Voorgestelde wijzigingen aan HIPAA breiden individuele toegangsrechten uit en stimuleren verdere uitwisseling van PHI voor zorgcoördinatie

Op 10 december 2020 heeft het Department of Health and Human Services, Office for Civil Rights (OCR) een Notice of Proposed Rulemaking(NPRM) gepubliceerd om de HIPAA Privacy Rule te herzien. De voorgestelde herzieningen van de Privacy Rule zijn bedoeld om bepalingen te wijzigen die belemmeringen vormen voor gecoördineerde zorg "zonder voldoende compensatie of compensatie voor dergelijke lasten door middel van privacybescherming". OCR heeft de voorstellen ontwikkeld na bestudering van de publieke reacties op het verzoek om informatie van december 2018 over het wijzigen van HIPAA-regels om gecoördineerde zorg te verbeteren. De voorstellen zouden de rechten van individuen op toegang tot beschermde gezondheidsinformatie (PHI) aanzienlijk uitbreiden, extra uitwisseling voor zorgcoördinatie of om individuen met verslavingsproblemen in bepaalde gevallen te helpen aanmoedigen, de vereisten van de Notice of Privacy Practice (NPP) herzien en openbaarmaking aan Telecommunications Relay Services (TRS) toestaan.

Hieronder hebben we de belangrijkste voorgestelde wijzigingen in de privacyregel samengevat. Houd er echter rekening mee dat, ongeacht of deze voorgestelde wijzigingen uiteindelijk worden doorgevoerd, ook andere toepasselijke wetgeving, zoals medische privacywetgeving van de staat en 42 C.F.R. Part 2, in aanmerking moet worden genomen.

Uitbreidingen van het recht op toegang

Als het NPRM in wetgeving wordt omgezet, zou dit de toegangsrechten van individuen onder HIPAA aanzienlijk uitbreiden:

Termijn voor het reageren. Betrokken entiteiten moeten zo snel mogelijk op verzoeken om toegang reageren, maar in geen geval later dan 15 kalenderdagen na ontvangst van het verzoek (in plaats van de huidige 30 kalenderdagen).
Vorm en formaat op verzoek. De privacyregel vereist momenteel dat betrokken entiteiten PHI verstrekken in de vorm en het formaat dat door de betrokkene wordt gevraagd, indien dit in die vorm en dat formaat "gemakkelijk te produceren" is. De voorgestelde wijzigingen zouden verduidelijken dat "gemakkelijk te produceren" ook veilige, op standaarden gebaseerde API's omvat die gebruikmaken van door de betrokkenen gekozen applicaties, zoals een "persoonlijke gezondheidsapplicatie". Individuen zouden ook het recht hebben om aantekeningen te maken, video's en foto's te maken of andere persoonlijke middelen te gebruiken om PHI persoonlijk te bekijken of vast te leggen.
Kosten. Personen die hun eigen PHI inzien of kopieën daarvan verkrijgen, hebben recht op kosteloze toegang wanneer zij deze informatie persoonlijk inzien of via internet raadplegen. OCR blijft bepaalde kosten voor arbeid, benodigdheden en verzending toestaan, evenals beperkte kosten voor het doorsturen van een elektronische kopie van PHI naar een derde partij. Betrokken entiteiten zouden verplicht zijn om vooraf op hun websites (indien zij die hebben) een overzicht van de geschatte kosten te publiceren voor veelvoorkomende soorten verzoeken om kopieën van PHI en, op verzoek, individuele schattingen van de kosten voor kopieën en een gespecificeerde lijst van de werkelijke kosten voor verzoeken om kopieën te verstrekken.
Recht om kopieën naar een derde partij te sturen. Het huidige recht van een persoon om een kopie van PHI naar een derde partij te sturen, zou volgens het NPRM beperkt worden tot een elektronische kopie, om een eerdere rechterlijke uitspraak over deze kwestie te codificeren. Dit verzoek hoeft niet langer schriftelijk te worden ingediend, zolang het maar "duidelijk, opvallend en specifiek" is. Bovendien zou het voorstel vereisen dat een betrokken entiteit elektronische PHI in een elektronisch gezondheidsdossier doorgeeft aan een andere betrokken entiteit als onderdeel van het toegangsrecht van de persoon.
Verificatie. OCR stelde ook voor om een betrokken entiteit te verbieden om "onredelijke" identiteitsverificatiemaatregelen op te leggen aan een persoon. Onredelijke maatregelen zijn onder meer het notarieel bekrachtigen van verzoeken, het vereisen dat de persoon persoonlijk een identiteitsbewijs overlegt wanneer verificatie op afstand mogelijk is, of het vereisen dat een volledig HIPAA-autorisatieformulier wordt ingevuld voor een toegangsverzoek.

