Dine medisinske poster, HIPAA, og illusjonen om personvern

Med presset til å flytte Electronic Health Records (EHR) "inn i skyen", og den nylige artikkelen min om at "skyen" var sårbar, var jeg nysgjerrig på i hvilken grad Health Insurance Portability and Accountability Act (HIPAA) beskytter personvernet vårt.

For å begynne med tenkte jeg det best å definere hva som anses som sensitiv helseinformasjon. I henhold til helse- og menneskelige tjenester (HHS) avdeling:

Individuelt identifiserbar helseinformasjon "er informasjon, inkludert demografiske data, som vedrører:
  • Individets fortid, nåtid eller fremtidig fysisk og mental helse eller tilstand.
  • Levering av helsehjelp til den enkelte.
  • Fortid, nåtid eller fremtidig betaling for levering av helsehjelp til den enkelte.

A nd som identifiserer individet eller som det er et rimelig grunnlag for å tro at det kan brukes til å identifisere individet. Individuelt identifiserbar helseinformasjon inkluderer mange vanlige identifikatorer (f.eks. Navn, adresse, fødselsdato, personnummer).

Jeg ser alle slags scenarier, der velmenende og ikke velmenende individer ville elske å få tak i denne typen informasjon. For eksempel ville ikke et annonseringsnettverk, etter å ha lært at jeg hadde en pinlig kløe, være mer enn villig til å sende meg målrettede farmasøytiske annonser som beskriver den perfekte motgiften.

Eller, hva hvis en driftig utpresser snublet over et dokument som sier at jeg mislyktes i en narkotikatest? Hvorvidt mine binge-spise valmuefrø muffins morgenen for testen var grunnen eller ikke; Jeg vil fremdeles ha noen forklaringer å gjøre for å beholde sikkerhetsklareringene mine.

Hva er sjansene?

En kollega fortalte at jeg var "over the top" paranoid. Jeg trodde ikke det. Men jeg trengte bevis for å overbevise ham. Og jeg fant beviset mitt på nettstedet for Privacy Rights Clearinghouse (PRC). PRC tilbyr:

En henvisningstjeneste for journalister og beslutningstakere som søker ofre for overgrep mot personvern som har indikert vilje til å snakke med media og / eller vitne i høringer av lovgivende myndigheter og myndigheter.

Non-profit nettstedet har en søkefunksjon, og jeg konfigurerte et søk ved hjelp av følgende innstillinger.

Her er resultatene.

221 brudd i 2012 alene, og det ble bare rapportert brudd. Søkeresultatene gir også en detaljert oversikt over hvert brudd. Jeg ble overrasket over at den ene etter den andre rapporterte stjålne medisinske poster, så vel som andre sensitive data som personnummer. Her er ett eksempel:

Et håndholdt elektronisk utstyr som ble brukt av XXXXXX-farmasøyter ble oppdaget savnet 5. oktober. Enheten var ikke kryptert og inneholdt pasientnavn, adresser, diagnoser, medisiner og helseforsikringsidentifikasjonsnummer. Noen identifikasjonsnummer for helseforsikring var personnummer eller inneholdt personnummer.

Så det er et problem. Likevel, i hvert av de 221 tilfellene var det lite eller ingenting vi som enkeltpersoner kunne ha gjort for å forhindre tyveri av medisinsk data.

HIPAA skal visstnok hjelpe

HIPAA ble opprettet i 1996. Den består av tittel 1, som fokuserer på å bevare helseforsikringsdekningen hvis en person mister jobben. Tittel 2 oppretter standarder for elektroniske helseposter og adresserer sikkerhets- og personvernproblemer rundt data om helse.

For det formål inneholder tittel 2 følgende regler:

  • Personvernregel : Beskytter personvernet til individuelt identifiserbar helseinformasjon.
  • Sikkerhetsregel : Setter nasjonale standarder for sikkerhet for elektronisk beskyttet helseinformasjon.
  • Pasientsikkerhetsregel : Beskytt identifiserbar informasjon som brukes til å analysere pasientsikkerhetshendelser og forbedre pasientsikkerheten.

Dette HHS-nettstedet går nærmere inn på hver av reglene, metoder som brukes av Office of Civil Rights for å håndheve reglene, og hvordan enkeltpersoner kan sende inn en klage.

