Dans une lettre adressée au Comité sénatorial de la santé, de l’éducation, du travail et des pensions, l’American Hospital Association a déclaré que la règle du Bureau des droits civils de la santé et des services sociaux des États-Unis concernant l’utilisation d’outils de suivi en ligne est en contradiction avec les règles HIPAA existantes et pourrait entraîner des conséquences significatives. préjudice aux patients et à la santé publique.
“Le Congrès devrait exhorter l’OCR à retirer immédiatement cette règle”, AHA a dit dans sa réponse à une demande d’informations sur la confidentialité des données et la HIPAA.
POURQUOI EST-CE IMPORTANT
Au nom de l’AHA et de ses membres – 5 000 membres d’organisations de soins de santé, 270 000 médecins affiliés, deux millions d’infirmières et autres soignants et 43 000 dirigeants de la santé – l’organisation a déclaré au comité HELP qu’elle estime que les règles actuelles de la HIPAA constituent un cadre efficace pour partager les informations des patients. les informations de santé protégées « sans créer d’obstacles significatifs à l’utilisation et à la divulgation robustes des informations nécessaires pour soutenir des soins de haute qualité ».
Pour ces raisons, l’AHA “ne pense pas que le Congrès devrait procéder à des révisions majeures à la HIPAA à l’heure actuelle”, a déclaré l’organisation dans une lettre du 28 septembre.
L’AHA a cependant noté deux problèmes spécifiques qui « bénéficieraient de l’attention du Congrès » : la règle de décembre de l’OCR concernant l’utilisation d’outils de suivi en ligne et les diverses réglementations nationales en matière de confidentialité qui s’accumulent sur la HIPAA.
Dans sa DDR de septembre, le Comité HELP a demandé aux parties prenantes leurs commentaires sur un certain nombre de questions concernant les données de santé et la responsabilité, notamment la question de savoir si les entités responsables devraient avoir un devoir de loyauté envers les patients et comment celui-ci pourrait être imposé de manière à minimiser les charges pesant sur ces entités.
“Les exigences d’une telle obligation devraient-elles être basées sur la sensibilité des données collectées ?”
Tout en affirmant qu’elle estime qu’aucun changement à la HIPAA n’est nécessaire pour le moment, l’AHA a demandé au Congrès d’exhorter l’OCR à retirer sa règle de décembre interdisant aux organismes de santé d’utiliser des outils de suivi en ligne pour collecter des informations sur la manière dont les utilisateurs interagissent avec les sites Web des entités réglementées.
L’association a déclaré la règle a entraîné des conséquences qui contreviennent aux efforts de l’OCR pour encourager les hôpitaux à partager des informations non privées sur les soins de santé avec le public.
“Cette règle est imparfaite sur le plan juridique et nuisible sur le plan politique”, a affirmé l’AHA.
Les hôpitaux et les systèmes de santé sont pris entre la « règle illégale » de l’OCR régissant l’utilisation d’outils de suivi en ligne et les fournisseurs tiers, et ils ne sont pas en mesure de fournir « les informations de santé les plus fiables disponibles », a déclaré l’AHA.
“Sans consulter les prestataires de soins de santé, les fournisseurs de technologies tiers ou le grand public, l’agence a publié un document d’orientation sous-réglementaire qui a eu de profondes répercussions sur les hôpitaux, les systèmes de santé et les communautés qu’ils desservent.”
Dans la nouvelle règle, “OCR a adopté la position selon laquelle lorsqu’une technologie en ligne relie l’adresse IP d’un individu à une visite sur une page Web publique traitant de problèmes de santé ou de prestataires de soins de santé spécifiques, cette combinaison d’informations est soumise à des restrictions d’utilisation et de divulgation en vertu de la HIPAA. “, a expliqué AHA.
“Ainsi, les adresses IP des visiteurs du site Web sont protégées même s’ils ne recherchent pas réellement des soins médicaux.”
Selon le « point de vue erroné » de l’OCR, les mêmes protections HIPAA s’appliquent si les visiteurs recherchent des informations médicales, telles que des informations générales sur la santé, des informations pour un proche, des recherches universitaires et plus encore – et cela viole la HIPAA, a soutenu l’AHA.
HIPAA et ses règlements d’application « trouvent un équilibre », protégeant la vie privée des patients tout en autorisant « des utilisations importantes des informations », selon l’AHA.
AHA a déclaré que la politique des outils de suivi en ligne d’OCR signifie que les hôpitaux et les systèmes de santé ne peuvent plus compter sur des technologies tierces telles que Google Analytics, YouTube et d’autres applications vidéo.
Sans analyses, les organisations ne peuvent pas déterminer quelles zones d’un site Web les patients ont des difficultés à naviguer, le niveau d’inquiétude de la communauté concernant des problèmes médicaux particuliers, etc.
“Ces outils permettent aux hôpitaux d’allouer plus efficacement les ressources et aident les membres de la communauté à trouver plus facilement les informations de santé qu’ils recherchent”, a déclaré l’AHA.
Sans cartes et services de localisation tiers, les hôpitaux sont contraints de fournir de meilleures informations sur les endroits où les services de santé sont disponibles, a donné l’organisation en exemple. Ils seront contraints de restreindre l’utilisation d’outils tels que les horaires de bus intégrés ou les itinéraires routiers vers et depuis l’emplacement d’un patient.