Bevordering van zorgcoördinatie en casemanagementactiviteiten

De NPRM richt zich op het verder stimuleren van de betrokkenheid van betrokken entiteiten, of het nu gaat om zorgverleners of zorgverzekeraars, bij zorgcoördinatie en casemanagement op individueel niveau. OCR stelt voor om de belemmeringen die de huidige privacyregel opwerpt voor die zorgcoördinatie en casemanagement weg te nemen door:

Wijziging van de definitie van gezondheidszorgactiviteiten.In de huidige versie van de Privacy Rule interpreteren sommige betrokken entiteiten "gezondheidszorgactiviteiten" zodanig dat deze alleen betrekking hebben op zorgcoördinatie en casemanagement op basis van de bevolking, in tegenstelling tot individuele activiteiten die zijn toegestaan in het kader van "behandelingsactiviteiten". Door de definitie van 'gezondheidszorgactiviteiten' te wijzigen en ook zorgcoördinatie en casemanagement op individueel niveau op te nemen, zou OCR verduidelijken dat entiteiten die niet betrokken zijn bij behandelingsactiviteiten, zoals zorgverzekeraars, wel betrokken kunnen zijn bij zorgcoördinatie of casemanagement op individueel niveau.
Een uitzondering maken op de minimumnorm voor openbaarmakingen.Momenteel stelt de privacyregel dat entiteiten die betrokken zijn bij de behandeling van een persoon, niet hoeven te voldoen aan de minimale informatievereisten voor openbaarmakingen met het oog op zorgcoördinatie en casemanagement. Entiteiten die niet betrokken zijn bij de behandeling van een persoon, moeten echter wel voldoen aan de minimale vereisten voor dezelfde openbaarmakingen. De NPRM streeft ernaar alle betrokken entiteiten die zich bezighouden met individuele zorgcoördinatie en casemanagement op dezelfde manier te behandelen, ongeacht of zij deze activiteiten uitvoeren in het kader van de functies "behandeling" of "gezondheidszorg" zoals gedefinieerd door HIPAA.
Toestemming voor het vrijgeven van PHI aan bepaalde derde partijen. De voorgestelde wijzigingen staan betrokken entiteiten toe om PHI openbaar te maken aan bepaalde derde partijen, waaronder maatschappelijke organisaties, aanbieders van thuis- en gemeenschapsgebaseerde diensten (HCBS), sociale dienstverleners en andere soortgelijke derde partijen die gezondheidsgerelateerde diensten verlenen voor zorgcoördinatie en casemanagement op individueel niveau, zonder daarvoor een geldige toestemming van de betrokkene te verkrijgen. Een voorbeeld van een derde partij is een maatschappelijke organisatie die zich bezighoudt met het aanpakken van sociale determinanten van gezondheid en gezondheidsrisico's door het verstrekken van voedsel of opvanghuisvesting.

