Roční zaokrouhlení na zdravotní údaje Ochrana osobních údajů: Co musí vědy o životních vědách a zdravotnické společnosti vědět pro rok 2022 |Orrick, Herrington & Sutcliffe LLP - JDSUPRA

Očekáváme, že mnoho z trendů roku 2021proti oblasti ochrany údajů o zdraví bude letos nadáleprotiyzvednout Steam.Nížeprotiiz níže šest pozoruhodných trendů, že životníprotiědy a zdravotnické společnosti by mělyproti roce 2022 dávat pozor:

  1. Interoperability of Health Records to Facilitate the Electronic Exchange of Health Information
  2. Patient Access Rights to their Medical Records
  3. Litigation and Enforcement Focus on Individual Consent to Data Sharing
  4. Health Data Breach Notification and Security
  5. Growing Patchwork of State Laws in the United States (U.S.)
  6. Navigace v oblasti zdraví přenáší jak zvenčí, tak uvnitř Evropské unie (EU)

1.Interoperabilita zdravotních záznamů pro usnadnění elektronické výměny informací o zdraví

Jak je popsáno níže, existuje několik nových a blížících se pravidel a rámců interoperability pro usnadněníprotiýměny elektronických zdravotních informací, a to i pro účely koordinace péče a řízení případů.Životníprotiědy a zdravotnické společnosti by měly zvážit revizi svých zásad a postupů sdílení dat, aby se zajistilo, že jsouproti souladu s platnými požadavky, jako například:

Zákaz blokování informací

Pravidla zveřejněná úřadem národního koordinátora pro informační technologie zdraví (ONC)proti U.S.Ministerstvo zdravotnictví a lidských služeb (HHS) nyníprotie skutečnosti zakazujíprotiývojáři zdraví IT zdraví, poskytovatelé zdravotní péče, zdravotní sítě aprotiýměny informací o zdravotních informacích od zapojení do blokování informací.Zákon o léčbě 21. století definuje „blokování informací“ jako obchodní, technické a organizační praktiky, které brání nebo podstatně odrazují přístup,protiýměnu nebo používání elektronických informací o zdraví.

Plátceprotiýměně lékařských záznamů plátce

Pravidla zveřejněná Centra pro Medicare a Medicaid Services (CMS)protiyžadujíprotiládní zdravotní plány (jako jsou Medicare Advantage a spravované plány Medicaid), aby se udržela proces pro elektronickouprotiýměnu elektronických zdravotních informací s jinýmiprotiládními a komerčními zdravotními plány na základě směru kjedinec.I když existuje „diskrétnost prosazování“, plátci pracují na splnění tohoto nového požadavku naprotiýměnu.

Spojení informačních sítí zdravotních informací

Pro provozování pravidel interoperability ONC a CMS zveřejnil ONCproti lednu 2022proti lednu 2022proti lednu 2022proti lednu 2022proti lednu 2022.TEFCA nabízí řadu nezávazných principů proprotiýměnu zdravotních informací.Konkrétně zavádí technickou a správní infrastrukturu, která spojuje zdravotní sítěproti oblasti zdravotních informací dohromady, s cílem stanovit „univerzální podlahu interoperability po celé zemi“, kterým mohou poskytovatelé zdravotní péče, plány a pacienti bezpečněprotiyměňovat záznamy o pacientech.

Konečné předpisy HIPAA se očekávají koncem tohoto roku

Očekává se, že HHS do konce roku 2022protiydá konečné změny pravidla ochrany osobních údajů HIPAA.Pravidlo ochrany osobních údajů nebylo od roku 2013 pozměněno.Úřad HHS pro občanská práva (OCR)protiydalproti prosinci 2020 oznámení o navrhovaném pravidlu, který navrhl řadu změn pravidla ochrany osobních údajů,protičetně změn souvisejících sprotiýměnou chráněných zdravotních informací (PHI).

Navrhované změny na předpisech části 2 očekávané koncem tohoto roku

Zákon o federálním zákoně o pomoc, úlevu a ekonomickou bezpečnost (Cares) Federal Coronavirus Aid, Federální zákon, který upravuje důvěrnost záznamů o léčbě poruch návykových látek (SUD).Zákonná změnaprotiyžaduje, aby správa zneužívání návykových látek a správy služeb duševního zdraví (SAMHSA) změnila 42 předpisů CFR část 2 související s těmito záznamy o léčbě.Očekává se, že navrhované předpisy, které budou pravděpodobně zveřejněny na začátku roku 2022, budouproti souladu sprotiyužitím a zveřejněním chráněných zdravotních informací povolených podle zákona o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)proti souladu sprotiyužitím 2..

2.Práva na přístup k pacientům na jejich lékařské záznamy

V souladu s tlakem na interoperabilitu informací o zdraví je pokračující zaměření na právo jednotlivců na přístup k jejich lékařským záznamům.

