Apa itu HIPAA dan bagaimana pengaruhnya terhadap pemahaman kita tentang virus corona?

Tindakan yang disalahpahami secara luas sedang dilakukan untuk membatasi akses ke data COVID-19

Rumah Sakit Lenox Hill di Manhattan, New York, pada 7 April 2020. (John Nacion/STAR MAX/IPx)

Penjelasan ini awalnya diterbitkan di Meliputi COVID-19 , pengarahan Poynter harian kami tentang jurnalisme dan virus corona, yang ditulis oleh fakultas senior Al Tompkins. Daftar di sini untuk mengirimkannya ke kotak masuk Anda setiap pagi hari kerja.

Tidak ada yang akan membantu kita memahami gawatnya situasi COVID-19 lebih dari jika kita dapat melihat efek yang terjadi di rumah sakit kita.

Rumah sakit menghalangi jurnalis untuk mendokumentasikan seperti apa di dalam dinding mereka dan kekurangan ventilator dan persediaan lainnya, jadi kami mengandalkan media sosial dan wawancara dengan dokter . Tapi melihat adalah percaya, kata pepatah lama. Benar dalam perang, benar dalam bencana, dan ini adalah perang dan bencana.

“Ada nilai berita yang tegas dalam membawa citra orang dari dalam rumah sakit, dari garis depan virus ini,” presiden NBC News Noah Oppenheim kepada The Washington Post . Dia menambahkan, “Sangat penting bagi kita untuk mengeluarkan sebanyak mungkin foto-foto itu di dunia.”

Mari kita menginjak rem cukup lama untuk mengatakan bahwa tidak ada orang yang berakal akan menyarankan bahwa jurnalis harus menyelinap ke rumah sakit untuk mengambil foto. Dan tidak ada orang yang berakal akan menyarankan jurnalis bekerja di sekitar pasien yang terkena dampak tanpa tindakan pencegahan dan perlindungan maksimal. Kami telah kehilangan rekan kerja karena penyakit ini dan yang lainnya sudah sakit.

Tetapi ada banyak hal yang perlu diketahui tentang siapa dan apa yang dilakukan dan tidak dicakup oleh HIPAA.

Sejak Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 dan Aturan Privasi yang menyertainya disahkan pada tahun 2003, undang-undang tersebut telah menjadi penghalang bagi para jurnalis yang mencari bahkan informasi dasar dari rumah sakit, panti jompo, departemen kesehatan, pemeriksa medis, dan polisi.

Kini, di saat publik menuntut data yang dapat dipercaya tentang penyebaran dan dampak COVID-19, jurnalis tidak bisa mendapatkan data dan gambar yang akan membantu publik memahami urgensi pandemi ini. Tidak dapat disangkal kekurangan alat pelindung jika kita bisa melihatnya.

Di Florida, Gubernur Ron DeSantis menolak menyebutkan nama panti jompo dimana pasien dinyatakan positif. Tampa Bay Times (milik Poynter) melaporkan:

Pemerintah DeSantis mendasarkan penolakannya, sejauh ini, untuk menamai rumah dengan hasil positif pada keinginannya untuk melindungi kerahasiaan penghuni. Meskipun dia belum menyebutkan undang-undang tersebut, DeSantis tampaknya menerapkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan federal, atau HIPAA, yang melindungi catatan medis dan privasi pasien.

Pamela Marsh, mantan jaksa federal terkemuka yang sekarang mengepalai Yayasan Amandemen Pertama yang berbasis di Tallahassee , menyarankan bahwa hukum HIPAA adalah daun ara yang digunakan untuk menyembunyikan informasi penting.

“Informasi itu harus tersedia,” Marsh, mantan pengacara Amerika Serikat untuk Florida Utara, mengatakan kepada (Miami) Herald. 'Ini tidak bisa menjadi bisnis seperti biasa untuk keluarga orang yang dicintai dalam perawatan.'

Ketika pemerintah negara bagian tidak akan menamai panti jompo, bisnis itu sendiri memberi tahu publik bahwa beberapa warga mereka telah dites positif terkena virus.

Kelompok nirlaba Families for Better Care meluncurkan kampanye media sosial yang menyerang gubernur karena tidak melaporkan apa yang bahkan telah dirilis oleh panti jompo itu sendiri.

Postingan Twitter dari Families for Better Care (@FFBC)

Bahkan sementara beberapa panti jompo dan rumah sakit menganggap HIPAA sebagai alasan untuk tidak merilis informasi umum tentang pasien yang mereka rawat, ada banyak contoh ketika mereka secara rutin melaporkan hal-hal seperti itu. Brian Lee, direktur eksekutif Families for Better Care, mengatakan kepada WJXT-TV (Jacksonville):

“Lihat, mereka mempublikasikan informasi tentang fasilitas di seluruh situs web mereka. Mereka memiliki hasil pemeriksaan setiap kali ada wabah kudis, ada wabah norovirus, informasi dirilis. Mereka tidak bisa menggunakan alasan itu lagi. Ini menggelikan. Mereka tidak merilis informasi perawatan kesehatan individu siapa pun. Itulah yang dimaksud dengan HIPAA — informasi kesehatan individu.”

