В понедельник, 9 марта th 2020, Управление национального координатора медицинских информационных технологий (ONC) опубликовало долгожданное окончательное правило для решения проблемы блокировки информации и обновить программу ИТ-сертификации ONC Health в соответствии с указаниями Конгресса на основании Закона о лечении 21 st от 2016 года (Закон о лечении).
Как пациент, ухаживающий за двумя детьми и единственный ребенок, готовящийся к уходу за стареющими родителями, я с нетерпением жду возможности получить доступ к нашим медицинским записям и управлять своим здоровьем с легкостью и удобством, с которыми я уже сталкиваюсь в большинстве случаев экономика вне здравоохранения. С Заключительным правилом Закона о лечении ONC мы на один шаг ближе к тому, чтобы это произошло. Вскоре вы получите больше возможностей для электронного доступа, обмена и использования вашей электронной медицинской информации (EHI) через устройства с подключением к Интернету (например, ваш смартфон). Критерий сертификации можно получить pharmacy24 на отраслевые консенсусные данные и стандарты безопасности, включая HL7® FHIR®, руководство по внедрению запуска приложений SMART, OpenID Connect и OAuth 2.
Основанные на Core Data for Interoperability (USCDI) США, безопасные, основанные на стандартах интерфейсы прикладного программирования (API) («сертифицированные API») будут стимулировать разработку новых моделей оказания медицинской помощи, ориентированных на пациентов, понимание прозрачности цен и множество других инструментов, которые помогут избавиться от лишних хлопот. Другими словами, вы сможете использовать свой смартфон, чтобы заботиться о своем здоровье.
Мы, пациенты, должны иметь безопасный доступ к нашим данным в любое время, когда захотим, через приложение по нашему выбору. Однако все начинается с доверия, которое в нашем контексте строится на сочетании организационных и деловых практик, законов и отношения и грамотность о методах обработки данных. Окончательное правило ONC включает конкретные технические требования, позволяющие людям выбирать. Он также включает положения, позволяющие «субъектам», регулируемым правилом блокировки информации («субъекты IB»), обучать и консультировать людей о рисках конфиденциальности и безопасности, создаваемых сторонними приложениями («приложениями»).
Мы, пациенты, должны иметь безопасный доступ к нашим данным в любое время через любое приложение по нашему выбору.
Хотя последнее правило открывает всем нам путь к более легкому доступу к данным о своем здоровье, давайте проясним одну вещь. Вы сами решаете, с какой сторонней службой или приложением вы хотите, чтобы ваш поставщик медицинских услуг делился вашими данными — если вообще. Вы должны подключить выбранное приложение, доказать своему провайдеру, что вы являетесь тем, кем себя называете (т.е. «аутентифицировать» себя), а затем утвердить («авторизовать») передачу некоторых или всех ваших данных USCDI в ваше приложение. Но вам также необходимо убедиться, что сторонние политики и методы обработки данных соответствуют вашим ожиданиям. Тем более, что если эти данные станут недоступны вашему поставщику медицинских услуг, они не будут подпадать под действие правил Закона о переносимости и подотчетности медицинского страхования (HIPAA).
Что разрешено при блокировке информации?
Последнее правило разрешает и поощряет участников IB предоставлять вам информацию, которая поможет вам выбирать, использовать приложения и доверять им. Хотя участники IB могут применять определенные методы, чтобы информировать вас о рисках конфиденциальности и безопасности сторонних приложений, они могут не мешать вам принимать собственные решения, в том числе делиться своими данными с определенным приложением.
Пока субъекты IB предоставляют вам достоверную, объективную, беспристрастную, справедливую и недискриминационную информацию, они, скорее всего, не будут «мешать» вам получать доступ к данным о вашем здоровье через порталы пациентов, приложения или другие средства. (и, следовательно, вряд ли будет считаться занятием, которое можно рассматривать как блокировку информации).
