Health Information Privacy Law and Policy

What Type of Patient Choice Exists Under HIPAA?

Useimpien terveydenhuollon tarjoajien on noudatettava HIPAA:n (Health Insurance Portability and Accountability Act) yksityisyydensuojasääntöä (Privacy Rule), liittovaltion yksityisyydensuojaa koskevaa lakia, jossa asetetaan tietyt yksilöllisesti yksilöitävissä olevia terveystietoja (terveystietoja) koskevan suojan perustaso.

Privacy Rule sallii yleensä, mutta ei edellytä, että terveydenhuollon tarjoajat antavat potilaille mahdollisuuden valita, voidaanko heidän terveystietojaan luovuttaa muille tiettyjä keskeisiä tarkoituksia varten. Näitä keskeisiä tarkoituksia ovat hoito, maksaminen ja terveydenhuollon toiminta.

Miten potilaan valinnanvapaus voidaan toteuttaa sähköisessä terveystietojen vaihdossa (eHIE)?

Vaikka sitä ei vaadita, terveydenhuollon tarjoajat voivat päättää tarjota potilaille valinnanvapauden sen suhteen, voidaanko heidän terveystietojaan vaihtaa sähköisesti joko suoraan tai terveystietoja vaihtavan organisaation (Health Information Exchange Organization, HIE) kautta. Toisin sanoen ne voivat tarjota ”opt-in”- tai ”opt-out”-käytäntöä tai niiden yhdistelmää.

Onko opt-in- tai opt-out-käytäntöjä varten olemassa erityisiä oikeudellisia vaatimuksia?

Yhdysvaltion terveys- ja terveyspalvelujen ministeriö (HHS) ei määrittele erityisiä vaiheita tai vaatimuksia, joiden avulla potilas voi valita, osallistuuko hän sähköiseen HIE:hen. Se, että potilaille tiedotetaan riittävästi näistä uusista tiedonvaihtomalleista ja annetaan heille mahdollisuus valita, haluavatko he osallistua, on kuitenkin yksi keino varmistaa, että potilaat luottavat näihin järjestelmiin. Palveluntarjoajia kannustetaankin antamaan potilaille mahdollisuus tehdä ”mielekäs” suostumusvalinta sen sijaan, että he tekisivät tietämättömän valinnan.

Potilaiden valinnanvapaudesta ja eHIE:stä voi lukea lisää OCR:n (Office for Civil Rights) julkaisemista ohjeista: The HIPAA Privacy Rule and Electronic Health Information Exchange in a Networked Environment .

Onko olemassa tietosuojalakeja, jotka edellyttävät potilaan suostumusta?

Kyllä. On olemassa joitakin liittovaltion ja osavaltioiden tietosuojalakeja (esim. 42 CFR:n 2. osa, 10. osasto), jotka edellyttävät, että terveydenhuoltopalvelujen tarjoajien on saatava potilaiden kirjallinen suostumus, ennen kuin ne luovuttavat heidän terveystietojaan muille henkilöille ja organisaatioille, jopa hoitoa varten. Monet näistä yksityisyyden suojaa koskevista laeista suojaavat tietoja, jotka liittyvät useimpien ihmisten ”arkaluonteisina” pitämiin terveydentiloihin.

Miten HIPAA vaikuttaa näihin muihin yksityisyyden suojaa koskeviin lakeihin?

HIPAA:lla luotiin yksityisyyden suojan perustaso. Se kumoaa (tai ”syrjäyttää”) muut yksityisyyden suojaa heikommin suojaavat lait. HIPAA jättää kuitenkin voimaan muita lakeja, jotka suojaavat yksityisyyttä paremmin. Tämän oikeudellisen kehyksen mukaisesti terveydenhuollon tarjoajien ja muiden toteuttajien on edelleen noudatettava muita sovellettavia liittovaltion ja osavaltioiden lakeja, jotka edellyttävät potilaiden suostumuksen hankkimista ennen heidän terveystietojensa luovuttamista.