Limiter les technologies vidéo minimise également la gamme d’informations sur la santé que les systèmes de santé peuvent partager avec les communautés qu’ils desservent, a déclaré l’AHA.
“Les hôpitaux et les systèmes de santé ne peuvent pas risquer les conséquences graves qui découlent de la règle illégale de l’OCR, notamment les mesures d’application de la loi HIPAA, les recours collectifs ou la perte d’investissements importants dans les sites Web existants”, a déclaré l’AHA dans sa demande.
Pendant ce temps, des tiers peuvent refuser de signer des accords de partenariat commercial qui les engageraient à protéger les informations privées des patients, a noté l’AHA.
“Si la nouvelle règle de l’OCR est maintenue, les hôpitaux et les systèmes de santé seront contraints de restreindre l’utilisation de technologies tierces précieuses comme celles-ci.”
En outre, l’AHA préconise depuis longtemps que les exigences de la HIPAA constituent la norme nationale uniforme pour protéger la confidentialité et la sécurité de toutes les informations sur les patients. Parce que le cadre HIPAA est à la fois efficace et bien établi, le Congrès devrait adopter une préemption fédérale totale sur la HIPAA, a déclaré l’organisation hospitalière.
“La mosaïque d’exigences différentes pose des défis importants pour l’utilisation par les prestataires d’un dossier de santé électronique commun qui constitue un élément essentiel de l’infrastructure nécessaire à la coordination efficace des soins aux patients et au maintien de la santé de la population”, a déclaré l’AHA.
“Malgré tous les atouts du cadre HIPAA existant, son approche de la préemption s’est avérée problématique”, a affirmé le groupe dans la lettre du comité HELP.
« En outre, la mosaïque actuelle d’exigences en matière de confidentialité des informations de santé au niveau étatique et fédéral reste un obstacle important au partage robuste des informations sur les patients nécessaires à un traitement clinique coordonné », a déclaré l’AHA. “Si le Congrès devait apporter des modifications à la HIPAA, il devrait résoudre ce problème et adopter une disposition de préemption complète.”
LA PLUS GRANDE TENDANCE
En juillet, l’OCR et la Federal Trade Commission a envoyé une lettre d’avertissement aux hôpitaux concernant les pixels de suivi en ligne rappeler aux organismes de santé leurs responsabilités en matière de divulgation par des tiers d’informations de santé protégées en vertu de la HIPAA, de la loi FTC et de la règle de notification des violations de santé de la FTC.
“Même si vous n’êtes pas couvert par la HIPAA, vous avez toujours l’obligation de vous protéger contre les divulgations non autorisées d’informations personnelles sur la santé en vertu de la loi FTC et de la règle de notification des violations de santé de la FTC”, a déclaré le HHS dans le communiqué. bulletin.
De nombreux systèmes de santé sont impliqués dans des recours collectifs concernant des violations présumées des PHI. Plus tôt cette année, plusieurs hôpitaux de Louisiane ont été accusés d’avoir partagé des conditions médicales, des ordonnances, des noms de médecins et des rendez-vous antérieurs avec Facebook lorsque les patients prenaient rendez-vous en ligne ou via des applications de portail pour patients. En août, L’avocat Aurora Health a accepté de régler un recours collectif pour 12,2 millions de dollars lié à l’annonce du système de santé en octobre 2022 selon laquelle il avait notifié près de trois millions de patients dans l’Illinois et le Wisconsin d’un violation potentielle de données impliquant des trackers de pixels.
L’AHA a noté dans sa lettre de réponse à RFI au Comité du Congrès que ces lettres d’avertissement comprenaient un communiqué de presse soutenant les menaces de conséquences en cas de violation de la règle de décembre.
“OCR a déclaré qu’il était ‘préoccupé’ par le fait que l’utilisation de ces technologies par les hôpitaux entraîne des ‘divulgations non autorisées d’informations sur la santé – un problème pour lequel l’OCR ‘utilisera toutes ses ressources pour résoudre'”, a déclaré l’AHA, notant que le mois dernier, l’OCR avait publiquement a publié les noms de tous les hôpitaux et systèmes de santé qui ont reçu sa lettre d’avertissement.
SUR LE DOSSIER
“Les tribunaux ont déjà conclu que l’interprétation des informations de santé individuellement identifiables proposée par le HHS dans ses directives” va bien au-delà du sens de ce que la loi peut supporter “, a déclaré l’AHA dans sa lettre au Sénat.
“La HIPAA est plus que suffisante pour protéger la vie privée des patients et, si elle est interprétée correctement, elle établit un équilibre approprié entre la confidentialité des informations de santé et le partage d’informations précieuses”, a ajouté le groupe. “Les différentes lois des États ne font qu’ajouter des coûts et créer des complications pour les hôpitaux et les systèmes de santé.”
Andrea Fox est rédactrice en chef de Healthcare IT News.
E-mail: [email protected]
Healthcare IT News est une publication HIMSS Media.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/HOBX5HCNCFEDVK6BVGARBFJ2DM.jpg)
