史蒂文·波斯纳克 (Steven Posnack) 的肖像
分享
分享通过电子邮件分享通过电子邮件分享
2020年3 月 9 日星期一,国家卫生信息技术协调员办公室 (ONC)发布了期待已久的最终规则,以解决信息阻塞问题并更新 ONC 卫生 IT 认证计划,按照国会在 2016 年《21世纪治愈法案》(《治愈法案》)中的指示。
作为一名患者、两个孩子的照顾者以及准备照顾年迈父母的独生子女,我期待能够轻松便捷地访问我们的医疗记录并管理我们的健康,就像我在医疗保健以外的大多数经济领域已经体验到的那样。随着 ONC 的《治愈法案最终规则》,我们距离实现这一目标又近了一步。很快,您将能够通过支持互联网的设备(例如您的智能手机)以电子方式访问、交换和使用您的电子健康信息 (EHI)。
在美国核心数据互操作性 ( USCDI ) 的支持下,安全、基于标准的应用程序编程接口 (API)(“认证 API”)将促进以患者为中心的新护理模式、价格透明度见解和一系列其他工具的开发,以帮助消除医疗保健的麻烦。换句话说,您将能够使用智能手机真正智能地了解您的健康状况。
作为患者,我们需要能够随时通过我们选择访问我们的数据。但这一切都始于信任,在我们的环境中,信任是建立在组织和商业实践、法律、关系和数据实践知识相结合的基础上的。ONC 的最终规则包括特定的技术要求,以赋予个人选择权。它还包括允许受信息阻止规则监管的“参与者”(“ IB 参与者”)就第三方应用程序(“应用程序”)带来的隐私和安全风险对个人进行教育和建议的规定。
作为患者,我们需要能够随时通过我们选择的应用程序安全地访问我们的数据。
虽然最终规则为我们所有人更轻松地访问我们的健康数据铺平了道路,但让我们明确一点。您可以选择决定您的医疗服务提供商与哪个第三方服务或应用程序共享您的数据(如果有的话)。您必须连接您选择的应用程序,向您的提供商证明您是您所说的那个人(即“验证”您自己),然后批准(“授权”)将您的部分或全部 USCDI 数据传输到您的应用程序。但您还需要确保第三方的政策和数据实践符合您的期望。特别是因为一旦这些数据脱离了您的医疗服务提供商的掌控,它将不再受到《健康保险流通与责任法案》(HIPAA)规则的保护。
信息阻止下允许什么?
最终规则允许并鼓励 IB 参与者向您提供信息,以帮助您选择、使用和信任应用程序。虽然 IB 参与者可能会实施某些做法来告知您第三方应用程序的隐私和安全风险,但它们可能不会阻止您做出自己的决定,包括与特定应用程序共享您的数据。
只要 IB 参与者向您提供事实准确、客观、公正、公平和非歧视性的信息,他们就可能会避免“干扰”您通过患者门户、应用程序或其他方式访问健康数据的能力(因此,可能不会被视为从事可被视为信息阻止的行为)。
例如,允许 IB 参与者建立一个流程,首先要求第三方应用程序开发商(在任何患者使用他们的应用程序之前)证明“是”或“否”,以确定他们是否有隐私政策,如果有,该政策是否符合某些市场主导的“最佳实践”。一旦 IB 参与者记录了这一预先证明,它可能会向您显示一个警告,强调应用程序开发商的响应方式,以告知您继续的决定。例如,这种警告可以用来通知您,您将要与之共享数据的应用程序没有隐私政策。像这样恰当的教育干预可以帮助人们在与应用程序共享数据之前停下来三思而后行。最终规则的序言与这份情况说明书一起详细介绍了这些做法。
让我们谈谈技术
为了响应《治愈法案》,我们采用了新的安全、基于标准的 API 认证标准。该认证标准包括对行业共识数据和安全标准的引用,包括 HL7® FHIR®、SMART 应用启动实施指南、OpenID Connect 和 OAuth 2。(OAuth 2 是一种您可能从未听说过但可能已经在智能手机和互联网上使用过多次的安全标准。)此外,从安全角度来看,医疗保健提供商将能够使用审计日志来跟踪许多不同的维度,例如哪些患者使用了哪些应用程序以及批准传输哪些数据。跟踪这些信息和通过认证 API 进行的披露也可以为医疗保健提供商提供多种不同的见解,从哪些应用程序和数据在患者中最受欢迎到检测异常使用模式和恶意活动。
在未来两年内,随着医疗 IT 软件开发人员设计和推出经过认证的 API,您的医疗服务提供商的医疗 IT 将能够与您选择的应用建立安全连接,向该提供商验证您的身份,并为您提供您希望批准您的应用接收的数据范围的选项 电信电子邮件列表 。实施后,经过认证的 API 将允许自动化电子流程,从而为患者带来更多便利,并且几乎不会给医疗服务提供商带来额外的管理负担。
我们需要继续就二次利用进行对话
虽然我们周一发布的最终规则代表着向前迈出的一大步,但我们的工作尚未完成。从患者到国会,以及介于两者之间的每个人,我们作为医疗保健界需要讨论当健康数据由个人和实体(不仅仅是患者使用的第三方应用程序)持有时,应该对其采取哪些保护措施,而这些数据不受 HIPAA 规则的约束。事实上,我们需要扩大这一对话的范围,以涵盖传统意义上的健康数据以外的更多内容。我们还必须考虑我们全天生成的有关我们健康的数据,例如搜索、在线购物和地理位置,因为我们可能不认识的公司可以使用这些数据来推断出很多有关我们健康状况的信息。
虽然我们周一发布的最终规则代表着向前迈出的一大步,但我们的工作还未完成。
对于这一日益壮大的群体,可能需要采取一些保护措施,包括:更多面向公众的透明度要求,例如可公开访问的隐私政策和通俗易懂的语言版本;关于是否以及如何向他人提供数据(包括是否可以出售数据)的预先声明;以及对所有或特定类型数据的使用和再利用的明确同意。归根结底,这些规则需要得到充分理解和始终如一地遵守。2016 年,我们向国会提交了一份关于“非覆盖实体”的报告,该报告至今仍具有现实意义,美国卫生与公众服务部联邦咨询委员会之一的国家生命和健康统计委员会 (NCVHS) 也在2017 年和2019 年就此问题发布了两份报告。
我们的对话需要继续,包括患者的声音和偏好,ONC 也已准备好提出我们的想法。