Krypton Solid

La última tecnología en raciones de 5 minutos

Las reglas poco claras de la HIPAA permiten la deslocalización de datos de atención médica … por ahora

Durante la última década, se ha debatido mucho sobre las implicaciones de las entidades cubiertas por la Ley de Portabilidad y Responsabilidad de la Información Sanitaria y sus socios comerciales que aprovechan las soluciones offshore más baratas para servicios como radiología, transcripción e incluso planificación de tratamientos. Los problemas relacionados con la calidad de las soluciones, la integridad de los datos y las entidades cubiertas que eluden las licencias estatales de los requisitos del personal son enormes, pero aquí trataremos principalmente la seguridad y privacidad de la HIPAA y las implicaciones civiles y penales relacionadas.

Hasta la fecha, la conclusión ha sido que las reglas de la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA) carecen de claridad estatutaria con respecto al tema de la deslocalización y la miríada de desafíos de privacidad y jurisdiccionales que crea la deslocalización. Sin embargo, creo que la aplicación de las obligaciones de las entidades cubiertas (CE) para garantizar que sus socios comerciales (BA) consideren y defiendan adecuadamente la Información de salud protegida (PHI) plantea cuestiones normativas sobre la legitimidad futura de la deslocalización. Ahora que las BA tienen obligaciones regulatorias similares a las de las CE, creo que el gobierno ejercerá presión sobre el tema de la deslocalización.

Con la aprobación de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) y la publicación de la Regla Ómnibus Final por parte del Departamento de Salud y Servicios Humanos (HHS) el 17 de enero de 2013, la extensión de la obligación legal a los BAs un giro interesante en la deslocalización. La Regla Ómnibus reafirmó y fortaleció el alcance de la Oficina de Derechos Civiles (OCR) y el Departamento de Justicia (DOJ) del HHS con respecto a los BA dentro de los Estados Unidos y sus territorios, pero no hizo nada directamente para la deslocalización de la PHI.

Junto con la obligación de cumplir con las reglas de HIPAA, HITECH instauró la responsabilidad civil y penal directa asociada de los BA nacionales más allá del incumplimiento de contrato. La posterior publicación de la Norma Ómnibus Final reforzó estos. Bajo la Regla Final, la OCR tiene el poder de dictar sanciones civiles, acciones correctivas y monitoreo a largo plazo a nivel nacional, mientras que el DOJ tiene el poder de dictar un proceso penal a nivel nacional. A través de la ejecución bajo HITECH, los fiscales generales del estado también tienen el poder de causar dolor a las empresas con sede en los EE. UU., Porque los fiscales generales están facultados para entablar acciones civiles en los tribunales de distrito federal para los residentes del estado que han sido dañados o cuyos derechos fueron violados por la información. infracciones.

En realidad, no existe una forma legítima para que la OCR, el DOJ o la FTC lleguen a países extranjeros y dicten sanciones civiles, no menos penales.

La autoridad general de los fiscales estatales, sin embargo, se limita a donde el gobierno federal ya está activo: «Si el Secretario ha iniciado una acción contra una persona bajo la subsección (a) con respecto a una violación específica de esta parte, ningún fiscal general del estado podrá entablar una acción en virtud de esta subsección contra la persona con respecto a dicha violación durante la tramitación de dicha acción «.

En los últimos meses, la Comisión Federal de Comercio (FTC), a través de sus propios fallos, también ha reclamado la capacidad general de los fiscales estatales para imponer multas, monitorear y hostigar a los CE y BA a nivel nacional.

Así que todo esto está muy bien, pero, en realidad, no existe una forma legítima de que la OCR, el DOJ o la FTC lleguen a países extranjeros y dicten sanciones civiles, no menos penales.

Incluso a nivel nacional, a la OCR le resulta difícil cobrar sanciones a empresas como Cignet Health de Maryland. En la gran mayoría de los casos, la motivación principal para que las firmas internacionales cumplan es solo contractual y puede ser de reputación, y los derechos otorgados a las corporaciones extranjeras dentro del país de origen de las BAs imponen limitaciones a su exposición.

