Vertrouwelijkheid, privacy en beveiliging van gezondheidsinformatie: Balancing interests

Posted by admin Articles

Geschreven door Valerie S. Prater, MBA, RHIA, Clinical Assistant Professor
Biomedical and Health Information Sciences
University of Illinois at Chicago
December 8, 2014

Drie belangrijke en verwante concepten worden vaak door elkaar gebruikt bij het bespreken van de bescherming van gezondheidsinformatie binnen het Amerikaanse gezondheidszorgsysteem: vertrouwelijkheid, privacy en beveiliging. Toch heeft elk van deze concepten een andere fundamentele betekenis en een unieke rol.

Het vaakst komt “HIPAA” in gedachten wanneer de privacy van gezondheidsinformatie wordt besproken; het concept van patiëntvertrouwelijkheid bestaat echter al veel langer. In dit artikel zal kort worden ingegaan op de verschillen in betekenis van privacy, beveiliging en vertrouwelijkheid van gezondheidsinformatie. Met betrekking tot deze begrippen zullen enkele voorbeelden van rechtsbronnen en richtsnoeren worden gegeven. Er zal worden gewezen op de uitdagingen bij het vinden van een evenwicht tussen de belangen van individuen, zorgverleners en het publiek, en op de rol van professionals in het beheer van gezondheidsinformatie.

Vertrouwelijkheid

Vertrouwelijkheid in de gezondheidszorg verwijst naar de verplichting van professionals die toegang hebben tot patiëntendossiers of communicatie om die informatie vertrouwelijk te behandelen. Geworteld in de vertrouwelijkheid van de patiënt-zorgverlener relatie die kan worden herleid tot de vierde eeuw voor Christus en de Eed van Hippocrates, is dit concept fundamenteel voor de richtlijnen van medische professionals voor vertrouwelijkheid (McWay, 2010, p. 174). Deze professionele verplichting om gezondheidsinformatie vertrouwelijk te houden wordt ondersteund in de ethische codes van beroepsverenigingen, zoals te zien is in principe I van de American Health Information Management Association Code of Ethics, “Advocate, uphold, and defend the individual’s right to privacy and the doctrine of confidentiality in the use and disclosure of information” (AHIMA, 2011).

Geheimhouding wordt door de wet erkend als bevoorrechte communicatie tussen twee partijen in een professionele relatie, zoals met een patiënt en een arts, een verpleegkundige of een andere klinische professional (Brodnik, Rinehart-Thompson, Reynolds, 2012). Als patiënt zijn we gewend geraakt aan vertrouwelijke communicatie in deze relaties. Hoewel de toepassing in gerechtelijke procedures onderworpen is aan bewijsregels en de publieke behoefte aan informatie in overweging moet worden genomen, kan steun voor bevoorrechte communicatie worden gezien in de rechtspraak. Een voorbeeld is de historische Jaffee v. Redmond beslissing waarin het Hooggerechtshof van de Verenigde Staten de weigering van een therapeut om gevoelige informatie over zijn cliënt vrij te geven tijdens het proces, bevestigde (Beyer, 2000). Bij het schrijven van het meerderheidsstandpunt zei rechter Stevens:

Effectieve psychotherapie… is afhankelijk van een sfeer van vertrouwen waarin de patiënt bereid is om openhartig en volledig openheid van zaken te geven…Het psychotherapeutisch voorrecht dient het algemeen belang door het vergemakkelijken van een passende behandeling voor mensen die lijden aan de gevolgen van een geestelijk of emotioneel probleem (Jaffee v. Redmond, 1996, p. 9). Redmond, 1996, p. 9).

Wanneer het gaat om gevoelige gezondheidsinformatie die speciale lagen van vertrouwelijkheid vereist, zoals bij behandelingen in de geestelijke gezondheidszorg, bieden statuten richtlijnen voor professionals in het beheer van gezondheidsinformatie. In Illinois biedt de vertrouwelijkheidswet inzake geestelijke gezondheid en ontwikkelingsstoornissen bijvoorbeeld gedetailleerde vereisten voor toegang, gebruik en openbaarmaking van vertrouwelijke patiëntinformatie, ook voor juridische procedures (MHDDCA, 1997).

