Google-Ascension: Por que o HIPAA provavelmente não está sendo violado?
- Vários acordos entre o Google e os sistemas, incluindo a Clínica Mayo, Universidade de Chicago e Ascension, preocupam e temem que o Google leve apenas várias informações pessoais a milhares ou milhões de pessoas.
- Apesar da afirmação mais comum de que o Google está adotando a HIPAA, a resposta mais provável é que o Google (e realmente muitos outros fornecedores de tecnologia) podem receber os dados como um parceiro de negócios.
- Por que o HIPAA provavelmente não está sendo violado? A resposta está no entendimento (pelo menos até certo ponto) do escopo dos usos permitidos no HIPAA. É verdade que dois dos componentes mais discutidos do HIPAA são a regra de privacidade e a regra de segurança.
A privacidade das informações de saúde está recebendo um destaque importante como resultado das grandes empresas de tecnologia que se mudam para o setor de saúde. Embora a Amazon e a Microsoft pareçam passar por muitas manchetes, o Google não está no mesmo barco.
Vários acordos entre o Google e os sistemas, incluindo a Clínica Mayo, Universidade de Chicago e Ascension, preocupam e temem o Google apenas obter multidões de informações pessoais sobre milhares ou milhões de indivíduos. O uso e a obtenção de dados são inconsistentes com os requisitos regulamentares ou existe uma base permitida? Apesar da afirmação mais comum de que o Google está adotando a HIPAA, a resposta mais provável é que o Google (e realmente muitos outros fornecedores de tecnologia) podem receber os dados como um parceiro de negócios.
O Google oferece um bom exemplo à luz do trabalho ainda recentemente revelado com a Ascensão. Conforme confirmado pelo Google, o Ascension está mudando sua infraestrutura para ambientes privados mantidos pelo Google, usando as ferramentas de produtividade do Google (o G-Suite profissional é compatível com HIPAA) e ampliando as ferramentas projetadas para ajudar a melhorar a qualidade clínica. Não é de surpreender que um dos resultados esperados desses esforços seja o aumento da receita, o que significa permitir que a Ascensão ganhe mais dinheiro.
No desempenho desses serviços, o Ascension está necessariamente transferindo o que provavelmente equivale a todos (ou quase) todos os seus dados de pacientes para plataformas e servidores mantidos pelo Google. Por relatórios (que não foram feitos para verificar), todos esses esforços foram realizados sem notificar os médicos e outros clínicos ou pacientes. A combinação do Google e nenhum aviso prévio resultaram em uma tempestade de declarações questionando por que o Google podia receber todos os dados de pacientes e declarações de que a HIPAA estava sendo violada à esquerda e à direita.
As declarações sobre violações são verdadeiras? Provavelmente não.
Por que o HIPAA provavelmente não está sendo violado? A resposta está no entendimento (pelo menos até certo ponto) do escopo dos usos permitidos no HIPAA. É verdade que dois dos componentes mais discutidos do HIPAA são a regra de privacidade e a regra de segurança.
No contexto de uso e divulgação, a regra de privacidade é a regra aplicável. Ao governar o uso e a divulgação de informações de saúde protegidas, o HIPAA permite que as entidades cobertas (lembre-se de prestadores de cuidados de saúde e planos de saúde) usem e divulguem informações de saúde protegidas sem consentimento ou aviso prévio para fins de tratamento, pagamento e operações de cuidados de saúde (45 CFR § 164.506 )
Os usos e divulgações incluem o fornecimento de informações de saúde protegidas aos parceiros de negócios para ajudar nas categorias permitidas. Os usos e divulgações incluem o fornecimento de informações de saúde protegidas aos parceiros de negócios para ajudar nas categorias permitidas.
A categoria mais aplicável aos exemplos do Google (e da maioria das empresas de tecnologia) são operações de assistência médica. Como uma breve observação lateral, os parceiros de negócios podem receber informações de saúde protegidas porque um parceiro de negócios está executando um serviço ou função para ou em nome da entidade coberta.
Indiscutivelmente, é necessária a obtenção de permissão antes que as informações possam ser enviadas a um subcontratado, interferindo nas operações comerciais suaves. O relacionamento não é sem proteção. Qualquer entidade qualificada como associada de negócios é obrigada por regulamento e contrato a cumprir praticamente toda a Regra de Segurança HIPAA e a maioria dos aspectos da Regra de Privacidade. Se ocorrer uma não conformidade, isso seria motivo para encerrar o relacionamento e, dependendo da natureza do problema, investigação e correção pelo OCR ou por qualquer outra agência que possa impor a HIPAA.
