HIPAA, de gezondheidsprivacywet die beperkter is dan je denkt, uitgelegd

Je weet waarschijnlijk niet wat HIPAA echt betekent. Laten we dat oplossen.

Dit verhaal maakt deel uit van een groep verhalen genaamd hercoderen

Ontdekken en uitleggen hoe onze digitale wereld verandert - en ons verandert.

Het eerste dat u over HIPAA moet weten, is dat het HIPAA is, niet HIPPA. Er is maar één P, en die P staat niet voor privacy.



Mensen verzinnen waar dat acroniem voor staat, Deven McGraw, mede-oprichter en Chief Regulatory Officer van het medische dossierplatform Ciitizen en voormalig adjunct-directeur voor privacy van gezondheidsinformatie bij het Department of Health and Human Services (HHS) Office for Civil Rights (OCR) ), vertelde Recode.

wij vs Iran oorlog wie zou winnen?

Vaker wel dan niet, [ze denken dat het] Health Information Privacy Protection Act: HIPPA. Ja, die wet bestaat niet.

En toch, wanneer verslaggevers hebben gevraagd of een persoon is gevaccineerd, zeiden mensen op de hoogste niveaus van de overheid (Georgia Rep. Marjorie Taylor Greene , tot recidivist ) en sport (strateeg van Dallas Cowboys) Dak Prescott ) HIPAA hebben ingeroepen. Greene heeft zelfs beweerd dat het stellen van de vraag op de een of andere manier een schending van haar HIPAA-rechten was. als meer werkgevers en scholen mandaat dat hun werknemer en studenten worden gevaccineerd, komt de HIPAA-vraag weer naar voren.

Dus laten we eerst een grote vraag uit de weg ruimen:

Is het een HIPAA-overtreding voor uw werkgever om vaccins te eisen?

Nee.

Het is evenmin een HIPAA-schending als ze om bewijs vragen dat u bent gevaccineerd, hoewel veel mensen lijken te denken dat het verstrekken van of zelfs het vragen om enige vorm van gezondheidsinformatie automatisch een HIPAA-kwestie wordt.

Werkgevers moeten de vaccinatiestatus van hun werknemers vertrouwelijk houden, maar dat komt door de Americans with Disabilities Act - niet HIPAA, wat, nogmaals, hier niet van toepassing is.

Waarom HIPAA zo verkeerd wordt begrepen

Zowel de spelfout als de wijdverbreide overtuiging dat HIPAA een strikte reeks privacybeschermingen verleent aan alle gezondheidsgegevens - en dat iedereen onderworpen is aan die wetten - zijn veelvoorkomende en begrijpelijke fouten: HIPAA wordt uitgesproken als nijlpaard, maar met een a, en de meeste patiënten komen het alleen tegen bij het ondertekenen van de kennisgeving van privacypraktijken die de wet hun zorgverleners oplegt om ze te laten ondertekenen. Bovendien beschouwen de meeste mensen hun gezondheidsinformatie als zeer gevoelig en gaan ze ervan uit dat hun wetgevers de juiste vangrails hebben aangebracht om deze zo privé mogelijk te houden. Maar de privacyregels van HIPAA zijn beperkter dan ze misschien beseffen.

HIPAA heeft een geweldige branding omdat iedereen het weet, zelfs als ze het verkeerd spellen, vertelde Lucia Savage, Chief Privacy and Regulatory Officer bij Omada Health en voormalig Chief Privacy Officer bij HHS's Office of the National Coordinator for Health IT, aan Recode. Wat niet goed wordt begrepen, zijn de grenzen ervan. Het is heel specifiek een wet die informatie regelt die wordt verzameld omdat een persoon gezondheidszorg zoekt.

Normaal gesproken zou het misverstand onschuldig of vervelend zijn. Maar de pandemie heeft ertoe bijgedragen dat gezondheidsprivacykwesties naar voren zijn gekomen. Zoals met veel andere dingen in het afgelopen jaar, hebben we veel van onze gezondheidsinteracties online verplaatst. Sommige daarvan vallen misschien niet onder HIPAA, maar veel mensen gaan er gewoon van uit dat dit wel het geval is. En naarmate de pandemie steeds meer gepolitiseerd werd, noemden veel mensen HIPAA als een excuus om onder de maskermandaten uit te komen en om vaccinpaspoorten en -mandaten illegaal te verklaren. Geen van beide beweringen is waar, maar dat weerhoudt veel mensen er niet van om ze te maken - ook al kan het voor iedereen schadelijk zijn om ze te gebruiken om openbare veiligheidsmaatregelen te vermijden.

