مقررات مسدود کردن اطلاعات در هماهنگی با قوانین HIPAA و سایر قوانین حفظ حریم خصوصی برای حمایت از حریم خصوصی اطلاعات بهداشتی عمل می کند.

اغلب از ما در مورد نحوه تعامل مقررات مربوط به مسدود کردن اطلاعات ONC و قانون حمل و پاسخگویی بیمه سلامت (HIPAA) دفتر حقوق مدنی (OCR) با یکدیگر سؤال می شود. برای کمک به روشن شدن موضوع، ONC به تازگی چند اطلاعات جدید را منتشر کرده است که سؤالات متداول را مسدود می کند (سؤالات متداول) که نحوه تعامل مقررات فدرال را نشان می دهد. این پست همچنین نحوه تعامل مقررات مسدود کردن اطلاعات با قانون حفظ حریم خصوصی HIPAA و سایر قوانینی را که محدودیت‌های خاصی را برای اشتراک‌گذاری اطلاعات برای محافظت از حریم خصوصی اطلاعات سلامت افراد اعمال می‌کنند، بررسی می‌کند.

مقررات مسدود کردن اطلاعات ONC عموماً دسترسی، تبادل و استفاده از اطلاعات الکترونیک سلامت (EHI) را همانطور که در مقررات مسدود کردن اطلاعات تعریف شده است، ترویج می‌کند. با توجه به اینکه بسیاری از بازیگران مسدودکننده اطلاعات (همانطور که در مقررات مسدود کردن اطلاعات تعریف شده است) نیز مشمول قوانین HIPAA هستند – به عنوان نهادهای تحت پوشش HIPAA، شرکای تجاری نهادهای تحت پوشش HIPAA یا هر دو – ONC مقررات مسدودسازی اطلاعات را با این درک طراحی کرد که بسیاری از بازیگران باید به پیروی از قوانین HIPAA ادامه دهد. اگرچه ممکن است به راحتی مشاهده شود که چگونه قانون حفظ حریم خصوصی HIPAA و مقررات مسدود کردن اطلاعات ONC یکدیگر را در زمینه‌ای مانند حق دسترسی یک فرد تقویت می‌کنند، اما می‌دانیم که ممکن است در سایر زمینه‌ها کمتر آشکار باشد.

امروز، ONC سه پرسش متداول مسدود کردن اطلاعات را منتشر کرد که نشان می‌دهد چگونه مقررات مسدود کردن اطلاعات همگام با قانون حفظ حریم خصوصی HIPAA و سایر قوانین حفاظت از حریم خصوصی در حال اجرا هستند که در آن‌ها:

• یک بازیگر بر اساس درخواست فرد مبنی بر اینکه EHI فاش نشود، EHI فرد را فاش نمی کند (IB.FAQ47.1.2023APR).
• یک بازیگر درخواست دسترسی، مبادله یا استفاده از EHI را به منظور پیروی از قوانین فدرال حفظ حریم خصوصی که مستلزم رعایت شرایط خاصی قبل از افشا است، انجام نمی دهد (IB.FAQ48.1.2023APR). یا
• بازیگری، مانند ارائه‌دهنده مراقبت‌های بهداشتی، که در بیش از یک ایالت فعالیت می‌کند، شیوه‌هایی را برای پیروی یکنواخت از قوانین ایالتی اجرا می‌کند که بیشترین محافظت از حریم خصوصی را در تمام ایالت‌های دیگری که بازیگر در آن فعالیت می‌کند (IB.FAQ49.1.2023APR) است.

در 12 آوریل 2023، همکاران ما در OCR یک قانون پیشنهادی را منتشر کردند که تغییرات احتمالی در قانون حفظ حریم خصوصی HIPAA را به تفصیل بیان می کرد. درباره قانون پیشنهادی OCR، از جمله جزئیات کامل آن و نحوه به اشتراک گذاشتن نظراتی که ممکن است در مورد پیشنهادات OCR داشته باشید، بیشتر بیاموزید.

در زیر شرح مختصری از سه جنبه از مقررات مسدود کردن اطلاعات ارائه شده است که باید هنگام بررسی به‌روزرسانی‌های پیشنهادی برای قانون حفظ حریم خصوصی HIPAA و تغییراتی که اخیراً در سایر قوانین فدرال، ایالتی یا قبیله‌ای که از حریم خصوصی سلامت افراد محافظت می‌کنند، اعمال شده یا در حال حاضر پیشنهاد شده‌اند، به یاد داشته باشید. اطلاعات

1. اگر قانون دیگری که در مورد کنشگر اعمال می شود، اشتراک EHI را در شرایطی خاص، مثلاً برای یک هدف خاص، ممنوع کند، نه اشتراک EHI در شرایط خاص است نه مسدود کردن اطلاعات

تعریف مسدود کردن اطلاعات (45 CFR 171.103(a)(1)) اقداماتی را که ممکن است در دسترسی، مبادله، یا استفاده از EHI تداخل داشته باشد را در زمانی که شیوه‌ها انجام می‌دهند مستثنی می‌کند. قانونا الزامی. ارجاع ما به “مورد الزام قانون” در اینجا شامل قوانین فدرال، مقررات، احکام دادگاه، و تصمیمات اداری الزام آور یا تسویه حساب می شود. این همچنین شامل قوانین ایالتی و قبیله ای در صورت لزوم می شود. (85 FR 25794)

تداخل با دسترسی، مبادله یا استفاده EHI که توسط قانون الزامی است محدود به این نیست، بلکه شامل ممنوعیت استفاده یا افشای EHI برای یک هدف خاص است. برای مثال، قانون حفظ حریم خصوصی HIPAA، برنامه‌های بهداشتی خاصی را از استفاده یا افشای اطلاعات ژنتیکی برای مقاصد پذیره‌نویسی منع می‌کند (45 CFR 164.502(a)(5)(i)). از آنجا که پیروی از این ممنوعیت توسط قانون برای بازیگر مشمول این ممنوعیت الزامی است، عمل چنین بازیگری مبنی بر رد هرگونه درخواست برای دسترسی، مبادله یا استفاده از EHI که این ممنوعیت را نقض می کند، از تعریف مسدود کردن اطلاعات مستثنی می شود (45 CFR 171.103). ) بدون نیاز به پوشش هیچ استثنایی که در بخش‌های بعدی مقررات مسدود کردن اطلاعات ذکر شده است.

به طور مشابه، هر عامل مسدودکننده اطلاعاتی که مشمول مقررات دیگری از قانون فدرال، یا مقرراتی از قانون ایالتی یا قبیله‌ای است، که به صراحت دسترسی، تبادل یا استفاده خاصی از EHI را ممنوع می‌کند، باید با آن قانون دیگر مطابقت داشته باشد. اقدام کنشگر در ممانعت از دسترسی، مبادله یا استفاده از EHI که صراحتاً توسط قوانین دیگری که بازیگر باید از آن تبعیت کند ممنوع است، از تعریف مسدود کردن اطلاعات (45 CFR 171.103) مستثنی می‌شود، بدون اینکه نیازی به تحت پوشش قرار گرفتن هیچ گونه استثنایی باشد. در بخش های بعدی مقررات مسدود کردن اطلاعات.

2. اگر قانون دیگری که در مورد یک بازیگر اعمال می‌شود به بازیگر اجازه می‌دهد EHI را فقط در صورتی به اشتراک بگذارد که ابتدا الزامات خاصی برآورده شده باشد، مقررات مسدود کردن اطلاعات به کنشگر اجازه می‌دهد تا اقدامات معقول و ضروری را انجام دهد تا اطمینان حاصل شود که کنشگر EHI را تنها زمانی که آن الزامات برآورده شده است، انجام دهد.

برخی از قوانین، همانطور که در بالا مورد بحث قرار گرفت، شامل مقرراتی است که به طور خاص دسترسی، مبادله یا استفاده از EHI را ممنوع می کند. با این حال، قوانین حفظ حریم خصوصی اطلاعات سلامت به طور کلی معمولاً به گونه‌ای تنظیم می‌شوند که دسترسی، تبادل یا استفاده از اطلاعات بهداشتی را تنها در صورت رعایت پیش‌شرط‌های خاص مجاز می‌سازد و صراحتاً دسترسی، مبادله یا استفاده از EHI را برای اکثر افراد ممنوع نمی‌کند. اهداف (برای بحث در مورد اینکه چگونه ONC بین شیوه هایی که ممکن است در دسترسی، تبادل یا استفاده EHI تداخل ایجاد کند، تمایز قائل شد. قانونا الزامی و اقداماتی که یک بازیگر بر اساس قانون محافظت از حریم خصوصی اطلاعات بهداشتی انجام می دهد، دیدن 85 FR 25794 و 85 FR 25846).

پیش شرط برآورده نشد (45 CFR 171.202(b)) استثناء فرعی مسدود کردن اطلاعات استثناء حریم خصوصی بیان می‌کند که بازیگران چارچوبی می‌توانند از آن پیروی کنند به طوری که اقدامات بازیگران مبنی بر برآورده نکردن درخواست‌ها برای دسترسی، تبادل یا استفاده از EHI مسدود کننده اطلاعات در نظر گرفته نمی‌شود. پیش شرط قانون قابل اجرا برآورده نشده است. سؤالات متداول مسدود کردن اطلاعات ONC (IB.FAQ48.1.2023[APR]) نمونه هایی از تعامل بین مقررات مسدود کردن اطلاعات و دو پیش شرط مختلف قانون حفظ حریم خصوصی HIPAA را مورد بحث قرار می دهد که در صورت رضایت، استفاده یا افشای PHI تحت قانون حفظ حریم خصوصی HIPAA مجاز است. یکی از این مثال‌ها پیش‌شرط دریافت مجوز یک فرد را ذکر می‌کند و دیگری به راهنمای «قاعده حفظ حریم خصوصی HIPAA و افشای اطلاعات مربوط به مراقبت‌های بهداشت باروری» که توسط OCR در تابستان 2022 صادر شده است اشاره می‌کند.

3. اگر قوانین فدرال یا ایالتی که اشتراک گذاری EHI را محدود یا منع می کند تغییر کند، مقررات مسدود کردن اطلاعات به گونه ای ساخته شده است که به محض اعمال تغییرات، به طور خودکار نیاز بازیگران به پیروی از آن قوانین دیگر را برآورده کند.

مستثنی شدن از تعریف مسدودکننده اطلاعات (45 CFR 171.103) از اقدامات مورد نیاز قانون و (45 CFR 171.202(b)) پیش شرط برآورده نشد استثنائات فرعی به قوانین یا پیش شرط های خاصی وابسته نیستند. مقررات مسدود کردن اطلاعات، مطابقت بازیگران با قانون حفظ حریم خصوصی HIPAA را امروز یا همانطور که ممکن است در طول زمان برای افزودن، حذف یا اصلاح محدودیت‌ها، ممنوعیت‌ها یا الزامات استفاده یا افشای PHI به روز شود، تطبیق می‌دهد. مقررات مسدودکننده اطلاعات نیز مطابق با قوانین دیگر عمل می‌کند، زیرا محدودیت‌ها، ممنوعیت‌ها یا پیش‌شرط‌های این قوانین برای اشتراک‌گذاری اطلاعات سلامت افراد در طول زمان در کنار سیاست و چشم‌انداز فناوری تکامل می‌یابد.

امیدواریم این راهنما به نشان دادن رابطه بین مقررات مسدود کردن اطلاعات و قوانین HIPAA و همچنین قوانین دیگر – فدرال، ایالتی یا قبیله‌ای – کمک کند که محدودیت‌های خاصی را برای اشتراک‌گذاری اطلاعات برای محافظت از حریم خصوصی اطلاعات سلامتی افراد اعمال می‌کنند. برای کسب اطلاعات بیشتر در مورد نحوه عملکرد مقررات مسدود کردن اطلاعات و قوانین HIPAA، از جمله سؤالات متداول اضافی، لطفاً به صفحه مسدود کردن اطلاعات وب سایت ONC، HealthIT.gov مراجعه کنید.

نظرات عمومی در مورد تغییرات پیشنهادی در قانون حفظ حریم خصوصی HIPAA به مدت 60 روز پس از انتشار در ثبت فدرال باز خواهد بود و باید از طریق یکی از راه های مشخص شده در قانون پیشنهادی OCR ارسال شود.