Poufność, prywatność i bezpieczeństwo informacji zdrowotnych: Balancing interests

Posted by admin Articles

Written by Valerie S. Prater, MBA, RHIA, Clinical Assistant Professor
Biomedical and Health Information Sciences
University of Illinois at Chicago
December 8, 2014

Trzy ważne i powiązane pojęcia są często używane zamiennie przy omawianiu ochrony informacji zdrowotnych w amerykańskim systemie opieki zdrowotnej: poufność, prywatność i bezpieczeństwo. Jednak każde z tych pojęć ma inne fundamentalne znaczenie i wyjątkową rolę.

Najczęściej „HIPAA” przychodzi na myśl, gdy dyskutuje się o prywatności informacji zdrowotnych; jednak pojęcie poufności pacjenta istnieje od znacznie dłuższego czasu. W niniejszym artykule zostaną pokrótce omówione różnice w znaczeniu prywatności, bezpieczeństwa i poufności informacji zdrowotnych. Zaprezentowane zostaną wybrane przykłady źródeł prawa i wytycznych odnoszących się do tych pojęć. Wyzwania związane z równoważeniem interesów jednostek, podmiotów świadczących opiekę zdrowotną i społeczeństwa zostaną odnotowane, podobnie jak rola specjalistów ds. zarządzania informacjami zdrowotnymi.

Poufność

Poufność w opiece zdrowotnej odnosi się do obowiązku zachowania poufności informacji przez specjalistów, którzy mają dostęp do dokumentacji pacjenta lub komunikacji. Zakorzeniona w poufności relacji pacjent-świadczeniodawca, która może być śledzona od czwartego wieku p.n.e. i Przysięgi Hipokratesa, koncepcja ta jest podstawą wytycznych pracowników medycznych dotyczących poufności (McWay, 2010, s. 174). Ten zawodowy obowiązek zachowania poufności informacji zdrowotnych jest wspierany w kodeksach etycznych stowarzyszeń zawodowych, jak można zauważyć w zasadzie I Kodeksu Etycznego Amerykańskiego Stowarzyszenia Zarządzania Informacją Zdrowotną (American Health Information Management Association): „Wspieraj, podtrzymuj i broń prawa jednostki do prywatności i doktryny poufności w zakresie wykorzystywania i ujawniania informacji” (AHIMA, 2011).

Poufność jest uznawana przez prawo jako uprzywilejowana komunikacja między dwiema stronami w profesjonalnej relacji, takiej jak z pacjentem i lekarzem, pielęgniarką lub innym specjalistą klinicznym (Brodnik, Rinehart-Thompson, Reynolds, 2012). Jako pacjenci zaczęliśmy oczekiwać poufnej komunikacji w tych relacjach. Podczas gdy zastosowanie w postępowaniu sądowym podlega zasadom dowodowym i uwzględnia publiczne zapotrzebowanie na informacje, wsparcie dla uprzywilejowanej komunikacji można dostrzec w orzecznictwie. Przykładem jest przełomowa decyzja Jaffee v. Redmond, w której Sąd Najwyższy USA podtrzymał odmowę ujawnienia przez terapeutę poufnych informacji o kliencie podczas procesu (Beyer, 2000). Pisząc opinię większości, sędzia Stevens powiedział:

Efektywna psychoterapia… zależy od atmosfery pewności i zaufania, w której pacjent jest skłonny do szczerego i pełnego ujawnienia informacji… Przywilej psychoterapeuty służy interesowi publicznemu, ułatwiając zapewnienie odpowiedniego leczenia osobom cierpiącym z powodu skutków problemów psychicznych lub emocjonalnych (Jaffee v. Redmond, 1996, s. 9). Redmond, 1996, str. 9).

Przy rozpatrywaniu wrażliwych informacji zdrowotnych wymagających specjalnych warstw poufności, takich jak w przypadku leczenia zdrowia psychicznego, statuty stanowe dostarczają wskazówek dla specjalistów zarządzania informacjami zdrowotnymi. W stanie Illinois, na przykład, ustawa o poufności informacji o zdrowiu psychicznym i niepełnosprawności rozwojowej oferuje szczegółowe wymagania dotyczące dostępu, wykorzystania i ujawniania poufnych informacji o pacjencie, w tym na potrzeby postępowania sądowego (MHDDCA, 1997).