Het lijkt zeker erger te zijn geworden in het Covid-tijdperk, omdat de verkeerde informatie die via sociale-mediakanalen wordt verspreid, enorm off-base is en toch met zo'n hoog niveau van vertrouwen wordt beweerd dat mensen het geloven, zei McGraw.

De perceptie dat HIPAA uitsluitend een gezondheidsprivacywet is waaraan iedereen onderworpen is, is zo gewoon geworden dat er nu een Twitter-account is om het te documenteren.

Een paar maanden na de pandemie, Slechte HIPPA duurt - de spelfout is een opzettelijke knipoog naar hoe vaak mensen die beweren de wet te kennen het acroniem verkeerd hebben - kwam naar voren. Het is gemaakt door een anonieme voormalige zorgverlener die Recode vertelde dat ze het beu waren om ongebreidelde verkeerde informatie over HIPAA te zien en bezorgd waren dat het schade zou kunnen veroorzaken.

De maker van het Bad HIPPA Takes-account zegt dat enkele van de meest voorkomende HIPAA-onnauwkeurigheden van het afgelopen jaar betrekking hadden op het dragen van maskers, het traceren van contacten, verplichte temperatuurcontroles en, nu, vaccinpaspoorten.

Er is een enorme hoeveelheid verwarring over op wie en wat HIPAA eigenlijk van toepassing is, zeiden ze. De enorme hoeveelheid slechte informatie erover is bijna onoverkomelijk.

Het volstaat te zeggen dat Bad HIPPA Takes genoeg materiaal heeft om uit te putten voor zijn bijna 20.000 volgers. Maar het grote publiek informeren over wat HIPAA doet, is een andere zaak.

Mensen proberen te laten begrijpen wat een Covered Entity of Business Associate is in 280 tekens, is geen gemakkelijke taak, zei de persoon die het account beheert. Ik kan de woorden schrijven, maar dit platform leent zich natuurlijk niet goed voor een weloverwogen, genuanceerde discussie.

Wat HIPAA eigenlijk doet

Dus waar staat die ene P voor als het geen privacy is? Draagbaarheid, uiteraard.

HIPAA is een afkorting voor de Health Insurance Portability and Accountability Act. De oorsprong van de wet van 1996 ligt in het creëren van federale normen voor het digitaliseren van gegevens en dossiers over medische claims (aansprakelijkheid) en het toestaan ​​dat werknemers een ziektekostenverzekering hebben, ook voor reeds bestaande aandoeningen, wanneer ze van baan veranderen (dat is de overdraagbaarheid) - rechten die ze niet hadden vóór de Wet betaalbare zorg.

De privacybepaling waar de meesten van ons HIPAA tegenwoordig mee associëren, was destijds niet de focus van de wet.

Toen het Congres deze wet aannam, realiseerden ze zich dat er een enorme digitalisering van gezondheidsgegevens zou komen, en dat daarvoor misschien privacybescherming nodig was, zei McGraw.

Het duurde een paar jaar om die uit te werken, dus de privacyregels van HIPAA werden pas eind 2000 uitgevaardigd en werden pas in 2002 volledig van kracht. bijgewerkt in 2013.

HIPAA bevat verschillende elementen, waaronder bepalingen om fraude in de gezondheidszorg te voorkomen, medische dossiers te vereenvoudigen en te standaardiseren, regels voor medische spaarrekeningen van werknemers vóór belasting en om te zorgen voor een doorlopende ziektekostenverzekering voor werknemers die hun baan hebben verloren of van baan zijn veranderd. Voor de doeleinden van deze uitleg richten we ons op de privacyregel, die valt onder zijn: administratieve vereenvoudiging sectie.

HIPAA is alleen van toepassing op wat wordt genoemd gedekte entiteiten . Dat zijn in wezen zorgverleners (bijvoorbeeld artsen, ziekenhuizen en apotheken), zorgverzekeraars en zorginstellingen (die medische gegevens verwerken). Het dekt ook hun zakenpartners of contractanten die op de een of andere manier medische dossiers moeten verwerken om werk voor die gedekte entiteiten te doen. Die partijen moeten bepaalde protocollen volgen om uw beschermde gezondheidsinformatie veilig en privé te houden.