Voltando às operações de assistência médica, é um termo amplamente definido no HIPAA. Especificamente, a definição declara o seguinte: “ Operações de assistência médica significam qualquer uma das seguintes atividades da entidade coberta, na medida em que as atividades estão relacionadas a funções cobertas:
(1) Realização de atividades de avaliação e melhoria da qualidade, incluindo avaliação de resultados e desenvolvimento de diretrizes clínicas, desde que a obtenção de conhecimento generalizável não seja o objetivo principal de quaisquer estudos resultantes dessas atividades; atividades de segurança do paciente (conforme definido em 42 CFR 3.20); atividades de base populacional relacionadas à melhoria da saúde ou redução de custos com assistência médica, desenvolvimento de protocolo, gerenciamento de casos e coordenação de assistência, contato com prestadores de serviços de saúde e pacientes com informações sobre alternativas de tratamento; e funções relacionadas que não incluem tratamento;
(2) Analisar a competência ou as qualificações dos profissionais de saúde, avaliar o desempenho do profissional e do prestador, o desempenho do plano de saúde, realizar programas de treinamento nos quais estudantes, estagiários ou profissionais de áreas da saúde aprendem sob supervisão para praticar ou melhorar suas habilidades como assistência médica provedores, treinamento de profissionais que não são de saúde, atividades de credenciamento, certificação, licenciamento ou credenciamento;
(3) Exceto conforme proibido nos termos do § 164.502 (a) (5) (i), subscrição, inscrição, classificação premium e outras atividades relacionadas à criação, renovação ou substituição de um contrato de seguro de saúde ou benefícios de saúde e cessão , garantir ou firmar um contrato de resseguro de risco relacionado a solicitações de assistência médica (incluindo seguro de stop loss e seguro de excesso de perda), desde que os requisitos da § 164.514 (g) sejam atendidos, se aplicável;
(4) Conduzir ou organizar funções de revisão médica, serviços jurídicos e auditoria, incluindo programas de detecção e conformidade de fraudes e abusos;
(5) Planejamento e desenvolvimento de negócios, como a realização de análises de gerenciamento de custos e relacionadas ao planejamento relacionadas ao gerenciamento e operação da entidade, incluindo desenvolvimento e administração de formulários, desenvolvimento ou aprimoramento de métodos de pagamento ou políticas de cobertura; e
(6) Gerenciamento de negócios e atividades administrativas gerais da entidade, incluindo, entre outros:
(i) Atividades de gerenciamento relacionadas à implementação e conformidade com os requisitos deste subcapítulo;
(ii) Atendimento ao cliente, incluindo o fornecimento de análises de dados para os segurados, patrocinadores do plano ou outros clientes, desde que as informações de saúde protegidas não sejam divulgadas a esse segurado, patrocinador do plano ou cliente.
(iii) Resolução de queixas internas;
(iv) A venda, transferência, fusão ou consolidação de toda ou parte da entidade coberta com outra entidade coberta, ou uma entidade que após essa atividade se torne uma entidade coberta e a devida diligência relacionada a essa atividade; e
(v) Consistente com os requisitos aplicáveis do § 164.514, criando informações de saúde não identificadas ou um conjunto de dados limitado e angariação de fundos para o benefício da entidade coberta. ”(Definição de operações de cuidados de saúde no 45 CFR § 164.501)
Como a definição demonstra, as operações de assistência médica abrangem uma ampla gama de atividades que envolvem o funcionamento de uma empresa. Pensando no Google e no Ascension, as operações podem incluir avaliação e melhoria da qualidade, planejamento de negócios e muitos outros problemas. A divulgação de informações de saúde protegidas para um fornecedor desempenhar essas funções é claramente permitida pelo HIPAA.
Além de um contrato de serviços que abrange o escopo do que será executado, o outro requisito principal é um contrato de associado de negócios ("BAA"). Os termos de um BAA são ditados principalmente pelos regulamentos da HIPAA, que podem ser resumidos (como já foi feito acima) como a redução da maioria das obrigações de conformidade para o associado de negócios.
A discussão se concentra em um associado de negócios que usa as informações de saúde protegidas que lhe são confiadas para o benefício da (s) entidade (s) coberta (s) com a qual está trabalhando. Um associado de negócios não pode necessariamente devolver e comercializar independentemente os dados, como vendê-los ou usá-los para marketing. No entanto, um parceiro de negócios pode agregar os dados com outras informações de saúde protegidas que ele possui, com o objetivo de aprimorar ainda mais os serviços que fornece. Esse uso não se traduz em uso de carta branca, mas pode ser amplo.
A única área de atenção é a capacidade de desidentificar informações de saúde protegidas. A Regra de Privacidade estabelece dois métodos pelos quais os dados podem ser desidentificados (45 CFR § 164.514 (a, bec). Se os dados são adequadamente desidentificados, o HIPAA não se aplica mais. No entanto, o que pode não ser mais um argumento acadêmico é se os dados podem realmente ser desidentificados, considerando a infinidade que existe e a variedade de conjuntos que podem ser combinados para re-identificar as informações que antes se acreditava serem concluídas des-identificadas. Essa é uma preocupação real, mas não um que possa ser prontamente respondido.Poderavelmente, essa linha de pensamento sugere uma lacuna no HIPAA em oposição a uma instância de não conformidade.
Embora os acordos entre organizações de saúde e empresas de tecnologia devam ser feitos com cuidado, a mera existência de um relacionamento não é sinal de violação ou não conformidade. Como tal, nomes e percepções falsas podem enganar.
Sobre Matthew Fisher, Partner & Chair da Mirick O'Connell
Matt Fisher é um parceiro da Mirick O'Connell . Ele é o presidente do Health Law Group da empresa e um membro do Business Group da empresa. Matt concentra sua prática no direito da saúde e em todas as áreas de transações corporativas. A prática da lei de saúde de Matt inclui aconselhar os clientes no cumprimento dos requisitos da HIPAA, da Lei Stark, do Estatuto Anti-Kickback e de outros regulamentos no contexto das operações diárias, acordos contratuais e relacionamentos. Ele é membro do Conselho da Seção de Direito da Saúde da American Bar Association, co-presidente do Comitê de Questões Emergentes em Saúde e presidente do Comitê de Marketing.
0 comentários: