Lauren Steinfeld membahas kepatuhan terhadap peraturan dalam konteks privasi data dan layanan kesehatan.
Dalam percakapan dengan Tinjauan PeraturanChief Privacy Officer Penn Medicine Lauren Steinfeld membahas cara kerja sistem layanan kesehatan untuk mematuhi peraturan tentang privasi data.
Steinfeld berpendapat bahwa layanan kesehatan menghadapi persyaratan hukum baru, standar industri, dan teknologi yang berubah dengan cepat, dan bahwa setiap perkembangan baru memerlukan strategi untuk mengelola risiko dan memanfaatkan peluang. Jika terdapat peraturan baru, penyedia layanan kesehatan harus menilai—dan jika perlu, mengubah—kebijakan dan prosedur internal, pelatihan, sistem, dan hal-hal lain yang ada agar dapat dipatuhi. Teknologi baru juga harus dipahami, menurutnya, karena beberapa teknologi mungkin menimbulkan kerentanan baru dan teknologi lain mungkin memberikan peluang baru untuk melindungi data pasien.
Steinfeld berpendapat bahwa mencapai kepatuhan terhadap peraturan dalam organisasi layanan kesehatan memerlukan profesional privasi untuk mempertimbangkan misi, budaya, dan operasi internal organisasi. Dia menekankan bahwa karena data sangat penting bagi setiap bagian organisasi, peraturan privasi baru kemungkinan besar akan memengaruhi hampir semua orang di dalamnya. Steinfeld mencatat pentingnya regulator bertindak sebagai pendidik dan menyediakan alat yang dibutuhkan entitas untuk melindungi privasi pasien tanpa mengganggu perawatan yang tepat.
Selain posisinya sebagai Chief Privacy Officer di Penn Medicine dan Associate Vice President untuk Audit, Kepatuhan, dan Privasi di University of Pennsylvania, Steinfeld adalah Adjunct Professor di University of Pennsylvania. Fakultas Hukum Universitas Pennsylvania Careytempat dia mengajar kursus tentang privasi dan kepatuhan. Sebelumnya, Steinfeld adalah Chief Privacy Officer di University of Pennsylvania, di mana dia membantu menciptakan program privasi pertama di seluruh institusi dalam pendidikan tinggi. Steinfeld juga menjabat sebagai Associate Chief Counselor for Privacy di Kantor Manajemen dan Anggarandi mana dia membantu Pemerintahan Clinton dalam mengembangkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), dan sebagai Penasihat Pengacara di Komisi Perdagangan Federal (FTC), di mana dia terlibat dalam beberapa kasus pertama terkait privasi di badan tersebut.
Tinjauan Peraturan dengan senang hati berbagi wawancara berikut dengan Lauren Steinfeld.
Tinjauan Peraturan: Apa yang membuat program kepatuhan efektif bagi suatu organisasi?
Steinfeld: Tidak ada jawaban sederhana untuk pertanyaan tersebut karena ada begitu banyak faktor yang berkontribusi untuk mendefinisikan “efektivitas.” Seorang pemimpin perusahaan yang ingin mengembangkan program kepatuhan kemungkinan besar akan memulai dengan mengajukan pertanyaan-pertanyaan berikut:
Apa tujuan organisasi dalam hal kepatuhan? Untuk menghindari denda dan penalti? Untuk menghindari perhatian pers yang negatif? Untuk menghindari kelemahan keselamatan, operasional, atau keuangan yang serius?
Toleransi terhadap risiko apa yang dimiliki perusahaan? Apakah ada yang bertujuan untuk menghilangkan risiko kepatuhan, dan apakah ada kemauan untuk melakukan semua investasi yang relevan? Apakah seseorang hanya bertujuan untuk menghindari masalah yang serius dan sistemik dan apakah seseorang bersedia melakukan investasi yang dipilih dan ditargetkan untuk melakukan hal tersebut? Apakah ada perusahaan di antara keduanya?
Apa risiko ketidakpatuhan? Seberapa sulitkah untuk mematuhinya? Apakah hal tersebut memerlukan pelatihan, perubahan produk, perubahan alur kerja, sistem baru, atau pemantauan proaktif? Seberapa aktifkah regulator terkait? Bar penggugat?
Apakah kepatuhan berkontribusi terhadap tujuan bisnis lainnya? Apakah hal ini memerlukan perubahan operasional, analisis yang lebih mendalam, dokumentasi yang lebih baik, tata kelola, atau langkah-langkah lain yang membuat bisnis lebih kuat? Apakah ada keuntungan bisnis selain terhindar dari masalah?
Hanya setelah menjawab pertanyaan-pertanyaan ini barulah seseorang dapat mengevaluasi efektivitas program kepatuhan.
TRR: Mekanisme apa yang diperlukan untuk mencapai kepatuhan?
Steinfeld: Saya melihat kepatuhan sebagai proses mengambil aturan—yang mungkin terlihat sederhana—dan menerapkannya pada organisasi yang mungkin tidak sederhana. Perusahaan-perusahaan global yang besar, kompleks, multi-negara, sering kali memiliki ribuan persyaratan yang ingin mereka “sesuaikan” dengan cara mereka menjalankan bisnis.
Ada begitu banyak alat dalam perangkat untuk mencapai kepatuhan: pelatihan dan kesadaran bagi tenaga kerja, mengubah alur kerja, memodifikasi templat kontrak dan bentuk lainnya, memusatkan kepatuhan pada fungsi pakar tertentu, mengonfigurasi sistem teknologi informasi (TI), mendedikasikan sumber daya audit, menetapkan tata kelola , antara lain.
