Co to jest HIPAA i jak wpływa na nasze zrozumienie koronawirusa?

Przywoływany jest powszechnie niezrozumiany akt, aby ograniczyć dostęp do danych dotyczących COVID-19

Szpital Lenox Hill na Manhattanie, Nowy Jork, 7 kwietnia 2020 r. (John Nacion/STAR MAX/IPx)

To wyjaśnienie zostało pierwotnie opublikowane w Pokrycie COVID-19 , nasz codzienny briefing Poyntera na temat dziennikarstwa i koronawirusa, napisany przez starszy wykładowca Al Tompkins. Zarejestruj się tutaj, aby dostawać go do Twojej skrzynki odbiorczej każdego ranka w dni powszednie.

Nic nie pomogłoby nam lepiej zrozumieć powagi sytuacji związanej z COVID-19, niż gdybyśmy mogli zobaczyć efekty rozwijające się w naszych szpitalach.

Szpitale blokują dziennikarzom dokumentowanie tego, jak to jest za ich ścianami oraz braków wentylatorów i innych materiałów, więc polegamy na mediach społecznościowych i wywiady z lekarzami . Ale widzieć to wierzyć, mówi stare powiedzenie. To prawda w wojnie, to prawda w katastrofach, a to jest zarówno wojna, jak i katastrofa.

„Istnieje jednoznaczna wartość informacyjna w dostarczaniu ludziom obrazów ze szpitali, z linii frontu tego wirusa”, prezes NBC News, Noah Oppenheim powiedział The Washington Post . Dodał: „To bardzo ważne, abyśmy mogli pokazać światu jak najwięcej takich zdjęć”.

Trzymajmy hamulce na tyle długo, by powiedzieć, że żaden rozsądny człowiek nie zasugerowałby dziennikarzom, żeby zakradli się do szpitali, żeby robić zdjęcia. I żadna rozsądna osoba nie zasugerowałaby dziennikarzom obchodzenia się z chorymi pacjentami bez maksymalnych środków ostrożności i ochrony. Przez tę chorobę straciliśmy już kolegów, a inni już chorowali.

Ale jest wiele do dowiedzenia się o tym, kto i co HIPAA zajmuje się, a czego nie obejmuje.

Odkąd w roku 2003 uchwalono ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. i związaną z nią zasadę prywatności, stała się ona barierą dla dziennikarzy szukających nawet podstawowych informacji w szpitalach, domach opieki, wydziałach zdrowia, lekarzach sądowych i policji.

Teraz, w chwili, gdy opinia publiczna domaga się wiarygodnych danych na temat rozprzestrzeniania się i skutków COVID-19, dziennikarze nie mogą uzyskać danych i obrazów, które pomogłyby społeczeństwu zrozumieć pilność tej pandemii. Gdybyśmy mogli to zobaczyć, nie byłoby zaprzeczenia braków w ochraniaczach.

Na Florydzie, Gubernator Ron DeSantis odmówił nazwania domów opieki gdzie pacjenci uzyskali wynik pozytywny. Tampa Bay Times (należący do Poyntera) donosił:

Administracja DeSantis opierała dotychczasową odmowę nadawania nazw domom pozytywnych rezultatów na chęci ochrony poufności mieszkańców. Chociaż DeSantis nie wymienił prawa, wydaje się, że powołuje się na federalną ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), która chroni dokumentację medyczną pacjentów i prywatność.

Pamela Marsh, była czołowa prokurator federalna, która teraz kieruje Fundacja First Poprawka Foundation z siedzibą w Tallahassee sugerował, że ustawa HIPAA to listek figowy używany do ukrywania ważnych informacji.

„Ta informacja powinna zostać udostępniona”, powiedział Marsh, były prawnik Stanów Zjednoczonych z północnej Florydy dla (Miami) Herald. „To nie może być zwykły biznes dla rodzin bliskich pod opieką”.

Kiedy rząd stanowy nie chciał nazwać domów opieki, same firmy powiedziały opinii publicznej że niektórzy z ich mieszkańców mieli pozytywny wynik testu na obecność wirusa.

Organizacja non-profit Families for Better Care rozpoczęła kampanię w mediach społecznościowych, atakując gubernatora za to, że nie poinformował o tym, co wydały nawet same domy opieki.

Post na Twitterze od Families for Better Care (@FFBC)

Nawet jeśli niektóre domy opieki i szpitale przyjmują HIPAA jako powód, by nie ujawniać ogólnych informacji o pacjentach, których leczyli, istnieje wiele przykładów, kiedy rutynowo zgłaszają takie rzeczy. Brian Lee, dyrektor wykonawczy Families for Better Care, powiedział WJXT-TV (Jacksonville):

„Słuchaj, publikują informacje o obiektach na całej swojej stronie internetowej. Mają wyniki inspekcji, ilekroć zdarzają się epidemie świerzbu, są epidemie norowirusów, informacje są publikowane. Nie mogą dłużej używać tej wymówki. To śmieszne. Nie udostępniają niczyich informacji dotyczących indywidualnej opieki zdrowotnej. O to właśnie chodzi w HIPAA – indywidualne informacje zdrowotne”.

W stanie Iowa urzędnicy ds. zdrowia w kilku hrabstwach nie ujawnili, ile osób wykonało testy na COVID-19 i podało HIPAA jako jeden z powodów, dla których nie ujawnili informacji. Dyrektor wykonawczy Rady Wolności Informacji w stanie Iowa Randy Evans zauważył te same szpitale nie mają problemu z informowaniem, ile dzieci rocznie rodzi się w ich placówkach.

