涉及个人医疗保健数据的组织需要密切关注快速变化的监管环境。在接下来的几年里,围绕个人医疗保健数据的合规要求将以惊人的速度发展。在这种监管变化的环境中生存和发展,需要一种更具战略性的方法来管理个人数据。
几十年来,个人医疗保健数据由联邦和州一级的、针对行业的数据保护规则拼凑而成,在覆盖范围上留下了巨大的空白。因此,个人的医疗保健数据(以及处理医疗保健信息的组织内的所有个人身份数据)仅在某些情况下才受数据保护规则的约束。毫不奇怪,今天大多数人不明白他们的医疗保健数据何时受到保护数据隐私规则,当它不是。
现在,新的州级数据隐私法律的出台,比如加州消费者隐私法(CCPA),而全面的联邦层面法律的可能性意味着,监管覆盖范围的这些空白很可能会被填补,从而产生一系列新的合规要求。这些新的数据隐私规则弥补了以前的空白,为医疗保健行业组织提供了一个机会,可以增强其数据关系中的信任。让我们看一个正在发生的事情的例子,看看挑战和可能性。
探索CCPA和医疗保健数据
CCPA对医疗保健数据隐私合规性的影响将是重大的,因此它是一个很好的案例研究,可以帮助我们理解未来会发生什么。CCPA将于2020年1月生效,在此之前,加州的医疗保健数据隐私和安全主要通过HIPAA进行监管。然而,HIPAA仅适用于持有“受保护健康信息”的“覆盖实体”。HIPAA的重点主要是健康保险,因此范围内的组织包括医院、诊所、保险提供商和处理医疗数据的清算所。
相比之下,CCPA适用于所有在加州开展业务的营利性组织,这些组织的收入和数据处理超过了一定的门槛。CCPA豁免了受HIPAA和加州医疗信息保密法案(CMIA)保护的个人数据,因此某些类型的个人医疗保健数据继续受到现有规则的保护。然而,CCPA现在涵盖了医疗保健行业创建、处理和交换的大多数其他个人数据,填补了空白。
