Dyspozytornie medycznej marihuany a HIPAA
Dyspensaria medycznej marihuany a HIPAA
Posted by Lekarze Marihuany on 06/20/2018 in Zasoby dla placówek medycznych
Zawartość medyczna sprawdzona przez Dr. Joseph Rosado, MD, M.B.A, Chief Medical Officer
Wydaje się, że w społeczności związanej z medyczną marihuaną istnieje więcej nieporozumień dotyczących ustawy o przenoszeniu i odpowiedzialności za ubezpieczenie zdrowotne ("HIPAA") niż jakichkolwiek innych przepisów dotyczących opieki zdrowotnej lub marihuany. Niedawno rozmawiałem z przedstawicielem jednego z głównych dostawców technologii dla branży medycznej marihuany, którego oprogramowanie śledzi sprzedaż i informacje o pacjentach w dyspenseriach. Zapytałem go, czy jego firma jest zgodna z przepisami HIPAA. Jego odpowiedź brzmiała po prostu, że HIPAA nie ma zastosowania, ponieważ medyczna marihuana jest nielegalna na szczeblu federalnym, a więc nie obowiązują tu przepisy federalne. Nie trzeba dodawać, że nie jest to zgodne z prawdą. To tak, jakby powiedzieć, że firmy zajmujące się medyczną marihuaną nie muszą płacić podatków federalnych, ponieważ jest ona nielegalna na szczeblu federalnym. Świadczy to również o znacznym braku wiedzy wielu osób z branży na temat HIPAA.
Prawdę mówiąc, kwestia tego, czy placówki zajmujące się sprzedażą medycznej marihuany podlegają przepisom HIPAA i czy w związku z tym są odpowiedzialne za ich naruszenie, nie jest do końca jednoznaczna. Rozumowanie przedstawiciela było oczywiście błędne - fakt, że medyczna marihuana jest federalnie nielegalna, nie zwalnia firm zajmujących się medyczną marihuaną z obowiązku przestrzegania przepisów HIPAA. Jednak jego wniosek, że HIPAA nie ma zastosowania, może być prawdziwy w przypadku niektórych dyspensarni.
Czy HIPAA ma zastosowanie do mojej dyspensy?
Choć prawo HIPAA może być czasem mylące, nie zawsze musi takie być. Najlepszym sposobem odpowiedzi na pytanie, czy HIPAA ma zastosowanie do danej sytuacji, jest odpowiedź na dwa pytania:
- Czy dana informacja jest "chronioną informacją zdrowotną", czyli "PHI"?
Czy podmiot przechowujący lub przekazujący te informacje jest "podmiotem objętym ochroną"?
Odpowiadając na te dwa pytania, możemy ustalić, czy i kiedy HIPAA ma zastosowanie do dyspenserów medycznej marihuany w Stanach Zjednoczonych.
Aby odpowiedzieć na pierwsze pytanie, musimy zapoznać się z definicją "PHI" zawartą w przepisach HIPAA, a konkretnie w sekcji 1171 części C podtytułu F ustawy publicznej 104-191. PHI to informacje zdrowotne, które można zidentyfikować osobiście. Informacje zdrowotne to "wszelkie informacje, ustne lub zapisane w dowolnej formie lub na dowolnym nośniku, które są tworzone lub otrzymywane przez podmiot świadczący usługi opieki zdrowotnej, plan opieki zdrowotnej, organ ds. zdrowia publicznego, pracodawcę, ubezpieczyciela na życie, szkołę lub uniwersytet, lub izbę rozliczeniową opieki zdrowotnej i dotyczą przeszłego, obecnego lub przyszłego zdrowia fizycznego lub psychicznego dowolnej osoby, świadczenia usług opieki zdrowotnej na rzecz danej osoby lub przeszłej, obecnej lub przyszłej zapłaty za świadczenie usług opieki zdrowotnej na rzecz danej osoby".
