星期五,4月19日,2019,美国民权办公室卫生与公众服务部解释在常见问题解答中,电子健康记录(ehr)系统可能受到1996年《健康保险可移植性和责任法案》(HIPAA)的约束,因为应用程序不允许使用或披露电子保护健康信息(ephi)。只要应用程序独立于覆盖实体及其EHR系统,而是由单个患者控制,一旦应患者要求将EPHI交付给应用程序,受保实体及其EHR系统不承担HIPAA责任。

在它的常见问题中,卫生和公众服务部规定,如果,应病人的要求,HIPAA覆盖实体的ehr系统将ephi传输到不由ehr系统开发或专门提供给覆盖实体的应用程序,受保实体和EHR系统开发商均不对应用程序随后不允许使用或披露的信息承担HIPAA责任。但是,如果一个EHR系统将患者数据从覆盖的实体传输到一个由EHR系统“通过”提供的应用程序,或代表,覆盖实体(直接或通过另一个业务伙伴)拥有应用程序或与应用程序开发人员有业务关系,对于随后不允许使用或披露EPHI,EHR系统开发商可能要承担HIPAA责任。

这一澄清HIPAA责任边界的尝试可能会受到广泛受保实体的欢迎,电子病历系统以及处理ephi的应用程序开发人员,包括将患者与医生联系起来的应用程序,药房应用程序以及关注生育能力的应用程序,心理健康,戒烟,还有更多。患者,另一方面,应该知道应用程序正在收集的信息(可能是实质性的和敏感的,根据应用程序的性质)不受HIPAA保护,除非应用程序由覆盖实体提供,作为其整个EHR系统的一部分。