Hva er HIPAA, og hvordan påvirker det vår forståelse av coronavirus?

Rapportering Og Redigering

Den vidt misforståtte handlingen blir påkalt for å begrense tilgangen til COVID-19-data

Lenox Hill Hospital på Manhattan, New York, 7. april 2020. (John Nacion / STAR MAX / IPx)

Denne forklaringen ble opprinnelig publisert i Dekker COVID-19 , vår daglige Poynter-orientering om journalistikk og koronavirus, skrevet av senior fakultetet Al Tompkins. Registrer deg her for å få den levert til innboksen hver ukedag morgen.

Ingenting vil hjelpe oss med å forstå alvoret i COVID-19-situasjonen mer enn om vi kunne se effektene utspiller seg på sykehusene våre.



Sykehus blokkerer journalister fra å dokumentere hvordan det er inni veggene og mangel på ventilatorer og andre forsyninger, så vi stoler på sosiale medier og intervjuer med leger . Men å se er å tro, sier det gamle ordtaket. Det er sant i krig, det er sant i katastrofer, og dette er både en krig og en katastrofe.

'Det er utvetydig nyhetsverdi i å bringe folk bilder fra sykehus, fra frontlinjene til dette viruset,' NBC News president Noah Oppenheim fortalte The Washington Post . Han la til: 'Det er viktig at vi får så mange av disse bildene ut i verden som mulig.'

La oss trykke på bremsene lenge nok til å si at ingen fornuftig person vil foreslå at journalister skal snike seg inn på sykehus for å ta bilder. Og ingen fornuftig person vil foreslå at journalister jobber rundt berørte pasienter uten maksimale forholdsregler og beskyttelse. Vi har allerede mistet kolleger på grunn av denne sykdommen, og andre har allerede blitt syk.

Edward Murrow se det nå

Men det er mye å vite om hvem og hva HIPAA gjør og ikke dekker.

Siden Health Insurance Portability and Accountability Act fra 1996 og personvernregelen som fulgte med den ble vedtatt i 2003, har det blitt en folie for journalister som søker til og med grunnleggende informasjon fra sykehus, sykehjem, helseavdelinger, medisinsk undersøkere og politi.

Nå, på et øyeblikk når publikum krever pålitelige data om spredning og effekter av COVID-19, kan ikke journalister få data og bilder som vil hjelpe publikum å forstå hvor presserende denne pandemien er. Det kan ikke benektes mangel på beskyttelsesutstyr hvis vi kunne se det.

I Florida, Gov. Ron DeSantis nektet å navngi sykehjem der pasienter testet positive. Den (Poynter-eide) Tampa Bay Times rapporterte:

DeSantis-administrasjonen har så langt basert seg på å nekte hjem med positive resultater på ønsket om å beskytte konfidensialiteten til innbyggerne. Selv om han ikke har kalt loven, ser DeSantis ut til å påberope seg føderal helseforsikringsportabilitets- og ansvarlighetslov, eller HIPAA, som beskytter pasientjournaler og personvern.

Pamela Marsh, en tidligere føderal statsadvokat som nå leder Tallahassee-basert First Amendment Foundation , foreslo at HIPAA-loven er et fikenblad som brukes til å skjule viktig informasjon.

'Denne informasjonen bør gjøres tilgjengelig,' sa Marsh, den tidligere amerikanske advokaten for Nord-Florida, til (Miami) Herald. 'Det kan ikke virke som vanlig for familiene til kjære i omsorgen.'

Når statsmyndighetene ikke ville navngi sykehjemmene, sa bedriftene selv til publikum at noen av innbyggerne hadde testet positive for viruset.

Den ideelle organisasjonen Families for Better Care lanserte en sosial mediekampanje som angrep guvernøren for ikke å rapportere hva selv sykehjemmene selv har gitt ut.

Et Twitter-innlegg fra Families for Better Care (@FFBC)

hvor mange kriger startet Obama

Selv om noen sykehjem og sykehus holder opp HIPAA som en grunn til ikke å gi ut generell informasjon om pasientene de har behandlet, er det mange eksempler på når de rutinemessig rapporterer om slike ting. Brian Lee, administrerende direktør i Families for Better Care, sa til WJXT-TV (Jacksonville):

“Se, de publiserer informasjon om fasiliteter over hele nettstedet. De har inspeksjonsresultater når det er utbrudd av skabb, det er utbrudd av norovirus, informasjon frigjøres. De kan ikke bruke den unnskyldningen lenger. Det er latterlig. De gir ikke ut noen persons helseinformasjon. Det er det HIPAA handler om - individuell helseinformasjon. '

I Iowa ville helsemyndigheter i flere fylker ikke gi ut hvor mange mennesker som hadde tatt COVID-19-tester og sitert HIPAA som en grunn til at de ikke ville gi ut informasjonen. Iowa Freedom of Information Council administrerende direktør Randy Evans påpekte de samme sykehusene har ingen problemer med å rapportere hvor mange babyer som blir født på deres anlegg hvert år.

