Macht für den Patienten: unsere Bilanz, unser Recht, unsere Wahl

Am Montag, den 9. März 2020, veröffentlichte das Büro des National Health Information Technology Coordinator (ONC) die lang erwartete endgültige Regel, um die Informationsblockierung anzugehen und das ONC Health IT-Zertifizierungsprogramm gemäß den Anweisungen des Kongresses auf der Grundlage des 21. Behandlungsgesetzes zu aktualisieren 2016 (Behandlungsgesetz).

Als Patientenbetreuerin von zwei Kindern und einem Einzelkind, das sich darauf vorbereitet, sich um alternde Eltern zu kümmern, freue ich mich darauf, auf unsere Krankenakten zugreifen und meine Gesundheit mit der Leichtigkeit und Bequemlichkeit verwalten zu können, die ich bereits in den meisten Volkswirtschaften außerhalb des Gesundheitswesens erlebe. Mit der Schlussregel des ONC-Behandlungsgesetzes sind wir dem einen Schritt näher gekommen. Sie werden bald mehr Möglichkeiten haben, Ihre elektronischen Gesundheitsinformationen (EHI) über internetfähige Geräte (wie Ihr Smartphone) elektronisch abzurufen, zu teilen und zu nutzen. Zertifizierungskriterien erhältlich bei Apotheke24 Daten- und Sicherheitsstandards des Branchenkonsenses, einschließlich HL7® FHIR®, SMART Application Launch Implementation Guide, OpenID Connect und OAuth 2.

Basierend auf den US Core Data for Interoperability (USCDI) werden sichere, standardbasierte Anwendungsprogrammierschnittstellen (APIs) („zertifizierte APIs“) die Entwicklung neuer patientenzentrierter Versorgungsmodelle, Einblicke in die Preistransparenz und vieles mehr vorantreiben Werkzeuge, die Ihnen helfen, den Ärger loszuwerden. Mit anderen Worten, Sie können Ihr Smartphone verwenden, um sich um Ihre Gesundheit zu kümmern.

Wir, die Patienten, müssen über eine Anwendung unserer Wahl jederzeit sicheren Zugriff auf unsere Daten haben. Alles beginnt jedoch mit Vertrauen, das in unserem Kontext auf einer Kombination aus Organisations- und Geschäftspraktiken, Gesetzen und Einstellungen sowie Kenntnissen über Datenverarbeitungsmethoden aufbaut. Die endgültige ONC-Regel enthält spezifische Spezifikationen, die es den Menschen ermöglichen, zu wählen. Es enthält auch Bestimmungen, die es „Einheiten“, die der Informationsblockierungsregel unterliegen („IB-Einheiten“), erlauben, Einzelpersonen über die Datenschutz- und Sicherheitsrisiken aufzuklären und zu beraten, die von Anwendungen Dritter („Apps“) ausgehen.

Wir, die Patienten, müssen jederzeit über jede Anwendung unserer Wahl sicheren Zugriff auf unsere Daten haben.

Während die letzte Regel uns allen den Weg zu einem einfacheren Zugang zu unseren Gesundheitsdaten ebnet, lassen Sie uns eines klarstellen. Sie entscheiden, mit welchem ​​Drittanbieterdienst oder welcher Anwendung Ihr Gesundheitsdienstleister Ihre Daten teilen soll – wenn überhaupt. Sie müssen Ihre gewählte Anwendung verbinden, Ihrem ISP nachweisen, dass Sie die Person sind, für die Sie sich ausgeben (d. h. sich selbst „authentifizieren“) und dann die Übertragung einiger oder aller Ihrer USCDI-Daten an Ihre Anwendung genehmigen („autorisieren“). Aber Sie müssen auch sicherstellen, dass die Richtlinien und Datenpraktiken von Drittanbietern Ihren Erwartungen entsprechen. Wenn diese Daten Ihrem Gesundheitsdienstleister nicht mehr zur Verfügung stehen, unterliegen sie außerdem nicht den Vorschriften des Health Insurance Portability and Accountability Act (HIPAA).

Was ist beim Sperren von Informationen erlaubt?

Die letzte Regel erlaubt und ermutigt IB-Mitglieder, Ihnen Informationen zur Verfügung zu stellen, die Ihnen bei der Auswahl, Verwendung und Vertrauenswürdigkeit von Anwendungen helfen. Während IB-Mitglieder bestimmte Praktiken anwenden können, um Sie über die Datenschutz- und Sicherheitsrisiken von Anwendungen Dritter zu informieren, hindern sie Sie möglicherweise nicht daran, Ihre eigenen Entscheidungen zu treffen, einschließlich der Weitergabe Ihrer Daten an eine bestimmte Anwendung.

Solange IB-Einheiten Ihnen wahrheitsgemäße, objektive, unparteiische, faire und nicht diskriminierende Informationen zur Verfügung stellen, werden sie Sie wahrscheinlich nicht daran „hindern“, über Patientenportale, Anwendungen oder andere Mittel auf Ihre Gesundheitsdaten zuzugreifen. (und daher wahrscheinlich nicht als Aktivität angesehen werden, die als blockierende Informationen angesehen werden kann).

