Hvad er HIPAA, og hvordan påvirker det vores forståelse af coronavirus?

Den vidt misforståede handling bliver påberåbt for at begrænse adgangen til COVID-19-data

Lenox Hill Hospital på Manhattan, New York, den 7. april 2020. (John Nacion/STAR MAX/IPx)

Denne forklaring blev oprindeligt udgivet i Dækker COVID-19 , vores daglige Poynter-briefing om journalistik og coronavirus, skrevet af seniorfakultetet Al Tompkins. Tilmeld dig her for at få det leveret til din indbakke hver hverdagsmorgen.

Intet ville hjælpe os til at forstå alvoren af ​​COVID-19-situationen mere, end hvis vi kunne se virkningerne udspille sig på vores hospitaler.

Hospitaler blokerer journalister i at dokumentere, hvordan det er inden for deres vægge og manglen på ventilatorer og andre forsyninger, så vi er afhængige af sociale medier og samtaler med læger . Men at se er at tro, lyder det gamle ordsprog. Det er sandt i krig, det er sandt i katastrofer, og det er både en krig og en katastrofe.

'Der er en utvetydig nyhedsværdi i at bringe folk billeder inde fra hospitaler, fra frontlinjen af ​​denne virus,' NBC News præsident Noah Oppenheim fortalte The Washington Post . Han tilføjede: 'Det er afgørende, at vi får så mange af disse billeder ud i verden som muligt.'

Lad os trykke længe nok på bremsen til at sige, at ingen fornuftig person ville foreslå, at journalister skulle snige sig ind på hospitaler for at tage billeder. Og ingen fornuftig person vil foreslå, at journalister arbejder omkring berørte patienter uden maksimale forholdsregler og beskyttelse. Vi har allerede mistet kolleger til denne sygdom, og andre er allerede blevet syge.

Men der er masser at vide om, hvem og hvad HIPAA gør og ikke dækker.

Siden Health Insurance Portability and Accountability Act af 1996 og privatlivsreglen, der følger med den, blev vedtaget i 2003, er den blevet en hinde for journalister, der søger selv grundlæggende information fra hospitaler, plejehjem, sundhedsafdelinger, læger og politi.

Nu, på et tidspunkt, hvor offentligheden kræver pålidelige data om spredningen og virkningerne af COVID-19, kan journalister ikke få de data og billeder, der ville hjælpe offentligheden med at forstå, hvor hastende denne pandemi er. Der ville ikke være nogen tvivl om mangel på beskyttelsesudstyr, hvis vi kunne se det.

I Florida, Guvernør Ron DeSantis nægtede at navngive plejehjem hvor patienterne blev testet positive. Den (Poynter-ejede) Tampa Bay Times rapporterede:

DeSantis-administrationen har hidtil baseret sit afslag på at navngive boliger med positive resultater på sit ønske om at beskytte beboernes fortrolighed. Selvom han ikke har navngivet loven, ser DeSantis ud til at påberåbe sig den føderale Health Insurance Portability and Accountability Act eller HIPAA, som beskytter patientjournaler og privatlivets fred.

Pamela Marsh, en tidligere øverste føderale anklager, som nu leder Tallahassee-baserede First Amendment Foundation , foreslog, at HIPAA-loven er et figenblad, der bruges til at skjule vital information.

'Denne information bør gøres tilgængelig,' sagde Marsh, den tidligere amerikanske advokat for det nordlige Florida, til (Miami) Herald. 'Det kan ikke være business as usual for familier til kære i pleje.'

Når delstatsregeringen ikke ville navngive plejehjemmene, virksomhederne selv fortalte offentligheden at nogle af deres beboere var testet positive for virussen.

Den nonprofit-gruppe Families for Better Care lancerede en kampagne på sociale medier, der angreb guvernøren for ikke at rapportere, hvad selv plejehjemmene selv har frigivet.

Et Twitter-opslag fra Families for Better Care (@FFBC)

Selvom nogle plejehjem og hospitaler holder HIPAA op som en grund til ikke at frigive generel information om de patienter, de har behandlet, er der mange eksempler på, når de rutinemæssigt rapporterer sådanne ting. Brian Lee, administrerende direktør for Families for Better Care, fortalte WJXT-TV (Jacksonville):

'Se, de udgiver information om faciliteter overalt på deres hjemmeside. De har inspektionsresultater, når der er fnatudbrud, der er norovirusudbrud, information frigives. De kan ikke bruge den undskyldning længere. Det er til grin. De frigiver ikke nogens individuelle sundhedsoplysninger. Det er, hvad HIPAA handler om - individuelle sundhedsoplysninger.'