Triknya—dan tantangannya—adalah mencari tahu faktor apa yang paling tepat untuk digunakan guna mencapai kepatuhan. Misalnya, seseorang yang bertanggung jawab untuk memastikan kepatuhan terhadap undang-undang standar ketenagakerjaan yang adil mungkin ingin melatih dan mendokumentasikan pelatihan semua manajer dan mengubah sistem waktu dan kehadiran untuk menghindari gaji dan jam kerja tertentu yang dilarang. Seseorang yang bertanggung jawab atas kepatuhan tingkat pH dalam produksi yogurt tidak akan membuat pilihan tersebut!
TRR: Apakah ada pertimbangan unik yang terlibat ketika mengembangkan kebijakan internal untuk sistem layanan kesehatan?
Steinfeld: Menurut pengalaman saya, ya. Dalam pelayanan kesehatan, kita selalu menyadari fakta bahwa pelayanan dan keselamatan pasien adalah yang terpenting. Kekhawatiran ini bukan hanya masalah dokter, perawat, dan profesional kesehatan lainnya. Perawatan dan keselamatan pasien juga merupakan masalah bagi para profesional TI yang membangun sistem informasi atau meja depan dan staf lain yang membantu pasien menavigasi janji temu dan prosedur mereka.
Perawatan pasien juga merupakan urusan para profesional kepatuhan. Seringkali dalam bidang privasi, undang-undang memberikan beberapa pedoman tentang cara menyeimbangkan pembagian data pasien untuk meningkatkan hasil kesehatan dengan kebutuhan untuk melindungi privasi pasien. Namun rincian mengenai bagaimana melakukan hal tersebut, dengan siapa harus berbagi informasi, bagaimana memberi tahu pasien tentang pembagian informasi, pilihan apa yang harus diberikan kepada pasien, apakah data sensitif tertentu harus lebih dibatasi, dan bagaimana menjaga keamanan berbagi data sering kali tidak ditentukan oleh undang-undang. dan membutuhkan pemikiran kritis dan konsultasi.
TRR: Mengingat signifikansinya bangkit dalam insiden dunia maya dan pelanggaran privasi yang mengganggu sistem kesehatan dan rumah sakit, pendekatan apa yang harus dipertimbangkan oleh regulator untuk membantu organisasi mencegah hilangnya data sensitif?
Steinfeld: Satu hal yang saya pahami di FTC pada akhir tahun 90an adalah seberapa banyak peran yang dapat dimainkan oleh regulator untuk memajukan suatu isu. Badan pengawas tidak hanya dapat menulis peraturan dan menegakkannya, namun juga dapat mendidik dunia usaha dan konsumen, mempelajari permasalahan melalui dengar pendapat, membantu perusahaan membentuk kemitraan berbagi informasi, dan banyak lagi.
Masalah yang Anda angkat—meningkatnya insiden dunia maya dan pelanggaran privasi—adalah masalah yang sudah memiliki banyak aturan untuk mengatasinya. HIPAA sendiri memiliki Aturan PrivasiA Aturan Keamanandan sebuah Aturan Pemberitahuan Pelanggaranjadi tidak ada kekurangan persyaratan dalam perlindungan data. Meskipun peraturan dapat membantu mengatasi masalah ini, dalam layanan kesehatan, terdapat insentif berbasis misi independen yang kuat untuk menyelesaikan masalah ini—bahkan pertimbangkan pentingnya mendeteksi dan menghindari serangan ransomware mengingat potensi dampaknya terhadap perawatan pasien.
Regulator di bidang ini telah melakukan lebih dari sekadar menulis peraturan. Mereka juga membantu mengedukasi entitas dan pasien yang dilindungi mengenai langkah-langkah untuk melindungi privasi dan keamanan. Dan mereka telah membantu memajukan pertukaran informasi di antara entitas yang tercakup di sekitar ancaman tertentu dan peluang untuk melindunginya. Pendekatan multi-aspek yang dilakukan oleh regulator, dengan menyadari adanya tujuan bersama, sangatlah membantu.
TRR: Anda telah mengajar berbagai kursus tentang kepatuhan terhadap peraturan dan privasi di Penn Carey Law. Pelajaran terpenting apa yang Anda harap siswa dapat ambil dari kursus Anda?
Steinfeld: Saya mencoba untuk memberi tahu siswa bahwa, tentu saja, hukum lebih dari sekedar kata-kata di halaman. Dan khususnya di bidang kepatuhan, Anda benar-benar dapat melihat bagaimana undang-undang berkaitan dengan—dan perlu diterapkan ke dalam—begitu banyak bagian berbeda dalam suatu organisasi. Bekerja di bidang ini memberi Anda kesempatan untuk belajar dan berpartisipasi dalam berbagai bidang seperti keamanan informasi, kecerdasan buatan, teknologi pengajaran, kontrak dan kemitraan strategis, hubungan pemerintah, komunikasi, sumber daya manusia, dan banyak lagi.
Dan gagasan ini bahkan lebih benar lagi jika menyangkut privasi karena hampir setiap bagian dari setiap organisasi bergantung pada data. Fakta dasar ini berarti bahwa staf privasi secara rutin diajak berdiskusi dan membuat proyek seputar bagaimana data dapat dan harus dikumpulkan, digunakan, dibagikan, dan dilindungi.
Bekerja dalam kepatuhan dan privasi memberi Anda salah satu sudut pandang terbaik untuk mempelajari berbagai bidang dan organisasi tempat Anda bekerja. Saya telah berkecimpung di bidang ini selama lebih dari 25 tahun—dan bidang ini tetap penuh aksi!