Según un informe de la Oficina del Inspector General (OIG) publicado en abril de 2014, la OIG tiene preocupaciones similares. Para citar a la OIG: «Por ejemplo, las agencias de Medicaid o los contratistas nacionales que envían PHI al extranjero pueden tener medios limitados para hacer cumplir las disposiciones de los BAA [business associate agreements] que están destinados a salvaguardar la PHI. Aunque algunos países pueden tener protecciones de privacidad mayores que las de los Estados Unidos, otros países pueden tener protecciones de privacidad limitadas o nulas para respaldar el cumplimiento de HIPAA «.

También diría que las protecciones internacionales de la privacidad pueden cubrir solo los datos de sus propios ciudadanos. Si bien el informe de la OIG trata sobre las agencias de Medicaid, que cubren una población limitada, aunque grande, el hecho de que la OIG haya planteado estas preocupaciones significa que debemos preocuparnos por esto para otras entidades. Predigo que esta idea de limitar el riesgo limitando la deslocalización se hará popular en Washington.

Si bien Medicaid, a diferencia de Medicare, no requiere permiso del gobierno federal para transferir información al extranjero, algunos estados no permiten la deslocalización de la PHI para Medicaid en absoluto. Esto complica el problema. Desde la Ley del Cuidado de Salud a Bajo Precio, las aseguradoras y las redes de proveedores comenzaron a cruzar las fronteras estatales a través de intercambios que involucran subsidios de Medicaid para pacientes en estados que tienen estas limitaciones. El informe de la OIG, combinado con la FTC llegando al universo regulatorio de HIPAA y con la decisión de los estados de prohibir que los datos de Medicaid salgan del país, crea posibles problemas futuros para aquellos que optan por el extranjero.

Permítanme agregar un giro más a todo esto: proveedores de TI, almacenamiento y / o software como servicios externos subcontratados. Como hemos visto aquí, a la OIG le preocupa la posibilidad de que los datos se transfieran al extranjero. Los estados han impuesto limitaciones específicas a la información de Medicaid que sale de sus estados. ¿Qué pasa con los datos enviados intencionalmente o inadvertidamente, o tomados ilegalmente, al extranjero a través de los servicios de soporte de TI, los esfuerzos de recuperación de desastres del centro de datos e incluso el equilibrio de carga? Sé que es un artículo completamente diferente, pero todavía es algo a considerar aquí.

Yo diría que en el caso de una infracción importante en el extranjero, un abogado emprendedor podría usar todo esto para demostrar una falta de «razonabilidad» en la decisión de hacerlo en el extranjero en primer lugar.

Deja un comentario

También te puede interesar...

¿Debería una empresa poder patentar sus genes?

informes de Australia indicó que abogados representantes de una empresa de biotecnología estadounidense han defendido el otorgamiento de una controvertida patente por una mutación genética común relacionada con el cáncer de mama. Rechazando la idea

Teledesic lanza el primer satélite Net

Al igual que la Unión Soviética con el satélite Sputnik, Teledesic LLC, la compañía de Internet por satélite respaldada por Bill Gates y el magnate móvil Craig McCaw, ha lanzado una nueva carrera espacial. La

Regla del mejor precio (Regla 14D-10)

Definición de la regla del mejor precio (Regla 14D-10) La regla del mejor precio (Regla 14D-10) es una regulación de la Comisión de Bolsa y Valores (SEC) que estipula que el valor ofrecido a cualquier

Prueba de correo electrónico push naranja casi completa

Un vecindario de Londres utilizado como escaparate para Microsoft casi ha terminado de probar la tecnología push, que envía automáticamente nuevos correos electrónicos directamente desde un servidor de correo electrónico corporativo a los dispositivos móviles

Definición de estocástico de Worden

¿Qué es el estocástico de Worden? El indicador Worden Stochastics representa el rango percentil del precio de cierre más reciente en comparación con todos los demás valores de cierre durante un período retrospectivo determinado. Los

Definición de subsidio del gobierno

¿Qué es una subvención del gobierno? Una subvención del gobierno es un premio financiero otorgado por una autoridad del gobierno federal, estatal o local para un proyecto de caridad. En realidad es un pago por

Cómo seleccionar casos de prueba

Tengo una pregunta sobre la selección de los casos de prueba para las pruebas de regresión. El software que tengo actualmente tiene casos de prueba negativos y casos de prueba positivos. Sin embargo, al diseñar

Definición de libro electrónico de Forex

¿Qué es un libro electrónico de Forex? Como sugiere el nombre, un libro electrónico de divisas es simplemente un tipo de libro electrónico que trata sobre el comercio de divisas. Los libros electrónicos de Forex