专业咨询
致力推进中国医疗卫生信息化

【蝶帆弋湖专栏】从医疗信息安全和隐私保护角度解读HIPAA

医疗信息的安全与隐私保护问题,目前已经成为制约国内医疗信息共享应用的重要瓶颈。

医疗保健信息系统的广泛应用,不可避免地要在不同的系统之间进行数据的共享和交换。目前我国对医疗信息标准化的投入已经相当有力,卫生部统计中心不仅已制定了100多项信息标准,且开始了卫生信息标准的符合性测评试点工作,但无奈标准的实际推动力度还非常弱。

在HIPAA法案的相关标准中,有关医疗信息安全和隐私的条例是其重要的组成部分。在美国所有涉及医疗保健的机构中,包括医院、保险部门、保健服务商、医疗信息转换机构(数据格式处理和结构化服务的公司)、医疗信息系统供应商、医科大学、甚至只有一个内科医生的诊室等,对任何形式的个人健康信息的存储、维护和传输,都必须严格遵循HIPAA的条例规定。

从医疗信息安全和隐私保护角度解读HIPAA

来源:HIT专家网       作者:蝶帆弋湖

医疗保健信息系统的广泛应用,不可避免地要在不同的系统之间进行数据的共享和交换。目前我国对医疗信息标准化的投入已经相当有力,卫生部统计中心不仅已制定了100多项信息标准,且开始了卫生信息标准的符合性测评试点工作,但无奈标准的实际推动力度还非常弱。

归纳其原因,一是标准关注的范围过于狭窄,没有从个人、医院、医疗保险、科研、教育、企业及其他公共医疗卫生相关机构的更大范围的实际应用需求出发;二是现有的标准研制水平较为欠缺,制定的大多是针对特定业务的卫生标准,而不是具有抽象性和普适性的信息标准;另外,还有一个很重要的原因是,相关医疗信息安全和隐私保护法律、制度建设的缺失,使得这项工作很难让企业有保障且有制约地介入,因此束缚了市场积极性的发挥。

查阅相关医疗信息安全与隐私的文献,发现2012年台湾同胞的一篇硕士论文“醫療契約保密義務 Confidentiality of Medical Contracts”,该文系统地阐述了到这方面的研究内容。其他文章几乎很少系统地研究相关内容。

通过前期的研究,我认为,医疗信息的安全与隐私保护问题,目前已经成为制约国内医疗信息共享应用的重要瓶颈。而在这方面,美国的相关做法,值得我们借鉴。因此,首先需要比较全面的了解美国的HIPAA法案,以帮助我们更好的制定适合我国的法案,建立医疗信息的市场秩序。

HIPAA当中的医疗信息安全和隐私保护

HIPAA是美国前总统克林顿签署的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)的缩写。该法案分两个部分,第一部分是换工作或者失业时,为职员提供健康保险;第二部分主要是通过简化行政管理,以降低日益增长的医疗费用开支的信息管理法案。该法案规定了适用于电子健康信息的传输与记录标准,并对医疗保健提供者、医疗保险提供者以及个人身份进行唯一标识的规定。

在HIPAA法案的相关标准中,有关医疗信息安全和隐私的条例是其重要的组成部分。在美国所有涉及医疗保健的机构中,包括医院、保险部门、保健服务商、医疗信息转换机构(数据格式处理和结构化服务的公司)、医疗信息系统供应商、医科大学、甚至只有一个内科医生的诊室等,对任何形式的个人健康信息的存储、维护和传输,都必须严格遵循HIPAA的条例规定。
HIPAA安全与隐私保护条例是技术中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高,并且每个环节都可采用多种工具。该条例是一种开放的标准,每个机构可以选择适合自身的技术和解决方案。机构必须保存按照HIPAA标准要求的相关文档,并接受对这些资料和相关过程的定期复查。
安全和隐私是两种不同的内容,这在中国国内经常被混为一谈。尤其是行政人员,对二者的理解就是一样的,但其实这是两种不同的内容。
HIPAA涉及安全的条例,将安全标准分为三类,以保护信息系统的保密性、一致性和可用性:包括管理上的防护(Administrative  Safeguards),建立和落实安全的管理策略;物理设施上的防护(Physical Safeguards) 描述如何保护计算机系统实体以及相关的环境和设备要求,免受自然灾害或人为破坏;技术上的防护(Technical Safeguards) 描述技术方面对数据访问的保护和监控。由于安全部分的防护与数据中心等机房的防护措施基本一致,相对来说比较成熟,因此不再赘述,以下重点对隐私条例进行主要内容的介绍。