Jäljempänä luetelluissa resursseissa on linkkejä joihinkin liittovaltion, osavaltioiden ja organisaatioiden resursseihin, jotka voivat kiinnostaa niitä, jotka laativat eHIE-käytäntöjä oikeudellisen neuvonantajan kanssa neuvotellen. Toteuttajat voivat myös käydä oman osavaltionsa laki- ja politiikkasivustoilla saadakseen lisätietoja.

Suostumusta, henkilökohtaista valintaa ja luottamuksellisuutta koskevia liittovaltion, osavaltion ja organisaatioiden resursseja

Kannustamme palveluntarjoajia, HIE:itä ja muita terveydenhuollon tietotekniikan toteuttajia pyytämään asiantuntija-apua näiden resurssien arvioinnissa, sillä yksityisyyden suojaa koskevat lait ja politiikat kehittyvät jatkuvasti. Resursseja ei ole tarkoitettu oikeudelliseksi neuvonnaksi eikä suosituksiksi, jotka perustuvat toteuttajan erityisolosuhteisiin.

Liittovaltion lait, asetukset, ohjeet ja toimintaperiaatteet

Terveystietoja yleisesti

• Yksilön valinnanvapaus: HIPAA:n yksityisyydensuojaa koskeva sääntö ja sähköinen terveystiedonvaihto verkottuneessa ympäristössä – HIPAA:n yksityisyydensuojaa koskevan säännön ohjeistusta yksityisyydensuojaa koskevan säännön ja yksityisyydensuojaa ja tietoturvaa koskevan viitekehyksen valintamahdollisuus-periaatteen välisestä suhteesta.

Arkaluonteiset terveystiedot (esim. käyttäytymistä koskevat terveystiedot, HIV/AIDS-status)

• Mielenterveys ja päihteiden väärinkäyttö: Legal Action Center in Conjunction with SAMHSA’s Webinar Series on Alcohol and Drug Confidentiality Regulations (42 CFR Part 2) – dioja ja videoita, jotka tarjoavat yleiskatsauksen alkoholin ja huumeiden salassapitosäännöistä, lisäselvityksiä SAMHSA:n usein kysytyistä kysymyksistä ja lisämateriaalia.
• Mental Health and Substance Abuse: SAMHSA – Health Resources and Services Administration (HRSA) Center for Integrated Health Solutions – resursseja ja esimerkkejä, jotka auttavat palveluntarjoajia ymmärtämään ja käsittelemään potilaiden luottamuksellisuuteen liittyviä kysymyksiä, mukaan lukien pediatriaan liittyvät kysymykset.
• Student Health Records: U.S. Department of Health and Human Services and Department of Education Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) and HIPAA to Student Health Records – yleiskatsaus FERPA:sta, HIPAA:sta ja siitä, missä ne voivat risteillä; sisältää FAQ-osion.
• Perhesuunnittelu: Title 42 – Public Health – 42 CFR 59.11 – Confidentiality – liittovaltion säännöt suostumuksesta ja potilastietojen luottamuksellisuudesta liittovaltion rahoittamien perhesuunnitteluklinikoiden osalta.