Wijzigingen in de privacyverklaring

Het voorstel van OCR zou de NPP-vereisten van HIPAA wijzigen met als doel de administratieve lasten te verminderen die de huidige bevestigingsvereisten met zich meebrengen voor zorgverleners, terwijl individuen beter inzicht krijgen in hun rechten en hoe ze deze kunnen uitoefenen onder HIPAA. Om dit evenwicht te bereiken, heeft OCR voorgesteld om de vereiste te schrappen dat bepaalde gedekte entiteiten die een directe behandelingsrelatie met een individu hebben, schriftelijke bevestigingen van dat individu moeten verkrijgen en bewaren waarin deze bevestigt de NPP te hebben ontvangen, en deze te vervangen door het recht voor het individu om de NPP te bespreken met een aangewezen vertegenwoordiger van de gedekte entiteit. Om individuen nog beter bewust te maken van hun rechten en de privacypraktijken van een betrokken entiteit, wijzigt de NPRM bovendien de inhoudsvereisten van de NPP door een aanvullende beschrijving en instructie op te nemen over hoe individuen hun toegangsrechten kunnen uitoefenen, en schrijft zij een nieuwe, meer gedetailleerde en instructieve, verplichte koptekst voor. De voorgestelde koptekst in de NPRM zou aanvullende specificaties bevatten over welke informatie de NPP aan personen verstrekt met betrekking tot hun rechten en hoe zij deze kunnen uitoefenen, en over de beschikbaarheid van de aangewezen contactpersoon van de betrokken entiteiten.

Wijzigingen om openheid naar familieleden en andere verzorgers in bepaalde situaties aan te moedigen

OCR heeft ook verschillende wijzigingen in de Privacy Rule voorgesteld om zorgverleners aan te moedigen om PHI op grotere schaal openbaar te maken in scenario's waarbij personen met een verslavingsprobleem (SUD) of ernstige psychische aandoening (SMI) betrokken zijn en in noodsituaties, mits aan bepaalde voorwaarden wordt voldaan. Deze voorgestelde wijzigingen zouden het vermogen en de bereidheid van betrokken entiteiten om PHI voor bepaalde doeleinden te gebruiken en openbaar te maken, verbeteren.

Te goeder trouw

De voorgestelde wijzigingen zouden bepaalde vereisten met betrekking tot het gebruik en de openbaarmaking van PHI onder de Privacy Rule aanpassen, waaronder de bepalingen inzake de openbaarmaking van PHI aan familieleden en vrienden die betrokken zijn bij de zorg voor de betrokkene, om extra uitwisseling door betrokken entiteiten aan te moedigen zonder angst voor schending van de HIPAA. Concreet zou het voorstel de huidige formulering, die gedekte entiteiten toestaat om bepaalde vormen van gebruik en openbaarmaking van PHI toe te passen op basis van hun "professionele oordeel", vervangen door een relatief flexibelere norm die dergelijk gebruik of openbaarmaking toestaat op basis van de "te goeder trouw" overtuiging van een gedekte entiteit dat het gebruik of de openbaarmaking in het belang van de betrokkene is. De voorgestelde wijzigingen zouden ook uitgaan van de goede trouw van een gedekte entiteit.

Dit voorstel wordt ondersteund door de bezorgdheid van OCR dat de vereiste onder de huidige regel om "professioneel oordeel" uit te oefenen, zou kunnen worden geïnterpreteerd als een beperking van de toestemming tot personen die een vergunning hebben of die vertrouwen op professionele training om te bepalen of het gebruik of de openbaarmaking van PHI in het belang van een individu is.

Hoewel professionele opleiding en ervaring natuurlijk van invloed zijn op het oprechte geloof van een zorgverlener in het belang van een individu, vereist een oprecht geloof niet altijd dat een betrokken entiteit of haar personeelslid over gespecialiseerde opleiding of professionele ervaring beschikt. Een norm van "oprechtheid" houdt veeleer in dat een betrokken entiteit of personeelslid bij het besluit om PHI te gebruiken of openbaar te maken en om te voldoen aan andere voorwaarden in de toepasselijke toestemmingen, een mate van discretie aan de dag legt die passend is voor zijn of haar rol. Hieronder volgen enkele illustratieve voorbeelden van hoe deze voorgestelde wijziging in de praktijk zou werken.

