这篇博文涵盖了一些信息屏蔽 (IB) 提醒,包括 2022 年 10 月 6 日的重要性。为了帮助“ IB 参与者”和整个社区,我们推出了一个全新的专用信息屏蔽网页,其中包含从基本监管信息、情况说明书、常见问题解答到类似这样的博客文章等所有内容的链接。我特别想提请您注意我们团队即将于 10 月 6日和 10 月 27日举行的两次虚拟办公时间——单击此处了解更多信息。
提醒 #1 – 信息阻止定义对电子健康信息 (EHI) 范围的限制自 2022 年 10 月 6 日起取消。
自 2022 年 10 月 6 日起,信息屏蔽法规中定义的 EHI将适用于与其访问、交换和使用相关的实践。10 月 5日和 10 月 6日之间的主要区别在于,45 CFR 171.103 中“信息屏蔽”的定义不再将 EHI 限制为美国互操作性核心数据版本 1 (USCDI v1) 中表示的数据元素。
自 2016 年底《21世纪治愈法案》(治愈法案)成为法律,并且我们在 2020 年完成了主要的规则制定活动以来,我们一直努力确保 IB 参与者有充足的时间评估和修改与 EHI 相关的实践,并使其可供访问、交换和使用。这包括将信息阻止法规的适用日期推迟近一年,首先将 适用日期设定为 2020 年 11 月 2 日,然后将该日期延长至 2021 年 4 月 5 日。此外,我们通过信息阻止定义(45 CFR 171.103)和内容和方式例外(45 CFR 171.301)将 EHI 的范围从适用日期起再限制 18 个月。
虽然 IB 参与者在 EHI 范围方面可能面临的事实和情况发生了变化,但 IB 参与者满足信息阻止例外情况的方法通常与 2021 年 4 月 5 日信息阻止法规生效时的方法相同。
提醒#2——IB 参与者的实践包括作为和不作为。
虽然简短而贴切,但牢记这一点尤为重要。尽管技术相关实践可能是最先想到的例子,但信息阻止实践包括但不仅限于它们。其他行为(例如合同谈判和条款)和疏忽可能会阻止、严重阻碍或以其他方式阻碍 EHI 的访问、交换和使用。作为疏忽的一个例子,许多州在法律上要求报告某些疾病和状况,以发现疫情并减少疾病传播。如果遵守此类法律的行为者未能报告,则根据信息阻止法规,这种疏忽可能会干扰 EHI 的访问、交换或使用(请参阅适用的常见问题解答)。
提醒#3——信息阻止法规的例外情况并不是“一刀切”的,而是针对当前情况的事实和环境。
信息图表《治愈法案》要求部长确定不构成信息封锁的合理和必要活动。信息封锁法规(包括例外情况)实施了这一法定指令。例外情况旨在解决并非所有参与者都处于类似情况这一事实,例如参与 CMS 促进互操作性计划的医院和可能未采用经过认证的医疗 IT 的实验室或其他医疗保健提供者。不可行性例外是一个很好的例子,因为它适用于特定 IB 参与者在访问、交换或使用 EHI 时的情况。对于 IB 参与者来说,2022 年 10 月不可行的事情,一年后可能就不不可行了。
我们在 45 CFR 第 171 部分 B 和 C 子部分中确定了八个例外情况,这些例外情况反映了全国各地医疗保健服务的复杂性和异质性。我们鼓励每个人,尤其是 IB 参与者,熟悉每个例外情况以及可以满足这些例外情况的背景。
提醒 #4 – 并非所有电子健康信息都符合监管定义中的 EHI。如果此类信息不是 EHI,则不受信息屏蔽法规的约束。
好消息是,截至 10 月 6日的EHI 定义是大多数 IB 参与者已经熟悉了 20 年的东西 -根据《健康保险流通与责任法案》(HIPAA)隐私规则定义的指定记录集 (DRS)。由于几乎所有 IB 参与者都是 HIPAA 覆盖的实体或业务伙伴,因此DRS 是信息阻止法规和 HIPAA 隐私规则之间共享的基石。简而言之,根据 HIPAA 隐私规则,个人有权访问(并请求修改)的受保护电子健康信息 (ePHI) 与 IB 参与者无法“阻止”的 ePHI 相同。
