HIPAA en deel 2 geharmoniseerd: wat zorginstellingen moeten weten

Programma's voor stoornissen in het gebruik van middelen (SUD) en door HIPAA gereguleerde entiteiten die hun privacy- en beveiligingspraktijken en workflows willen stroomlijnen, kregen vorige week goed nieuws van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS). HHS heeft de langverwachte definitieve regel (de definitieve regel van deel 2) uitgevaardigd om de voorschriften inzake de vertrouwelijkheid van patiëntendossiers met betrekking tot stoornissen in het gebruik van middelen in 42 CFR deel 2 (deel 2) te herzien. De definitieve regel van deel 2 implementeert bepalingen van de Coronavirus Aid, Relief, and Economic Security Act (CARES Act) van 2020 en bevat wijzigingen die waren voorgesteld in de kennisgeving van voorgestelde regelgeving van november 2022, evenals aanvullende wijzigingen op basis van opmerkingen van het publiek.

De definitieve regel van deel 2 zal naar verwachting op 16 februari 2024 in het Federal Register worden gepubliceerd. Deze regel treedt 60 dagen na publicatie in werking en moet 24 maanden na publicatie worden nageleefd.

Deel 2 Toepasselijkheid

Ter herinnering: deel 2 dient ter bescherming van medische dossiers van patiënten die zijn aangemaakt of ontvangen door programma's die onder deel 2 vallen. Deel 2-programma's zijn personen, entiteiten of geïdentificeerde eenheden in een algemene medische instelling die federale steun ontvangen en die zich profileren als aanbieders van SUD-diagnoses, -behandelingen of -doorverwijzingen voor behandeling, en deze ook daadwerkelijk aanbieden. Een klassiek voorbeeld van een Deel 2-programma is een opioïdenbehandelingsprogramma dat medicatieondersteunde behandeling biedt aan personen bij wie een opioïdengebruiksstoornis is vastgesteld.

Toestemming van de patiënt

De definitieve regel van deel 2 staat een programma van deel 2 toe om één enkele toestemming van een patiënt te verkrijgen en te gebruiken voor alle toekomstige toepassingen en openbaarmakingen van gegevens van deel 2 voor behandeling, betaling en gezondheidszorg (TPO), zoals toegestaan door de HIPAA-voorschriften, totdat de patiënt deze toestemming schriftelijk intrekt. Deel 2-programma's zullen de workflow voor patiënten willen bijwerken om deze toestemming van patiënten vast te leggen, aangezien dit het Deel 2-programma in staat stelt om Deel 2-informatie te gebruiken en openbaar te maken op een manier die veel minder belastend is dan wat vóór deze wijziging vereist was.

De definitieve regel van deel 2 staat ook toe dat entiteiten en zakenpartners die onder de HIPAA vallen en die gegevens ontvangen op grond van deze TPO-toestemming, de gegevens opnieuw openbaar maken in overeenstemming met de HIPAA-voorschriften, met dien verstande dat de gegevens niet opnieuw openbaar mogen worden gemaakt voor gebruik in gerechtelijke procedures tegen de patiënt zonder specifieke toestemming of een gerechtelijk bevel. Deze beperking zorgt voor een evenwicht tussen het toestaan van heropenbaarmaking voor programma's, onder de wet vallende entiteiten en zakenpartners die ontvangers zijn van gegevens uit deel 2, en het behoud van de bescherming van patiënten tegen het gebruik van de gegevens in procedures tegen de patiënt. Beperkingen op het gebruik of de openbaarmaking van patiëntgegevens om strafrechtelijke vervolging of onderzoeken of civiele procedures tegen een patiënt in te stellen of te onderbouwen, worden in de definitieve regel van deel 2 behandeld.

Een belangrijke wijziging ten opzichte van de kennisgeving van voorgestelde regelgeving is dat de definitieve regel in deel 2 vereist dat elke openbaarmaking op basis van toestemming van de patiënt vergezeld moet gaan van een kopie van de toestemming of een duidelijke uitleg van de reikwijdte van de toestemming. Deze vereiste zorgt ervoor dat de ontvangers van dossiers de informatie krijgen die zij nodig hebben om te begrijpen welke toestemming voor heropenbaarmaking mogelijk beschikbaar is. Dit komt bovenop de kennisgeving van heropenbaarmaking die moet worden bijgevoegd bij elke openbaarmaking die plaatsvindt met schriftelijke toestemming van de patiënt (bijv. "42 CFR deel 2 verbiedt ongeoorloofd gebruik of openbaarmaking van deze dossiers").

