自1996年发布以来,将近20年的不断修订(2003年、2009年、2013年),包括HITECH法案《Health Information Technology for Economic and Clinical Health》 和 GINA法案《Genetic Information Nondiscrimination Act of 2007》的相继出台,HIPAA及其补充法案已经形成了一套系统、完整、详细且与时俱进的医疗健康信息领域的专门法。
商业伙伴(Business Associate,BA)| 在HITECH Omnibus rule生效之前,HIPAA隐私条例仅仅对CE有约束力,然而随着医疗服务需求增多以及医疗信息化的发展,绝大部分的医疗机构和保险公司都无法完全独立的完成所有的业务,而需要借助第三方机构或个人,越来越多的第三方机构通过CE获得了患者PHI。为了加强对PHI的保护,美国法律将BA加入了管辖范围。法律条文中对BA提供的服务进行了举例,其中包括:
职能服务:健康数据分析、处理和管理;保险申诉处理和管理;质量管理;医保报销等;
其他服务:法务;审计;会计;咨询;数据采集;行政管理;认证和投资等。
HIPAA约束范围内的三大CE
常见的BA类型有:
为医疗机构提供个人健康档案(Personal Health Record,PHR)服务的机构或企业;
为医疗机构提供数据存储或数据分析服务的机构或者企业;
为医疗机构提供报销和收费服务的企业或机构;
为社会医疗保险或商业医疗保险机构提供处理索赔服务的企业或机构;
提供电子健康数据交换服务的机构(Health Information Organization,HIO)等。
对于更加具体的涉及不同BA类型的业务场景,美国卫生和公共服务部(U.S. Department of Health & Human Services,HHS)及其下属的国家HIT协调办公室 (The Office of the National Coordinator for Health Information Technology,ONC)作出了详细的法律解读和管理建议:
1)HIT机构或企业
HHS将HIT(Health Information Technology)定义为所有涉及健康信息在电子环境中交换的技术,而将所有涉及监督和管理健康信息的电子交换过程的企业或机构称为(Health Information Organization,HIO),HIO也是最为常见的BA类型之一。常见的HIO包括区域健康信息组织(Regional Health Information Organization,RHIO),RHIO通常负责在一定地理区域内的电子健康信息的互换,以提高医疗质量、安全和有效性。RHIO的利益相关方通常包括:
尽管美国医疗行业内仍然对脱敏后数据的买卖和使用存在不同的意见和争议,但2011年美国联邦最高法院在Sorrell vs. IMS Health一案中的判决表明,美国的立法和司法对脱敏后的健康医疗数据的运用保留了一些灵活的余地。该案件涉及为了医药公司的市场推广目的,药房出售脱敏后患者的处方药数据,法院最终判决药房并没有违反法律。虽然案件具有一定的特殊性和复杂性,但在一定程度上确立了出售脱敏后个人健康数据并不违反法律规定的司法基调。