Например, субъекту IB разрешается установить процесс, в котором он сначала просит сторонних разработчиков приложений (до того, как какой-либо пациент использует свои приложения) подтвердить «да» или «нет» относительно того, есть ли у них политика конфиденциальности и , если да, соответствует ли такая политика определенным рыночным «лучшим практикам». Как только субъект IB запишет эту предварительную аттестацию, он может отобразить вам предупреждение, в котором будет рассказано, как отреагировал разработчик приложения, чтобы проинформировать вас о вашем решении продолжить. Подобное предупреждение, например, может быть использовано для информирования вас о том, что приложение, с которым вы собираетесь поделиться своими данными, не имеет политики конфиденциальности. Такие хорошо продуманные образовательные мероприятия могут помочь людям остановиться и дважды подумать, прежде чем делиться своими данными с приложением. В преамбуле к окончательному правилу эти методы подробно описаны вместе с этим информационным бюллетенем.
Давайте поговорим о технологиях
В ответ на Закон о лечении мы ввели новый безопасный, основанный на стандартах критерий сертификации API. (OAuth 2 — это стандарт безопасности, о котором вы, возможно, никогда не слышали, но, вероятно, уже используется много раз на вашем смартфоне и в Интернете.) Более того, с точки зрения безопасности, поставщики медицинских услуг смогут использовать журналы аудита для отслеживания ряда различных параметров, например, какие пациенты использовали какие приложения и какие данные были одобрены для передачи. Отслеживание этой информации и раскрытие информации через сертифицированные API-интерфейсы может предложить поставщикам медицинских услуг несколько различных идей, начиная от того, какие приложения и данные наиболее популярны среди их пациентов, и заканчивая обнаружением паттернов использования и вредоносной активности.
В течение следующих двух лет, по мере того как разработчики программного обеспечения для здравоохранения разрабатывают и внедряют сертифицированные API-интерфейсы, ИТ-служба здравоохранения вашего поставщика медицинских услуг будет иметь возможность устанавливать безопасное соединение с выбранными вами приложениями, аутентифицировать вас у этого поставщика и предлагать вам варианты. для объема данных, которые вы хотите одобрить для получения вашего приложения. После внедрения сертифицированные API-интерфейсы позволят организовать автоматизированный электронный процесс, который повысит удобство для пациентов и практически не создаст дополнительной административной нагрузки для поставщиков медицинских услуг.
Мы должны продолжить наш диалог о вторичном использовании
Хотя последнее правило, которое мы опубликовали в понедельник, представляет собой большой шаг вперед, наша работа еще не завершена. От пациентов до Конгресса и всех, кто находится между ними, мы, как медицинское сообщество, должны обсудить, какие меры защиты следует применять к данным о состоянии здоровья, когда они хранятся физическими и юридическими лицами — помимо сторонних приложений, которые используют пациенты, — которые не подпадают под действие Правила HIPAA. Действительно, нам необходимо расширить этот диалог, чтобы охватить не только данные о здоровье в традиционном смысле. Мы также должны учитывать данные, которые мы генерируем в течение дня о нашем здоровье, такие как поиск, покупки в Интернете и геолокация, поскольку компании, потенциально неизвестные нам, могут использовать эти данные, чтобы сделать много выводов о нашем здоровье.
Хотя последнее правило, которое мы выпустили в понедельник, представляет собой большой шаг вперед, наша работа еще не завершена.
Некоторые возможные меры защиты, которые могут потребоваться для этой растущей группы, включают: более широкие требования к прозрачности, такие как общедоступные политики конфиденциальности и версии на простом языке; предварительные заявления о том, могут ли и как данные передаваться другим лицам, в том числе могут ли они быть проданы; и выражать согласие на использование и повторное использование всех или определенных типов данных. В конечном итоге такие правила дорожного движения должны быть хорошо поняты и последовательно соблюдаться. В 2016 году мы представили в Конгресс отчет о «не покрываемых страховкой организациях», который остается актуальным и сегодня, а Национальный комитет по статистике естественного движения населения и здоровья (NCVHS), один из федеральных консультативных комитетов HHS, также опубликовал два отчета по этому вопросу в 2017 и 2019 гг.