byrån för medborgerliga rättigheter (OCR) vid Institutionen för hälsa och mänskliga tjänster (HHS) ansvarar för att upprätthålla vissa bestämmelser utfärdade enligt Health Insurance Portability and Accountability Act från 1996 (HIPAA), ändrad genom Health Information Technology for Economic and Clinical Health (HITECH) Act, för att skydda integriteten och säkerheten för skyddad hälsoinformation, nämligen HIPAA Privacy, Security and Breach Notification Regler (HIPAA-reglerna).
Telehealth-diskretion under Coronavirus
under COVID-19 nationell nödsituation, som också utgör en rikstäckande folkhälsosituation, kan täckta vårdgivare som omfattas av HIPAA-reglerna försöka kommunicera med patienter och tillhandahålla telehälsovårdstjänster via fjärrkommunikationsteknik. Vissa av dessa tekniker, och det sätt på vilket de används av HIPAA-täckta vårdgivare, kanske inte helt uppfyller kraven i HIPAA-reglerna.
OCR kommer att utöva sitt verkställighetsbegränsning och kommer inte att införa påföljder för bristande efterlevnad av de lagstadgade kraven enligt HIPAA-reglerna mot täckta vårdgivare i samband med god tro tillhandahållande av telehälsa under COVID-19 nationwide public health emergency. Denna anmälan träder i kraft omedelbart.
en täckt vårdgivare som vill använda ljud-eller videokommunikationsteknik för att tillhandahålla telehälsa till patienter under COVID-19 nationwide public health emergency kan använda alla icke-offentliga fjärrkommunikationsprodukter som är tillgängliga för att kommunicera med patienter. OCR utövar sitt verkställighetsbegränsning för att inte införa påföljder för bristande efterlevnad av HIPAA-reglerna i samband med god tro tillhandahållande av telehälsa med hjälp av sådana icke-offentliga ljud-eller videokommunikationsprodukter under COVID-19 rikstäckande folkhälsosituation. Denna utövande av diskretion gäller telehälsa som tillhandahålls av någon anledning, oavsett om telehälsovården är relaterad till diagnos och behandling av hälsotillstånd relaterade till COVID-19.
till exempel kan en täckt vårdgivare vid utövandet av sin professionella bedömning begära att undersöka en patient som uppvisar COVID – 19-symtom med hjälp av en videochattapplikation som ansluter leverantörens eller patientens telefon eller stationära dator för att bedöma ett större antal patienter samtidigt som risken för infektion begränsas av andra personer som skulle utsättas från ett personligt samråd. På samma sätt kan en täckt vårdgivare tillhandahålla liknande telehälsovårdstjänster vid utövandet av sin professionella bedömning för att bedöma eller behandla något annat medicinskt tillstånd, även om det inte är relaterat till COVID-19, Såsom en stukad fotled, tandkonsultation eller psykologisk utvärdering eller andra tillstånd.
enligt detta meddelande kan vårdgivare som omfattas använda populära applikationer som möjliggör videochattar, inklusive Apple FaceTime, Facebook Messenger-videochatt, Google Hangouts-video, Zoom eller Skype, för att tillhandahålla telehälsa utan risk för att OCR kan försöka ålägga ett straff för bristande efterlevnad av HIPAA-reglerna relaterade till god tro tillhandahållande av telehälsa under COVID-19 rikstäckande folkhälsosituation. Leverantörer uppmuntras att meddela patienter att dessa tredjepartsapplikationer potentiellt inför integritetsrisker, och leverantörer bör möjliggöra alla tillgängliga krypterings-och integritetslägen när de använder sådana applikationer.
enligt detta meddelande är Facebook Live, Twitch, TikTok och liknande videokommunikationsapplikationer offentliga inför och bör inte användas vid tillhandahållande av telehälsa av täckta vårdgivare.
täckta vårdgivare som söker ytterligare integritetsskydd för telehälsa när de använder videokommunikationsprodukter bör tillhandahålla sådana tjänster genom teknikleverantörer som är HIPAA-kompatibla och kommer att ingå HIPAA business associate agreements (BAAs) i samband med tillhandahållandet av deras videokommunikationsprodukter. Listan nedan innehåller några leverantörer som representerar att de tillhandahåller HIPAA-kompatibla videokommunikationsprodukter och att de kommer att ingå i en HIPAA BAA.
- Skype för företag / Microsoft-Team
- Updox
- VSee
- Zoom För Sjukvård
- Doxy.me
- Google G Suite Hangouts Meet
- Cisco Webex Meetings / Webex Teams
- Amazon Chime
- GoToMeeting
- Spruce Health Care Messenger
Obs: OCR har inte granskat de BAAs som erbjuds av dessa leverantörer, och den här listan utgör inte ett godkännande, certifiering eller rekommendation av specifik teknik, programvara, applikationer eller produkter. Det kan finnas andra teknikleverantörer som erbjuder HIPAA-kompatibla videokommunikationsprodukter som kommer att ingå i en HIPAA BAA med en täckt enhet. Vidare stöder OCR inte några av de applikationer som tillåter videochattar som anges ovan.
enligt detta meddelande kommer OCR emellertid inte att ålägga påföljder mot täckta vårdgivare för bristen på en BAA med videokommunikationsleverantörer eller någon annan bristande efterlevnad av HIPAA-reglerna som gäller god tro tillhandahållande av telehälsotjänster under COVID-19 rikstäckande folkhälsosituation.
OCR har publicerat en bulletin som ger råd till täckta enheter om ytterligare flexibilitet som är tillgängliga för dem samt skyldigheter som förblir i kraft enligt HIPAA när de svarar på kriser eller nödsituationer vid https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
vägledning om BAA, inklusive prov Baa bestämmelser, finns på https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
ytterligare information om HIPAA-Säkerhetsregelskydd finns på https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov har tekniskt stöd på telehälsa på https://www.healthit.gov/telehealth.