Beispielsweise ist es einer IB-Einheit gestattet, einen Prozess einzurichten, bei dem sie zuerst Entwickler von Drittanwendungen (bevor ein Patient ihre Anwendungen verwendet) auffordert, mit „Ja“ oder „Nein“ zu bestätigen, ob sie eine Datenschutzrichtlinie haben und wenn ja, ob eine solche vorhanden ist Richtlinien stehen im Einklang mit bestimmten „Best Practices“ des Marktes. Sobald die IB-Einheit diese Präqualifikation aufgezeichnet hat, kann sie Ihnen eine Warnung anzeigen, die Ihnen mitteilt, wie der Anwendungsentwickler reagiert hat, um Sie über Ihre Entscheidung zum Fortfahren zu informieren. Eine solche Warnung kann beispielsweise verwendet werden, um Sie darüber zu informieren, dass die Anwendung, mit der Sie Ihre Daten teilen möchten, keine Datenschutzrichtlinie hat. Solche gut konzipierten Bildungsaktivitäten können Menschen helfen, innezuhalten und es sich zweimal zu überlegen, bevor sie ihre Daten mit einer App teilen. Die Präambel der endgültigen Regel beschreibt diese Methoden zusammen mit diesem Merkblatt.

Reden wir über Technik

Als Reaktion auf das Arzneimittelgesetz haben wir ein neues sicheres, standardbasiertes API-Zertifizierungskriterium eingeführt. (OAuth 2 ist ein Sicherheitsstandard, von dem Sie vielleicht noch nie gehört haben, der aber wahrscheinlich bereits viele Male auf Ihrem Smartphone und im Internet verwendet wird.) Darüber hinaus können Gesundheitsdienstleister unter Sicherheitsgesichtspunkten Prüfprotokolle zur Nachverfolgung verwenden eine Reihe unterschiedlicher Parameter, etwa welche Patienten welche Anwendungen genutzt haben und welche Daten zur Übermittlung freigegeben wurden. Das Verfolgen dieser Informationen und das Offenlegen von Informationen über zertifizierte APIs kann Gesundheitsdienstleistern eine Reihe verschiedener Einblicke bieten, die von den bei ihren Patienten am beliebtesten Apps und Daten bis hin zum Aufdecken von Nutzungsmustern und böswilligen Aktivitäten reichen.

In den nächsten zwei Jahren, wenn Entwickler von Gesundheitssoftware zertifizierte APIs entwickeln und implementieren, wird die Gesundheits-IT Ihres Gesundheitsdienstleisters in der Lage sein, eine sichere Verbindung mit den Anwendungen Ihrer Wahl herzustellen, Sie bei diesem Anbieter zu authentifizieren und Ihnen Optionen anzubieten. für die Datenmenge, die Sie für Ihre Bewerbung freigeben möchten. Nach der Bereitstellung ermöglichen zertifizierte APIs einen automatisierten, elektronischen Prozess, der den Patientenkomfort verbessert und den Gesundheitsdienstleistern wenig bis gar keinen zusätzlichen Verwaltungsaufwand verursacht.

Wir müssen unseren Dialog über das Recycling fortsetzen

Obwohl die neueste Regel, die wir am Montag veröffentlicht haben, einen großen Schritt nach vorne darstellt, ist unsere Arbeit noch nicht abgeschlossen. Von Patienten bis zum Kongress und allen dazwischen müssen wir als medizinische Gemeinschaft diskutieren, welche Sicherheitsvorkehrungen für Gesundheitsdaten getroffen werden sollten, wenn sie von Einzelpersonen und Organisationen gespeichert werden – über die von Patienten verwendeten Apps von Drittanbietern hinaus – die nicht dem HIPAA unterliegen Regeln. In der Tat müssen wir diesen Dialog erweitern, um mehr als nur Gesundheitsdaten im herkömmlichen Sinne einzubeziehen. Wir müssen auch die Daten berücksichtigen, die wir im Laufe des Tages über unsere Gesundheit generieren, wie z. B. Suchanfragen, Online-Shopping und Geolokalisierung, da Unternehmen, die uns möglicherweise unbekannt sind, aus diesen Daten viele Rückschlüsse auf unsere Gesundheit ziehen können.

Obwohl die neueste Regel, die wir am Montag veröffentlicht haben, einen großen Schritt nach vorne darstellt, ist unsere Arbeit noch nicht abgeschlossen.

Einige mögliche Schutzmaßnahmen, die diese wachsende Gruppe möglicherweise benötigt, umfassen: breitere Transparenzanforderungen wie öffentliche Datenschutzrichtlinien und Versionen in einfacher Sprache; vorherige Erklärungen darüber, ob und wie die Daten mit anderen geteilt werden können, einschließlich ob sie verkauft werden dürfen; und ausdrückliche Zustimmung zur Verwendung und Wiederverwendung aller oder bestimmter Arten von Daten. Letztendlich müssen solche Verkehrsregeln gut verstanden und konsequent durchgesetzt werden. Im Jahr 2016 haben wir dem Kongress einen Bericht über „Uncovered Entities“ vorgelegt, der bis heute relevant ist, und dem National Committee on Vital and Health Statistics (NCVHS), einem der Bundesberatungsausschüsse des HHS,