Di Iowa, pejabat kesehatan di beberapa kabupaten tidak akan merilis berapa banyak orang yang telah melakukan tes COVID-19 dan mengutip HIPAA sebagai salah satu alasan mereka tidak akan merilis informasi tersebut. Direktur eksekutif Dewan Kebebasan Informasi Iowa Randy Evans menunjukkan rumah sakit yang sama tidak memiliki masalah untuk melaporkan berapa banyak bayi yang lahir di fasilitas mereka setiap tahun.

Hal pertama yang harus dipahami adalah bahwa HIPAA HANYA berkaitan dengan “entitas tertutup,” yang mencakup penyedia layanan kesehatan (seperti EMT, dokter, perawat dan pekerja sosial) dan perusahaan asuransi. HIPAA tidak mencakup jurnalis, polisi, dan pemadam kebakaran (kecuali EMT.) HIPAA tidak mencakup organisasi keagamaan yang bukan penyedia layanan kesehatan.

Departemen Kesehatan dan Layanan Kemanusiaan A.S. mengeluarkan a halaman pengarahan khusus untuk bagaimana HIPAA berhubungan dengan wabah COVID-19. Nasihat itu mengingatkan penyedia layanan kesehatan, termasuk dokter, bahwa mereka tidak dapat melepaskan informasi spesifik tentang pasien — nama orang tersebut yang dites positif (atau negatif) COVID-19 — tanpa izin tertulis dari pasien.

Tapi mari kita perjelas: HIPAA dimaksudkan untuk melindungi informasi medis dan kesehatan individu . Perlindungan individu tersebut tetap berlaku meski dalam kondisi pandemi. HIPAA tidak mengizinkan penyedia perawatan untuk merilis informasi demografis individu, tetapi kata kuncinya adalah 'individu.' Itu sebabnya rumah sakit bisa, misalnya dalam kasus penembakan massal, mengatakan berapa banyak orang yang dirawat, dioperasi, dirawat, dan dibebaskan.

HIPAA mencakup “Informasi Kesehatan yang Dilindungi”, yaitu informasi yang akan membuat seseorang dapat dikenali. Jadi, meskipun tidak akan menjadi pelanggaran HIPAA bagi penyedia layanan kesehatan untuk mengatakan 70% dari tempat tidur ICU-nya penuh atau telah menguji 300 orang atau bahwa semua orang di ICU berusia di atas 65 tahun, itu akan menjadi pelanggaran. untuk mengatakan 'Al Tompkins ada di ICU.' Sekali lagi, itu hanya untuk 'entitas tertutup.' Bukan pelanggaran HIPAA bagi jurnalis untuk melaporkan nama, itu hanya masalah bagi penyedia layanan kesehatan.

Dan HIPAA TIDAK mengizinkan penyedia layanan kesehatan untuk merilis bahkan informasi pengenal pribadi kepada otoritas kesehatan masyarakat — misalnya, Pusat Pengendalian dan Pencegahan Penyakit — untuk tujuan mengendalikan penyakit, seperti COVID-19. (Lihat 45 CFR 164.501 dan 164.512(b)(1)(i).)

Teman saya, penasihat hukum Asosiasi Fotografer Pers Nasional Mickey Osterreicher, menawarkan beberapa saran untuk jurnalis jika polisi atau rumah sakit mencoba menghentikan pelaporan COVID-19 Anda . Dia mengatakan dia mendengar dari beberapa jurnalis foto bahwa rumah sakit telah mencoba menggunakan HIPAA sebagai alasan untuk melarang fotografer memotret bangunan atau pekerja rumah sakit.

ProPublica juga menerbitkan bantuan untuk jurnalis yang mencoba menavigasi aturan HIPAA :

Bahkan dengan HIPAA, Anda masih bisa mendapatkan data 'de-identifikasi'

Jika kumpulan data telah 'tidak diidentifikasi', aturan privasi HIPAA jangan diterapkan . Ada dua metode untuk de-identifikasi: “ pelabuhan yang aman ,' yang menekan bidang yang mengungkapkan informasi pengenal pribadi, dan 'penentuan ahli', yang mengandalkan para ahli untuk memverifikasi bahwa ada risiko terbatas dalam mengidentifikasi pasien.

• Periksa apakah data yang tidak teridentifikasi tersedia untuk diunduh secara online. Badan kesehatan lokal dan negara bagian terkadang menempatkan kumpulan data yang tidak teridentifikasi secara online. Kumpulan data ini memiliki batasan minimal, jika ada, dalam penggunaannya.
• Minta petugas catatan untuk menghapus bidang pengenal pribadi. Jika data kesehatan yang Anda inginkan menyertakan pengenal pribadi apa pun, pertimbangkan untuk meminta data dengan variabel ini dihapus atau diedit. Jika ada nomor rekening atau Jaminan Sosial untuk mengidentifikasi setiap pasien, mintalah ID dummy (tetapi pastikan untuk mengetahui variabel mana yang telah diganti dengan nomor dummy).
• Minta data agregat. Beberapa petugas catatan mungkin menolak permintaan Anda dengan alasan bahwa menggabungkan data sama dengan 'membuat' data, yang mungkin secara hukum tidak wajib mereka lakukan. Jadi tanyakan dengan baik, dan bernegosiasi! Jika Anda bisa mendapatkan data agregat (atau data yang hanya dapat Anda publikasikan dalam bentuk agregat), Anda mungkin dilarang mempublikasikan data pada sekelompok kecil orang untuk melindungi privasi pasien.

Al Tompkins adalah staf pengajar senior di Poynter. Dia bisa dihubungi di email atau di Twitter, @atompkins.