Prywatność

Prywatność, w odróżnieniu od poufności, jest postrzegana jako prawo indywidualnego klienta lub pacjenta do bycia pozostawionym w spokoju i podejmowania decyzji o sposobie udostępniania informacji osobistych (Brodnik, 2012). Mimo że Konstytucja Stanów Zjednoczonych nie określa „prawa do prywatności”, prawa do prywatności w odniesieniu do indywidualnych decyzji dotyczących opieki zdrowotnej i informacji zdrowotnych zostały nakreślone w decyzjach sądowych, w ustawach federalnych i stanowych, wytycznych organizacji akredytujących i zawodowych kodeksach etycznych.

Najważniejszym przykładem jest federalna HIPAA Privacy Rule, ustanawiająca krajowe standardy ochrony prywatności informacji zdrowotnych i definiująca „chronione informacje zdrowotne” (HHSa, 2003, s. 1). Zadeklarowanym celem Reguły Prywatności HIPAA „…jest określenie i ograniczenie okoliczności, w których chronione informacje zdrowotne osoby fizycznej mogą być wykorzystywane lub ujawniane…”(HHSa, 2003, str. 4).

Utworzona zgodnie z szerszą ustawą o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne z 1996 r. (HIPAA), jak opisano przez U. S. Department of Health and Human Services.S. Department of Health and Human Services (HHS), Zasada Prywatności, „…zachowuje równowagę, która pozwala na ważne wykorzystanie informacji, chroniąc jednocześnie prywatność ludzi, którzy szukają opieki i leczenia” (HHSa, 2003, str. 1). Osobom fizycznym zapewnia się pewne elementy kontroli, takie jak prawo do dostępu do własnych informacji zdrowotnych w większości przypadków oraz prawo do żądania zmiany niedokładnych informacji zdrowotnych (HHSa, 2003, str. 12-13). Jednakże, w tej próbie znalezienia równowagi, Reguła przewiduje liczne wyjątki od używania i ujawniania chronionych informacji zdrowotnych bez autoryzacji pacjenta, w tym do leczenia, płatności, działań organizacji zdrowotnych i dla niektórych działań w zakresie zdrowia publicznego (HHSa, 2003, str. 4-7).

Choć nadal trwa debata, czy Reguła Prywatności HIPAA znacznie wzmocniła indywidualne prawa prywatności, to z pewnością zwiększyła świadomość tematu prywatności informacji zdrowotnych, kwestii związanych z ich ochroną i roli pacjenta w tym procesie. Nie ma wątpliwości, że odpowiedzialność za zgodność z Regułą Prywatności HIPAA wpłynęła na role specjalistów ds. zarządzania informacją zdrowotną. Daniel Solove, zastanawiając się nad dziesiątą rocznicą Reguły Prywatności i jej nowszymi zmianami zgodnie z Ustawą o Technologii Informacyjnej dla Zdrowia Ekonomicznego i Klinicznego (HITECH), zauważył, że:

HIPAA ewoluowała w ciągu ostatniej dekady i została znacznie wzmocniona przez Ustawę HITECH z 2009 roku i jej regulacje dotyczące modyfikacji HIPAA wydane w styczniu 2013 roku. Cokolwiek można sądzić o HIPAA, trudno zaprzeczyć, że miało to ogromny wpływ na pacjentów, branżę opieki zdrowotnej i wiele innych w ciągu ostatnich 10 lat – i będzie nadal kształtować opiekę zdrowotną i specjalistów HIM przez wiele kolejnych lat. (Solove, 2013)