Privacy

Privacy, te onderscheiden van vertrouwelijkheid, wordt gezien als het recht van de individuele cliënt of patiënt om met rust te worden gelaten en om beslissingen te nemen over hoe persoonlijke informatie wordt gedeeld (Brodnik, 2012). Hoewel de Amerikaanse grondwet geen “recht op privacy” specificeert, zijn privacyrechten met betrekking tot individuele beslissingen in de gezondheidszorg en gezondheidsinformatie uiteengezet in rechterlijke uitspraken, in federale en staatswetten, richtlijnen van accrediterende organisaties en professionele ethische codes.

Het meest in het oog springende voorbeeld is de federale HIPAA-privacyregel, die nationale normen vaststelt voor de bescherming van de privacy van gezondheidsinformatie en een definitie geeft van “beschermde gezondheidsinformatie” (HHSa, 2003, p. 1). Een verklaard doel van de HIPAA-privacyregel “…is het definiëren en beperken van de omstandigheden waarin de beschermde gezondheidsinformatie van een individu mag worden gebruikt of openbaar gemaakt…”(HHSa, 2003, p. 4).

Opgesteld op grond van de bredere Health Insurance Portability and Accountability Act van 1996 (HIPAA), zoals beschreven door het U.S. Department of Health and Human Services (HHS), de Privacy Rule, “…zorgt voor een evenwicht dat belangrijk gebruik van informatie mogelijk maakt, terwijl de privacy wordt beschermd van mensen die zorg en genezing zoeken” (HHSa, 2003, p. 1). Individuen krijgen een aantal elementen van controle, zoals het recht op toegang tot hun eigen gezondheidsinformatie in de meeste gevallen en het recht om een wijziging van onjuiste gezondheidsinformatie te vragen (HHSa, 2003, pp. 12-13). In een poging om een evenwicht te vinden, voorziet de regel echter in talrijke uitzonderingen op het gebruik en de openbaarmaking van beschermde gezondheidsinformatie zonder toestemming van de patiënt, onder meer voor behandeling, betaling, activiteiten van de gezondheidsorganisatie en voor bepaalde activiteiten op het gebied van de volksgezondheid (HHSa, 2003, blz. 4-7).

Hoewel er discussie blijft bestaan over de vraag of de HIPAA-privacyregel de individuele privacyrechten aanzienlijk heeft versterkt, heeft deze zeker geleid tot een groter bewustzijn van het onderwerp privacy van gezondheidsinformatie, van kwesties rond de bescherming ervan en van de rol van de patiënt in het proces. Het lijdt geen twijfel dat de verantwoordelijkheid voor de naleving van de HIPAA-privacyregel van invloed is geweest op de rol van professionals in het beheer van gezondheidsinformatie. In een beschouwing over de tiende verjaardag van de Privacyregel en de meer recente wijzigingen ervan ingevolge de HITECH-wet (Health Information Technology for Economic and Clinical Health), merkte Daniel Solove het volgende op:

HIPAA is de afgelopen tien jaar geëvolueerd en werd aanzienlijk versterkt door de HITECH-wet van 2009 en de HIPAA-wijzigingsvoorschriften die in januari 2013 werden vrijgegeven. Wat men ook van de HIPAA vindt, het valt moeilijk te betwisten dat deze de afgelopen tien jaar een enorme impact heeft gehad op patiënten, de gezondheidszorg en vele anderen, en dat de HIPAA de gezondheidszorg en HIM-professionals nog vele jaren vorm zal blijven geven. (Solove, 2013)

