Міністерство охорони здоров'я та соціальних служб подало запропоновані зміни до правила безпеки Закону про портативність та підзвітність медичного страхування 1996 року, щоб зміцнити кібербезпеку електронної захищеної медичної інформації в Офісі інформаційних та регуляторних справ.
Центральний орган, відповідальний за перегляд регуляцій виконавчої влади, надав небагато деталей, але після того, як Білий дім перегляне оновлення HIPAA, HHS зможе опублікувати своє Повідомлення про запропоноване регулювання для громадського обговорення.
ЧОМУ ЦЕ ВАЖЛИВО
Це правило запропонує зміни до Стандартів безпеки для захисту електронної захищеної медичної інформації відповідно до HIPAA та Закону про інформаційні технології в охороні здоров'я для економічного та клінічного здоров'я 2009 року, згідно з анотацією.
Під час спільної конференції з безпеки HHS та Національного інституту стандартів і технологій в середу, представник Офісу цивільних прав зазначив, що публікація правила безпеки NRPM відбудеться цього року, згідно з Federal News Network.
"Ми спостерігали величезне зростання використання програм-вимагачів та зломів для отримання несанкціонованого доступу до ePHI, і з 2003 року відбулося еволюційне зростання технічних можливостей систем запису, які використовуються для зберігання медичної інформації, а також зміни в витратах на різноманітні заходи безпеки," сказала Марісса Гордона Нгуєн, старший радник OCR з питань конфіденційності медичної інформації, даних та кібербезпеки, згідно з історією.
NIST переглянув свої рекомендації для охорони здоров'я, щоб покращити дотримання правил безпеки HIPAA два роки тому у відповідь на хвилю порушень медичних даних, які продовжують вражати сектор.
БІЛЬШИЙ ТРЕНД
Ускладнюючи дотримання HIPAA для організацій охорони здоров'я, правова невизначеність залишається щодо того, які дані не вважаються ePHI після справи AHA проти Бесерри, федерального позову, який намагався заборонити застосування інструментів онлайн-трекінгу OCR відповідно до HIPAA.
Адвокати позивачів повністю використовують такі сірі зони, і організації охорони здоров'я одночасно стикаються з колективними позовами.
Іліана Пітерс, адвокат і акціонер юридичної фірми Polsinelli, порівняла клімат конфіденційності пацієнтів з "Диким Заходом". Вона сказала Healthcare IT News раніше цього місяця, що, хоча HHS відмовилося від свого апеляційного позову, щоб включити обмін індивідуальними IP-адресами з третіми сторонами в те, що становить порушення HIPAA, інші інструменти, такі як планування прийомів, функції геолокації, інструменти перекладу та чат-боти на неавтентифікованих веб-сайтах, все ще можуть бути розглянуті.
"Інша діяльність, можливо, буде в межах дії, оскільки рішення не говорить, що це не так," пояснила вона.
Періодично федеральна система конфіденційності зазнавала оновлень.
У 2018 році HHS випустило оновлення регуляції Управління з контролю за наркотиками та службами психічного здоров'я, щоб заблокувати обмін інформацією про лікування наркоманії для виставлення рахунків та платежів, незважаючи на переваги координації догляду, на які вказували лікарні та постачальники, які коментували регулювання.
У квітні HHS також видало своє остаточне правило для зміни Стандартів конфіденційності індивідуально ідентифікованої медичної інформації відповідно до HIPAA та Закону про інформаційні технології для економічного та клінічного здоров'я 2009 року, яке набрало чинності в червні.
HHS зазначило в резюме цього правила, що через рішення Верховного Суду у справі Доббс проти Організації охорони здоров'я Джексон, "скасовано прецедент, який захищав конституційне право на аборт і змінив правове та медичне середовище," що збільшує ймовірність того, що індивідуальна PHI може бути розкрита способами, які HIPAA прагне захистити.
"Загроза того, що PHI буде розкрита і використана для проведення такого розслідування проти або для накладення відповідальності на особу або іншу особу, ймовірно, стримуватиме готовність особи шукати законне медичне лікування або надавати повну інформацію своїм медичним працівникам під час отримання цього лікування, а також готовність медичних працівників надавати таку допомогу," зазначило HHS.
Ніколь Свіни, генеральний юрисконсульт і головний офіцер з конфіденційності в CRISP та CRISP Shared Services, порадила організаціям охорони здоров'я співпрацювати з постачальниками електронних медичних записів для підтримки інтероперабельності та обмеження доступу до законодавчо захищених даних, щоб зменшити ризики конфіденційності репродуктивних даних.
"Замість того, щоб закривати обмін повними медичними записами, щоб уникнути їх включення до національних обмінних платформ, ми можемо встановити обмеження навколо загальних ліків і процедур – і постачальників та організацій, які зазвичай надають ці послуги," сказала вона Healthcare IT News минулого року.
"Щоб уникнути проблем з блокуванням інформації, такі обмеження повинні бути створені в рамках відповідного державного закону або політики та/або за запитом пацієнта."
На даний момент регульовані суб'єкти повинні переглянути та впровадити зміни до своїх політик і процедур, щоб відповідати змінам конфіденційності репродуктивних даних до HIPAA до 23 грудня.
НА ЗАПИС
"Ці зміни покращать кібербезпеку в секторі охорони здоров'я, зміцнивши вимоги для регульованих суб'єктів HIPAA щодо захисту електронної захищеної медичної інформації для запобігання, виявлення, локалізації, зменшення та відновлення від кіберзагроз," зазначив OCR в анотації змін до правила безпеки HIPAA.
"OCR очікує опублікувати запропоноване правило в грудні 2024 року," повідомило агентство в п'ятницю ввечері в електронному листі до Healthcare IT News.
Цю статтю оновлено, щоб включити додаткову заяву уряду.
Андреа Фокс є старшим редактором Healthcare IT News. Електронна пошта: afox@himss.org Healthcare IT News є публікацією HIMSS Media.
Форум з кібербезпеки HIMSS заплановано на 31 жовтня - 1 листопада у Вашингтоні, округ Колумбія. Дізнайтеся більше та зареєструйтеся.
