Het Bureau voor Burgerlijke Rechten (OCR) op het Ministerie van Volksgezondheid en Human Services (HHS) is verantwoordelijk voor de naleving van bepaalde voorschriften uitgegeven in het kader van de Health Insurance Portability and Accountability Act van 1996 (HIPAA), zoals gewijzigd door de Health Information Technology for Economic and Clinical Health (HITECH) Act, beschermen van de privacy en de veiligheid van beschermde gezondheidsinformatie, namelijk de HIPAA-Privacy Veiligheid en Breach Notification Regels (de HIPAA-regels).
Telehealth Goeddunken in Coronavirus
Tijdens de COVID-19 nationale noodtoestand, die ook onder de noemer van een nationale noodtoestand voor de openbare gezondheid, bedekt zorgverleners onderworpen aan de HIPAA-Regels kunnen proberen om te communiceren met patiënten en bieden telehealth diensten, door middel van externe communicatie technologieën. Sommige van deze technologieën, en de manier waarop ze worden gebruikt door door HIPAA gedekte zorgverleners, voldoen mogelijk niet volledig aan de vereisten van de HIPAA-regels.
OCR zal haar handhavingsbevoegdheden uitoefenen en zal geen sancties opleggen voor niet-naleving van de wettelijke vereisten van de HIPAA-regels tegen onder de richtlijn vallende zorgverleners in verband met het te goeder trouw verstrekken van telegezondheidszorg tijdens de landelijke noodsituatie op het gebied van de volksgezondheid. Deze kennisgeving is onmiddellijk van kracht.
een overdekte zorgverlener die audio-of videocommunicatietechnologie wil gebruiken om patiënten telegezondheid te bieden tijdens de covid-19 landelijke volksgezondheidsnoodsituatie, kan elk niet-openbaar gericht communicatieproduct op afstand gebruiken dat beschikbaar is om met patiënten te communiceren. OCR maakt gebruik van haar handhavingsbevoegdheden om geen sancties op te leggen voor niet-naleving van de HIPAA-regels in verband met de levering te goeder trouw van telegezondheid met behulp van dergelijke niet-openbare audio-of videocommunicatieproducten tijdens de covid-19 landelijke volksgezondheidsnoodsituatie. Deze discretionaire bevoegdheid is van toepassing op telegezondheidszorg om welke reden dan ook, ongeacht of de telegezondheidsdienst verband houdt met de diagnose en behandeling van gezondheidsvoorschriften met betrekking tot COVID-19.
een gedekte zorgverlener kan bijvoorbeeld bij de uitoefening van zijn professionele oordeel verzoeken om een patiënt die COVID – 19-symptomen vertoont, te onderzoeken met behulp van een videochattoepassing die de telefoon of desktopcomputer van de zorgverlener of patiënt met elkaar verbindt om een groter aantal patiënten te beoordelen en tegelijkertijd het risico op infectie van andere personen die tijdens een persoonlijk consult zouden worden blootgesteld, te beperken. Evenzo kan een gedekte zorgverlener soortgelijke telegezondheidsdiensten verlenen bij de uitoefening van zijn professionele oordeel om een andere medische aandoening te beoordelen of te behandelen, zelfs als deze niet verband houdt met COVID-19, zoals een verstuikte enkel, tandheelkundig consult of psychologische evaluatie, of andere aandoeningen.
krachtens deze kennisgeving kunnen onder dekking van zorgaanbieders populaire toepassingen gebruiken die videochats toestaan, waaronder Apple FaceTime, Facebook Messenger-videochat, Google Hangouts-video, Zoom of Skype, om telegezondheid te bieden zonder het risico dat OCR een boete zou proberen op te leggen voor niet-naleving van de HIPAA-regels met betrekking tot het te goeder trouw aanbieden van telegezondheid tijdens de covid-19-noodsituatie in het hele land. Aanbieders worden aangemoedigd om patiënten ervan in kennis te stellen dat deze toepassingen van derden mogelijk privacyrisico ‘ s met zich meebrengen, en aanbieders moeten alle beschikbare encryptie-en privacymodi inschakelen bij het gebruik van dergelijke toepassingen.
volgens deze mededeling zijn Facebook Live -, Twitch -, TikTok-en soortgelijke videocommunicatietoepassingen echter voor het publiek bestemd en mogen zij niet worden gebruikt bij het aanbieden van telegezondheidszorg door onder de richtlijn vallende zorgverleners.
onder de richtlijn vallende zorgverleners die aanvullende Privacybescherming voor telegezondheidszorg zoeken terwijl zij videocommunicatieproducten gebruiken, moeten dergelijke diensten aanbieden via technologieleveranciers die HIPAA-compliant zijn en zullen HIPAA business associate agreements (BAAs) sluiten in verband met de levering van hun videocommunicatieproducten. De lijst hieronder bevat een aantal leveranciers die verklaren dat ze HIPAA-compatibele videocommunicatieproducten leveren en dat ze een HIPAA BAA zullen aangaan.
- Skype for Business / Microsoft-Teams
- Updox
- VSee
- Zoom voor de Gezondheidszorg
- Doxy.ik
- Google G Suite Hangouts Voldoen aan
- Cisco Webex Meetings / Webex Teams
- Amazon Gong
- GoToMeeting
- Sparren Gezondheidszorg Messenger
Opmerking: OCR niet beoordeeld de BAAs aangeboden door deze leveranciers, en deze lijst houdt geen bekrachtiging, certificering of aanbeveling van een specifieke technologie, software, toepassingen of producten. Er kunnen andere technologieleveranciers zijn die HIPAA-compatibele videocommunicatieproducten aanbieden die een HIPAA BAA aangaan met een gedekte entiteit. Verder, OCR ondersteunt geen van de toepassingen die het mogelijk maken voor video chats hierboven vermeld.
op grond van deze mededeling zal OCR echter geen sancties opleggen aan onder de richtlijn vallende zorgverleners voor het ontbreken van een BAA bij leveranciers van videocommunicatie of enige andere niet-naleving van de HIPAA-regels die betrekking hebben op het te goeder trouw verlenen van telegezondheidsdiensten tijdens de nationale noodsituatie op het gebied van de volksgezondheid van COVID-19.
OCR heeft een bulletin gepubliceerd waarin de betrokken entiteiten worden geïnformeerd over verdere flexibiliteit die hun ter beschikking staat en over verplichtingen die onder HIPAA van kracht blijven wanneer zij reageren op crises of noodsituaties bij https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
richtsnoeren voor BAAs, met inbegrip van de BAA-bepalingen in de steekproef, zijn beschikbaar bij https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
aanvullende informatie over veiligheidsregels voor HIPAA is beschikbaar op https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov heeft technische bijstand op het gebied van telegezondheidszorg bij https://www.healthit.gov/telehealth.