Ook voordat het gesprek over privacy in de gezondheidszorg werd beheerst door de HIPAA, werd in een belangrijke uitspraak van het Hooggerechtshof, Whalen v. Roe, het recht op privacy van gezondheidsinformatie erkend (1977). In deze zaak ging het om een wet van de staat die eiste dat artsen informatie over het voorschrijven van bepaalde soorten geneesmiddelen die waarschijnlijk zouden worden misbruikt of te veel zouden worden voorgeschreven, zouden rapporteren aan een geautomatiseerd gegevensbestand van het New York Department of Health; de informatie omvatte de naam van de patiënt, de arts en de apotheek, en de dosering van het geneesmiddel (McWay, 2010, p. 176). Een groep patiënten en twee artsenverenigingen spanden een rechtszaak aan, omdat dit volgens hen in strijd was met de beschermde arts-patiënt relatie (Whalen v. Roe, 1977). Bij het handhaven van deze wet erkende het Hof het belang van het individu bij de bescherming van de privacy, terwijl het meer gewicht gaf aan het recht van de staat om een kwestie van openbaar belang aan te pakken; de procedures van het ministerie van Volksgezondheid om de privacy van informatie te beschermen werden ook genoemd als een factor in de beslissing (Whalen v. Roe, 1977).

De uitspraak van het Hooggerechtshof in Whalen v. Roe ging in op de notie van evenwichtige belangen die in de latere HIPAA-privacyregel te zien is. Door te zeggen dat “…de openbaarmaking van medische privé-informatie aan artsen, ziekenhuispersoneel, verzekeringsmaatschappijen en volksgezondheidsinstanties vaak een essentieel onderdeel is van de moderne medische praktijk”, gaf het hof individuen geen absolute controle over het delen van hun eigen gezondheidsinformatie (Whalen v. Roe, 1977). Interessant is dat het Whalen-besluit ook melding maakt van een groeiende bezorgdheid over het verzamelen van privé-informatie in elektronische vorm en de rol van regelgevende richtlijnen. Zoals de rechters verklaarden:

We zijn ons niet onbewust van de bedreiging van de privacy die uitgaat van de accumulatie van enorme hoeveelheden persoonlijke informatie in geautomatiseerde gegevensbanken….Het recht om dergelijke gegevens te verzamelen en te gebruiken voor openbare doeleinden gaat gewoonlijk gepaard met een bijkomende wettelijke of regelgevende plicht om ongerechtvaardigde openbaarmakingen te vermijden (Whalen v. Roe, 1977).

Veiligheid

Veiligheid verwijst rechtstreeks naar bescherming, en in het bijzonder naar de middelen die worden gebruikt om de privacy van gezondheidsinformatie te beschermen en gezondheidswerkers te ondersteunen bij het vertrouwelijk houden van die informatie. Het concept van veiligheid is lang van toepassing geweest op papieren medische dossiers; afgesloten archiefkasten zijn een eenvoudig voorbeeld. Naarmate het gebruik van systemen voor elektronische medische dossiers toenam en de overdracht van gezondheidsgegevens ter ondersteuning van de facturering de norm werd, werd het steeds duidelijker dat er behoefte bestond aan regelgevingsrichtsnoeren die specifiek van toepassing waren op elektronische gezondheidsinformatie. De HIPAA Security Rule voorzag in de eerste nationale normen voor de bescherming van gezondheidsinformatie. Het doel van de HIPAA Security Rule, die technische en administratieve beveiligingsmaatregelen omvat, is het beschermen van individueel identificeerbare informatie in elektronische vorm – een subgroep van informatie die onder de Privacy Rule valt – en tegelijkertijd zorgverleners een goede toegang tot informatie te geven en flexibiliteit bij het gebruik van technologie (HHS, 2003b). Ook hier is dat evenwichtsbegrip in de wet terug te vinden: noodzakelijke toegang voor zorgverleners versus bescherming van de gezondheidsinformatie van individuen.

Inbreuken op de vertrouwelijkheid worden nu zwaarder bestraft, gezien de wijzigingen in zowel de HIPAA-privacy- als de beveiligingsregels na publicatie van de definitieve regelbepalingen van de HITECH Act. Bij de aankondiging van de publicatie van deze wijzigingen, gezamenlijk bekend als de Omnibus Rule, erkende toenmalig HHS-secretaris Kathleen Sebelius de veranderingen die van invloed waren op de gezondheidszorg sinds de aanvankelijke inwerkingtreding van HIPAA: “De nieuwe regel zal helpen de privacy van patiënten te beschermen en de gezondheidsinformatie van patiënten veilig te stellen in een zich steeds uitbreidend digitaal tijdperk” (HHS, 2013).