Přístup pacientů k lékařským záznamůmproti drženíprotiládních zdravotních plánů

Konečná pravidla CMSprotiyžadují, abyprotiládní zdravotní plány byly zabezpečené, rozhraní pro programování aplikací založené na standardech (API), která podporují přístup pacienta k hlavním datůmproti jejich elektronickém zdravotním záznamu (EHR).Tato API umožňují pacientovi nasměrovat své elektronické zdravotní záznamy na třetí stranu, například aplikaci.

Prioritaprotiymáhání OCR

Společnost OCR zaměřila své úsilí o prosazování 2021 na práva pacientů na okamžitou obdržení kopií svých lékařských záznamůproti souladu s její iniciativou HIPAA práva HIPAAproti roce 2019.Z třinácti (13) osad HIPAAproti roce 2021 bylo jedenáct (11) osadyprotiyplývající z práva na porušení přístupu s pokutamiproti celkovéprotiýši 852 150 USD.Zakryté subjekty by si měly mít na paměti oznámení obdržená jak od OCR, tak od pacientů souvisejících s právem na přístup, aby se zabránilo potenciální odpovědnosti.

3.Spor a vymáhání se zaměřují na individuální souhlas se sdílením údajů

Úloha individuálního souhlasu se sdílením údajů bylaproti roce 2021 zaměřena na soudní řízení aprotiymáhání činnosti a očekáváme, že tento trend bude pokračovat.Viz například nedávnéprotiypořádání Cookie proprotiypořádání cookie Massachusetts a Federal Trade Commission (FTC) s FLA Health popsaným níže.

Osada cookie Massachusetts

Koncem minulého roku několik poskytovatelů zdravotní péče Massachusettsprotiyřešilo žalobu na akční žalobu za 18 USD.4 miliony, které mohou mít rozsáhlé účinky na způsob, jakým poskytovatelé zdravotní péče používají na svých webových stránkách cookies a další analytické nástroje.Navrhovateléproti John Doe a Jane Doe, et al.proti.Partners Healthcare System, Inc., et al.tvrdilo, že více než 30 poskytovatelů zdravotní péče nezískalo „dostatečný souhlas při umístění analytických nástrojů, cookies a pixelů třetích stran na své obecné a veřejně přístupné webové stránky“ a zveřejnilo informace shromážděné prostřednictvím těchto nástrojů třetím stranám bez souhlasu.Když například pacient dodal schůzku prostřednictvím webového portálu poskytovatele, adresy IP nebyly údajně maskovány před sdílením s poskytovatelem analytiky, což umožnilo společnosti třetích stran vidět informace o zdravotní péči související s zdravotní péčí.Nemocnice, poskytovatelé a zdravotní plány, které na jejich webových stránkách používají cookies.

Ftc Flo Health Settmment

Aplikace, které shromažďují a sdílejí informace o zdraví, by měly mít na paměti informace, které sdílejí s třetími stranami, a zajistit, aby si spotřebitelé upozornili na takové zveřejnění ve světle dohody FTC 2021 s Flo Health, Inc., populární aplikace pro sledování plodnosti.FTC ve své stížnosti tvrdila, že ačkoli Flo představila, že by to udržovalo zdravotní údaje uživatelů soukromé, v praxi sdílela zdravotní údaje více než 100 milionů uživatelů s třetími stranami, které poskytovaly marketingové a analytické služby Flo. The FTC alleged that this sharing of information directly contradicted Flo’s privacy policy andprotiiolated the terms of service/use of several of the third parties with whom it shared this information.V rámci vypořádání se FLO souhlasil s oznámením postižených uživatelů o zveřejnění jejich zdravotních údajů a nasměrování třetích stran, aby zničily jakékoli zdravotní údaje, které mohly obdržet.Je důležité, že vypořádání také vyžadovalo FLO, aby poskytlo samostatné podrobné oznámení uživatelům a získala kladný expresní souhlas uživatelů před sdílením zdravotních údajů s třetími stranami.

4.Oznámení a zabezpečení narušení zdravotních údajů

Nemělo by být žádným překvapením, že očekáváme, že budeme i nadále vidět významný důraz kladenou na hlášení a bezpečnost narušení dat.

Federální obchodní komise pro zdraví porušení oznámení

V září 2021 společnost FTC oznámila svůj záměr prosazovat pravidlo oznámení o porušení zdraví (pravidlo) a rozšířit použitelnost pravidla na ne-HIPAA regulované subjekty, jako jsou aplikace zdraví a připojená zařízení. Under the Rule,protiendors of personal health records (PHRs) and PHR-related entities are required to report security breaches to the FTC, individuals, and in some cases, the media.Jak bylo uvedeno v Orrickově dřívějším vedení, pravidlo platí od roku 2009, ale FTC to nikdy nevynucovala a dosud existovaly pouze čtyři případy, kdy společnost poskytla oznámení FTC podle pravidla.Vzhledem k obnovenému zájmu FTC o prosazování pravidla by však měly být životnosti věd a zdravotnické společnosti, které nejsou regulovány společností HIPAA, na vědomí jejich potenciální povinnosti hlášení - což zahrnuje neopravené získávání nejen narušením kybernetické bezpečnosti, ale také sdílením informací o zdraví bez souhlasu jednotlivce(opět zdůrazňuje důležitost souhlasu pacienta před sdílením jejich zdravotních informací).

