Wie privat ist privat?

Gesundheit

Schade, dass der patient auf der Suche nach einer festen definition von Privatsphäre – zumindest was Ihre Daten betrifft. Zwei Jahre nachdem die Europäische Union die Implementierung der Datenschutz-Grundverordnung (GDPR), Diskussionen über Privatsphäre im Gesundheitswesen haben eine eigene Dynamik rund um den Globus, nicht zuletzt in den USA, wo die Veränderung ist im Gange, sowohl auf Landes-und Bundesebene. Aber Variationen und Ausnahmen gibt es zuhauf.

Im Januar, die Ankunft der California Consumer Privacy Act (CCPA) eine lokalisierte standard in den USA, die genau beobachtet, die von anderen Staaten – vor allem für seine erheblichen zu erwartenden Auswirkungen auf das Gesundheitswesen Datenschutz-compliance. In Washington DC, die ONC, forciert mit den geplanten Anpassungen für HIPAA -, die berücksichtigt die rasche Entwicklung der gemeinsamen Nutzung von Daten über die gesundheitslandschaft in den letzten 20 Jahren.

In der kurzen Frist, diese kann sich im Rahmen der bestehenden Satzung, aber auf lange Sicht größere strukturelle änderungen sind wahrscheinlich – und in jedem Fall, die Geschwindigkeit der Entwicklung wird wahrscheinlich zu langsam sein, im Jahr der Präsidentschaftswahl.

Während gibt es möglicherweise eine Wahrnehmung, die GDPR einen bedeutenden globalen Einfluss auf die Datenschutz-Gesetz, das Unterschiede bei der Gesundheitsversorgung sind die Daten gespeichert und gemeinsam über den nationalen und internationalen healthcare-Märkte bedeuten, dass es wäre praktisch unmöglich zu erlassen, um es als standard-framework. Der bedeutendste Unterschied zwischen GDPR und CCPA, zum Beispiel, ist der Maßstab: das erstere betrifft alle globales Unternehmen tätigt, die in einem EU-Land (ein Markt von mehr als 550 Millionen Einwohner); der letztere, trotz eines BIP, das macht der Staat das äquivalent der weltweit fünftgrößte Land, nur Auswirkungen auf Unternehmen, die Handel mit den Bürgerinnen und Bürgern von Kalifornien.

OBERFLÄCHLICHE DATA GOVERNANCE ÄHNLICHKEITEN

Darüber hinaus, grundsätzliche überlegungen, die grundlegenden Unterschiede liegen in der Komplexität dieser Wahrzeichen Rechtsvorschriften. Zum Beispiel, GDPR deckt alle Aspekte der Daten-Erhebung, Speicherung, Verarbeitung, Weitergabe und cross-border-transfer, und gilt sowohl für die Daten-Prozessor und controller.

CCPA gilt für Unternehmen, aber nicht eingeschlossen sind nicht-for-profit-Organisationen und for-profit-Unternehmen mit einem Umsatz von weniger als $25 Millionen. In Bezug auf den Leistungsumfang, gilt es für Unternehmen, die erzeugen mehr als 50% Ihrer Umsätze durch Monetarisierung der Daten für Kalifornien-Bewohner. Die minimale Schwelle für die Verbraucher-Daten ist die 50.000 – Einwohner-im Gegensatz zu GDPR, die hält, Datenschutz als Grundrecht, CCPA konzentriert sich ganz auf die Rechte der California Verbraucher.

Dieser spezifische Fokus – nicht im Gegensatz zu HIPAA, vorher war ursprünglich entworfen für die Krankenversicherung Sektor – entsteht ein patchwork der Anwendung und Auslegung und vor allem viel Unsicherheit für den Patienten, der angeblich besitzt Ihre Daten.