Aby informacja zdrowotna mogła być uznana za umożliwiającą identyfikację osoby, a zatem za "PHI" w rozumieniu HIPAA, musi być (1) możliwa do zidentyfikowania lub może być użyta do zidentyfikowania osoby, (2) stworzona przez podmiot objęty obowiązkiem ubezpieczenia, oraz (3) "dotyczyć przeszłego, obecnego lub przyszłego fizycznego lub psychicznego zdrowia lub stanu osoby fizycznej, świadczenia opieki zdrowotnej na rzecz osoby fizycznej lub przeszłej, obecnej lub przyszłej zapłaty za świadczenie opieki zdrowotnej na rzecz osoby fizycznej".
Mając na uwadze powyższą definicję, jakie informacje zbierane lub przechowywane przez poradnię można uznać za chronione informacje zdrowotne (PHI)? Podobnie jak w przypadku recept w aptece, informacje o zamówieniach i zakupach dokonywanych przez pacjentów prawdopodobnie odpowiadają definicji PHI. Takie informacje o zakupie lub zamówieniu mogą zawierać imię i nazwisko lub informacje kontaktowe, co umożliwia identyfikację osoby. Mogą również zawierać informacje o leczeniu pacjenta, np. o ilości zakupionej medycznej marihuany. Nie wszystkie poradnie są zobowiązane do przechowywania takich informacji, ale te, które to robią, powinny wiedzieć, że prawie na pewno są to informacje PHI. Ponadto wiele poradni, które bardziej poważnie podchodzą do kwestii dostosowania leczenia do warunków pacjenta, przechowuje informacje o pacjencie, które również spełniają definicję PHI w rozumieniu HIPAA.
W związku z tym to, czy dana placówka przechowuje lub utrzymuje informacje PHI, jest kwestią w dużym stopniu zależną od faktów. Podczas gdy niektóre dyspenasatoria działają na zasadzie gotówkowej i nie prowadzą indywidualnych rejestrów, a zatem nie przechowują żadnych informacji PHI, inne przechowują informacje PHI, a niektóre są nawet do tego zobowiązane przez odpowiednie stany, takie jak Arizona.
W ten sposób dochodzimy do drugiego etapu naszej analizy: zakładając, że punkt przechowuje informacje osobiste, czy punkt sprzedaży medycznej marihuany jest uznawany za podmiot objęty ochroną? W tym przypadku nie ma łatwych odpowiedzi, a wiele pozostaje do interpretacji w późniejszym terminie, co oznacza, że HHS może z powodzeniem opowiedzieć się po którejś ze stron w tej kwestii. Odkładając tę niejasność na bok, przyjrzyjmy się temu, co stanowi "podmiot objęty" w ramach HIPAA. Istnieją trzy rodzaje podmiotów objętych ochroną, ale dla naszych celów właściwą kategorią jest "dostawca" usług opieki zdrowotnej, który przekazuje elektroniczne informacje zdrowotne w odniesieniu do transakcji objętej ochroną.
Rozkładając tę definicję na czynniki pierwsze, "dostawca" usług medycznych to po prostu podmiot, który zapewnia "opiekę, usługi lub dostawy związane ze zdrowiem jednostki". HHS najwyraźniej stoi na stanowisku, że punkt sprzedaży medycznej marihuany może być świadczeniodawcą, ponieważ do uzyskania "leczenia" niezbędna jest "recepta". Podczas gdy przepisy niektórych stanów są tak skonstruowane, aby nie używać słowa "recepta" do opisania procesu uzyskiwania przez pacjenta medycznej marihuany, HHS jest w stanie spojrzeć poza słowa użyte w ustawie i zobaczyć, jak to działa w praktyce. Samo unikanie użycia słowa "recepta" nie wystarczy, aby uniknąć takiej klasyfikacji przez HHS.