Patiënteninformatie

De definitieve regel van deel 2 stemt de vereisten voor patiënteninformatie in deel 2 beter af op de HIPAA-verklaring inzake privacypraktijken. Programma's onder deel 2 moeten hun patiëntenverklaring aanpassen en onder andere de nieuwe verplichte koptekst, gewijzigde toepassingen en openbaarmakingen die zijn toegestaan onder de definitieve regel van deel 2, en patiëntenrechten die beschikbaar zijn onder de definitieve regel van deel 2 opnemen. HHS is van plan om wijzigingen in de HIPAA-verklaring inzake privacypraktijken definitief vast te leggen in een volgende definitieve regel die de HIPAA-privacyregel wijzigt. De vereisten voor het verstrekken van de patiëntenverklaring aan patiënten zijn vergelijkbaar met de vereisten onder de HIPAA-privacyregel.

Rechten van patiënten

De definitieve regel van deel 2 biedt patiënten aanvullende rechten die nauw aansluiten bij de rechten die worden geboden onder de HIPAA-privacyregel, waaronder het recht om (i) beperkingen te vragen op de openbaarmaking aan het gezondheidsplan van een patiënt voor diensten die de patiënt volledig heeft betaald of openbaarmakingen die met voorafgaande toestemming zijn gedaan voor TPO-doeleinden, (ii) een overzicht te verkrijgen van openbaarmakingen, inclusief voor TPO via een elektronisch gezondheidsdossier in de afgelopen 3 jaar, en (iii) ervoor te kiezen geen communicatie over fondsenwerving te ontvangen. De verbeterde patiëntenrechten zullen de transparantie over hoe de dossiers van een patiënt worden gebruikt en openbaar gemaakt vergroten en patiënten controle geven over bepaalde vormen van gebruik en openbaarmaking.

Merk op dat deel 2 geen uitgebreid recht voor patiënten bevat om toegang te krijgen tot hun eigen informatie, zoals de HIPAA-privacyregel. HHS bevestigt dit in het commentaar bij de definitieve regel van deel 2, waarin staat: "Volgens de bestaande (en definitieve) regel hebben programma's van deel 2 de discretionaire bevoegdheid om patiënten toegang te verlenen tot hun dossiers. Sectie 2.23 verbiedt het verlenen van toegang aan patiënten niet, maar vereist dit evenmin ..." Deel 2-programma's die ook onder de HIPAA-regelgeving vallen, moeten voldoen aan de toegangsvereisten van de HIPAA-privacyregel.

Melding van inbreuken

De definitieve regel van deel 2 past de HIPAA-regel inzake melding van inbreuken toe op inbreuken op onbeveiligde gegevens door programma's van deel 2 en neemt de HIPAA-definitie van "inbreuk" en "onbeveiligd" over. Dit betekent dat een programma van deel 2 dat te maken krijgt met het verkrijgen, openen, gebruiken of openbaar maken van onbeveiligde gegevens in strijd met deel 2, moet beoordelen of melding aan de betrokken personen, HHS en de media vereist is.

Aantekeningen over counseling bij stoornissen in het gebruik van middelen

De definitieve regel van deel 2 bevat een definitie van SUD-counselingnotities die nauw aansluit bij de HIPAA-definitie van psychotherapienotities. SUD-counselingnotities zijn notities die (op elk medium) zijn vastgelegd door een aanbieder van een deel 2-programma die een SUD- of geestelijke gezondheidsprofessional is en die de inhoud van een gesprek tijdens een SUD-counselingsessie documenteert of analyseert. In overeenstemming met de HIPAA-definitie van psychotherapienotities vereist de definitie dat de notities worden gescheiden van de rest van het medisch dossier en sluit deze medicatievoorschriften en -monitoring, begin- en eindtijden van counseling sessies, modaliteiten en frequenties van de geleverde behandeling, resultaten van klinische tests en elke samenvatting van de diagnose, functionele status, het behandelplan, symptomen, prognose en voortgang tot nu toe uit.