HIPAA 隐私条例摘要
       1.简介
隐私条例规定了涉及个人健康信息的内容可被组织机构所使用的信息标准,并规定了个人可以了解和控制他们的信息是如何被使用和披露的。美国医疗保健和人类服务部(相当于我国卫生部)的人权办公室负责实施和执行隐私条例,并对破坏条例的行为进行处罚。隐私法的主要目标是,既保证私人健康信息能够用于提升个体的医疗安全和质量,同时保护群体的公共健康信息,并避免泄露。隐私条例在个人健康信息允许个体在寻求医治时信息被恰当地使用以及避免不必要的泄露之间寻求平衡。由于医疗市场的多样性,条例设计成具有充分的自由度,且覆盖全面,涵盖了各种用户的使用需求。

2.隐私条例应用的范围
       隐私条例适用于医疗保险中的计划信息、医疗信息转换机构、以及任何涉及健康信息以电子方式进行记录及传输的医疗保健提供者。

医疗保险中的计划信息是指:个人和团体为医疗护理提供和支付的医疗保健保险费用。美国有多种保险,包括健康、牙科、视力、处方药等保险,保健组织的保险,医疗保险,医疗救助,医疗保险+补充医疗保险,以及长期医疗保险等。保险也包括由雇主、政府、教会、或者多个雇主支助的计划。50人以下参与且完全有雇主管理的的医疗保险不在列入的范围,另外有2种政府提供基金的保险计划也不在列:1)主要目标不是提供或者支付医疗保健费用目的的,如饮食券等支付的;2)主要活动是直接提供医疗服务的,如社区卫生服务中心,或者提供直接医疗的基金等。某些种类的商业保险也不在医疗保险范畴,如只提供工人的赔偿,汽车保险,财产和意外险等,

医疗信息转换机构:是指将从另外一个机构接受到的非标准的信息(如格式和内容)转换成为标准化的形式的信息处理服务机构。在大多数情况下,只有在需要处理保险计划时才会碰到这种情况。这种情况只有部分隐私条例适用。这样的服务机构包括计费服务、重新定价服务、社区卫生管理信息系统、增值网络和交换服务等。

医疗保健提供者:每一个医疗保健提供者,无论规模大小,只要涉及健康信息的电子记录传输都包括在内。这些记录与传输包括:索赔、福利资格查询、授权请求等。使用电子邮件技术并不包括在内,因为传输必须发生在建立连接的标准化传输的两端。隐私条例涵盖了所有直接使用电子技术的记录和传输,也包括了其它付费或者基于第三方的支付等各种方式。医疗保健提供者包括所有的医疗服务提供者(如医疗服务机构的供应商,如医院)及保健服务提供者(如非机构服务提供者,如内科医生、牙医和其他从业人员等)。

 3.关联的商业参与者

一般意义上,商业关联者是指与上述三种类所覆盖的医疗保健相关者发生某种类型的服务,而这项服务又涉及到个人的健康信息的服务提供者。这种服务包括索赔处理,数据分析,价值评价,和收费等。关联业务的服务仅限于法律、精算、会计、咨询、数据汇总、关联、行政、认证或者金融服务等。如果关联的服务不涉及个人健康信息的使用,则不包括在关联的商业参与者之内。关联商业参与者也包括与该关联商业参与者相关的一切关联参与者。在签订相关的商业合约时,被覆盖的主体必须以书面的形式对个人的健康信息进行保护的承诺,并不能授权给关联商业参与者任何违背隐私保护条例的内容。

4.哪些信息受保护
保护所有能够用于识别个体身份的健康信息,这些信息不管以何种媒介存贮,如电子的,还是纸质的,还是口头的,只要责任人持有或者传播就是受隐私条例保护的。隐私条例将这样的信息称为“敏感个人健康信息PHI(protected health information)”。
可识别个体身份的健康信息包括个人的基本数据,如:过去、现在和未来的身体或精神健康状况;针对个体提供的医疗措施;过去、现在和未来的医疗支付;
可识别个人的或者通过合理的推断可以辨识出个体身份信息的,或者通用的身份识别信息如:姓名,地址,出生日期,社会保障号等;
个人隐私条例不适用于雇主、教育等机构在本机构范围内维护的个体健康记录。
对于不可识别身份的个人健康信息是可以被应用或者披露的,这些健康信息不能通过直接的身份信息或者通过间接的推断识别出身份信息。如何使个人健康信息不可被身份识别?有两种方式可以做到:1)只给出统计信息的群体健康信息(需要由合格的统计者来做);2)移除个人身份信息,并移除相关的亲戚,家庭成员或者雇主的信息,确保不能通过任何剩余的信息来推断个人身份信息。

 5.敏感个人健康信息使用和披露的一般原则
       基本原则:隐私条例的主要目的是避免医疗保健责任人泄露受保护的个人健康信息,这些责任人不得使用或披露个人健康信息,除非1)隐私法规定或者允许;2)个人健康信息属主授权同意。
需要披露的情况:只有在两种情况下,医疗保健责任者必须披露个人健康信息:1)个人健康信息属主(或者个人法定代理)请求查阅个人信息,或者追踪个人健康信息的披露情况;2)美国医疗保健和人类服务部进行合规性调查或者审查或者强制执行判决的诉讼时。