Den første tingen å forstå er at HIPAA gjelder KUN “Dekkede enheter” som inkluderer helsepersonell (som EMT, leger, sykepleiere og sosialarbeidere) og forsikringsselskaper. HIPAA dekker ikke journalister, politi og brannvesen (unntatt EMT). HIPAA dekker ikke religiøse organisasjoner som ikke er helsepersonell.

US Department of Health and Human Services utstedte en spesifikk orienteringsside for hvordan HIPAA forholder seg til COVID-19-utbruddet. Rådgivningen minner helsepersonell, inkludert leger, om at de ikke kan løslate spesifikk informasjon om en pasient - en slik persons navn som testet positivt (eller negativt) for COVID-19 - uten skriftlig tillatelse fra pasienten.

Men la oss være klare: HIPAA var ment å beskytte individuell medisinsk og helseinformasjon . Disse individuelle beskyttelsene gjelder fremdeles selv i en pandemi. HIPAA tillater ikke en omsorgsperson å frigjøre individuell demografisk informasjon, men stikkordet der er 'individ.' Derfor kan sykehus, for eksempel i tilfelle masseskyting, si hvor mange som ble innlagt, gikk til kirurgi og ble behandlet og løslatt.

HIPAA dekker 'Protected Health Information', som er informasjon som kan gjøre en person identifiserbar. Så selv om det ikke ville være et HIPAA-brudd for en helsepersonell å si at 70% av ICU-sengene er fulle, eller at den har testet 300 personer, eller at alle i ICU er over 65 år, vil det være et brudd å si 'Al Tompkins er i ICU.' Igjen, det er bare for en 'dekket enhet.' Det er ikke et HIPAA-brudd for en journalist å rapportere et navn, det er bare et problem for helsepersonell.

Og HIPAA tillater en helsepersonell å frigjøre til og med personlig identifiserbar informasjon til en offentlig helsemyndighet - for eksempel sentrene for sykdomskontroll og forebygging - med det formål å kontrollere en sykdom, som COVID-19. (Se 45 CFR § 164.501 og 164.512 (b) (1) (i).)

Min venn, National Press Photographers Association juridiske rådgiver Mickey Osterreicher, tilbød noen råd til journalister hvis politi eller sykehus prøver å stoppe COVID-19-rapporteringen . Han sa at han hører fra noen fotojournalister at sykehus har prøvd å bruke HIPAA som en grunn til å forby fotografer å fotografere sykehusbygninger eller arbeidere.

ProPublica ble også publisert hjelp til journalister som prøver å navigere i HIPAA-reglene :

Selv med HIPAA kan du fremdeles få ‘de-identifiserte’ data

Hvis et datasett er 'de-identifisert', HIPAAs personvernregler ikke gjelder . Det er to metoder for avidentifisering: “ trygg havn , 'Som undertrykker felt som avslører personlig identifiserbar informasjon, og' ekspertbestemmelse ', som er avhengig av eksperter for å verifisere at det er en begrenset risiko for å identifisere pasienter.

  • Sjekk om avidentifiserte data er tilgjengelige for nedlasting online. Lokale og statlige helsebyråer legger noen ganger avidentifiserte datasett på nettet. Disse datasettene har minimale, om noen, begrensninger på bruken.
  • Be en journalansvarlig fjerne personlig identifiserbare felt. Hvis helsedataene du ønsker inkluderer personlige identifikatorer, bør du vurdere å be om data med disse variablene fjernet eller redigert. Hvis det er konto- eller personnummer for å identifisere hver pasient, kan du be om dummy-ID (men sørg for å finne ut hvilke variabler som er erstattet av dummy-nummer).
  • Be om samlede data. Noen journalister kan avvise forespørselen din med den begrunnelse at aggregering av data er det samme som å 'opprette' data, noe de kanskje ikke er juridisk forpliktet til å gjøre. Så spør pent, og forhandle! Hvis du er i stand til å få samlet data (eller data du bare kan publisere i en samlet form), kan det være forbudt å publisere data om små grupper av mennesker for å beskytte pasientenes personvern.

Al Tompkins er seniorfakultet ved Poynter. Han kan nås på atompkins@poynter.org eller på Twitter, @atompkins.