I Iowa ville sundhedsembedsmænd i flere amter ikke offentliggøre, hvor mange mennesker der havde taget COVID-19-test og nævnte HIPAA som en af ​​grundene til, at de ikke ville frigive oplysningerne. administrerende direktør i Iowa Freedom of Information Council Randy Evans påpegede de samme hospitaler har ingen problemer med at rapportere, hvor mange babyer der fødes på deres faciliteter hvert år.

Den første ting at forstå er, at HIPAA KUN vedrører 'dækkede enheder', som omfatter sundhedsudbydere (såsom EMT'er, læger, sygeplejersker og socialarbejdere) og forsikringsselskaber. HIPAA dækker ikke journalister, politi og brandvæsen (undtagen EMT'er). HIPAA dækker ikke religiøse organisationer, der ikke er sundhedsudbydere.

Det amerikanske Department of Health and Human Services udstedte en specifik orienteringsside for, hvordan HIPAA forholder sig til COVID-19-udbruddet. Rådgivningen minder sundhedsudbydere, herunder læger, om, at de ikke kan frigive specifikke oplysninger om en patient - sådan en persons navn, der testede positiv (eller negativ) for COVID-19 - uden skriftlig tilladelse fra patienten.

Men lad os være klare: HIPAA var beregnet til beskytte individuelle medicinske og sundhedsmæssige oplysninger . Disse individuelle beskyttelser gælder stadig selv i en pandemi. HIPAA tillader ikke en plejeudbyder at frigive individuelle demografiske oplysninger, men nøgleordet der er 'individuel.' Derfor kan sygehusene, for eksempel ved et masseskyderi, fortælle, hvor mange personer der er indlagt, blev opereret og behandlet og løsladt.

HIPAA dækker 'beskyttet sundhedsinformation', som er information, der ville gøre en person identificerbar. Så selvom det ikke ville være en HIPAA-overtrædelse for en sundhedsplejerske at sige, at 70 % af dens ICU-senge er fyldte, eller at den har testet 300 personer, eller at alle mennesker på ICU er over 65 år, ville det være en overtrædelse at sige 'Al Tompkins er på intensivafdelingen.' Igen, det er kun for en 'dækket enhed.' Det er ikke en HIPAA-overtrædelse for en journalist at rapportere et navn, det er kun et problem for sundhedsplejersken.

Og HIPAA TILLADER en sundhedsudbyder at frigive selv personligt identificerbare oplysninger til en offentlig sundhedsmyndighed - for eksempel Centers for Disease Control and Prevention - med det formål at kontrollere en sygdom, såsom COVID-19. (Se 45 CFR § 164.501 og 164.512(b)(1)(i).)

Min ven, National Press Photographers Associations juridiske rådgiver Mickey Osterreicher, tilbød nogle råd til journalister, hvis betjente eller hospitaler forsøger at stoppe din COVID-19-rapportering . Han sagde, at han hører fra nogle fotojournalister, at hospitaler har forsøgt at bruge HIPAA som en grund til at forbyde fotografer at fotografere hospitalsbygninger eller arbejdere.

ProPublica også offentliggjort hjælp til journalister, der forsøger at navigere i HIPAA-reglerne :

Selv med HIPAA kan du stadig få 'afidentificerede' data

Hvis et datasæt er blevet 'afidentificeret', HIPAA's regler for beskyttelse af personlige oplysninger gælder ikke . Der er to metoder til afidentifikation: ' sikker havn ', som undertrykker felter, der afslører personligt identificerbare oplysninger, og 'ekspertbestemmelse', som er afhængig af eksperter til at verificere, at der er en begrænset risiko for at identificere patienter.

• Tjek, om de-identificerede data er tilgængelige til download online. Lokale og statslige sundhedsagenturer sætter nogle gange afidentificerede datasæt online. Disse datasæt har minimale, om nogen, begrænsninger for deres brug.
• Bed en registeransvarlig om at fjerne personligt identificerbare felter. Hvis de sundhedsdata, du ønsker, indeholder personlige identifikatorer, kan du overveje at anmode om dataene med disse variabler fjernet eller redigeret. Hvis der er konto- eller CPR-numre til at identificere hver patient, skal du bede om dummy-id'er (men sørg for at finde ud af, hvilke variabler der er blevet erstattet af dummy-numre).
• Anmod om aggregerede data. Nogle registeransvarlige kan afvise din anmodning med den begrundelse, at aggregering af data er det samme som at 'skabe' data, hvilket de muligvis ikke er juridisk forpligtet til at gøre. Så spørg pænt, og forhandle! Hvis du er i stand til at få aggregerede data (eller data du kun kan offentliggøre i en aggregeret form), kan du blive forbudt at offentliggøre data om små grupper af mennesker for at beskytte patienternes privatliv.

Al Tompkins er seniorfakultet ved Poynter. Han kan nås på e-mail eller på Twitter, @atompkins.