Een betrokken entiteit kan op basis van ervaring te goeder trouw vaststellen dat het in het belang is van een jonge volwassen patiënt, die arbeidsongeschikt is door een overdosis, een psychische crisis of een andere medische noodsituatie, om informatie vrij te geven aan een ouder die betrokken is bij de behandeling van de patiënt en van wie de jonge volwassene op basis van hun relatie zou verwachten dat hij of zij deelneemt aan of betrokken is bij het herstel van de patiënt.
Een acute zorginstelling die geen schriftelijke aanwijzing heeft voor een contactpersoon in noodgevallen, maar wel op de hoogte is van de aangewezen contactpersoon in noodgevallen van een wilsonbekwame patiënt, kan PHI aan die contactpersoon bekendmaken, op basis van de oprechte overtuiging dat de patiënt geen bezwaar heeft tegen de bekendmaking.
Een betrokken entiteit zou de PHI van een niet-ontvoogde minderjarige met een SUD kunnen vrijgeven in een staat of rechtsgebied waar de toepasselijke wetgeving de ouder van de minderjarige niet als persoonlijke vertegenwoordiger behandelt, wanneer de zorgverlener te goeder trouw van mening is dat het vrijgeven van informatie aan de ouder de zorg en behandeling van de minderjarige zou kunnen verbeteren. Deze voorgestelde norm zou een belemmering wegnemen voor het openbaar maken van PHI aan een ouder of voogd van een minderjarige met SUD of SMI wanneer de ouder of voogd volgens de staatswetgeving niet wordt erkend als de persoonlijke vertegenwoordiger van de minderjarige. Tegelijkertijd zou dit voorstel geen voorrang hebben op staatswetten die de openbaarmaking van gevoelige informatie verbieden, omdat dit voorstel de openbaarmaking onder HIPAA zou toestaan, maar niet verplicht zou stellen. Als zodanig zou een gedekte entiteit zowel aan HIPAA als aan een meer restrictieve staatswet kunnen voldoen door de openbaarmaking te beperken in overeenstemming met de staatswet.

Ernstige en redelijkerwijs te verwachten dreiging

Om de betrokken instanties beter in staat te stellen schade aan individuen of het publiek te voorkomen en te beperken, zouden de voorgestelde wijzigingen hen ook in staat stellen om PHI openbaar te maken om een bedreiging voor de gezondheid of veiligheid van een persoon of het publiek af te wenden wanneer de schade "ernstig en redelijkerwijs te voorzien" is, in plaats van de huidige strengere norm die een "ernstige en onmiddellijke" bedreiging voor de gezondheid of veiligheid vereist. De voorgestelde wijziging zou betrokken entiteiten toestaan om PHI te gebruiken of openbaar te maken zonder te hoeven bepalen of de dreigende schade op handen is (wat in sommige gevallen misschien niet mogelijk is); in plaats daarvan kunnen zij bepalen of het redelijkerwijs te voorzien is dat de dreigende schade zich zou kunnen voordoen.

OCR heeft deze wijziging voorgesteld om situaties te voorkomen waarin betrokken entiteiten weigeren om PHI te gebruiken en openbaar te maken wanneer zij van mening zijn dat dit nodig is om schade te voorkomen of bedreigingen van schade te verminderen, uit bezorgdheid dat hun onvermogen om precies te bepalen hoe imminent de dreiging van schade is, hen bloot kan stellen aan HIPAA-sancties voor ongeoorloofd gebruik of openbaarmaking. Op grond van dit voorstel zouden betrokken instanties bijvoorbeeld PHI kunnen gebruiken of openbaar maken zonder te hoeven bepalen of het dreigende gevaar imminent is (wat in sommige gevallen misschien niet mogelijk is); in plaats daarvan kunnen zij bepalen of het redelijkerwijs te voorzien is dat het dreigende gevaar zich zou kunnen voordoen.

Verduidelijking met betrekking tot informatieverstrekking aan TRS-aanbieders

OCR stelde voor om uitdrukkelijk toestemming te geven voor het verstrekken van informatie aan TRS-communicatieassistenten voor personen die doof, slechthorend of doofblind zijn, of die een spraakbeperking hebben, en om de definitie van zakenpartner aan te passen om TRS-aanbieders uit te sluiten.

Hoewel de publicatie nog niet gepland is, accepteert OCR gedurende 60 dagen na publicatie in het Federal Register opmerkingen over het NPRM.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.