L’Ufficio per i Diritti Civili (OCR), presso il Dipartimento di Salute e Servizi Umani (HHS) è responsabile dell’applicazione di talune disposizioni emanate sotto la Health Insurance Portability e Accountability Act del 1996 (HIPAA), come modificato dalla Salute Tecnologia dell’Informazione per la Salute Economica e Clinica (HITECH) Agire per la tutela della privacy e sicurezza delle informazioni sanitarie protette, vale a dire la HIPAA Privacy, La sicurezza e la Notifica delle Violazioni Regole (le regole HIPAA).
Discrezionalità Telehealth Durante il Coronavirus
Durante l’emergenza nazionale COVID-19, che costituisce anche un’emergenza sanitaria pubblica a livello nazionale, gli operatori sanitari coperti soggetti alle regole HIPAA possono cercare di comunicare con i pazienti e fornire servizi di telehealth, attraverso tecnologie di comunicazione remota. Alcune di queste tecnologie, e il modo in cui sono utilizzati dai fornitori di assistenza sanitaria HIPAA coperti, potrebbero non essere pienamente conformi ai requisiti delle regole HIPAA.
OCR eserciterà la propria discrezionalità di esecuzione e non imporrà sanzioni per il mancato rispetto dei requisiti normativi ai sensi delle regole HIPAA nei confronti dei fornitori di assistenza sanitaria coperti in relazione alla fornitura in buona fede di telehealth durante l’emergenza sanitaria pubblica nazionale COVID-19. Questa notifica ha effetto immediato.
Un fornitore di assistenza sanitaria coperto che desidera utilizzare la tecnologia di comunicazione audio o video per fornire la telemedicina ai pazienti durante l’emergenza sanitaria pubblica nazionale COVID-19 può utilizzare qualsiasi prodotto di comunicazione remota non pubblico disponibile per comunicare con i pazienti. OCR sta esercitando la sua discrezionalità di applicazione per non imporre sanzioni per il mancato rispetto delle regole HIPAA in relazione alla fornitura in buona fede di telehealth utilizzando tali prodotti di comunicazione audio o video non pubblici durante l’emergenza sanitaria pubblica nazionale COVID-19. Questo esercizio di discrezionalità si applica alla telehealth fornita per qualsiasi motivo, indipendentemente dal fatto che il servizio di telehealth sia correlato alla diagnosi e al trattamento di condizioni di salute correlate alla COVID-19.
Per esempio, una coperta fornitore di assistenza sanitaria, nell’esercizio del giudizio professionale può richiedere di esaminare un paziente espositrici COVID – 19 sintomi, utilizzando un’applicazione di chat video collegamento del fornitore o del paziente telefono o computer desktop, al fine di valutare un numero maggiore di pazienti, limitando il rischio di infezione di altre persone che avrebbero esposto in prima persona la consultazione. Allo stesso modo, un fornitore di assistenza sanitaria coperto può fornire servizi di telehealth simili nell’esercizio del loro giudizio professionale per valutare o trattare qualsiasi altra condizione medica, anche se non correlata alla COVID-19, come una caviglia slogata, una consultazione dentale o una valutazione psicologica o altre condizioni.
al di Sotto di questo Avviso, coperto operatori sanitari possono utilizzare più popolari applicazioni che consentono per le chat video, tra cui Apple FaceTime, Facebook Messenger chat video Hangout di Google video, Zoom, o Skype, per fornire telemedicina senza il rischio che l’OCR potrebbe cercare di imporre una penalità per non aver rispettato le Regole HIPAA relative alla buona fede prestazione di telemedicina durante il COVID-19 nazionale di emergenza per la salute pubblica. I fornitori sono incoraggiati a informare i pazienti che queste applicazioni di terze parti potenzialmente introducono rischi per la privacy e i fornitori dovrebbero abilitare tutte le modalità di crittografia e privacy disponibili quando utilizzano tali applicazioni.
In base a questo Avviso, tuttavia, Facebook Live, Twitch, TikTok e simili applicazioni di comunicazione video sono rivolte al pubblico e non dovrebbero essere utilizzate nella fornitura di telehealth da parte di fornitori di assistenza sanitaria coperti.
I fornitori di assistenza sanitaria coperti che cercano ulteriori protezioni sulla privacy per la telehealth durante l’utilizzo di prodotti di comunicazione video dovrebbero fornire tali servizi tramite fornitori di tecnologia conformi a HIPAA e stipuleranno accordi HIPAA business Associate Agreements (BAAS) in relazione alla fornitura dei loro prodotti di comunicazione video. L’elenco seguente include alcuni fornitori che dichiarano di fornire prodotti di comunicazione video conformi a HIPAA e che entreranno in un BAA HIPAA.
- Skype for Business / Team di Microsoft
- Updox
- VSee
- Zoom per l’assistenza Sanitaria
- Doxy.me
- Google G Suite Hangout Incontrare
- Cisco Webex Meetings / Webex Team
- Amazon Suoneria
- GoToMeeting
- Abete Sanità Messenger
Nota: la funzione OCR non ha esaminato il BAAs offerti da questi venditori, e questo elenco non costituisce un’approvazione, certificazione, o la raccomandazione di specifiche tecnologie, i software, le applicazioni e i prodotti. Potrebbero esserci altri fornitori di tecnologia che offrono prodotti di comunicazione video conformi a HIPAA che entreranno in un BAA HIPAA con un’entità coperta. Inoltre, OCR non approva nessuna delle applicazioni che consentono le chat video sopra elencate.
In base a questo Avviso, tuttavia, OCR non imporrà sanzioni contro i fornitori di assistenza sanitaria coperti per la mancanza di un BAA con i fornitori di comunicazioni video o qualsiasi altra non conformità con le regole HIPAA che si riferisce alla buona fede fornitura di servizi di telehealth durante l’emergenza sanitaria pubblica nazionale COVID-19.
L’OCR ha pubblicato un bollettino che informa le entità coperte di ulteriori flessibilità a loro disposizione e degli obblighi che rimangono in vigore nell’ambito dell’HIPAA quando rispondono a crisi o emergenze a https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
La guida su BaaS, comprese le disposizioni BAA di esempio, è disponibile a https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
Ulteriori informazioni sulle garanzie delle regole di sicurezza HIPAA sono disponibili all’indirizzo https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov ha assistenza tecnica sulla telehealth a https://www.healthit.gov/telehealth.