公共卫生紧急状态(PHE)结束后的工作准备已启动。美国卫生与公众服务部(HHS)发布了关于在符合《健康保险流通与责任法案》(HIPAA)的前提下,使用远程通信技术提供纯音频远程医疗服务的指导意见。 2020年3月,HHS声明在公共卫生紧急状态期间,对于善意使用非面向公众的音频或视频远程通信技术提供远程医疗服务而违反HIPAA的行为,将行使执法酌情权。该执法酌情权将在公共卫生紧急状态结束时终止。
在最新指南中,美国卫生与公众服务部指出,由于残疾、经济或语言等多种障碍,并非所有患者都能使用音视频远程医疗技术,而纯音频远程医疗有助于满足这些患者的需求。以下是基于该指南的四个关键常见问题解答,受《健康保险流通与责任法案》约束的远程医疗服务提供商和平台提供商在实施纯音频远程医疗服务时应予以考虑:
1. 当公共卫生紧急状态结束时,仅提供音频的远程医疗服务能否符合《健康保险流通与责任法案》隐私规则?可以。 远程医疗服务提供者需实施合理保障措施以保护受保护健康信息(PHI)的隐私,例如在私密环境中进行沟通;若无法确保私密环境,则需降低音量并避免使用免提通话功能,以符合HIPAA隐私规则要求。远程医疗服务提供者还必须核实所有未曾接触过的患者身份。
2. 通过电话或移动应用程序提供远程医疗服务时,能否符合《 健康保险流通与责任法案 》安全规则?可以 。该规则涵盖的技术包括智能手机应用程序、网络电话技术、远程医疗会话录音或转录技术,以及电子存储语音消息的服务。 遵守HIPAA安全规则的一个关键环节是:使用上述技术时必须对电子PHI的保密性、完整性和可用性进行安全风险分析。随后应基于该分析制定风险管理计划,以应对已识别的风险与漏洞。
3. 远程医疗服务提供商是否需要与电话公司和/或无线运营商签订业务伙伴协议(BAA)?可能需要。电信服务提供商(TSP)是指提供语音和/或数据传输服务的公司,例如电话公司、无线运营商,以及某些情况下的移动应用程序提供商。 远程医疗服务提供者必须与为其创建、接收、维护或传输PHI的TSP签订BAA。但当TSP满足以下条件时,远程医疗服务提供者无需签订BAA:(i) 仅对传输的PHI具有临时访问权限; (ii) 不为远程医疗服务商创建、接收或维护PHI;且(iii) 无需常规访问通话中传输的PHI。满足全部上述条件的TSP称为"传输通道"。HHS提供了以下示例场景说明何时需要或无需与TSP签订BAA:
| 场景 | 需要BAA吗? |
| TSP仅在远程医疗提供者与患者之间建立通话连接,不会在会话过程中创建、接收或保存任何个人健康信息(PHI)。 | 不 |
| 远程医疗服务提供商计划通过智能手机应用程序与患者开展纯语音远程医疗会诊,该应用程序将把个人健康信息(如录音、文字记录)存储于应用程序开发者的云基础设施中,供远程医疗服务提供商后续使用。 | 是的,需要与智能手机应用程序开发者签订BAA协议。 |
| 远程医疗服务商通过智能手机应用程序将口头交流翻译成其他语言,为英语水平有限的人群提供实质性的医疗服务通道。 | 是的,需要与智能手机应用程序开发者签订BAA协议。 |
此外,由于《健康保险流通与责任法案》安全规则仅适用于电子化个人健康信息(PHI),因此不适用于使用标准电话线路(即固定电话)的服务。总体而言,远程医疗服务提供者应谨慎选择未签署业务关联协议(BAA)的电信服务提供商(TSP),并必须履行尽职调查义务,确保TSP不会访问或保存通话过程中传输的个人健康信息。
4. 远程医疗服务提供者是否需要确保患者遵守《健康保险流通与责任法案》(HIPAA)?美国卫生与公众服务部(HHS) 指出,患者可自由选择使用任何电话系统,且远程医疗服务提供者对患者信息在接收至患者电话或其他设备后的隐私或安全不承担责任。 但需注意:若远程医疗服务商向患者提供用于访问远程医疗服务或存储医疗信息的移动应用程序,该应用必须符合HIPAA隐私与安全条例的要求。
远程医疗服务提供商应立即启动从公共卫生紧急状态(PHE)向后PHE阶段的规划与过渡工作。必须立即对现有供应商及其隐私与安全法规合规性开展风险评估与尽职调查。 若某供应商在接触、查阅或维护个人健康信息(PHI)时拒绝签署业务协定(BAA),远程医疗服务商应立即终止与其合作关系,并物色愿意签署BAA的替代供应商。在公共卫生紧急状态结束前制定HIPAA合规策略,未来必将获得丰厚回报。
想了解更多信息?
- 直接面向消费者(DTC)远程医疗:行业是否需要更多监管?(专访Tusk Strategies公司奎因·希恩)
- 远程医疗企业可将专利法作为战略优势
- 公共卫生紧急事件结束前远程医疗公司要做的五件事
如需了解更多关于远程医疗、远程健康、虚拟护理、远程患者监测、数字健康及其他医疗创新的信息,包括团队介绍、出版物及代表性案例,请访问富乐律师事务所远程医疗与数字健康行业团队。
