Obligations des fournisseurs pour les portails patients en vertu de la loi sur les cures du 21e siècle
Lorsque le Congrès a interdit le «blocage d’informations» en vertu de la loi sur les traitements du 21e siècle en 2016, il n’a fait aucune référence aux portails de patients, les sites Web par lesquels de nombreux prestataires de soins de santé partagent des informations cliniques avec leurs patients. De même, le mot « portail » n’apparaît pas une seule fois dans le règlement de 6 000 mots sur le blocage des informations, publié par le Bureau du coordinateur national des technologies de l’information sur la santé (ONC) en 2020. Ce règlement définit le blocage des informations comme une pratique susceptible de d’interférer avec l’accès, l’échange ou l’utilisation d’informations électroniques sur la santé, sous réserve de certaines limitations importantes.
Pourtant, près de deux ans après que l’ONC a publié sa règle, les hôpitaux et autres prestataires de tout le pays ont considérablement modifié les informations disponibles pour les patients sur leurs portails en conséquence directe de la règle de blocage des informations. Alors que les portails disposaient autrefois d’informations limitées, de nombreux prestataires proposent désormais une vaste gamme de données à leurs patients, notamment des résultats de laboratoire, des rapports chirurgicaux et des notes de médecins. Et les prestataires continuent d’adapter leurs pratiques à mesure que de nouvelles exigences réglementaires entreront en vigueur plus tard en 2022. Les modifications apportées aux portails patients sont jusqu’à présent la manifestation la plus visible de l’évolution des pratiques résultant de la règle de blocage des informations.
Cependant, les aspects clés du blocage des informations restent largement incompris. Les exigences en matière de droit d’accès en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act) peuvent être assez prescriptives, avec des conseils allant jusqu’à spécifier le montant exact en dollars qu’un fournisseur peut facturer à un patient pour un dossier. En revanche, la règle de blocage des informations ressemble à un test de Rorschach, avec d’innombrables interprétations possibles. Bien que l’ONC ait publié des directives limitées, le gouvernement n’a pas répondu aux questions clés : à quels types d’informations les patients ont-ils le droit d’accéder via des portails ? Quand les fournisseurs peuvent-ils retenir des informations lorsqu’ils ne sont pas tenus de le faire par la loi ? Les prestataires ont du mal à gérer ces problèmes, tout comme les patients commencent à comprendre leurs droits dans le cadre de ce nouveau cadre réglementaire.
Origines de la poussée de portail
L’évolution des portails patients reflète une différence fondamentale entre la règle de blocage des informations et le droit d’accès qui existe depuis longtemps dans le cadre de la loi HIPAA. Le droit d’accès HIPAA, qui a été adopté dans la réglementation en 2000, reflète l’ancien modèle de dossiers médicaux. Le Bureau des droits civils (OCR) du Département de la santé et des services sociaux (HHS) prévoyait que les patients appelleraient leur fournisseur ou enverraient une demande écrite demandant une copie de leurs dossiers médicaux et que les fournisseurs répondraient en fournissant une copie de ceux-ci. enregistrements. Bien que l’agence ait compris que certaines informations seraient fournies par voie électronique, le cas le plus typique impliquait soit de fournir des documents papier par courrier, soit de les rendre disponibles pour un ramassage en personne. En conséquence, HIPAA donne aux prestataires 30 jours pour correspondre avec le patient au sujet des informations à fournir, localiser les fichiers, faire des copies et assembler les envois, le cas échéant (le délai de 30 jours peut être étendu à 60 jours).
La loi sur le blocage des informations, en revanche, a été adoptée dans un monde où la plupart des informations sur la santé sont sous forme électronique. La règle s’applique uniquement aux « informations de santé électroniques » (EHI) ; par conséquent, les informations qui existent uniquement sous forme papier sont entièrement exclues de son champ d’application. Étant donné que le gouvernement prévoyait que les informations seraient fournies par voie électronique, il prévoyait également que l’EHI pourrait être fourni dans un délai beaucoup plus rapide que 30 jours.