Conclusie

De hier genoemde rechtsbronnen en richtlijnen zijn slechts voorbeelden van de vele overwegingen bij de vertrouwelijkheid, privacy en beveiliging van gezondheidsinformatie. Het beheer van elektronische gezondheidsinformatie vormt een unieke uitdaging voor de naleving van de regelgeving, voor ethische overwegingen en uiteindelijk voor de kwaliteit van de zorg. Naarmate het “zinvol gebruik” van systemen voor elektronische medische dossiers toeneemt en er meer gegevens worden verzameld, zoals van mobiele gezondheidsapparaten, wordt die uitdaging voor organisaties in de gezondheidszorg groter.

Een antwoord op de uitdaging is informatiegovernance, beschreven als het strategisch beheer van bedrijfsbrede informatie, inclusief beleid en procedures met betrekking tot de vertrouwelijkheid, privacy en beveiliging van gezondheidsinformatie; dit omvat de rol van rentmeesterschap (Washington, 2010). Gezondheidsinformatiemanagers zijn bij uitstek gekwalificeerd om te fungeren als rentmeesters van gezondheidsinformatie, met een waardering van de verschillende belangen bij die informatie, en kennis van de wetten en richtlijnen met betrekking tot vertrouwelijkheid, privacy en beveiliging. De rol van de rentmeester omvat niet alleen het waarborgen van de nauwkeurigheid en volledigheid van het dossier, maar ook het beschermen van de privacy en beveiliging ervan (Washington, 2010).

Alle personen die werken met gezondheidsinformatie – professionals in gezondheidsinformatica en gezondheidsinformatiebeheer, clinici, onderzoekers, bedrijfsbeheerders en anderen – hebben de verantwoordelijkheid om die informatie te respecteren. En als patiënten hebben we het recht op privacy met betrekking tot onze eigen gezondheidsinformatie en verwachten we dat onze informatie vertrouwelijk wordt behandeld en beschermd. Als burgers kan ons openbaar belang bij gezondheidsinformatie de overhand hebben, bijvoorbeeld in situaties waarbij de volksgezondheid of criminaliteit in het geding is. Het afwegen van de verschillende belangen in gezondheidsinformatie en het handhaven van de vertrouwelijkheid, privacy en beveiliging ervan vormen voortdurende en belangrijke uitdagingen binnen de Amerikaanse gezondheidszorg en rechtsstelsels, en carrièremogelijkheden voor professionals op het gebied van gezondheidsinformatiebeheer.

AHIMA. (2011). Ethische code van de American Health Information Management Association.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000). “Eerste persoon: Jaffee v. Redmond Therapist Speaks.” American Psychoanalyst,
Volume 34, no. 3. Opgehaald van http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson en R. Reynolds (2012). Fundamentals of Law for Health Informatics
and Information Management Professionals. Chicago: AHIMA Press. Hoofdstuk 1.

Jaffee v. Redmond. 518 U.S. 1; 116 S. Ct. 1923; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Opgehaald van
http://www.lexisnexis.com/hottopics/lnacademic.

Mental Health and Developmental Disabilities Confidentiality Act (MHDDCA) (740 ILCS 110). Van kracht
1 juli 1997. Illinois Algemene Vergadering. Opgehaald van
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Developmental+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Juridische en ethische aspecten van gezondheidsinformatie, derde editie. New York: Cengage Learning. Hoofdstuk 9.

Solove, D. (2013).HIPAA Turns 10. Analyzing the Past, Present and Future Impact. Journal of AHIMA 84, no.4 (April 2013): 22-28.

The American Psychoanalytic Association. (2014). Landmark Cases. Retrieved from
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

U.S. Department of Health and Human Services (HHSa), Office for Civil Rights. (2003). Samenvatting van de HIPAA-privacyregel. Opgehaald van http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

U.S. Department of Health and Human Services (HHSb), Office for Civil Rights. (2003). Samenvatting van de HIPAA-beveiligingsregel. Opgehaald van http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

U.S. Department of Health and Human Services (HHS), Office for Civil Rights. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010). “Van bewaarder tot beheerder: Evolving Roles in the E-HIM Transition.”
Journal of AHIMA. (Volume 81, no.5: 42-43).

Whalen v. Roe. 429 U.S. 589; 97 S. Ct. 869; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.