En daarom kan uw zorgverzekeraar of verzekeraar u vragen om met hen te communiceren via veilige, HIPAA-conforme kanalen en patiëntenportalen, of om andere stappen te ondernemen om uw identiteit te verifiëren voordat u beschermde gezondheidsinformatie met u bespreekt. De privacyregel van HIPAA vereist ook dat zorgverleners u, de patiënt, een kennisgeving van hun privacypraktijken en u toegang te geven tot uw eigen medische dossiers. In feite gaan veel HIPAA-klachten van patiënten niet over privacyschendingen, maar over gebrek aan toegang tot medische dossiers.

Als u denkt dat uw HIPAA-rechten zijn geschonden, kunt u een klacht indienen bij de HHS Bureau voor burgerrechten . Maar - en dit is een andere veel voorkomende misvatting, zoals aangegeven door de bovenstaande tweets - je kunt de vermeende dader niet zelf aanklagen. Het Bureau voor Burgerrechten treedt indien nodig op, bijvoorbeeld door boetes of zelfs strafrechtelijke sancties op te leggen aan overtreders.

Wat HIPAA niet doet?

Het is belangrijk op te merken dat medische privacy niet begon met HIPAA, en het is niet de enige gezondheidsprivacywet die er is. Er zijn andere wetten die beschermen zeker soorten gezondheidsinformatie: sommige staten hun eigen strengere medische privacywetten hebben, of zaken als de Americans With Disabilities Act, die bepaalt dat werkgevers medische informatie over hun werknemers vertrouwelijk moeten houden. En het concept van arts-patiënt vertrouwelijkheid bestaat al heel lang - het maakt deel uit van de eed van Hippocrates (wat geen wet is) - en dat vertrouwen is een noodzakelijk onderdeel van goede medische zorg.

Als ik de dokter ben en jij de patiënt, kom dan naar me toe, dan zou je me een paar heel geheime dingen kunnen vertellen, zei Savage. En dat moet ik weten om je de juiste zorg te geven en een goede diagnose te stellen.

Tegelijkertijd geven velen van ons onze gezondheidsinformatie vrijelijk weg aan: allerlei plaatsen en mensen die geen echte wettelijke verplichting hebben om die informatie privé of veilig te houden. Met internet zijn er meer manieren om dat te doen dan ooit.

Over het algemeen denk ik dat, als je het hebt over interacties met het gezondheidszorgsysteem, de kans dat ze worden beschermd door HIPAA erg groot is, zei McGraw. Nu, waar die dingen kapot gaan: het is duidelijk dat als je je stappen op een Fitbit registreert of je een voedings-app gebruikt, dat niet wordt gedekt door HIPAA.

Die afspraak met een therapeut waarover je tweette? Je vaccin Instagram-selfie? Uw lidmaatschap van een Facebook-ondersteuningsgroep voor mensen met herpes? De periodetracker-app op je telefoon? De hartslagmeter om je pols? WebMD doorbladeren voor informatie over uw recente lupusdiagnose? De postorder DNA-test? De Uber-reis die je naar de eerste hulp maakte? Dat is alle gezondheidsinformatie, het meeste is rechtstreeks aan u gekoppeld, het kan gevoelig zijn en niets ervan wordt gedekt door HIPAA (tenzij beschermde gezondheidsinformatie wordt gedeeld met een gedekte entiteit, zoals het geval is bij) sommige digitale gezondheidsdiensten ).

En dan hebben we nog de organisaties die gezondheidsgegevens verwerken, maar die niet worden gedekt door HIPAA, waaronder de meeste scholen, wetshandhavingsinstanties, levensverzekeraars en zelfs werkgevers . Ze vallen mogelijk onder andere privacywetten, maar HIPAA is daar niet een van.

En op dit moment hebben zelfs sommige dingen die daadwerkelijk onder HIPAA vallen een tijdelijke ontheffing gekregen vanwege de pandemie. Het Bureau voor Burgerrechten zal niet afdwingen de regel die zorgverleners verplicht om HIPAA-compatibele portals voor telezorg te gebruiken, het zal ook niet nodig zijn gedekte entiteiten om HIPAA-compatibele systemen te gebruiken om vaccins te plannen - een probleem dat ontstond toen de aanmeldingsportalen van sommige gezondheidsdiensten crashten en de diensten wendde zich tot Eventbrite . Eventbrite is een goede service om veel mensen aan te melden voor een evenement waar veel vraag naar is, maar het is niet HIPAA-compatibel . Het Office of Civil Rights vertelde Recode dat de handhavingsvrijheid van kracht blijft totdat de secretaris van HHS vaststelt dat de noodsituatie op het gebied van de volksgezondheid niet langer bestaat.