La règle elle-même n’exige pas un accès immédiat ou en temps réel à l’information. Mais le Congrès a défini le blocage d’informations comme signifiant, en partie, une pratique qui est « susceptible d’interférer avec, d’empêcher ou de décourager matériellement l’accès, l’échange ou l’utilisation d’informations de santé électroniques ». Et l’ONC a conclu qu’un retard d’accès peut interférer avec l’accès d’un patient à l’EHI. Bien que l’agence ait refusé d’exiger que les prestataires mettent leurs données de manière proactive à la disposition des patients via des portails patients, l’agence a déclaré qu’un « retard dans la mise à disposition de l’EHI via un« portail patient » ou une API [application programming interface] pour les patients pourrait constituer une ingérence et ainsi mettre en cause les réglementations de blocage des informations.
L’accent mis récemment par l’ONC sur l’accès des patients à l’information reflète une tendance plus large parmi les agences fédérales et étatiques qui cherchent à promouvoir la disponibilité de l’information aux personnes faisant l’objet de dossiers. L’an dernier, l’OCR a proposé d’amender HIPAA pour renforcer le droit d’accès, proposant, entre autres, de réduire le délai de réponse de 30 jours à 15 jours. De même, les Centers for Medicare et Medicaid Services ont finalisé leur règle d’interopérabilité, qui oblige certains plans de santé à mettre plus d’informations directement à la disposition de leurs membres via des API. Plus généralement, ces règles reflètent la volonté de certains États d’accroître l’accès des consommateurs à leurs données en vertu de lois telles que la California Consumer Privacy Act.
L’étendue des obligations des fournisseurs
En effet, l’ONC interprète la 21st Century Cures Act comme signifiant que les patients ont le droit d’obtenir leurs données auprès des prestataires de soins de santé le plus rapidement possible. Par conséquent, les portails patients, qui permettent aux patients de consulter une mine d’informations sur eux-mêmes dès qu’ils se connectent aux sites, sont devenus un outil clé pour répondre à cette obligation.
Mais la position de l’ONC laisse ouvertes de nombreuses questions. Les prestataires ont du mal à se conformer aux réglementations gouvernementales et à déterminer s’ils doivent télécharger toutes les informations dont ils disposent sur les patients sur leurs portails.
Les préoccupations des prestataires se répartissent généralement en trois catégories. Le premier est une préoccupation clinique : comment les médecins peuvent-ils discuter avec leurs patients d’un résultat de laboratoire inattendu si les résultats doivent être affichés sur un portail dès que le laboratoire a terminé son travail ? La règle de blocage des informations reconnaît une «exception de prévention des dommages», qui permet à un fournisseur de retenir des informations si la divulgation est «raisonnablement susceptible de mettre en danger la vie ou la sécurité physique» de toute personne. Mais il est peu probable que le partage d’un diagnostic de cancer inattendu réponde à une telle norme dans la plupart des cas.
La seconde est une préoccupation juridique : dans de nombreux cas, il existe une tension entre la règle de blocage des informations et les lois sur la confidentialité qui limitent l’accès aux informations. Trouver un équilibre peut être difficile, en particulier dans le cas des mineurs. Les parents et les tuteurs ont généralement le droit de voir les informations sur la santé de leurs enfants ; par conséquent, la règle de blocage des informations suggère que les prestataires téléchargent les informations pédiatriques sur des portails pour que leurs parents puissent les voir. Mais presque tous les États ont des lois sur le «consentement mineur» qui interdisent à un fournisseur de partager les informations d’un mineur avec un parent ou un tuteur si le mineur a demandé un type de service tel que la planification familiale, l’avortement, les soins de santé mentale ou le traitement d’une toxicomanie. désordre. Faire la distinction entre les dossiers pédiatriques qui ne peuvent pas être partagés avec les parents et les tuteurs et ceux qui doivent l’être n’est pas toujours une tâche facile.
La troisième est une préoccupation pratique : dans certains cas, la publication de certains enregistrements sur un portail peut prendre du temps et être coûteuse. Un fournisseur est-il obligé de télécharger tous les enregistrements, même ceux qui datent de plusieurs années ? Qu’en est-il des fichiers de données volumineux, tels que des résultats d’imagerie détaillés, qui peuvent ne pas être compatibles avec la configuration actuelle du portail ? Existe-t-il une obligation d’extraire les dossiers qui existent en dehors du système principal de dossier de santé électronique (DSE) du fournisseur ? Que se passe-t-il si le fournisseur n’a pas du tout de système EHR ?