Policy

• Nationwide Privacy and Security Framework for Electronic Exchange of Individually Identifiable Health Information (Yksilöllisesti yksilöitävissä olevien terveystietojen sähköisen vaihdon valtakunnallinen tietosuoja- ja tietoturvakehys) – ONC:n tietosuoja- ja tietoturvapoliittinen kehys sähköistä terveystietoa (eHIE:tä) varten. Tämän kehyksen tarkoituksena on ohjata valtakunnallista terveydenhuolto- ja tietotekniikkateknologian käyttöön ottoa ja auttaa parantamaan terveyteen liittyvää tiedon saatavuutta ja parantamaan terveydenhoitopalveluja.
• Privacy and Security Program Instruction Notice (PIN) for State HIEs – yhteinen tietosuojan ja tietoturvan vaatimuskokonaisuus, jonka tarkoituksena on auttaa osavaltioiden HIE-yhteistyösopimusten vastaanottajia luomaan tietosuojan ja tietoturvan periaatteet ja käytännöt HIE-palveluille. Ohjeesta on apua myös osavaltioiden poliittisille johtajille ja muille sidosryhmille, jotka laativat yhteisiä tietosuoja- ja turvallisuuspolitiikkoja ja -käytäntöjä yhteisöille, alueille ja osavaltioille. PIN-koodi voi toimia kehyksenä ja tarjota erityisiä ohjeita ja opastusta näihin pyrkimyksiin.
• Governance Framework for Trusted Electronic Health Information Exchange – ONC:n ohjaavat periaatteet eHIE:n hallinnoinnista. Asiakirja tarjoaa yhteisen käsitteellisen perustan, jota voidaan soveltaa kaikentyyppisiin hallintomalleihin, ja siinä ilmaistaan ne periaatteet, joita ONC pitää tärkeimpinä HIE:n hallinnon kannalta. Hallintakehyksessä ei määrätä tietyistä ratkaisuista, mutta siinä esitetään välitavoitteet ja tulokset, joita ONC odottaa HIE:n hallintoyksiköiltä ja HIE:n hallintoyksiköiltä niiden ottaessa käyttöön eHIE:n.
• Principles and Strategy for Accelerating HIE – ONC:n yleiset periaatteet ja strategia terveystiedon vaihdon nopeuttamiseksi, mukaan lukien keskittyminen yksityisyyden suojaan ja tietoturvaan liittyviin kysymyksiin ja mahdollisiin ratkaisuihin.

Federal Advisory Committee (FACA) Recommendations

• Health IT Policy Committee’s Tiger Team’s Recommendations on Individual Choice – FACA:n suositukset HHS:lle yksityisyyden suojaa ja tietoturvaa koskevista toimintalinjoista ja -käytännöistä, jotka auttavat rakentamaan yleisön luottamusta HIT:iin ja sähköiseen tietoliikennetietojärjestelmään (eHIE:hen) ja mahdollistavat niiden asianmukaisen käytön terveydenhuollon laadun ja tehokkuuden parantamiseksi. Nämä suositukset olivat pohjana ONC:n State HIE PIN:lle sekä eConsent- ja datan segmentointipyrkimyksille.
• Health IT Policy Committee’s Tiger Team’s Recommendations on Exchange of Health Information in Query Response Models and Meaningful Consent – suositukset kyselyvastausten vaihtomalleista, joihin sisältyy potilaiden mielekäs valinta.

State Law

• Report on State Law Requirements for Patient Permission to Disclosive Health Information – tutkimustuloksia siitä, miten eri osavaltioiden laeissa säädetään terveystietojen luovuttamisesta. Tässä raportissa esitetään myös yleiskatsaus liittovaltion suostumuslainsäädäntöön.
• Report on Interstate Disclosure and Patient Consent Requirements – dokumentaatio osavaltioiden lakisääteisistä vaatimuksista, jotka koskevat terveystietojen luovuttamista hoitotarkoituksiin osavaltioiden rajojen sisäpuolella ja rajojen yli.
• Raportti osavaltioiden sisäisistä ja osavaltioiden välisistä suostumuskäytäntövaihtoehdoista (Report on Intrastate and Interstate Consent Policy Options) – valtioille ja terveydenhuollon sidosryhmille suunnattuja työvälineitä ja -resursseja, joiden avulla ne voivat päättää, mikä on asianmukainen valinnanvapautta koskeva sääntelytapa, joka koskee terveydenhuoltotietojensa sähköistä saatavuutta, käyttämistä ja antamista. Raportti sisältää myös välineitä ja resursseja, joita valtiot voivat käyttää arvioidakseen, mitä valtioiden välisiä oikeudellisia mekanismeja ne voisivat menestyksekkäästi käyttää.
• Alaikäisten terveystietojen saanti – tämän raportin kohdassa 3.2.6 käsitellään alaikäisten terveystietojen saantia. Se sisältää keskustelun alaikäisten mahdollisuudesta antaa suostumus niihin liittyvien terveystietojen luovuttamiseen.

Organizational Policy and Procedures

• Guidance for Developing Consent Policies for Health IT – ehdotuksia suostumuskäytäntöjen laatimiseksi.