Globale Vorschriften wie GDPR, CCPA, PIPEDA (Canadas Datenschutz-Gesetz) und LGPD (das äquivalent in Brasilien) alle zum Schutze der Verbraucher vor den Auswirkungen der schlechten Daten-governance-Richtlinien“, sagt Tim Mackey, senior principal consultant bei der Synopsys CyRC (Cybersecurity Research Centre). Der Schlüssel zu diesen Vorschriften sind die dualen Konzepte von Zustimmung und Angemessenheit. Hat die organisation sammeln die Informationen erhalten, die Zustimmung für die Datenerhebung und-war der user die Bereitstellung Zustimmung bewusst, wie die Daten verwaltet werden?“

Mackey sagt, dass, während Patienten vertraut sein könnte mit HIPAA-Anforderungen, die der Zustimmung für die Behandlung und die gemeinsame Nutzung der Daten mit Kostenträgern, sind Sie wahrscheinlich nicht bewusst, wie Ihre Gesundheit Informationen werden gespeichert und vor unbefugtem Zugriff geschützt werden.

Eine der wichtigsten lehren aus der GDPR Erfahrung ist, dass eine klare Identifizierung, wer Daten erhebt und wer bearbeitet Daten, die erforderlich war“, sagt er. Damit die [Verordnung] Autoren anerkannt, dass die Datenverarbeitung ist ein wesentlicher Bestandteil des modernen business und die organisation der Bereitstellung des Dienstes tut dies unter den Vertragsbedingungen festlegen, die von Ihren Kunden. In Wirkung, die Entität, die das sammeln der Daten ist der Kunde der Entität verarbeitet.“

Dies hat zwei Konsequenzen: der data collector ist in der Lage, die Regeln definieren, wie Ihre Daten behandelt werden sollen. Und die Datensammler müssen sich strikt an eine Reihe von Verantwortlichkeiten, um sicherzustellen, dass Benutzer sich Ihrer Rechte bewusst sind und mit Augenmaß ausgeübt wird, bei der Auswahl von Dienstleistern.

DATEN-STEWARDS NICHT EIGENTÜMER

Das gleiche Paradigma könnte leicht gelten für Leistungserbringer, aber mit der Erkenntnis, dass bestimmte Aspekte von Datenschutz-Bestimmungen, wie ein Recht, vergessen zu werden, einfach nicht anwenden können im Gesundheitswesen-Szenario“, sagt Mackey. Anwendung von data-sharing-und Datenschutzgrundsätze, die für die Gesundheit erforderlichen Daten ein shift-in-Konzept von Besitz der Daten auf data-stewardship.

Unter einem stewardship-Modell, alle Provider in der Kette der Versorgung aus der pränatalen bis hin zur end-of-life-Aktie, die Verantwortung für alle Daten, die auf einer bestimmten Person. Jede Schwäche in der Sicherheit Praktiken und Daten-management-Prozesse implementiert, die von den Anbietern entlang der Kette, möglicherweise gibt eine Gesundheit der Patienten Geschichte und schafft das Potenzial für falsche Daten, die könnten sich negativ auf Entscheidungen über die künftige Versorgung.“

Für Richard Cramer, Chef der healthcare-Stratege bei enterprise-cloud-Datenmanagement-Spezialist Informatica, dies ist auch über eine Verschiebung des Fokus von der Einhaltung der Verordnung – welcher form auch immer, die Regelung wird heute oder in der Zukunft, zu gute data governance. Er sagt, dass, anstatt zu verschwinden, Daten-silos haben einfach gewachsen, wie die Daten sammelt, bis zu dem Punkt wo Sie aus der Kontrolle. Mit Daten-chaos auf dem Quell-und dem Verbrauchs-Seiten, die einzige Lösung ist eine automatisierte Daten-Katalog, der legt den Speicherort der Daten, und wer nutzt es.