Bien que l’ONC n’ait pas fourni de réponses à ces questions, la règle de blocage des informations elle-même peut aider à résoudre certains de ces problèmes. La règle s’applique uniquement aux documents qui existent sous forme électronique. Cela signifie que les prestataires n’ont aucune obligation de parcourir des montagnes de dossiers papier et de mettre ces informations dans les portails des patients. De plus, la règle ne s’applique pas aux informations qui existent en dehors du « jeu de dossiers désigné » d’un patient, ce qui signifie essentiellement des dossiers qui peuvent être utilisés pour prendre des décisions concernant le patient. Par conséquent, si le fournisseur maintient un système électronique de dossiers d’évaluation des employés qui comprend des informations sur un patient, ce système ne fera pas partie de l’ensemble de dossiers désigné du patient, tant que les cliniciens n’y auront pas accès pour prendre des décisions de traitement ou de facturation. sur ce patient en particulier. Ainsi, il ne serait pas nécessaire de lier cet ensemble de données au portail patient.
Mais même la détermination d’un fournisseur que certaines informations font partie d’un dossier électronique désigné ne signifie pas que le fournisseur doit toujours rendre ces informations disponibles sur son portail. Bien que l’on puisse affirmer qu’un échec ou une incapacité à télécharger ces informations sur le portail peut constituer une « interférence » avec l’accès à EHI, un tel échec ou incapacité ne peut pas constituer un blocage des informations. Empêcher un patient d’avoir accès à l’EHI n’atteint le niveau de blocage d’informations que si aucune exception de blocage d’informations ne s’applique et que « le prestataire sait qu’une telle pratique est déraisonnable ».
La limite du caractère raisonnable est essentielle à la mise en œuvre des réglementations de blocage des informations. Le Congrès ne voulait pas que les fournisseurs soient tenus financièrement responsables de tout manquement au partage d’informations qui ne relevait pas de l’une des exceptions étroites de blocage d’informations. Au lieu de cela, la loi se concentre sur les pratiques dont les prestataires savent qu’elles sont injustifiées. Adopter une politique visant à empêcher que tous les résultats des tests de laboratoire soient téléchargés sur les portails des patients peut être une position déraisonnable, en particulier si le fournisseur a la capacité technique de rendre ces dossiers accessibles. Mais les prestataires ont un bien meilleur argument selon lequel ils agissent raisonnablement s’ils empêchent les parents d’accéder au dossier de leur adolescent pour garantir le respect d’une loi sur le consentement des mineurs, même si le prestataire ne sait pas si le dossier particulier relève du champ d’application de cette loi. .
L’avenir des portails
Jusqu’à présent, la règle de blocage des informations n’a pas été appliquée. Le bureau de l’inspecteur général du HHS a publié un projet de règlement pour appliquer les exigences de blocage des informations en 2020, mais cette règle n’a pas encore été finalisée. De plus, la règle proposée ne concernait que les actions contre les échanges d’informations sur la santé et les fournisseurs de technologies de l’information sur la santé, et non contre les fournisseurs. Le gouvernement fédéral n’a pas élaboré de système pour imposer des exigences de blocage d’informations à l’encontre des fournisseurs.
Cependant, les fournisseurs seront éventuellement confrontés à l’application de ces règles. Les données publiées par le gouvernement jusqu’à présent suggèrent que cette application peut se concentrer sur les plaintes des patients contre les prestataires, en ce qui concerne les portails et autres. Le gouvernement a récemment découvert que près de 80% des plaintes de blocage d’informations reçues jusqu’en février 2022 concernaient des prestataires et que les patients représentaient environ les deux tiers de ceux qui avaient déposé des plaintes. Les responsables de l’ONC ont noté qu’une plainte courante était les patients disant que leurs prestataires retardaient inutilement l’accès à leurs informations.
En bref, les efforts des fournisseurs de soins de santé pour donner à leurs patients un meilleur accès à leurs informations seront soumis à un examen minutieux pour les années à venir.
Note de l’auteur
L’auteur est un employé de Manatt, Phelps & Phillips, LLP, qui fournit des conseils aux organisations cherchant à se conformer à la règle de blocage des informations.