Wetgeving en beleid inzake de privacy van gezondheidsinformatie

Welk type keuzevrijheid voor de patiënt bestaat er onder HIPAA?

De meeste aanbieders van gezondheidszorg moeten zich houden aan de Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule (Privacy Rule), een federale privacywet die een basisniveau van bescherming vaststelt voor bepaalde individueel identificeerbare gezondheidsinformatie (“gezondheidsinformatie”).

De privacyregel staat over het algemeen toe, maar vereist niet, dat gedekte zorgverleners patiënten de keuze geven of hun gezondheidsinformatie voor bepaalde belangrijke doeleinden aan anderen mag worden bekendgemaakt. Deze belangrijke doeleinden omvatten behandeling, betaling en gezondheidszorgactiviteiten.

Hoe kan de keuze van de patiënt worden geïmplementeerd in elektronische uitwisseling van gezondheidsinformatie (eHIE)?

Hoewel het niet vereist is, kunnen zorgaanbieders besluiten om patiënten de keuze te bieden of hun gezondheidsinformatie elektronisch kan worden uitgewisseld, hetzij rechtstreeks, hetzij via een organisatie voor uitwisseling van gezondheidsinformatie (HIE). Dat wil zeggen, ze kunnen een “opt-in” of “opt-out” -beleid of een combinatie aanbieden.

Zijn er specifieke wettelijke vereisten voor opt-in of opt-out-beleid?

Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) stelt geen specifieke stappen of vereisten vast voor het verkrijgen van de keuze van een patiënt om al dan niet deel te nemen aan eHIE. Het adequaat informeren van patiënten over deze nieuwe modellen voor uitwisseling en hen de keuze geven om al dan niet deel te nemen, is echter één manier om ervoor te zorgen dat patiënten deze systemen vertrouwen. Aanbieders worden daarom aangemoedigd om patiënten in staat te stellen een “zinvolle” toestemmingskeuze te maken in plaats van een niet-geïnformeerde keuze.

U kunt meer lezen over de keuze van patiënten en eHIE in richtsnoeren die zijn uitgebracht door het Office for Civil Rights (OCR): The HIPAA Privacy Rule and Electronic Health Information Exchange in a Networked Environment .

Are There Privacy Laws that Require Patient Consent?

Ja. Er zijn enkele federale en staatsprivacywetten (bijv. 42 CFR Part 2, Title 10) die vereisen dat zorgverleners schriftelijke toestemming van patiënten krijgen voordat ze hun gezondheidsinformatie bekendmaken aan andere mensen en organisaties, zelfs voor behandeling. Veel van deze privacywetten beschermen informatie die betrekking heeft op gezondheidsaandoeningen die door de meeste mensen als “gevoelig” worden beschouwd.

Hoe beïnvloedt de HIPAA deze andere privacywetten?

De HIPAA heeft een basisniveau van privacybescherming gecreëerd. Het overschrijft (of “preempt”) andere privacywetten die minder beschermend zijn. Maar de HIPAA laat andere wetten van kracht die meer privacybescherming bieden. Binnen dit wettelijke kader moeten zorgverleners en andere implementeerders zich blijven houden aan andere toepasselijke federale en staatswetten die vereisen dat patiënten toestemming moeten geven voordat hun gezondheidsinformatie wordt bekendgemaakt.

De hieronder vermelde bronnen bieden links naar enkele federale, staats- en organisatiebronnen die van belang kunnen zijn voor degenen die eHIE-beleid opzetten in overleg met juridische adviseurs. Implementeerders kunnen ook de wet- en beleidssites van hun staat bezoeken voor aanvullende informatie.

Federale, staats- en organisatiebronnen over toestemming, persoonlijke keuze en vertrouwelijkheid

We moedigen providers, HIE’s en andere IT-implementeerders in de gezondheidszorg aan om deskundig advies in te winnen bij het evalueren van deze bronnen, aangezien privacywetten en -beleid voortdurend veranderen. De bronnen zijn niet bedoeld als juridisch advies of als aanbevelingen op basis van de specifieke omstandigheden van een implementator.

Federale wet- en regelgeving, richtsnoeren en beleid

Gezondheidsinformatie in het algemeen

• Individuele keuze: de HIPAA-privacyregel en elektronische uitwisseling van gezondheidsinformatie in een netwerkomgeving – richtsnoeren met betrekking tot de HIPAA-privacyregel in relatie tot het keuzebeginsel in het privacy- en beveiligingsraamwerk.

gevoelige gezondheidsinformatie (bv. informatie over gedragsgezondheid, hiv/aids-status)

• geestelijke gezondheid en misbruik van middelen: Legal Action Center in Conjunction with SAMHSA’s Webinar Series on Alcohol and Drug Confidentiality Regulations (42 CFR Part 2) – slides en videos providing an overview of alcohol and drug confidentiality rules, further explanation of SAMHSA FAQs, and supplemental material.
• Mental Health and Substance Abuse: SAMHSA – Health Resources and Services Administration (HRSA) Center for Integrated Health Solutions – bronnen en voorbeelden om zorgverleners te helpen de vertrouwelijkheid van patiënten te begrijpen en aan te pakken, ook met betrekking tot de pediatrie.
• Student Health Records: U.S. Department of Health and Human Services and Department of Education Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) and HIPAA to Student Health Records – overzicht van FERPA, HIPAA, en waar deze elkaar kunnen kruisen; bevat een FAQ-sectie.
• Family Planning: Titel 42 – Volksgezondheid – 42 CFR 59.11 – Vertrouwelijkheid – federale regels over toestemming en vertrouwelijkheid van patiëntinformatie met betrekking tot door de overheid gefinancierde klinieken voor gezinsplanning.