Wir verwendet, um zu Klagen, die Komplexität der Daten als etwas, das korrigiert werden mussten“, sagt er. Heute müssen wir erkennen, dass Daten, die Unordnung ist ein Merkmal der Daten und die Katalogisierung ist die Lösung.“

Die Gesetzgebung selbst ist in Gefahr, zu einer Ablenkung in die anhaltende Datenschutz-Debatte. Cramer schlägt vor, dass GDPR – und Schwellenländern Rechtsvorschriften, wie CCPA, die offenbar in weiten teilen Ihre DNA mit GDPR – letztlich um „good governance“. Es ist weniger hilfreich bei der Bestimmung der Art der Daten. Pinning Daten, die von einer organisation befreit von HIPAA-Verordnung, zum Beispiel, bleibt frustrierend undurchsichtig, und das sind die Fragen, die noch zu Hause zum roost.

Der Kern der Debatte ist die Konvergenz der modernen Daten-management innerhalb von regulatory compliance“, sagt er. Wir haben jetzt eine enorme Menge von Daten, die geschützt werden sollten-Gesundheit-Informationen – aber es war geschaffen durch eine ganze Reihe von Geräten und Werkzeugen außerhalb der Einheiten, die HIPAA sagt müssen geregelt werden in einer bestimmten Art und Weise.

Müssen wir verlagern unseren Schwerpunkt von der Definition der Entitäten, die müssen reguliert werden, um die Daten, die benötigt werden, definiert durch Art und Nutzung.“

Cramer sagt das Gesundheitswesen hat eine lange Geschichte von Provider zu wollen, beschränken Sie den Zugriff auf Daten und Analysen in Ihre Domäne. In einer Welt, die danach Streben einen umfassenden Kontinuität der Versorgung, Daten-sharing ist nur noch wichtiger geworden.

Die Art und Weise, in dem die Daten verwendet und offengelegt werden sollte, eine grundlegende Frage für die Regulierung und Gesetzgebung für die Zukunft, stimmt Jeff Coughlin, senior director Bundes-und Staatliche Angelegenheiten bei der HIMSS.

HIPAA wurde nicht aktualisiert, in 20 Jahren und es geht einfach nicht berücksichtigen heutigen digitalen Gesundheits-Wirtschaft und den Staat spielen für die visuelle Gesundheit der Lieferung. Der Markt bewegen muss, um bessere Modelle, die es ermöglichen und erleichtern den Informationsaustausch. Regulation ist der Schlüssel, aber es gibt noch genug Verwirrung um HIPAA, zum Beispiel, um die Unsicherheit für Patienten, Anbieter und Verkäufer.

HIPAA ist eine paternalistische Modell in einer Art und Weise“, sagt er. Die Anbieter wollen nicht, um Informationen mit Euch teilen, weil Sie wollen, dass Sie immer wieder kommen, um Sie zu kümmern. Aber manchmal verstecken Sie sich hinter der Idee, dass HIPAA verhindert, dass das teilen. Tut es das nicht. P steht für Tragbarkeit, keine Privatsphäre.“

Dies lässt healthcare in so etwas wie ein Catch-22 situation. Trotz dem Vormarsch der Verordnung, die Patienten werden nicht unbedingt darüber informiert, was Datenschutz bedeutet, wie Ihre Daten verwendet werden, oder geteilt werden. Letztlich sind alle beteiligten in der Kette müssen in der Lage sein, zu erkennen, was die Regeln sind – und dann werden Sie diese befolgen.

Dieser Artikel wurde zuerst veröffentlicht in der neuesten Ausgabe von HIMSS Insights, Daten Erfüllt die Privatsphäre. Healthcare-IT-News und HIMSS Insights sind HIMSS Medien.

Zusammenhängende Posts:
  1. Nach dem Tod einer Elfjährigen: Was ist Mobbing und wie kann ich mein Kind davor schützen?
  2. Ein neuer Zugang zu einer alten Frage: Wie wollen wir eigentlich zusammen? Forscher untersuchen, wie die Zusammenarbeit von Menschen betroffen ist die Bevölkerung-Struktur
  3. Meistens unterschätzt! Kaum ein Lebensmittel ist so gesund wie Rote Beete
  4. Wie ein Umdenken in der Notfallversorgung ist die Lücke zu schließen, eine person zu einem Zeitpunkt