重要的是,信息阻止规则不仅适用于个人寻求访问自己的 EHI 相关的行为,也适用于 IB 参与者与其企业对企业 (B2B) 关系相关的行为,例如支持治疗、支付和医疗保健运营的行为。
IB 参与者目前为满足 HIPAA 隐私规则要求所做的努力,使他们在理解 EHI 是什么、它可能位于何处以及是否以及为了信息阻止法规的目的而使其可供访问、交换或使用以及有多复杂方面具有坚实的基础。对于医疗保健提供者,特别是大型企业,我们认识到您的 DRS 中包含的内容可能分散在不同的系统(经过认证或未经认证)中。但是,重要的是要记住,您为满足 HIPAA 隐私规则要求而做出的持续努力决定了 EHI 的认定。我们向医疗保健提供者强调的一点是,“您的 DRS 中的 ePHI 构成您的 EHI”,以符合信息阻止法规的目的。在定义范围内,HIPAA 隐私规则允许每个 HIPAA 覆盖实体以满足其业务需求的方式确定其 DRS 的范围。这意味着,例如,医院 不同。
提醒#5——IB 参与者如何使 EHI 可供访问、交换和使用,将根据 批发电子邮件列表 IB 参与者的身份、其技术复杂程度以及寻求访问、交换或使用 IB 参与者的 EHI 的人而有所不同。
信息屏蔽法规不要求 IB 参与者采用或使用某些技术或平台。IB 参与者可以使用“患者门户”、其他 Web 界面、应用程序编程接口 (API) 以及多种技术和平台来使 EHI 可供访问、交换或使用。信息屏蔽法规侧重于可能干扰、阻止或实质阻碍访问、交换或使用 EHI 的做法。例如,虽然信息屏蔽法规没有规定具体技术,但 IB 参与者如何设计、实施、使用或限制与访问、交换或使用 EHI 相关的技术可能会涉及信息屏蔽法规。
提醒#6 - 无论是否涉及 ONC 认证的健康 IT,信息阻止都与“数据”(即 EHI)有关。
正如我们之前和上面的提醒中所述,无论 IB 参与者使用何种技术,《治愈法案》的信息屏蔽条款都适用于 EHI 的访问、交换和使用。我们听到的关于信息屏蔽法规的一个常见误解是,它们依赖于通过 ONC 健康 IT 认证计划认证的健康 IT。相反,信息屏蔽法规和 ONC 的认证法规之间只有有限的联系。
首先,《治愈法案》授权对认证医疗 IT 开发商和供应商处以信息封锁处罚。但是,我们经常提醒利益相关者,认证医疗 IT 开发商和供应商的所有涉及 EHI 的实践,包括与非 ONC 认证医疗 IT 相关的实践,都可能受到信息封锁。因此,认证医疗 IT 开发商完全有可能参与信息封锁,即使其实践与任何 ONC 认证医疗 IT 无关。
其次,只有一小部分 IB 参与者(实际上是一小部分医疗保健提供者)直接使用 ONC 认证的医疗 IT。医疗信息网络/医疗信息交换以及信息屏蔽法规所涵盖的医疗保健提供者(如实验室、药房、肾透析设施、血液中心)可能由于各种原因不太可能拥有或使用 ONC 认证的医疗 IT。这再次强调了医疗保健提供者的观点,即信息屏蔽法规不仅仅关注您使用 ONC 认证的医疗 IT 的 EHI 实践。
第三,我们要强调两种例外情况,它们考虑了参与者可用的技术。作为内容和方式例外的“替代方式”条件的一部分,优先考虑使 EHI 可供访问、交换或与经认证的健康 IT 一起使用。此外,参与者可用的技术类型将是不可行例外的“在特定情况下不可行”条件下的考虑因素,包括是否可以根据内容和方式例外提供 EHI。