Policy

• Nationwide Privacy and Security Framework for Electronic Exchange of Individually Identifiable Health Information – ONC’s privacy- en beveiligingsbeleidskader voor eHIE, bedoeld om de invoering van gezondheids-IT in het land te helpen begeleiden en de beschikbaarheid van gezondheidsinformatie en de kwaliteit van de gezondheidszorg te helpen verbeteren.
• Privacy- en beveiligingsprogramma-instructie (PIN) voor HIE’s van staten – een gemeenschappelijke reeks privacy- en beveiligingsvereisten om ontvangers van HIE-samenwerkingsovereenkomsten van staten te helpen privacy- en beveiligingsbeleid en -praktijken voor HIE-diensten op te stellen. De leidraad is ook een hulpmiddel voor staatsbeleidsmakers en andere belanghebbenden die een gemeenschappelijk privacy- en beveiligingsbeleid en gemeenschappelijke praktijken voor gemeenschappen, regio’s en staten opstellen. De PIN kan dienen als een kader en specifieke richting en begeleiding bieden voor deze inspanningen.
• Governance Framework for Trusted Electronic Health Information Exchange – ONC’s leidende beginselen voor eHIE-governance. Het document biedt een gemeenschappelijke conceptuele basis die van toepassing is op alle soorten governancemodellen en verwoordt de beginselen die volgens ONC het belangrijkst zijn voor HIE-governance. Het governancekader schrijft geen specifieke oplossingen voor, maar legt mijlpalen en resultaten vast die ONC verwacht voor en van HIE-governance-entiteiten naarmate ze eHIE mogelijk maken.
• Beginselen en strategie voor het versnellen van HIE – ONC’s algemene beginselen en strategie voor het versnellen van de uitwisseling van gezondheidsinformatie, inclusief aandacht voor privacy- en beveiligingskwesties en mogelijke oplossingen.

Federal Advisory Committee (FACA) Recommendations

• Health IT Policy Committee’s Tiger Team’s Recommendations on Individual Choice – FACA-aanbevelingen aan HHS over privacy- en beveiligingsbeleid en -praktijken die het vertrouwen van het publiek in HIT en eHIE zullen helpen opbouwen en het juiste gebruik ervan mogelijk zullen maken om de kwaliteit en efficiëntie van de gezondheidszorg te verbeteren. Deze aanbevelingen hebben ONC’s State HIE PIN evenals de eConsent en Data Segmentation inspanningen geïnformeerd.
• Health IT Policy Committee’s Tiger Team’s Recommendations on Exchange of Health Information in Query Response Models and Meaningful Consent – set van aanbevelingen over query model van uitwisseling die zinvolle keuze voor patiënten omvatten.

State Law

• Report on State Law Requirements for Patient Permission to Disclose Health Information – onderzoeksbevindingen over hoe verschillende staatswetten de openbaarmaking van gezondheidsinformatie regelen. Dit rapport geeft ook een overzicht van de federale toestemmingswetten.
• Report on Interstate Disclosure and Patient Consent Requirements – documentatie van de staatsrechtelijke vereisten voor openbaarmaking van gezondheidsinformatie voor behandelingsdoeleinden binnen en over staatsgrenzen heen.
• Report on Intrastate and Interstate Consent Policy Options – tools en middelen die staten en belanghebbenden in de gezondheidszorg kunnen gebruiken om te beslissen welk niveau van keuze passend is voor patiënten met betrekking tot de elektronische toegang, het gebruik en de openbaarmaking van hun gezondheidsinformatie. Dit omvat ook instrumenten en middelen die staten kunnen gebruiken om te evalueren welke van de interstatelijke juridische mechanismen zij eventueel met succes kunnen gebruiken.
• Toegang tot gezondheidsinformatie van minderjarigen – paragraaf 3.2.6 van dit verslag behandelt de toegang tot gezondheidsinformatie van minderjarigen. Het bevat een bespreking van de mogelijkheid voor minderjarigen om toestemming te geven voor de openbaarmaking van gerelateerde gezondheidsinformatie.

Organisatorisch beleid en procedures

• Richtsnoeren voor het ontwikkelen van een toestemmingsbeleid voor IT in de gezondheidszorg – suggesties voor het opstellen van een toestemmingsbeleid.