Dit alles wil zeggen dat als je naar Starbucks gaat (niet een gedekte entiteit) en weigert een masker te dragen omdat je zegt dat je een gezondheidstoestand hebt, het geen HIPAA-overtreding is als de barista je vraagt ​​wat die aandoening is, noch is het een HIPAA-schending is als Starbucks service aan u weigert.

Als uw arts die Starbucks zou binnenlopen en uw gezondheidsinformatie zou doorgeven aan iemand binnen gehoorsafstand zonder uw toestemming, Dat zou een HIPAA-overtreding zijn. Het zou ook een goed moment zijn om te overwegen om van arts te veranderen. Gelukkig kunt u met HIPAA uw medische gegevens opvragen en naar een nieuwe provider brengen. En als iemand anders de uitbarsting van uw arts heeft vastgelegd en op TikTok heeft gezet, is dat geen HIPAA-schending, ook al bevat het informatie die ooit werd beschermd door HIPAA.

De beveiligingen klampen zich niet vast aan de gegevens en beschermen deze helemaal stroomafwaarts, zei McGraw.

Bovendien is iemand die vraagt ​​of u bent gevaccineerd geen HIPAA-overtreding. In feite is het voor niemand een HIPAA-overtreding om te vragen naar een gezondheidstoestand die u heeft, hoewel het als onbeleefd kan worden beschouwd. Een bedrijf dat van u vereist dat u bewijst dat u bent ingeënt voordat u naar binnen kunt, is geen HIPAA-overtreding. Uw werkgever die vereist dat u wordt gevaccineerd en bewijs toont voordat u naar kantoor kunt gaan, is geen HIPAA-overtreding. Scholen die eisen dat studenten bepaalde vaccinaties krijgen voordat ze mogen deelnemen, zijn geen HIPAA-overtreding.

Oh, en vaccinpaspoorten - die de Biden-administratie heeft al gezegd het geen plannen heeft om een ​​mandaat te geven en die al tientallen jaren bestaan, zo niet langer - zijn ook geen HIPAA-overtredingen. Laten we eens kijken naar de Excelsior Pass in New York. Om het te gebruiken, geeft u de app vrijwillig toestemming om toegang te krijgen tot uw medische dossiers en, zoals de app's disclaimer duidelijk staat : [D]e website wordt niet aan u verstrekt door een zorgverlener, dus als zodanig verstrekt u geen beschermde gezondheidsinformatie voor behandeling, betaling of operaties in de gezondheidszorg (zoals gedefinieerd in de Health Insurance Portability and Accountability Act (HIPAA) )).

Dat wil niet zeggen dat er hier misschien geen andere, niet-HIPAA-schendingen in het spel zijn. Bepaalde antidiscriminatiewetten beperken welke medische informatie werkgevers en bedrijven van hun werknemers of klanten kunnen verlangen, en ze zijn verplicht om redelijke aanpassingen te doen aan kwalificerende gezondheidsproblemen. Maar zelfs die andere wetten betekenen niet, zoals we hebben gezien, dat bedrijven ontmaskerde mensen moeten toestaan in hun vestigingen of dat ze niet kunnen eisen dat werknemers worden gevaccineerd (tenzij ze een medische of religieuze reden hebben waarom ze dat niet kunnen).

De kloof in de gezondheidsprivacywet dichten

Dus HIPAA is niet de allesomvattende gezondheidsprivacywet, waarvan veel mensen aannemen dat het dat is, maar die massale aanname suggereert dat een dergelijke wet zowel gewenst als nodig is. HIPAA heeft veel leemten die een privacywet kan en moet opvullen. De pandemie heeft dit alleen maar duidelijker gemaakt.

Mensen beschermen hun gezondheidsinformatie redelijk, vertelde Caitriona Fitzgerald, adjunct-directeur van het Electronic Privacy Information Center (EPIC), aan Recode. Ze gaan er gewoon van uit dat het gedekt zou zijn, want het is absurd dat dat niet zo is.

