به EHI – Health IT Buzz سلام کنید


مقررات مسدود کردن اطلاعات ONC در مورد تداخل در دسترسی، تبادل یا استفاده از اطلاعات الکترونیکی سلامت (EHI) اعمال می شود (45 CFR قسمت 171) و استثنائات خاصی را برای تعریف مسدود کردن اطلاعات تعریف می کند. بنابراین، مهم است که کسانی که مشمول مقررات مسدود کردن اطلاعات هستند – ارائه دهندگان مراقبت های بهداشتی، توسعه دهندگان فناوری اطلاعات سلامت تایید شده، و شبکه ها/مبادلات اطلاعات سلامت (به طور انباشته، “بازیگران”) – متوجه شوند که مقررات چه اطلاعات بهداشتی را پوشش می دهد. بنابراین، به هر حال EHI چیست؟

EHI چیست؟

EHI به عنوان اطلاعات الکترونیکی سلامت محافظت شده (ePHI) تعریف می‌شود تا جایی که در یک مجموعه سوابق تعیین‌شده (DRS) گنجانده شود، صرف نظر از اینکه آیا این گروه از سوابق توسط یک نهاد تحت پوشش استفاده یا نگهداری می‌شود یا خیر. تعریف EHI شامل اصطلاحات (ePHI و DRS) است که توسط مقررات (قوانین) صادر شده تحت قانون مسئولیت پذیری و مسئولیت پذیری بیمه سلامت در سال 1996، با اصلاح (که در اینجا به طور کلی به عنوان HIPAA شناخته می شود) تعریف شده است. با این حال، تعریف EHI به‌طور خاص یادداشت‌های روان‌درمانی را که در قوانین HIPAA تعریف شده است و اطلاعاتی که در پیش‌بینی مراحل قانونی جمع‌آوری شده‌اند، مستثنی می‌کند، که با استاندارد فردی «حق دسترسی» در قوانین HIPAA سازگار است. EHI بر بخش الکترونیکی آنچه که قوانین HIPAA به عنوان DRS تعریف می کند متکی است. استفاده از اصطلاحات تعریف شده توسط قوانین HIPAA (“شرایط تعریف شده توسط HIPAA”) باعث آشنایی صنعت مراقبت های بهداشتی و سازگاری در سراسر مقررات می شود.

توجه به این نکته مهم است که برخی از ارائه دهندگان مراقبت های بهداشتی مشمول مقررات مسدود کردن اطلاعات (و هر عامل دیگری که از آنها حمایت می کند) ممکن است تحت قوانین HIPAA تحت پوشش نهادها یا شرکای تجاری نباشند. این بازیگران باید خود را با اصطلاحات تعریف شده توسط HIPAA آشنا کنند و ارزیابی کنند که چه اطلاعاتی دارند که سوابقی است که با موارد موجود در DRS (یعنی برای تصمیم‌گیری در مورد افراد استفاده می‌شود) هماهنگ است. با این حال، اکثر بازیگران مشمول مقررات مسدود کردن اطلاعات نیز نهادهای تحت پوشش یا شرکای تجاری تحت HIPAA هستند. با توجه به این رابطه و اطلاع دادن به آن دسته از بازیگرانی که تحت پوشش HIPAA نیستند، می‌خواهیم چگونگی هماهنگی تعریف EHI با اصطلاحات شناخته شده تعریف شده توسط HIPAA را بررسی کنیم.

تصویری که نحوه ارتباط EHI با USCDI V1 را توصیف می کند

رابطه EHI با شرایط و تعاریف HIPAA

اینفوگرافیک و برگه اطلاعات را منتشر کرده ایم [PDF- 346 KB] این نشان می دهد که چگونه تعریف EHI تحت مقررات مسدود کردن اطلاعات با شرایط تعریف شده توسط HIPAA و داده های اصلی ایالات متحده برای قابلیت همکاری (USCDI v1) (45 CFR 171.103(b)) مرتبط است، که در زیر نیز با جزئیات بیشتر به آن اشاره می کنیم.

1. اطلاعات ابتدا باید مطابق با تعریف باشد الکترونیکی اطلاعات بهداشتی محافظت شده برای شروع، اطلاعات بهداشتی محافظت شده (PHI) عموماً اطلاعات بهداشتی است که شناسایی می کند یا به طور منطقی می تواند برای شناسایی یک فرد (اطلاعات بهداشتی قابل شناسایی فردی) با استثنائات خاصی مانند سوابق تحصیلی یا درمانی و استخدام قانون حقوق آموزشی خانواده (FERPA) استفاده شود. سوابق یک نهاد تحت پوشش ثانیاً، چنین اطلاعات بهداشتی نه تنها فرد را شناسایی می کند، مانند اطلاعات جمعیت شناختی، بلکه به سلامت یا وضعیت جسمی یا روانی گذشته، حال یا آینده یک فرد مربوط می شود. ارائه مراقبت های بهداشتی به یک فرد؛ یا پرداخت هزینه مراقبت در نهایت، اطلاعات ممکن است به هر شکل یا رسانه ای (مثلاً الکترونیکی، کاغذی یا شفاهی) نگهداری یا منتقل شود.

هر PHI که به شکل الکترونیکی نگهداری یا منتقل شود ePHI است.

برای نشان دادن این مفاهیم با یک مثال، اطلاعاتی که به عنوان عوامل اجتماعی تعیین‌کننده سلامت (SDOH) در نظر گرفته می‌شوند، زمانی که توسط یک ارائه‌دهنده مراقبت‌های بهداشتی که یک نهاد تحت پوشش است جمع‌آوری می‌شوند تا تصمیمات درمانی فرد را مطلع کنند، PHI است. اگر این اطلاعات به صورت الکترونیکی نگهداری یا منتقل شود، ePHI است.

2. اطلاعات همچنین باید مطابق با تعریف مجموعه رکورد تعیین شده باشد. HIPAA به بیماران فردی حق قانونی برای دسترسی به اطلاعات سلامتی خود را که در DRS یک نهاد نگهداری می شود، می دهد. DRS ممکن است شامل سوابق کاغذی و الکترونیکی باشد، اما EHI که توسط یک نهاد تحت پوشش HIPAA یا شریک تجاری نگهداری می شود، فقط زیر مجموعه الکترونیکی (یعنی آن بخش از DRS که به صورت الکترونیکی نگهداری می شود). بنابراین، اطلاعات نگهداری شده توسط یک نهاد تحت پوشش HIPAA یا شریک تجاری که مقررات مسدود کردن اطلاعات در مورد آنها اعمال می شود، همان اطلاعاتی است که بیماران قبلاً حق قانونی دسترسی به آنها را دارند. اگر سازمانی یک کنشگر است اما مشمول HIPAA نیست، کنشگر اکنون باید تعیین کند که کدام اطلاعاتی که در اختیار دارند به عنوان EHI واجد شرایط هستند.

رکورد هر مورد، مجموعه یا گروه‌بندی اطلاعاتی است که شامل PHI است و توسط یک نهاد تحت پوشش HIPAA یا شریک تجاری نگهداری، جمع‌آوری، استفاده یا انتشار می‌شود. HIPAA DRS گروهی از سوابق است که توسط یا برای یک نهاد تحت پوشش نگهداری می شود که عبارتند از: 1) سوابق پزشکی و سوابق صورتحساب در مورد افراد که توسط یا برای یک ارائه دهنده مراقبت های بهداشتی تحت پوشش نگهداری می شوند. 2) ثبت نام، پرداخت، قضاوت ادعاها، و سیستم پرونده یا پرونده مدیریت پزشکی که توسط یا برای یک طرح بهداشتی نگهداری می شود. یا 3) به طور کامل یا جزئی توسط یا برای نهاد تحت پوشش برای تصمیم گیری در مورد افراد استفاده می شود. یک نهاد تحت پوشش HIPAA یا شریک تجاری که همچنین یک بازیگر است ممکن است دارای ePHI باشد که بخشی از DRS نیست، و بنابراین EHI نیست، زیرا از اطلاعات برای تصمیم‌گیری در مورد بیماران خاص استفاده نمی‌شود. نمونه‌هایی از این موارد شامل فایل‌های بررسی الکترونیکی همتا، ارزیابی عملکرد ارائه‌دهنده، و سوابق مدیریتی است که صرفاً برای تصمیم‌گیری تجاری استفاده می‌شوند.

قوانین HIPAA انواع خاصی از سوابق را که همیشه بخشی از DRS یک نهاد تحت پوشش هستند، شناسایی می کند. HHS همچنین دستورالعملی را صادر کرده است که برخی از دسته‌های اطلاعاتی را که معمولاً از DRS حذف می‌شوند، توصیف می‌کند. با این حال، قوانین HIPAA اطلاعات خاصی را که یک DRS را تشکیل می دهد، مشخص نمی کند.

3. نهادهای تحت نظارت HIPAA باید از قبل بدانند که چه اطلاعاتی EHI است. از زمان انتشار قانون حفظ حریم خصوصی HIPAA در سال 2000، نهادهای تحت پوشش HIPAA و شرکای تجاری آنها ملزم به شناسایی و مستندسازی سوابق بخشی از DRS آنها هستند. برای این نهادها، EHI صرفاً بخشی از DRS است که ePHI است. از آنجایی که تعریف DRS مختص سیستم‌ها یا پلتفرم‌های فناوری خاصی نیست که سازمان اطلاعات را در آن نگهداری می‌کند، تعریف EHI نیز چنین نیست. به عنوان مثال، EHI محدود به آنچه در پرونده سلامت الکترونیکی تایید شده (EHR) وجود دارد، نیست. اگر بازیگران اطلاعاتی را حفظ کنند که ePHI در یک DRS باشد و آنها یک نهاد تحت پوشش HIPAA یا شریک تجاری باشند، اطلاعات EHI است و تابع مقررات مسدود کردن اطلاعات است.

زمان هست، اما نیازی به انتظار نیست

از 5 آوریل 2021، مقررات مسدود کردن اطلاعات برای همه بازیگران قابل اجرا و قابل اجرا است. برای دادن زمان به افراد برای تنظیم، تعریف مسدود کردن اطلاعات فقط برای زیرمجموعه ای از EHI اعمال می شود – یعنی EHI که توسط عناصر داده شناسایی شده توسط USCDI v1 نشان داده شده است. یک عنصر داده USCDI جزئی ترین سطحی است که در آن یک قطعه داده در USCDI برای تبادل نمایش داده می شود (به عنوان مثال، تاریخ تولد بیمار، داروها، یا یادداشت روش).

اما از 6 اکتبر 2022، بازیگران مشمول ادعای مسدود کردن اطلاعات برای دامنه کامل EHI (همانطور که در بالا مورد بحث قرار گرفت) خواهند بود، به استثنای مواردی که استثناء مسدود کردن اطلاعات اعمال شود یا قانون ایجاب کند که اطلاعات به اشتراک گذاشته نشود.

نیازی نیست تا 6 اکتبر منتظر بمانید. هر کسی که آماده اشتراک گذاری بیشتر از USCDI v1 باشد، استقبال می شود و تشویق می شود که طبق قانون قابل اجرا این کار را انجام دهد.

امیدواریم این وبلاگ، اینفوگرافیک، و برگه اطلاعات منابع مفیدی در مورد اینکه EHI چیست و چگونه با اصطلاحات تعریف شده قبلی HIPAA موجود است، مفید باشد. برای کسب اطلاعات بیشتر در مورد EHI، لطفاً سؤالات متداول مرتبط با EHI را که اخیراً منتشر شده است، بررسی کنید.

برای اطلاعات بیشتر در مورد مسدود کردن اطلاعات، از جمله پیوندها به برگه‌های اطلاعات، وبینارها، و پرسش‌های متداول، لطفاً از صفحه وب مسدود کردن اطلاعات ONC بازدید کنید.