Hva HIPAA ikke beskytter

Med HIPAA på plass er det lover, og en måte å håndheve dem på. Med hensyn til effektiviteten, lar jeg deg bestemme. Jeg er mer opptatt av hva jeg tipset om i Takeaway - medisinsk journalbruk som HIPAA tilsynelatende ignorerer.

Da jeg skannet gjennom nettstedet til Kina, kom jeg over to websider som avgrenset hva som var dekket av HIPAA og hva som ikke var. Først nettstedet om spørsmål om medisinsk personvern - PRC ønsket å tømme luften med en gang:

Garanterer HIPAA personvern for min medisinske informasjon?

Nei. Dette er en viktig misforståelse om personvern generelt. Det er ingen universell personvernregel, selv ikke for sensitiv medisinsk informasjon. Hvilket personvern du har, avhenger av en rekke ting, først og fremst hvem som har informasjonen din.

HIPAA gir noen begrensede personvernbeskyttelser. Men, HIPAA gjelder bare dekket enhet, det vil si helsepersonell, helseplaner, og det HIPAA kaller "helsetjenester clearinghouse", det vil si de som overfører betalingsinformasjon elektronisk.

Neste PRC introduserer et begrep jeg ikke var klar over: Medical Information Bureau (MIB). Det ser ut til at MIB:

G gir informasjon om enkeltpersoners helsehistorie og utsteder rapporter til forsikringsselskaper når du søker om privat helse-, livs- eller uføretrygd.

Neste spørsmål:

Er MIB dekket av HIPAA?

Nei. MIB er et forbrukerrapporteringsbyrå som faller inn under Fair Credit Reporting Act (FCRA) og utløser visse forbrukerrettigheter.

Oppdatering : En representant for Medical Information Bureau tok opp erklæringen fra Privacy Rights Clearinghouse, og hevdet at MIB er pålagt å følge HIPAA:

For mer informasjon om MIB, besøk deres hjemmeside.

Siste spørsmål:

Kan jeg finne ut hvem som har tilgang til helsepostene mine?

Ja, for det meste. En liste over avsløringer av helseopplysningene dine er påkrevd av HIPAA. Du kan finne ut hvem som har fått tilgang til helsepostene dine de siste seks årene, selv om det er flere unntak fra kravet om avsløring.

For eksempel er det ikke nødvendig med en liste når poster blir avslørt for de mange personene som ser postene dine for behandling, betaling og helsehjelpsoperasjoner (TPO). De som er involvert i TPO trenger ikke å være oppført i avsløringsloggen. Tilfeldige avsløringer som er tillatt under HIPAA, behøver heller ikke regnskapsføres.

Nettstedet for vanlige spørsmål om medisinsk personvern gir mer informasjon enn jeg dekket, samt lenker til nettsteder som gir ekstra hjelp. Dernest var det viktigste spørsmålet av alt på Medical Records Privacy-siden.

Hvilken medisinsk informasjon dekkes ikke av HIPAA?

Økonomiske poster : Kredittkortkontoen din og sjekker transaksjoner vil sannsynligvis inneholde informasjon om hvor du går for helsehjelp. Forsikringssøknader og medisinske krav inneholder også helserelatert informasjon. Så det er mulig for slik medisinsk informasjon å bli delt mellom filialer av finansinstitusjoner. Slik informasjon er ikke beskyttet av HIPAA. Utdanningsjournaler : Opprettholdt av ditt barns skole inneholder vaksinasjonshistorier, informasjon om fysisk undersøkelse for idrett, rådgivning om atferdsproblemer og journal over besøk hos helsesøster. Disse postene er ikke dekket av HIPAA. Ansettelsesregister : Ansettelses- og medisinsk informasjon kan blandes i situasjoner som ikke dekkes av HIPAA.

Igjen, jeg rørte knapt alle spørsmålene på websiden. Hvis du er bekymret, kan du gå til nettstedet, siden svarene er mer detaljerte, og inkluderer referanser til organisasjoner relatert til hver type post.

Siste tanker

Våre sensitive medisinske journaler er under angrep fra to fronter - direkte tyveri og gapende hull. Jeg prøver å ha en slags løsning, midlertidig eller på annen måte, men ikke denne gangen. Jeg taper. Mitt eneste håp for denne artikkelen er at du går bort med en bedre forståelse av dagens situasjon.

© Copyright 2020 | mobilegn.com