Nawet zanim rozmowa na temat prywatności w opiece zdrowotnej została zdominowana przez HIPAA, ważna decyzja Sądu Najwyższego, Whalen v. Roe, uznała prawo do prywatności informacji zdrowotnych (1977). Sprawa ta dotyczyła ustawy stanowej wymagającej, aby lekarze zgłaszali do wprowadzenia do komputerowej bazy danych Departamentu Zdrowia Nowego Jorku informacje na temat przepisywania pewnych rodzajów leków, które mogą być nadużywane lub przepisywane w nadmiernych ilościach; informacje te obejmowały nazwisko pacjenta, lekarza i nazwę apteki oraz dawkę leku (McWay, 2010, s. 176). Grupa pacjentów i dwa stowarzyszenia lekarzy złożyły pozew, twierdząc, że narusza to chronioną relację lekarz-pacjent (Whalen v. Roe, 1977). W utrzymaniu tego prawa, Sąd uznał indywidualny interes w ochronie prywatności, dając jednocześnie większą wagę do prawa państwa do zajęcia się kwestią niepokoju publicznego; procedury w miejscu w Departamencie Zdrowia do ochrony prywatności informacji były również odnotowane jako czynnik w decyzji (Whalen v. Roe, 1977).

The Supreme Court’s holding w Whalen v. Roe adresowane pojęcie zrównoważonego interesu widzianego w późniejszym HIPAA Privacy Rule. Mówiąc „…ujawnienia prywatnych informacji medycznych do lekarzy, do personelu szpitalnego, do firm ubezpieczeniowych i do publicznych agencji zdrowia są często istotną częścią nowoczesnej praktyki medycznej”, sąd nie dał jednostkom absolutnej kontroli nad dzieleniem się własnymi informacjami zdrowotnymi (Whalen v. Roe, 1977). Co ciekawe, w decyzji w sprawie Whalen odnotowano również rosnące obawy dotyczące gromadzenia prywatnych informacji w formacie elektronicznym oraz roli wytycznych regulacyjnych. Jak stwierdzili sędziowie:

Nie jesteśmy nieświadomi zagrożenia dla prywatności wynikającego z gromadzenia ogromnych ilości informacji osobistych w skomputeryzowanych bankach danych…. Prawu do gromadzenia i wykorzystywania takich danych dla celów publicznych towarzyszy zazwyczaj równoczesny ustawowy lub wykonawczy obowiązek unikania nieuzasadnionych ujawnień (Whalen v. Roe, 1977). Roe, 1977).

Bezpieczeństwo

Bezpieczeństwo odnosi się bezpośrednio do ochrony, a w szczególności do środków używanych do ochrony prywatności informacji zdrowotnych i wspierania specjalistów w utrzymywaniu tych informacji w tajemnicy. Koncepcja bezpieczeństwa jest od dawna stosowana do dokumentacji zdrowotnej w formie papierowej; zamykane szafki na akta są prostym przykładem. Wraz ze wzrostem wykorzystania systemów elektronicznej dokumentacji medycznej i normą stało się przesyłanie danych zdrowotnych w celu wsparcia rozliczeń, potrzeba wytycznych regulacyjnych specyficznych dla elektronicznej informacji zdrowotnej stała się bardziej oczywista. Norma bezpieczeństwa HIPAA (HIPAA Security Rule) dostarczyła pierwszych krajowych standardów ochrony informacji zdrowotnych. W odniesieniu do zabezpieczeń technicznych i administracyjnych, celem HIPAA Security Rule jest ochrona indywidualnie identyfikowanych informacji w formie elektronicznej – podzbiór informacji objętych Privacy Rule – przy jednoczesnym umożliwieniu dostawcom usług medycznych odpowiedniego dostępu do informacji i elastyczności w stosowaniu technologii (HHS, 2003b). Ponownie, że pojęcie równowagi pojawia się w prawie: niezbędny dostęp przez dostawców opieki zdrowotnej vs. ochrona informacji zdrowotnych osób fizycznych.

Braki poufności teraz twarz bardziej poważne kary biorąc pod uwagę modyfikacje zarówno HIPAA prywatności i zasad bezpieczeństwa po opublikowaniu ostatecznej reguły przepisów ustawy HITECH. Ogłaszając publikację tych zmian, znanych wspólnie jako Omnibus Rule, ówczesna Sekretarz HHS Kathleen Sebelius uznała zmiany wpływające na opiekę zdrowotną od czasu początkowego uchwalenia HIPAA: „Nowa reguła pomoże chronić prywatność pacjentów i zabezpieczyć informacje zdrowotne pacjentów w coraz bardziej rozwijającej się erze cyfrowej” (HHS, 2013).

