国内健康环球医讯家医百科科学探索医药资讯

2025年将带来HIPAA合规的重大变化

New legal developments herald big changes for HIPAA compliance in 2025

美国英语法律
新闻源:Reuters
2025-04-07 21:00:00阅读时长5分钟2115字
2025年HIPAA合规医疗数据数据安全患者访问权负责任数据使用生殖健康隐私法律变革合规措施

内容摘要

2025年可能会成为医疗数据最重要的一年。随着AI和新技术的广泛应用,组织对数据的依赖和投资不断增加,但这也带来了新的法律风险和安全威胁。本文探讨了即将到来的HIPAA合规变化以及如何应对这些变化。

2025年可能是医疗数据最为重要的一年。人工智能(AI)的日益普及和技术进步使得组织比以往任何时候都更加依赖和投资于数据。然而,这些发展也带来了新的法律风险和对受《健康保险流通与责任法案》(HIPAA)保护的健康信息(PHI)的安全威胁。

在负责任的数据使用、患者数据权利、数据安全和隐私方面,HIPAA合规性领域正面临持续的发展和更严格的审查。以下是即将发生的变化以及如何准备应对。

医疗行业正在为数据安全改革做准备

2024年,勒索软件攻击增加了264%,卫生与公众服务部(HHS)民权办公室(OCR)在去年解决了五起勒索软件调查案件。OCR还在2024年底推出了风险分析倡议,重点加强对未适当进行定期安全风险分析(SRA)实体的执法。

虽然HIPAA没有规定SRA的具体格式或方法,但OCR特别针对那些只进行表面化的SRA且未能彻底评估和解决潜在安全风险,或者根本没有进行SRA的实体进行了打击。

安全考虑进一步受到HHS在一月份提出的规则制定的影响,旨在改革HIPAA的安全规则。拟议的变更旨在使安全规则现代化,涵盖技术方面——如修补、加密、多因素认证和渗透测试——并增强对社会工程学的培训和意识,以减轻常见的数据泄露风险。

尽管这些规则重申了OCR的数据安全努力,但拟议规则的行政和技术方面将非常昂贵且繁琐,特别是对于小型医疗机构、自筹资金的健康计划和医疗保健企业来说更是如此。

无论安全规则的更新是否最终确定或从当前形式进行实质性修改,组织都必须主动更新其安全政策和程序。这包括实施培训,教育员工了解新的和新兴的安全威胁,并进行定期、深入的SRA,因为表面化的SRA已成为越来越大的执法风险。

患者访问仍然是高优先级

患者的访问权继续是OCR关注的重点。从2024年3月到11月,OCR解决了五起访问权案件,另一起执法行动于2025年3月7日刚刚宣布。

OCR继续强调及时向患者及其个人代表提供记录访问的重要性。考虑到大多数这些执法行动都是由单一事件或患者请求触发的,显然,一个个体可以暴露广泛的患者访问问题,从而使覆盖实体面临重大财务和法律风险。

这一OCR执法重点也与HHS信息阻塞规则的核心目标之一相一致,该规则旨在改善必要各方之间基本电子健康信息的流动。最近,HHS发布了两项旨在提高互操作性和解决信息阻塞问题的最终规则。这些规则于2024年12月生效,明确了医疗服务提供者何时可以共享电子健康信息,引入了新的隐私和安全要求,并扩展了一些信息阻塞例外情况,以允许提供者遵守患者请求。

覆盖实体和业务关联方应利用最近的信息阻塞规则变更,从HIPAA和信息阻塞的角度审查患者访问政策和程序,并确认合规性。

负责任的数据使用考虑扩展到受保护的健康信息

OCR高度重视通过新兴技术未经授权使用或披露PHI的可能性。因此,HIPAA下的执法也可能随着对负责任数据使用的重视而演变——这已成为各行业将AI整合到业务运营中的关键组成部分。

HHS尚未发布任何特定于AI的HIPAA要求,但它已经发布了一些指南,表明如果AI技术导致未经授权的使用或披露,可能会受到审查。

此外,OCR之前发布了一份公告,警告收集有关使用HIPAA监管实体网页和移动应用程序的个人信息的在线跟踪技术的法律风险。在“美国医院协会诉贝塞拉”案中,得克萨斯州北区联邦法院驳回了与未经身份验证的网页跟踪相关的部分指南,理由是其超出了HHS在HIPAA下的权限。然而,该指南仍然适用于需要用户登录的身份验证网页上的跟踪活动。HHS宣布正在“评估下一步行动”。

尽管法院限制了跟踪技术指南的范围,受监管实体仍应仔细评估第三方AI工具和跟踪技术如何使用和访问PHI。除了制定负责任数据使用的政策外,实体还必须注意可能隐秘地获取和使用PHI的技术。

实体还应考虑AI如何增加因处理和推断来自各种非敏感数据点(例如重新识别去标识化数据)而导致无意披露的风险。

生殖健康隐私仍然存在争议

2024年12月23日生效的HHS最终规则旨在保护生殖健康护理信息的隐私。根据最终规则,禁止出于进行刑事、民事或行政调查或将任何人因寻求、获得、提供或协助当时合法提供的生殖健康护理的行为追究责任的目的使用或披露个人的PHI。

该规则还规定,任何特定目的的生殖健康护理PHI请求必须包括一份证明,确认PHI的使用或披露不是为了禁止的目的,并且覆盖实体必须更新其隐私实践通知(NPPs),以反映新要求。

去年秋天,在“得克萨斯州诉美国卫生与公众服务部”案中,得克萨斯州挑战了2024年最终确定的生殖健康护理信息的新规则和2000年发布的隐私规则,后者禁止披露生殖健康PHI,除非请求符合三部分测试。得克萨斯州认为这两项规则妨碍了其执行堕胎法的能力。此案目前仍在得克萨斯州北区联邦法院审理中。

尽管最终规则现已生效,但由于相关法律挑战仍在进行中,提供者必须遵守。覆盖实体应确保在2026年2月16日前按要求更新其NPPs,并更新政策和程序以反映当前的规则,同时密切关注新的法律发展。不仅这些规则可能被得克萨斯州联邦法院缩小范围或撤销,而且在新政府下还有可能出现额外的规则变化。

结论

随着2025年的展开,不断发展的医疗保健格局将继续推动数据安全和患者访问及隐私方面的法律变革。覆盖实体和业务关联方可以通过采取积极的合规和风险缓解措施来保持领先,包括严格的安全风险分析、技术控制评估、员工培训以及审查政策和程序的有效性和一致性,以符合不断变化的法律要求。


(全文结束)

声明:本文仅代表作者观点,不代表本站立场。

本页内容撰写过程部分涉及AI生成(包括素材的搜集与翻译),请注意甄别。

7日热榜