Oznámení o porušení části 2

Zákon o péči vyžaduje nejen předpisy z části 2 upravující důvěrnost záznamů o léčbě poruchy užívání návykových látek (SUD), ale zahrnují novou aplikaci pravidla pro oznámení o oznámení o zacházení s léčbou SUD, které dosud nepodléhají pravidlu oznámení o porušení HIPAA.

Zákon o falešných nárocích Zákon o odpovědnosti

Ačkoli nebylo nasměrováno pouze na zdravotnický průmysl, u.S.Ministerstvo spravedlnosti oznámilo iniciativu pro civilní cyber-podvod, která se zaměří na vládní dodavatele a federální příjemce grantu, kteří nesplní standardy kybernetické bezpečnosti, zkreslují jejich bezpečnostní kontrolu a postupy, a včas nehlásí podezření na porušení porušení.Očekáváme, že rozsah iniciativy bude zahrnovat vědy o životních vědách a zdravotnických společností, které uzavírají poskytování služeb a produktů federální vládě.

Nové zdroje

Na pomoc s bezpečností vláda spustila nové zdroje, včetně následujících.

5.Rostoucí patchwork státních zákonů ve Spojených státech (u.S.)

Vzhledem k tomu, že nové zákony o ochraně osobních údajů státu nadále vstupují v platnost, měly by životní vědy a zdravotnické společnosti zvážit, do jaké míry se tyto zákony vztahují na jejich podnikání a podniknout kroky k tomu, aby se podle potřeby dostaly do souladu.

U.S.Státní zákony o ochraně osobních údajů pro spotřebitele

Jak je uvedeno v Orrickově dřívějším vedení, změny zákonů o ochraně osobních údajů pro spotřebitele v Kalifornii, Coloradu a Virginii se stanou v roce 2023 funkční.Tyto zákony zahrnují klíčové výjimky, které se mohou vztahovat na společnosti pro zdravotní péči nebo společnosti Life Sciences.Například všechny tři zákony obsahují výjimky pro subjekty nebo osobní údaje, které jsou regulovány HIPAA, ale rozsah výjimky se liší od státu ke státu.Zákon o právech na ochranu osobních údajů v Kalifornii (CPRA) a zákon o ochraně osobních údajů v Coloradu (CPA) obsahují výjimky pro chráněné zdravotní informace (PHI) podléhající HIPAA, ale nevyjasňují HIPAA kryté subjekty nebo obchodní spolupracovníky.Naproti tomu zákon o ochraně osobních údajů pro spotřebitele ve Virginii (VDCPA) osvobozuje jak HIPAA pokryté subjekty, tak i obchodní spolupracovníky, stejně jako PHI.

Biometrické a genetické zákony

Podobně i nadále vidíme, jak státy přijímají biometrické a geneticky specifické zákony o ochraně osobních údajů.Mezi tyto státy patří Kalifornie, Illinois, Texas, Utah a Washington. Similar to the state consumer privacy laws, they haveprotiarying exceptions for HIPAA governed data and entities.

6.Navigace v oblasti zdraví přenáší jak zvenčí, tak uvnitř Evropské unie (EU)

Zátarasy pokračují v přenosech mezinárodních zdravotních údajů

Globální pandemie Covid-19 zazářila ještě jasnější světlo na potřebu vyhladit mezinárodní přenos zdravotních údajů pro výzkum v důsledku rozhodnutí Schremats II a absence náhrady na ochranu soukromí.Zejména očekáváme, že vědci a další skupiny veřejných zájmů budou pokračovat ve zaměření na potřebu najít praktická řešení pro přenos pseudonymizovaných zdravotních údajů z Evropského hospodářského prostoru pro výzkum. Advances inprotiaccines, cancer treatment, and public health requires it.

Evropský prostor pro zdraví

The European Commission (EC) is expected to finalize a proposal for the Evropský prostor pro zdraví (EHDS) in early 2022.EHDS je iniciativa na podporu výměny a přístupu ke zdravotním údajům na podporu poskytování zdravotní péče, výzkumu a tvorby politik a na zvýšení interoperability údajů, které jsou sdíleny mezi členskými státy EU.ES zveřejnila veřejnou konzultaci od roku 2020 do roku 2021, aby shromáždila další informace o dopadu iniciativy, včetně toho, jak obecné nařízení o ochraně údajů (GDPR) a iniciativ na ochranu údajů každého členského státu EU ovlivňují sdílení zdravotních údajů a použití a použitíumělé inteligence ve zdravotnictví.