HHS budella di salute-cura di notifica di violazione di legge, gruppi di avvertire
La legge richiede alcuna organizzazione coperti sotto la Health Insurance Portability e Accountability Act (HIPAA) di informare i pazienti di una violazione dei dati che coinvolgono le loro informazioni sanitarie personali. Aziende che hanno utilizzato la crittografia e la distruzione dei dati metodologie per eseguire il rendering di informazioni riservate sulla salute inutilizzabile e illeggibile da persone non autorizzate erano esenti dalla violazione obbligo di notifica.
Tuttavia, in un finale ad interim in regola pubblicato alla fine del mese scorso, HHS ha introdotto una nuova "soglia di danno" per la notifica delle violazioni, che i critici dicono completamente budella intento originario del disegno di legge. Con il cambiamento, la sanità enti saranno tenuti a divulgare pubblicamente le violazioni che coinvolgono dati sanitari solo se pensano che la violazione causa finanziaria o danno alla reputazione di coloro ai quali i dati è stata compromessa.
La modifica consente a aziende sanitarie per fare una auto-valutazione del potenziale di privacy e rischi di frode derivanti dalla violazione dei dati e lascia che siano loro a decidere se la notifica è giustificato. Se una violato azienda decide che non c'è male, non avrà alcun obbligo di rivelare la violazione di chiunque-anche se essa non aveva preso provvedimenti in precedenza per proteggere i dati.
"Il danno standard completamente mina lo scopo di notifica obbligatoria, che è quello coperto entità proteggere i loro dati paziente con forti garanzie", ha detto Harley Geigel, consulente legale presso il Center for Democracy and Technology (CDT), con sede a Washington think tank. "Ora, un'entità può evitare sia per la crittografia e la notifica perché possono decidere che tutte le informazioni che è stato rilasciato non pone alcun rischio," ha detto.
L'HHS non ha risposto immediatamente alla richiesta di commento.
Sanitaria di notifica di violazione di legge è parte del 20 miliardi di dollari di Salute Tecnologia dell'Informazione per la Salute Economica e Clinica Atto (HITECH) che fu approvata dal Congresso all'inizio di quest'anno come parte del Presidente Obama, per il piano di stimolo economico. L'atto richiede HHS per sviluppare regole per la notifica delle violazioni in materia di salute-cura l'industria.
Il finale ad interim in regola, che contiene il danno standard, è stato rilasciato alla fine del mese scorso. Nel giustificare il cambiamento, HHS ha detto un danno soglia è stata necessaria per evitare inutile notifica della violazione. Esso ha sostenuto che l'impatto delle notifiche sarebbe diminuita se l'individuo ha "invaso" con avvisi di violazioni che pone alcun rischio per la loro informazioni sanitarie protette.
Il pubblico ha circa 40 giorni per commentare la finale ad interim in regola prima che diventi definitiva. Ma i commenti sono improbabile per subire fino a quando il primo HHS aggiornamento alla regola nel mese di aprile 2010, secondo il CDT. Nel frattempo, lo statuto è previsto per entrare in vigore la prossima settimana.
Deborah Buccia, fondatore e presidente di Privacy del Paziente Diritti, un gruppo di controllo in Austin, Texas, ha fatto saltare i HHS' proposto danno soglia. La decisione di includere un danno soglia suggerisce che l'HHS potrebbe avere ceduto alle pressioni dell'industria di salute-cura, che si è opposto con veemenza un obbligo di notifica, ha detto.
"Questo requisito del danno effettivamente lesivo Congresso' intento del disegno di legge di stimolo", ha detto. "Questo è essenzialmente un settore di riscrittura della legge". Dato il modo in cui la legge è formulata, la sanità organizzazioni si sono poco incentivati a possedere fino a una violazione coinvolge protetta dei dati sanitari, ha detto.
"Questo è tutto per la tutela del settore. Elimina la protezione dei consumatori, che il Congresso destinato ad essere incorporato in esso," Peel, ha detto. Ha aggiunto che la sua organizzazione sarà parte di un "gigante risposta" per il cambiamento proposto da nazionali di tutela dei consumatori e della privacy organizzazioni.
Dato il modo in cui il danno soglia requisito è stato introdotto nella notifica bill, sembra improbabile che i HHS sposterà facilmente il problema, Geiger ha detto. Quando si effettua la sua originaria Richiesta di Informazioni sulla regola di notifica, HHS ha dato alcuna indicazione che si prevede di avere una soglia di danno, Geiger ha detto. Come risultato, le organizzazioni come la CDT e altri non avevano nessuna possibilità di opporsi formalmente o di avere un dibattito pubblico sulla questione con HHS, ha detto.
"Il modo in cui abbiamo letto lo statuto, un danno standard dovrebbe mai pensato che nell'equazione per cominciare," Geiger ha detto. Originariamente per fini di notifica, una violazione è stata definita semplicemente come un compromesso in cui le informazioni sanitarie protette è stato esposto o accesso non autorizzato, moda, ha detto. "Come HHS ha fatto il salto dalla lingua in Congresso per la finale ad interim regola non sappiamo", ha detto.
Autore: Keylogger.Org Team