обмен данными является одним из наиболее важных аспектов этой отраслевой тенденции.
Даже Брюс Гринштейн, главный технический директор Федерального департамента здравоохранения и социальных служб (Federal Department of Health and Human Services), пообещал на конференци HIMSS18, что обмен данными между федеральными ведомствами и общественностью будет увеличен. “Данными министерства здравоохранения и социальных служб (HHS) владеют американцы, а не бюрократы, которые там сидят уже двадцать лет и считают, что им нужно все это контролировать, потому что другие люди могут злоупотреблять подобным”, - заявил он. “Люди, не работающие в нашем здании, смогут сделать куда больше, чем мы можем сделать в одиночку прямо сейчас”. Обмен данными должен осуществляться по схожим правилам. Эти данные должны быть читаемыми, пригодными для использования и доступны другим поставщикам медицинских услуг. Поскольку обмен данными становится все более востребованным во всей системе здравоохранения, компании должны предпринять шаги, чтобы этот обмен соответствовал государственным и федеральным правилам, обеспечивающим конфиденциальность пациентов и их право на отказ распространения их медицинской информации.
HIPAA является федеральным законом, регулирующим использование и раскрытие медицинской информации организациями устанавливающими программы здравоохранения, клиринговыми компаниями и поставщиками медицинских услуг, передающими эту информацию электронным путем. Общее правило заключается в том, что нельзя передавать медицинские данные без разрешения пациента. Однако, некоторые моменты, связанные с передачей информации, такие как лечение, оплата и медицинские операции (TPO), не требуют согласия пациента, в том случае, если TPO выполняют условия HIPAA. К счастью, многие механизмы обмена данными структурированы таким образом, чтобы попадать под исключения TPO и не требуют согласия пациента. Но, даже если поставщик медицинских услуг распространяет данные, попадающие под исключения TPO, он все равно должен соблюдать минимальные требования к раскрытию информации, соглашаться с ограничениями, высказанными пациентами на использование и раскрытие медицинских данных и другими законами штата, которые, вполне вероятно, могут гораздо строже ограничивать поставщиков в плане передачи данных пациентов. Мы обсудим использование обезличенных данных ниже.
Как и во многих других случаях, правила становятся все более жесткими, и возникает больше ограничений, когда в игру вступают деньги. Если медицинская информация передается (или может быть передана) за вознаграждение или в маркетинговых целях, возникает необходимость соблюдать дополнительные требования. Они может включать себя и такой пункт, что поставщик медицинских услуг должен получит ясное согласие пациента на использование его личных данных, даже если речь идет об исключении TPO. Например, если компания получает оплату, за использование информации, такое раскрытие данных более не попадает под исключение TPO. В этом случае, компания должна получить ясное разрешение пациента, в котором будет указано, что за раскрытие данных эта компания получит вознаграждение. То же самое относится и к использованию медицинской информации в маркетинговых целях (например сторонний продавец хочет заплатить поставщику медицинских услуг за возможность отправлять электронную рекламу определенной группе пациентов).
Практический пункт в отношении разрешений: разрешение - это не то же самое, что согласие пациента. Разрешение - это подробный документ, дающий означенным лицам право на использование медицинских данных в определенных целях, как правило отличающихся от TPO, или разрешение раскрывать медицинские данные третьей стороне, указанной отдельно. Действующее разрешение должно содержать ряд элементов, таких как описание медицинской информации, которая будет использоваться и раскрываться, лицо, уполномоченное на раскрытие или использование информации, лицо, которому может быть раскрыта информация, дата или событие, считающееся истечением срока действия этого разрешения, и, в некоторых случаях, цель, для которой данные будут раскрыты и/или использованы. За некоторыми исключениями, перечисленные лица не могут менять правила для пациента, предоставляющего разрешение.
Ещё один пункт: HIPAA запрещает объединять разрешения в этом контексте. Это означает, что поставщик медицинских услуг не может включать в другое соглашение или другой документ разрешение пациента на использование его медицинской информации в оплачиваемых или маркетинговых целях. Таким образом, поставщик не может закладывать это разрешение в информированное согласие, соглашение о оплате или в онлайн правила пользования. Вместо этого, пациент должен подписывать отдельный документ о разрешении.
В HIPAA также содержатся конкретные правила, касающиеся использования и раскрытия данных пациента для исследований и/или клинических испытаний. Например, если медицинская информация будет использована для вышеозначенных целей, компании должны получить соответствующее одобрение Институционального Наблюдательного Совета (независимого комитета по этике) (IRB, IEC) или отказ от неприкосновенность личной жизни, получить разрешение от конкретного лица для создания репозитория с помощью сбора и использования ограниченной медицинской информации, или использовать медицинскую информацию с помощью сбора и обработки обезличенных данных. Данные обезличиваются путем удаления медицинской информации, с помощью которой возможно определить личность или идентифицировать пациента. Согласно HIPAA, обезличенная информация не считается медицинской информацией, и, таким образом, не попадает под правила конфиденциальности HIPAA. Тем не менее, обезличивание информации не является ключевым моментом для обеспечения конфиденциальности и безопасности, есть примеры ситуаций и приложений, когда полный набор данных медицинской информации чрезвычайно полезен.