允许使用和披露的情况:在个体授权的情况下,医疗保健责任者允许使用(但非必需)和披露个人健康信息:1)针对的是个体健康信息的属主本人自己的健康信息,2)治疗、支付以及医疗的其它操作;3)签署同意或者反对意见书;4)会导致泄漏的灾难事件的处理;5)公共利益和公益活动;6)用于研究目的的部分有限数据集的操作。针对这些情况,医疗责任者需要凭借良好的职业操守和自主判断来决定这些应用和披露。

6.授权的运用和披露
医疗保健责任者对于任何非医疗、支付及医疗有关的操作而需要使用和披露敏感个人健康信息时必须取得个人的书面授权书。这些可能的披露如:寿险保险公司对个人健康的评估;当前雇主需要职工前一份工作中的健康体检或者实验室检验信息;或者给药厂用于市场营销的目的等的信息披露。所有的授权书必须使用通俗易懂的语言,并指出需要披露的特定信息内容,所披露信息的使用者,授权过期日期,并有权撤销此种权力的声明等信息。

7.以满足必要信息的最少原则来限制使用和披露
仅满足使用需要的最少信息原则披露敏感个人健康信息。隐私条例的核心原则是“最低限度的必要”。医疗保健责任者必须保证公开的信息量仅用于满足请求者的最低要求,能不公开的尽量不公开。最低限度原则不适用于:

1)用于医疗服务提供者以治疗为目的的信息请求;

2)信息属主本人或者法定代理人;

3)根据授权需要披露的;

4)用于美国医疗保健和人类服务部处理投诉、审查和执行诉讼的信息披露;

5)根据法律要求需要披露的;

6)根据HIPAA规则或者行政管理条例要求的披露。

HIPAA发展历史
  HIPAA起源于1991年。那年,美国医疗保健和人类服务部(United States Department of Health and Human Services,HHS)组建了WEDI(The Workgroup on Electronic Data Interchange)研究电子数据的交换问题。
1992年,WEDI提交了一份关于医疗保险电子数据交换标准化的研究报告,并于1993年发表(1993 WEDI Annual Report)。
1996年,克林顿政府签署了经过参议院和众议院通过的医疗保险改革法案:HIPAA/1996,Public Law 104-191
1997年,HHS要求NCVHS(National Committee of Vital and Health Statistics)提出标准草案建议。
2000年8月,HHS公布了第一批标准和实施指南。
2000年12月,公布了个人健康信息的隐私保护标准和实施指南。
2001年5月7日,107届国会通过修正案,将标准化工作延期到2004年10月16日,并要求联邦审计总署对HIPPA法实施及电子数据交换标准的实施效果进行评估,于2003年10月31日前向议会提交报告。

【相关案例】

HIPAA步履维艰

                           ——透视“医疗保险便携性和责任法案”

【据《纽约时报》2007年7月3日报道】

 近期,美国各地医疗机构出现了以下现象:

 美国伊利诺斯州Palos Heights市某急诊室护士将Gerard Nussbaum从他在接受卒中后治疗的岳父身边赶走,另一位护士则威胁说要监禁他,只因他看了岳父的治疗纪录。

纽约和亚利桑那州疗养院医生们的生日聚会均被取消,以免由此泄漏生日信息而违反了HIPAA规定。

候诊室的患者各自被分配到一个新代码,比如来自麻省牛顿市的一个孩子叫作“Zebra”,来自密苏里州堪萨斯市的一名成人患者叫作“Elvis”,这样医生在传唤他们就诊时就不会暴露他们的真实身份了。

俄亥俄州杨斯敦市圣”伊丽莎白健康中心急诊室的护士,因害怕自己不慎暴露学生患者的机密信息而不愿亲自给学生家长打电话,她们让朋友代劳。

全美各州卫生部门进行儿童免疫登记越来越艰难。据南佛罗里达州疾病控制主任James J. Gibson博士说,医生之间无法自如地沟通。

这些现象的根源是什么?

根源在于“医疗保险便携性和责任法案”(简称“HIPAA”)。它提出了一系列个人医疗信息的保密规定,适用于管理这些信息的所有机构,包括医疗保健机构、雇主、保险公司等。Hipaa要求这些机构按照特定的信息安全和隐私保护规定管理医疗保健信息,但是并未提出强制的实施方法。它引入了一系列的组织和流程要求,涵盖了医疗健康和医药服务领域机密性、可用性、完整性,以及患者健康电子信息(ePHI:Electronic Patient Health Information)整体安全的各个层面。医疗专家和隐私研究专家都认为,该法案可保证在全美对医疗信息电子化处理时可将“隐密性”始终放在首位。但要保证这一点,必须要在“简化管理”文件基础上对2003年出台的各项规章制度进行统筹处理。民主党参议员Edward M. Kennedy指出:电子时代信息传递过程中,非常有必要对医疗信息进行保密以便保障人们的权益。

HIPAA如何造成上述局面?