Net als bij de behandeling van psychotherapienotities in de HIPAA-privacyregel, is voor de openbaarmaking van SUD-counselingnotities specifieke toestemming van de betrokkene vereist. Deel 2 staat clinici toe om naar eigen goeddunken patiënten toegang te verlenen tot SUD-counselingnotities.

Scheiding van gegevens

De definitieve regel van deel 2 schrapt de bepaling die segregatie of segmentatie van deel 2-gegevens vereist, waarbij HHS uitdrukkelijk opmerkt dat segregatie of segmentatie van deel 2-gegevens niet vereist is door deel 2-programma's, betrokken entiteiten en zakenpartners die gegevens ontvangen op basis van één enkele toestemming voor alle toekomstige TPO. De gegevens blijven echter deel 2-gegevens en moeten worden beschermd zoals vereist door deel 2, waarbij onder meer moet worden gewaarborgd dat de gegevens niet worden gebruikt in procedures tegen de patiënt.

Sancties

Overtredingen van deel 2 worden onderworpen aan dezelfde civielrechtelijke en strafrechtelijke sancties als overtredingen van HIPAA, met inbegrip van het opleggen van civielrechtelijke geldboetes in de vier schuldniveaus die worden toegepast op HIPAA-overtredingen. Evenzo kunnen patiënten bij HHS een klacht indienen voor overtredingen van deel 2.

Conclusie

Deel 2-programma's moeten beginnen met het herzien van hun nalevingsprogramma's voor Deel 2 onder de definitieve regel voor Deel 2 om te bepalen waar wijzigingen moeten worden aangebracht. Dit omvat het bijwerken van beleid en procedures, toestemmingen van patiënten en kennisgevingen aan patiënten. Daarnaast moeten deel 2-programma's dit aangrijpen als een kans om hun personeel opnieuw te trainen in de vereisten van deel 2 voor het gebruik en de openbaarmaking van deel 2-gegevens – en hoe deze verschillen van HIPAA – gezien het feit dat de definitieve regel voor deel 2 verplichtingen oplegt voor het melden van inbreuken.

Want To Learn More?

COVID-19: CARES Act herziet federale wetgeving inzake privacy bij verslavingsproblemen

HHS stelt voor om de federale wetgeving inzake verslavingszorg in overeenstemming te brengen met HIPAA Als u vragen hebt over de toepasselijkheid van deel 2 op uw organisatie of over de implementatie van de definitieve regel van deel 2, neem dan contact op met een van de auteurs of een van de partners of senior adviseurs vande Cybersecurity and Data Privacy Groupof Health Care Practice Group van Foley.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

[email protected]

Madison 6082507420

Een man in een donker pak en een rode stropdas staat glimlachend in een felverlichte, moderne hal van een advocatenkantoor, die de professionaliteit van topadvocaten in Chicago weerspiegelt.

[email protected]

Tampa 8132254129

Verwante inzichten

Bekijk alle berichten

January 29, 2026 Health Care Law Today

Medicare Telehealth Flexibilities: Countdown to January 30, 2026 (and What Comes Next)

Key Takeaways The Medicare telehealth flexibilities are set to expire on January 30, 2026. Without Congressional action, Medicare…

January 27, 2026 Health Care Law Today

Digital Health Policy: FDA Relaxes Restrictions over Wearables and AI Decision Making Tools in Two New 2026 Guidances

On January 6, 2026, the U.S. Food & Drug Administration (FDA) updated two guidance documents, General Wellness: Policy for Low Risk…

22 januari 2026 De huidige gezondheidszorgwetgeving

Gouverneur van Texas vaardigt nieuwe richtlijn uit inzake handhaving van Medicaid-fraude: vijf dingen die managed care-organisaties nu moeten doen

Belangrijkste punten: Verscherpt toezicht op MCO SIU's: Alle Medicaid Managed Care-organisaties moeten aantonen dat ze volledig voldoen aan de SIU-voorschriften van Texas...

Populaire zoekopdrachten