Не все компании, занимающиеся телемедициной и электронным здравоохранением, попадают под определение HIPAA как “заинтересованные лица”. Но, даже, если HIPAA не применяется, остается законодательство штата, которое распространяется не только на медицинские данные. В дополнение к защите конфиденциальности пациентов в соответствии с федеральным законодательством, существуют также и ограничения со стороны государственного права, которые также важно знать, так как они часто могут быть более обширными, узконаправленными и строгими, нежели требования в рамках HIPAA. Федеральные законы и законы о защите неприкосновенности частной жизни в каждом из штатов, должны гармонично сочетаться, используя самые строгие положения от каждого, в случае конфликта. Кроме того, могут быть также и уникальные требования, связанные с разрешением пациента или картой уведомлений о нарушениях во всех пятидесяти штатах, включая ускоренные линии уведомлений. Могут быть и другие нюансы, такие как, например, требование использования 14-го шрифта в правилах HIPAA Калифорнии. Более того, на применяемые законы о конфиденциальности и безопасности может влиять и характер клинических записей. Данные о психическом здоровье, злоупотреблении психоактивными веществами и диагнозы ВИЧ считаются ультрачувствительными, и, соответственно, требуют от поставщиков медицинских услуг принятия дополнительных мер для сохранения их конфиденциальности. По этим причинам многие компании, занимающиеся цифровым здравоохранением и телемедициной, стараются следовать положениям HIPAA если даже, формально, они не являются заинтересованными лицами.
Многие эксперты в области кибербезопасности согласны с тем, что защита данных в медицинских компаниях достаточно успешна. Решение проблем, связанных с хакерскими атаками и вымогательством, включая разработку планов по реагированию на инциденты, направленные на несанкционированный доступ к медицинским данным, стало частью ведения бизнеса в области здравоохранения. Это важное направление. В то время как масштабные инциденты связанные с базами данных попадают в заголовки СМИ, а иногда и вовсе толкают власти на какие-либо действия, общественность прощает поставщикам медицинских услуг утечки этой информации, особенно если кибератака не была результатом небрежности со стороны компаний.
Напротив, до сих пор не известно о каком-либо разрешении для департамента здравоохранения (HSS) со стороны Офиса По Гражданским Правам (OCR, Office of Civil Rights) на передачу данных каким либо сторонним компаниям без получения надлежащего разрешения со стороны пациента. В случае, если такое произойдет, общественность вряд ли простит и забудет о том, что учреждение продало персональные данные пациента кому-либо, а не было жертвой кибератаки. В бюджете на 2019 год Белый дом сократил финансирование OCR на 20% по сравнению с прошлым годом, что создает неопределенность относительно степени контроля да соблюдением прав. Однако, защита конфиденциальности пациентов важна не только для федеральных властей, но и для пациентов, которые считают, что они сами должны контролировать и обладать данными о своем здоровье.
Вне OCR, Федеральная торговая комиссия (FTC), запустила систему штрафов против онлайн-компаний, занимающихся здравоохранением, за неправильную политику конфиденциальности, основываясь на утверждении, что эти компании используют “несправедливые или вводящие в заблуждение акты или практику”. Двумя основными проблемами в этой нише являются: 1) правдивая реклама приложений, использующихся для заботы о здоровье и 2) прозрачная практика конфиденциальности в области пользовательских данных. К счастью, FTC указала на ряд полезных ресурсов, которые могут пригодиться компаниям, занимающимся технологиями в области здравоохранения, включая Best Practices for Mobile Health App Developers, Marketing Your Mobile App, и Mobile Health Apps Interactive Tool.
Big data имеет большие возможности, для решения многих проблем в области здравоохранения, однако проблемы возникают, когда речь заходит о практическом использовании - будь то проблемы юридические, технические, институциональные или связанные с выполнением операций. Компании цифрового здравоохранения и/или телемедицины, стремящиеся монетизировать или обрабатывать медицинские данные, должны осуществлять свою деятельность в правовом поле, которое ограничивает злоупотребление конфиденциальной медицинской информацией и защищает законные интересы пациентов в области безопасности и их конфиденциальности.
http://www.telemedmag.com/article/sharing-mining-patient-data-digital-health-telemedicine-laws-need-know/