Úřad pro občanská práva (OCR) na Ministerstvu zdravotnictví a sociálních služeb (HHS) je odpovědný za prosazování určitých předpisů vydaných podle zákona o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 (HIPAA), ve znění zákona o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (HITECH), za účelem ochrany soukromí a bezpečnosti chráněných zdravotních informací, jmenovitě HIPAA o ochraně soukromí, bezpečnosti a porušení Pravidla (pravidla HIPAA).
diskrétnost Telehealth během koronaviru
během národní nouze COVID-19, která také představuje celostátní nouzovou situaci v oblasti veřejného zdraví, se mohou poskytovatelé zdravotní péče, na které se vztahují pravidla HIPAA, snažit komunikovat s pacienty a poskytovat služby telehealth prostřednictvím technologií vzdálené komunikace. Některé z těchto technologií a způsob, jakým jsou používány poskytovateli zdravotní péče pokrytými HIPAA, nemusí být plně v souladu s požadavky pravidel HIPAA.
OCR bude vykonávat svou pravomoc při vymáhání práva a nebude ukládat sankce za nedodržení regulačních požadavků podle pravidel HIPAA vůči krytým poskytovatelům zdravotní péče v souvislosti s poskytováním telehealth v dobré víře během celostátní nouze v oblasti veřejného zdraví COVID-19. Toto oznámení je účinné okamžitě.
poskytovatel kryté zdravotní péče, který chce používat audio nebo video komunikační technologii k poskytování telehealth pacientům během celostátní nouze o veřejné zdraví COVID-19, může použít jakýkoli neveřejný produkt vzdálené komunikace, který je k dispozici pro komunikaci s pacienty. OCR vykonává své rozhodnutí o vymáhání, aby neukládala sankce za nedodržení pravidel HIPAA v souvislosti s poskytováním telehealth v dobré víře pomocí takových neveřejných zvukových nebo video komunikačních produktů během celostátní nouze o veřejné zdraví COVID-19. Toto uvážení se vztahuje na telehealth poskytovaný z jakéhokoli důvodu, bez ohledu na to, zda služba telehealth souvisí s diagnostikou a léčbou zdravotních stavů souvisejících s COVID-19.
poskytovatel zdravotní péče může například při výkonu svého odborného úsudku požádat o vyšetření pacienta s příznaky COVID-19 pomocí aplikace pro videochat, která propojuje telefon nebo stolní počítač poskytovatele nebo pacienta s cílem posoudit větší počet pacientů a zároveň omezit riziko infekce jiných osob, které by byly vystaveny osobní konzultaci. Podobně může poskytovatel zdravotní péče poskytovat podobné telehealth služby při výkonu svého odborného úsudku za účelem posouzení nebo léčby jakéhokoli jiného zdravotního stavu, i když nesouvisí s COVID-19, jako je podvrtnutý Kotník, zubní konzultace nebo psychologické hodnocení nebo jiné podmínky.
podle tohoto oznámení mohou krytí poskytovatelé zdravotní péče používat populární aplikace, které umožňují videochaty, včetně Apple FaceTime, Facebook Messenger video chat, Google Hangouts video, Zoom nebo Skype, poskytovat telehealth bez rizika, že by OCR mohla usilovat o uložení pokuty za nedodržení pravidel HIPAA souvisejících s poskytováním telehealth v dobré víře během celostátní nouze o veřejné zdraví COVID-19. Poskytovatelům se doporučuje, aby informovali pacienty, že tyto aplikace třetích stran potenciálně představují rizika ochrany osobních údajů, a poskytovatelé by měli při používání takových aplikací povolit všechny dostupné režimy šifrování a ochrany osobních údajů.
podle tohoto oznámení jsou však aplikace Facebook Live, Twitch, TikTok a podobné video komunikace veřejné a neměly by být používány při poskytování telehealth krytými poskytovateli zdravotní péče.
pokrytí poskytovatelé zdravotní péče, kteří hledají další ochranu soukromí pro telehealth při používání produktů video komunikace, by měli poskytovat takové služby prostřednictvím dodavatelů technologií, kteří jsou v souladu s HIPAA a uzavřou dohody HIPAA business associate (BAAs) v souvislosti s poskytováním svých produktů video komunikace. Níže uvedený seznam obsahuje některé dodavatele, kteří představují, že poskytují HIPAA kompatibilní video komunikační produkty a že vstoupí do HIPAA BAA.
- Skype for Business / Microsoft Teams
- Updox
- VSee
- Zoom for Healthcare
- Doxy.me
- Google G Suite Hangouts Meet
- Cisco Webex Meetings / Webex Teams
- Amazon Chime
- GoToMeeting
- Spruce Health Care Messenger
Poznámka: OCR nezkoumala BAAs nabízené těmito dodavateli a tento seznam nepředstavuje schválení, certifikaci ani doporučení konkrétní technologie, softwaru, aplikací nebo produktů. Mohou existovat i další dodavatelé technologií, kteří nabízejí produkty video komunikace kompatibilní s HIPAA, které vstoupí do HIPAA BAA s krytou entitou. Dále, OCR neschvaluje žádnou z aplikací, které umožňují videochaty uvedené výše.
podle tohoto oznámení však OCR neukládá poskytovatelům zdravotní péče sankce za nedostatek BAA u dodavatelů video komunikace nebo za jakékoli jiné nedodržení pravidel HIPAA, která se týkají poskytování telehealth služeb v dobré víře během celostátní nouze o veřejné zdraví COVID-19.
společnost OCR zveřejnila bulletin, v němž informovala kryté subjekty o dalších flexibilitách, které mají k dispozici, jakož i o povinnostech, které zůstávají v platnosti podle HIPAA, protože reagují na krize nebo mimořádné události na https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
pokyny k BAAs, včetně vzorových ustanovení BAA, jsou k dispozici na https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
další informace o bezpečnostních pravidlech HIPAA jsou k dispozici na https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov má technickou pomoc v telehealth na https://www.healthit.gov/telehealth.