HHS-Mut-Gesundheit-Pflege-Meldung von Verstößen gegen Gesetz, Gruppen warnen
Das Gesetz würde erfordern, jede Organisation, die unter dem Health Insurance Portability and Accountability Act (HIPAA) zu Benachrichtigen, die die Patienten von einer Verletzung der Datensicherheit, die Ihre persönlichen Gesundheits-Informationen. Unternehmen, die Verschlüsselung und Vernichtung von Daten Methoden zum Rendern von sensiblen Gesundheitsinformationen unbrauchbar und unlesbar für unbefugte Personen wurden befreit aus der Verletzung Meldepflicht.
Allerdings, in einem interim final rule veröffentlicht Ende letzten Monats, der HHS wurde eine neue "Schaden-Schwelle" für die Meldung von Verstößen gegen die Kritiker sagen völlig Mut die ursprüngliche Absicht des Gesetzes. Unter der Veränderung, health-care-Einheiten werden benötigt, um zu veröffentlichen, bei denen Gesundheits-Daten nur, wenn Sie denken, die Verletzung verursachen, Finanz-oder Reputations-Schaden für die Personen, deren Daten kompromittiert wurde.
Die änderung ermöglicht die health-care-Unternehmen zu tun, ein self-assessment der potenziellen Datenschutz-und fraud-Risiken, die aus einer Verletzung der Datensicherheit und überlässt es Ihnen zu entscheiden, ob eine Mängelrüge berechtigt ist. Wenn einer verletzt Unternehmens entscheidet, es gibt keinen Schaden, es wird keine Verpflichtung zur Offenlegung der Verletzung um jeden-selbst wenn es keine Maßnahmen, die bisher zum Schutz der Daten.
"Der Schaden, den standard untergräbt den Zweck der Meldepflicht, die versicherten Personen, schützen Sie Ihre Patientendaten mit starken Garantien", sagte Harley Geigel, Rechtsberater am Zentrum für Demokratie und Technologie (CDT), eine in Washington ansässige think tank. "Jetzt eine Entität kann vermeiden, Verschlüsselung und Benachrichtigung, da können Sie entscheiden, dass alle Informationen, die veröffentlicht wurde, stellt keine Gefahr", sagte er.
Die HHS reagierte nicht sofort auf eine Anfrage für Kommentar.
Die health-care-Meldung von Verstößen gegen das Gesetz ist Teil der $20 Milliarden im Health Information Technology for Economic and Clinical Health Act (HITECH) , die übergeben wurde, durch den Kongress in diesem Jahr als Teil von Präsident Obamas Konjunkturprogramm. Das Gesetz benötigt HHS zu entwickeln, Regeln für die Meldung von Verstößen gegen die in der health-care-Industrie.
Die interim final rule, enthält der Schaden, der standard, veröffentlicht wurde Ende letzten Monats. In der Begründung für die änderung der HHS, sagte ein Schaden Schwelle war notwendig, um zu verhindern, dass unnötig Meldung von Sicherheitsverletzungen. Er argumentierte, dass die Auswirkungen der Meldungen würde vermindert werden, wenn die Personen wurden "geflutet" mit Mitteilungen über Verstöße, die sich ohne Risiko auf Ihre geschützten Gesundheitsinformationen.
Die öffentlichkeit hat über 40 Tage, um Kommentar auf die interim final rule, bevor es rechtskräftig wird. Aber die Kommentare sind kaum eingewirkt werden, bis der erste HHS update von der Regel im April 2010, nach der CDT. Inzwischen ist die Satzung wird voraussichtlich in Effekt nächste Woche.
Deborah Peel, der Gründer und Vorsitzende der Patient Privacy Rights, eine watchdog-Gruppe in Austin, Texas, verwüsteten die HHS " vorgeschlagen Schaden-Schwelle. Die Entscheidung über die Aufnahme eines Schaden-Schwelle deutet darauf hin, dass die HHS haben könnte, erlag dem Druck der health-care-Branche hat sich vehement gegen eine Meldepflicht, sagte Sie.
"Dieser Schaden Vorschrift tatsächlich verletzt Kongress Absicht, in der stimulus bill", sagte Sie. "Dies ist im wesentlichen eine Branche umschreiben des Gesetzes." Angesichts der Art und Weise, das Gesetz ist formuliert, health-care-Organisationen haben wenig Anreiz, selbst bis zu einer Verletzung mit geschützten Gesundheit, Pflege Daten, sagte Sie.
"Das ist Total für den Schutz der Industrie. Es entfällt der Schutz der Verbraucher, dass der Kongress soll gebaut werden, in es," Peel sagte. Sie fügte hinzu, dass Ihre Organisation Teil einer "Riesen-Resonanz" der vorgeschlagenen änderung durch die nationalen Verbraucherschutz-und privacy-Organisationen.
Angesichts der Art und Weise, in welcher der Schaden Schwellenwert Anforderung wurde eingeführt, in der Mitteilung Rechnung, es erscheint unwahrscheinlich, dass die HHS wird rühren leicht auf die Frage, Geiger, sagte. Bei Ihrer ursprünglichen Antrag auf Informationen über die Benachrichtigungsregel, die HHS gab keine Anzeichen dafür, dass es geplant, mit einer Schaden-Schwelle, Geiger, sagte. Als Ergebnis Organisationen wie dem CDT und der andere hatte keine chance, zu formal oder gegen eine öffentliche Debatte zu der Frage mit dem HHS, sagte er.
"Die Art, wie wir Lesen in der Satzung ein Schaden standard sollte nie festgestellt haben, dass in der Gleichung, um mit zu beginnen," Geiger, sagte. Ursprünglich für die Benachrichtigung Zwecke, ein Verstoß wurde einfach definiert, als ein Kompromiss, in dem geschützten Gesundheit Informationen ausgesetzt wurde oder der Zugriff auf nicht autorisierte Mode, sagte er. "Wie die HHS den Sprung von der Sprache, im Kongress, um die vorläufige endgültige Regel, die wir nicht kennen", sagte er.
Autor: Keylogger.Org Team