以上述第一个事件为例,Nussbaum先生说,那些护士都认为在HIPAA的规定中,他不能接近岳父及其医疗信息,这受联邦法律支持。

美国健康和人类服务部公民权利办公室卫生信息隐私事务主任介绍:HIPAA本是用来保护医疗信息隐私的,但政府调查发现很多医护人员把HIPAA用得有些过,以致患者的家庭成员、护理人员、公共卫生官员和执法人员都难以获得所需要的信息。专家认为许多医疗机构并未真正理解该法案,也未对员工进行培训以便严格而谨慎地执行;有的医护人员害怕受到罚款或蹲监狱(尽管截止到目前还没有人受到这些惩罚),因此宁愿对医疗信息用极端的方式进行保密。最普遍的是,执行该法案时若遇到含糊不清的情况,许多既未透彻理解法案也未受过相应培训的医护人员都觉得说“不”比说“是”更稳妥。

有人对法案本身的语言逻辑进行分析,比如“医护人员在患者不反对的情况下可以与其他人分享医疗信息,但并不强求一定要与他人分享信息”,这句话指的是公开医疗信息是患者的一种自愿行为,医护人员可以放宽该条款的应用范围。纽约州特洛伊市非营利系统东北地区卫生总顾问Robert N. Swidler说:“教工作人员保密医疗信息比教他们分享信息容易得多,所以他们才会将这句话理解得过于狭隘,以致于都愿意最大程度地保密信息。相信不久,他们处理问题将会更加灵活和人性化。但护士毕竟不是律师,这是一项较为复杂的法律,我们只是告诉他们适当时候可以说出某些信息,但没人强迫他们这么做,具体情况还要他们自己斟酌。”

关于HIPAA的众说纷纭:

美国隐私附属委员会(专为监督HIPAA的健康和人类服务部门提供咨询服务的机构)主席Mark Rothstein说:“医护人员有时也很无奈,有些规定他们必须要无条件遵守,尽管有时也对某些规定感到惊讶甚至还有抵触心理。”

健康和人类服务部负责健康信息隐私的主任Susan McAndrew说:“启用HIPAA后,问题似乎比以前更多了,有些医护人员学会了钻这项法案的空子,部分人确实不知道该如何限制法案的应用范围,但另有所图的人员常以此法案为借口达到他们各自的目的。”McAndrew女士将该法案稍作解释:当患者本人不反对时,医护人员可自由地与其家人谈论患者的医疗信息,无需任何授权;接受信息者也不必具备医护资质或法律资质。对于公共卫生部门或进行犯罪研究的机构,HIPAA的执行要以各州法律为准,通常情况下都要求公开事实。医护人员不能将患者的机密信息提供给记者,但可与记者共同探讨普遍的健康问题。McAndrew女士说目前尚不明确究竟有多少信息流动不畅,截止现在唯一被详细调查过的就是那些不能获取患者自身信息的事件。

HIPAA法案的坚决反对者Rothstein先生已组织了很多年全国范围的听证会。会上,来自医院管理人员、患者服务人员、律师、家庭成员和执法人员共同提供的一些令人或担忧或懊恼得事件,都是因为对该法案应用不当造成的,例如文章开篇提到的那些。类似的事情也出现在Rothstein先生自己家中。当其母亲打电话预约私人医生求教一些问题时,秘书小姐说医生没空。问她“医生外出了还是有其他病人在就诊”时,对方说:“对不起,鉴于HIPAA,我不能回答您。”事后得知医生因为私人问题而不方便接待患者。其实早知道是这样,其母就能决定是继续等待还是去其他诊所。

无情的结局,全因HIPAA

 孩子对父母的远程照顾也因此而受阻。专家说子女在向医院询问父母医疗信息时听到最多的话就是“因为HIPAA,我们不能告诉你。”这种事情曾发生在Nancy Banks身上。她82岁的母亲卒中发作,她在远方给家中打电话,母亲大喊大叫却无法正常谈话。她立即给护理办公室打电话询问详情,可是所有的人都不告诉她。于是她只好亲自驾车前往母亲家。到达后,护士说:“因为HIPAA,如果我们告诉你任何情况,就会有麻烦。”第二天她才被告知妈妈已经心衰、肾功能也开始衰竭。

“我也了解隐私方面的法律,但他们太过分了,我是她的女儿啊!”(案例转载自新浪博客

赞(0)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【蝶帆弋湖专栏】从医疗信息安全和隐私保护角度解读HIPAA
分享到: 更多 (0)