HIT 政策委员会的隐私和安全老虎队将于下周一举行一次虚拟公开听证会,探讨切实可行的方法,为患者提供有关其数字可识别健康信息的使用和披露的更大透明度。
此类探索还应有助于促进 HITECH 要求的实施,即患者根据 HIPAA 隐私规则享有的“披露记录”权利包括通过“电子健康记录”进行“治疗、付款和手术”披露的权利。国家生命和健康统计委员会隐私、保密和安全小组委员会的隐私委员会和 HIT 标准委员会的隐私和安全工作组也将参加问答环节。此次听证会将于 9 月 30 日上午 11:45 至下午 5:00 举行。有关如何收听本次会议的说明请点击此处。
在听证会上,Tiger Team 将听取利益相关者(包括提供者、付款人、供应商和业务伙伴以及患者代言人)的证词,这些证词针对听证会的四个目标组织而成。这些问题如下所示。此外,Tiger Team 邀请您(公众成员)以书面形式回答我们在下面提出的问题。Tiger Team 将在继续审议这些问题并提出建议时考虑这些答案。
目标 1:更好地了解患者希望了解其受保护的电子健康信息 (PHI) 的使用、访问和披露情况。
患者可能希望了解哪些实体/哪些实体使用、访问或接收了他们的 PHI 披露信息,原因是什么?他们可能希望了解内部使用或访问信息,原因是什么?
关于此类使用、访问或披露,患者想要知道什么信息?例如,了解每项服务的目的,或所涉及个人的姓名或角色是否重要?
向患者提供这些信息有哪些可接受的选择?(报告、调查等)
如果以当今的技术能够自动收集的使用、访问或披露信息受到限制,那么患者的首要任务是什么?
如果患者担心自己的健康信息可能被不当获取或披露,目前有哪些方案可以解决这一问题?应制定哪些方案来解决或减轻这一问题?
目标 2:更好地了解当前可用且价格合理的技术的功能,这些技术可以为患者提供有关 PHI 使用、访问或披露的更高透明度。
目前使用哪些功能来实现 PHI 每次使用、访问或披露的透明度(或跟踪或监控)?这些信息会传达给谁(以及出于什么目的)?
如果您目前不跟踪内部访问记录的每个用户及其访问目的,那么从技术、运营/工作流程和成本角度来看,需要做些什么才能添加此功能?需要做些什么才能添加外部披露功能?
是否有任何“用户角色”或其他工具可用于区分内部用户的访问和外部披露?例如,是否可以确定用户是社区医生,而不是医疗机构 (IDN 或 OHCA) 的员工?如果没有,那么添加此功能的障碍是什么?
该技术是否能够跟踪供应商员工(如系统管理员)的访问、使用或披露(例如,他们可能需要偶尔以本机模式访问数据以执行维护功能)?您目前是否部署了此功能?如果是,如何部署?
医疗保健机构内是否存在某些不会引起患者隐私担忧的用途、访问或披露?这些用途和披露是什么?技术能否区分这些可能需要对患者透明的信息?
您是否有能力生成有关医疗记录的访问、使用和披露的报告?
报告生成频率是多少?它们是什么样的?
这些报告的详细程度如何?它们是按汇总数据类别、单个数据类型、单个数据元素还是其他方式进行详细说明?
它们可以自动生成吗,
您是否集成了多个系统的报告?
回顾期是多长?
目标 3:更好地了解医疗保健提供者、健康计划及其业务伙伴(例如 HIE)当前如何 交通邮件列表 部署记录访问透明技术。
您今天如何回应那些对记录使用/访问/披露有疑问或担忧的患者?哪些类型的工具/流程可以帮助您提高满足患者对记录使用/访问/披露透明度需求的能力?您是否曾收到过患者(或订阅者)的请求,要求提供有权访问 PHI 的所有员工的名单?
您目前正在部署哪些类型的记录使用/访问/披露透明度或跟踪技术以及如何使用它们?
为了透明度,您目前在使用/访问和披露方面向患者提供什么?您是否认为有必要改变当前的方法?
你们是否有任何机制让患者可以请求限制访问?例如,如果患者担心该机构雇用的邻居可能会访问他/她的记录,是否有办法标记这种情况?
目标 4:更好地了解实施 HITECH 变更的初始拟议规则中提出的其他问题。
关于访问报告,除了审计日志中收集的基本信息外,您还收集哪些信息?
从业务伙伴处获取访问信息需要涉及哪些方面?当前的业务伙伴协议是否规定及时向您报告访问情况,或者这些协议是否需要重新协商?
NPRM 要求披露访问/收到患者 PHI 副本的个人的姓名(作为访问/披露报告的一部分,或作为对特定人员是否访问过问题的回答)会带来哪些问题(如果有的话)?这种方法的优缺点是什么?
您认为目前允许患者提出投诉并要求调查可能不当使用或披露信息的机制如何运作?这些机制是否可以改进,是否可以代替或补充接收报告?
是否应要求实体进行此类调查?如果是,调查范围应该是什么?
如果患者需要报告,实体是否仍需要出示报告?
如果患者对治疗结果不满意,他/她可以采取什么补救措施?