Wniosek

Zapisane tu źródła prawa i wytyczne to tylko próbki wielu rozważań dotyczących poufności, prywatności i bezpieczeństwa informacji zdrowotnych. Zarządzanie elektronicznymi informacjami zdrowotnymi stanowi wyjątkowe wyzwanie dla zgodności z przepisami, dla rozważań etycznych i ostatecznie dla jakości opieki. W miarę jak system elektronicznych kart zdrowia „meaningful use” rozszerza się, a więcej danych jest zbieranych, np. z mobilnych urządzeń zdrowotnych, to wyzwanie dla organizacji opieki zdrowotnej rozszerza się.

Odpowiedzią na to wyzwanie jest zarządzanie informacjami, opisane jako strategiczne zarządzanie informacjami w całym przedsiębiorstwie, w tym polityki i procedury związane z poufnością, prywatnością i bezpieczeństwem informacji zdrowotnych; obejmuje to rolę zarządzania (Washington, 2010). Osoby zarządzające informacjami zdrowotnymi mają wyjątkowe kwalifikacje, aby pełnić rolę strażników informacji zdrowotnych, doceniając różne interesy związane z tymi informacjami oraz znając prawa i wytyczne dotyczące poufności, prywatności i bezpieczeństwa. Rola zarządcy obejmuje nie tylko zapewnienie dokładności i kompletności danych, ale także ochronę ich prywatności i bezpieczeństwa (Washington, 2010).

Wszyscy, którzy pracują z informacjami zdrowotnymi – informatycy medyczni i specjaliści ds. zarządzania informacjami zdrowotnymi, klinicyści, badacze, administratorzy biznesowi i inni – mają obowiązek szanować te informacje. Jako pacjenci, mamy prawo do prywatności w odniesieniu do naszych własnych informacji zdrowotnych i oczekujemy, że nasze informacje będą traktowane jako poufne i chronione. Jako obywatele, nasz interes publiczny w zakresie informacji zdrowotnych może przeważać, np. w sytuacjach związanych ze zdrowiem publicznym lub przestępczością. Zrównoważenie różnych interesów związanych z informacjami zdrowotnymi oraz utrzymanie ich poufności, prywatności i bezpieczeństwa stanowi ciągłe i ważne wyzwanie w ramach amerykańskiej opieki zdrowotnej i systemów prawnych, a także stwarza możliwości rozwoju zawodowego dla specjalistów ds. zarządzania informacjami zdrowotnymi.

AHIMA. (2011). American Health Information Management Association Code of Ethics.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000). „First Person: Jaffee v. Redmond Therapist Speaks.” American Psychoanalyst,
Volume 34, no. 3. Retrieved from http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson and R. Reynolds (2012). Fundamentals of Law for Health Informatics
and Information Management Professionals. Chicago: AHIMA Press. Rozdział 1.

Jaffee v. Redmond. 518 U.S. 1; 116 S. Ct. 1923; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Mental Health and Developmental Disabilities Confidentiality Act (MHDDCA) (740 ILCS 110). Obowiązuje
od 1 lipca 1997 roku. Zgromadzenie Ogólne Illinois. Retrieved from
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Developmental+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Legal and Ethical Aspects of Health Information, Third Edition. New York: Cengage Learning. Rozdział 9.

Solove, D. (2013).HIPAA Turns 10. Analyzing the Past, Present and Future Impact. Journal of AHIMA 84, no.4 (April 2013): 22-28.

Amerykańskie Stowarzyszenie Psychoanalityczne. (2014). Landmark Cases. Retrieved from
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

U.S. Department of Health and Human Services (HHSa), Office for Civil Rights. (2003). Streszczenie przepisów HIPAA dotyczących prywatności. Retrieved from http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

U.S. Department of Health and Human Services (HHSb), Office for Civil Rights. (2003). Podsumowanie zasad bezpieczeństwa HIPAA. Retrieved from http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

U.S. Department of Health and Human Services (HHS), Office for Civil Rights. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010). „From Custodian to Steward: Evolving Roles in the E-HIM Transition.”
Journal of AHIMA. (Volume 81, no.5: 42-43).

Whalen v. Roe. 429 U.S. 589; 97 S. Ct. 869; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.