Experts zijn van mening dat deze dekking moet komen van uitgebreide federale privacywetten die bepalingen bevatten voor gevoelige informatie, zoals gezondheidsgegevens, of voor wat als gevoelig gebruik van gegevens kan worden beschouwd.

Wat we nodig hebben, is dat het Congres een uitgebreide privacywet goedkeurt die grenzen stelt aan waar de bedrijven deze gegevens voor kunnen gebruiken, hoe lang ze deze mogen bewaren, aan wie ze deze kunnen vrijgeven, en die de last om daarmee om te gaan niet oplegt op het individu, zei Fitzgerald. De last moet worden gelegd bij het bedrijf dat de gegevens verzamelt om deze te beschermen en het gebruik ervan te minimaliseren.

Savage zei dat mensen die zich bezighouden met gezondheidsprivacywetten een productievere besteding van hun tijd zouden kunnen vinden door contact op te nemen met hun wetgevers om te pleiten voor de gezondheidsprivacywetten waarop zij menen recht te hebben.

Als individuele wetgevers iets willen bereiken, moeten ze begrijpen waarom het belangrijk is, zei Savage. En dat is waar de menselijke verhalen binnenkomen. Zelfs alleen maar een e-mail aan uw wetgever waarin staat: 'Ik heb dit meegemaakt en ik maakte me echt zorgen, het maakte me aarzelend om te vaccineren. Kunt u dit alstublieft oplossen?'

is aang in de legende van korra

Rep. Suzan DelBene (D-WA) is een van de vele wetgevers die hebben aangedrongen op betere bescherming van de privacy van de gezondheid tijdens de pandemie, onder meer als co-sponsor van de Public Health Emergency Privacy Act, een wetsvoorstel dat in beide huizen van het Congres werd ingediend in 2020 en opnieuw geïntroduceerd begin 2021. Het zou digitale gezondheidsgegevens die zijn verzameld om de pandemie te stoppen (bijvoorbeeld door apps voor het traceren van contacten of het boeken van vaccinafspraken) beschermen tegen gebruik voor niet-gerelateerde doeleinden door de overheid of particuliere bedrijven.

HIPAA biedt enige bescherming voor onze gezondheidsinformatie, maar de technologie is veel sneller gevorderd dan onze wetten, vertelde DelBene aan Recode. De Public Health Emergency Privacy Act laat zien hoe we de informatie van consumenten kunnen beschermen tijdens de pandemie, maar ik geloof dat we verder moeten gaan, aangezien dit probleem elk onderdeel van ons digitale leven doordringt.

DelBene onlangs geïntroduceerd de Wet op de informatietransparantie en de controle op persoonsgegevens, die extra bescherming biedt voor gevoelige informatie zoals gezondheidsgegevens. Het is een van de waarschijnlijk verschillende wetsvoorstellen voor consumentenprivacy die tijdens deze sessie zijn geïntroduceerd, en elk daarvan zou Amerikanen betere privacybescherming voor de gezondheid kunnen bieden. Dat is natuurlijk ervan uitgaande dat een van hen daadwerkelijk slaagt.

In de tussentijd hebben we in ieder geval de Federal Trade Commission (FTC), die achter apps en websites aan kan - en heeft gedaan - die hun eigen privacybeleid hebben geschonden, inclusief een periode-tracker-app .

En hoewel Bad HIPPA Takes geen fan is van hoe de wet verkeerd is geïnterpreteerd om ten onrechte te verklaren dat vaccinpaspoorten illegaal zijn, maken ze zich zorgen over waar individuele privacyrechten (niet HIPAA) ophouden en waar de eigendomsrechten van een bedrijf beginnen als het gaat om die paspoorten .

Als je op het platteland van Amerika woont en Walmart je enige supermarkt is, moet je dan voor altijd online winkelen, tegen extra kosten en kosten, omdat ze besluiten vaccinatie te eisen om hun winkels binnen te komen? zij vroegen. Wat als u zich in die situatie bevindt en geen bankrekening heeft? De zogenaamde digitale kloof zou het op korte termijn voor veel mensen erger kunnen maken als de implementatie van een vaccinpaspoortsysteem roekeloos wordt uitgevoerd.

Dat is geen HIPAA-take, maar het is het overwegen waard.