Pierwszą rzeczą do zrozumienia jest to, że HIPAA odnosi się TYLKO do „podmioty objęte” które obejmują świadczeniodawców opieki zdrowotnej (takich jak ratownicy medyczni, lekarze, pielęgniarki i pracownicy socjalni) oraz firmy ubezpieczeniowe. HIPAA nie obejmuje dziennikarzy, policji i straży pożarnej (z wyjątkiem sanitariuszy). HIPAA nie obejmuje organizacji religijnych, które nie są świadczeniodawcami opieki zdrowotnej.

Amerykański Departament Zdrowia i Opieki Społecznej wydał konkretna strona instruktażowa za to, jak HIPAA odnosi się do epidemii COVID-19. Poradnik przypomina świadczeniodawcom, w tym lekarzom, że nie mogą zwolnić szczegółowe informacje o pacjencie — imię i nazwisko takiej osoby, która uzyskała pozytywny (lub negatywny) wynik testu na COVID-19 — bez pisemnej zgody pacjenta.

Ale wyjaśnijmy: HIPAA miał na celu: chronić indywidualne informacje medyczne i zdrowotne . Te indywidualne zabezpieczenia nadal obowiązują nawet podczas pandemii. HIPAA nie pozwala świadczeniodawcy opieki na ujawnienie indywidualnych informacji demograficznych, ale kluczowym słowem jest „indywidualny”. Dlatego szpitale mogą np. w przypadku masowej strzelaniny powiedzieć, ile osób zostało przyjętych, poszło na operację, zostało wyleczonych i zwolnionych.

HIPAA obejmuje „chronione informacje zdrowotne”, które umożliwiają identyfikację osoby. Tak więc, chociaż stwierdzenie przez pracownika służby zdrowia, że ​​70% łóżek na OIOM jest zapełnionych lub że przetestował 300 osób lub że wszystkie osoby na OIOM mają więcej niż 65 lat, nie byłoby naruszeniem HIPAA, byłoby to naruszeniem powiedzieć „Al Tompkins jest na oddziale intensywnej terapii”. Ponownie, dotyczy to tylko „zakrytej istoty”. Zgłoszenie nazwiska przez dziennikarza nie jest naruszeniem ustawy HIPAA, jest to jedynie problem dla pracownika służby zdrowia.

A HIPAA umożliwia świadczeniodawcy opieki zdrowotnej ujawnienie nawet danych osobowych organom zdrowia publicznego – na przykład Centrom Kontroli i Zapobiegania Chorobom – w celu kontrolowania choroby, takiej jak COVID-19. (Patrz 45 CFR § 164.501 i 164.512(b)(1)(i).)

Mój przyjaciel, radca prawny National Press Photographers Association, Mickey Osterreicher, zaoferował trochę… porady dla dziennikarzy, jeśli policjanci lub szpitale próbują powstrzymać twoje zgłaszanie COVID-19 . Powiedział, że słyszy od niektórych fotoreporterów, że szpitale próbowały wykorzystać HIPAA jako powód, by zabronić fotografom fotografowania budynków szpitalnych lub pracowników.

ProPublica również opublikowana pomoc dla dziennikarzy próbujących poruszać się po zasadach HIPAA :

Nawet z HIPAA nadal możesz uzyskać „odidentyfikowane” dane

Jeśli zestaw danych został „odidentyfikowany”, zasady ochrony prywatności HIPAA nie aplikuj . Istnieją dwie metody deidentyfikacji: „ bezpieczny port ”, co eliminuje pola, które ujawniają informacje umożliwiające identyfikację osoby, oraz „determinację ekspercką”, która polega na ekspertyzach w celu sprawdzenia, czy istnieje ograniczone ryzyko identyfikacji pacjentów.

• Sprawdź, czy dane pozbawione elementów identyfikujących są dostępne do pobrania online. Lokalne i stanowe agencje zdrowia czasami umieszczają w sieci zestawy danych pozbawionych elementów umożliwiających identyfikację. Te zestawy danych mają minimalne, jeśli w ogóle, ograniczenia w ich wykorzystaniu.
• Poproś urzędnika ds. dokumentacji o usunięcie pól umożliwiających identyfikację osób. Jeśli żądane dane dotyczące zdrowia zawierają jakiekolwiek identyfikatory osobiste, rozważ żądanie danych z usuniętymi lub zredagowanymi tymi zmiennymi. Jeśli istnieją numery konta lub PESEL umożliwiające identyfikację każdego pacjenta, poproś o fałszywe identyfikatory (ale upewnij się, które zmienne zostały zastąpione fikcyjnymi numerami).
• Poproś o dane zbiorcze. Niektórzy inspektorzy mogą odmówić Twojej prośbie ze względu na to, że agregowanie danych jest tym samym, co „tworzenie” danych, do czego mogą nie być prawnie zobowiązani. Zapytaj ładnie i negocjuj! Jeśli jesteś w stanie uzyskać dane zagregowane (lub dane, które możesz opublikować tylko w formie zagregowanej), możesz zostać objęty zakazem publikowania danych dotyczących małych grup osób w celu ochrony prywatności pacjentów.

Al Tompkins jest starszym wykładowcą w Poynter. Można się z nim skontaktować pod adresem e-mail lub na Twitterze @atompkins.