HIPAA ma jednak zastosowanie tylko do świadczeniodawcy, który przekazuje elektroniczne informacje zdrowotne w związku z transakcją objętą ubezpieczeniem, która zasadniczo jest transakcją związaną z leczeniem lub płatnością za opiekę zdrowotną (jest to pewne uproszczenie). W tej analizie nie można zgrupować wszystkich poradni, ponieważ wiele zależy od ich faktycznej działalności. Niektóre dyspenasatoria działające wyłącznie za pomocą gotówki, bez państwowych wymogów sprawozdawczych, w żadnym wypadku nie będą przesyłać danych drogą elektroniczną, a zatem nie muszą się martwić o HIPAA. Inne dyspenasatoria mogą być zobowiązane przez prawo stanowe do przesyłania tych informacji zdrowotnych, co oznacza, że muszą przestrzegać przepisów HIPAA, lub mogą nieświadomie używać oprogramowania w punktach sprzedaży, które przesyła i przechowuje chronione informacje zdrowotne w chmurze, zupełnie nie wiedząc, że może to spowodować podleganie przepisom HIPAA. Jeszcze inni mogą przechowywać te informacje na dysku twardym komputera lub płycie CD, również nieświadomi, że fizyczne przeniesienie dysku twardego lub płyty CD poza teren placówki będzie stanowiło "transmisję elektroniczną" w rozumieniu przepisów HIPAA.
Choć zastosowanie przepisów HIPAA do dyspenserów medycznej marihuany nie jest w 100% pewne, dla dyspenserów jasne jest, że powinni mieć tę kwestię na oku. Podczas gdy w wielu innych artykułach na ten temat wyrażano sceptycyzm co do zastosowania HIPAA do dyspenserów medycznej marihuany, ja nie jestem aż tak sceptyczny. HHS ma zwyczaj odczytywania lub interpretowania przepisów w taki sposób, aby nadać sobie szerokie uprawnienia, w przeciwieństwie do interpretacji ograniczających zakres ich egzekwowania. Sądzenie, że HHS będzie ograniczać swoje uprawnienia, ponieważ analiza tego, czy HIPAA ma zastosowanie, nie jest w 100% jednoznaczna, jest moim zdaniem trochę naiwne.
HIPAA ma zastosowanie do mojej dyspensy, co muszę zrobić?
Co zatem może zrobić dyspensa, aby upewnić się, że jest chroniona przed karami, które mogą sięgać nawet 50 000 USD za naruszenie HIPAA? Po pierwsze, właściciel dyspensy powinien zwracać uwagę na to, czy zbiera chronione informacje zdrowotne i jak te informacje są przechowywane. Właściciel dyspensy może przechowywać dane na miejscu, unikając w ten sposób ich "przesyłania". Jeśli ze względu na wymagania prawa stanowego musi już przekazywać informacje o pacjentach, powinien skorzystać z hostingu zgodnego z HIPAA, aby zabezpieczyć się przed naruszeniem.
Po drugie, właściciel dyspensarium powinien zapoznać się z zasadami HIPAA dotyczącymi bezpieczeństwa i prywatności lub zatrudnić prawnika znającego zagadnienia HIPAA i mającego doświadczenie w branży medycznej marihuany.
Wreszcie, właściciele dyspenasatoriów powinni podjąć rozsądne kroki w celu zabezpieczenia wszelkich informacji o pacjentach, które posiadają, nawet jeśli uważają, że HIPAA ich nie dotyczy. Stosowanie zdroworozsądkowych strategii ochrony danych może znacznie zmniejszyć ryzyko naruszenia danych. Nawet jeśli HIPAA nie miałaby zastosowania, naruszenie danych mogłoby doprowadzić do podjęcia działań przez FTC lub właściwą krajową agencję regulacyjną. W świecie, w którym dane elektroniczne wydają się być coraz mniej bezpieczne, a kary HIPAA są coraz wyższe, lepiej być bezpiecznym niż żałować.
Artykuł dzięki uprzejmości Scotta F. Robertsa.
Scott F. Roberts jest założycielem i członkiem zarządzającym Scott F. Roberts Law, PLC, firmy prawniczej z siedzibą w Detroit, która prowadzi szeroką działalność w branży marihuany w stanie Michigan. Pan Roberts jest członkiem sekcji prawa biznesowego i prawa dotyczącego marihuany w Izbie Adwokackiej Michigan. Jego kancelaria pomaga firmom przestrzegać przepisów miejskich, lokalnych i stanowych, a także pomaga w tworzeniu spółek i zawieraniu umów.