来源:https://www.cdc.gov/phlp/publications/topic/hipaa.html
https://www.hipaaexams.com/blog/understanding-5-main-hipaa-rules/
1996 年《健康保险流通与责任法案》(HIPAA) 是一项联邦法律,要求制定国家标准以保护敏感的患者健康信息,以免在未经患者同意或不知情的情况下披露。美国卫生与公众服务部 (HHS) 发布了 HIPAA 隐私规则以实施 HIPAA 的要求。HIPAA 安全规则保护隐私规则涵盖的信息子集。
一、HIPAA 隐私规则 Privacy Rule
隐私规则标准涉及受隐私规则约束的实体对个人健康信息(称为“受保护的健康信息”)的使用和披露。这些个人和组织被称为“涵盖实体”。隐私规则还包含个人理解和控制如何使用其健康信息的权利的标准。隐私规则的一个主要目标是确保个人的健康信息得到适当保护,同时允许提供和促进高质量医疗保健以及保护公众健康和福祉所需的健康信息流动。隐私规则实现了一种平衡,既允许重要的信息使用,又保护寻求护理和治疗的人的隐私。
另外,隐私规则保护个人的个人健康信息 (PHI) 和医疗记录。它对未经患者授权可以和不能进行的各种使用和披露设置了限制和条件。该规则还赋予每位患者检查和获取其记录副本并要求更正其档案的权利。
有一些特定的形式与此规则一致:
访问受保护健康信息 (PHI) 的请求
隐私惯例通知 (NPP) 表格
会计披露申请表
请求限制患者医疗保健信息
使用授权或披露表
隐私投诉表
二、涵盖实体Covered Entities
以下类型的个人和组织受隐私规则约束并被视为涵盖实体:
医疗保健提供者:每个医疗保健提供者,无论其规模大小,都以电子方式传输与某些交易相关的健康信息。这些交易包括索赔、福利资格查询、推荐授权请求以及 HHS 已根据 HIPAA 交易规则为其制定标准的其他交易。
健康计划:提供或支付医疗保健费用的实体。健康计划包括健康、牙科、视力和处方药保险公司;健康维护组织 (HMO);Medicare、Medicaid、Medicare+Choice 和 Medicare 补充保险公司;和长期护理保险公司(不包括疗养院固定赔偿政策)。健康计划还包括雇主赞助的团体健康计划、政府和教会赞助的健康计划以及多雇主健康计划。
例外:参与者少于 50 人且仅由建立和维护该计划的雇主管理的团体健康计划不属于承保实体。
医疗保健信息交换所:将他们从另一个实体接收到的非标准信息处理为标准(即标准格式或数据内容)的实体,反之亦然。在大多数情况下,仅当医疗保健信息交换所作为业务伙伴向健康计划或医疗保健提供者提供这些处理服务时,它们才会收到个人可识别的健康信息。
业务伙伴:使用或披露可识别个人身份的健康信息以执行或提供功能、活动或服务的个人或组织(涵盖实体的员工除外)。这些功能、活动或服务包括索赔处理、数据分析、使用情况审查和计费。
三、允许使用和披露
允许(但不要求)在未经个人授权的情况下,出于以下目的或情况使用和披露受保护的健康信息:
1、向个人披露Disclosure to the individual(如果信息需要查阅或核算披露,则实体必须向个人披露)
2、治疗、支付和医疗保健业务运营
3、同意或反对披露PHI的机会(非正式许可可以通过直接询问个人,或在明显给个人机会同意、默认或反对的情况下获得)
4、其他许可使用和披露的意外事件
5、公共利益和福利活动——隐私规则允许出于12 个国家优先目的使用和披露受保护的健康信息,无需个人授权或许可:
当法律要求时
公共卫生活动
虐待或忽视或家庭暴力的受害者
卫生监督活动
司法和行政程序
执法
与死者有关的职能(例如身份证明)
尸体器官、眼睛或组织捐赠
研究,在一定条件下
防止或减轻对健康或安全的严重威胁
基本的政府职能
劳动者报酬
用于研究、公共卫生或医疗保健业务的有限数据集
四、HIPAA 安全规则
虽然 HIPAA 隐私规则保护受保护的健康信息 (PHI),但安全规则Security Rule保护隐私规则涵盖的信息子集。该子集是涵盖实体以电子形式创建、接收、维护或传输的所有可单独识别的健康信息。此信息称为“电子受保护健康信息”(e-PHI)。安全规则不适用于口头或书面传输的 PHI。
为了遵守 HIPAA 安全规则,所有涵盖的实体必须执行以下操作:
确保所有受电子保护的健康信息的机密性、完整性和可用性
检测和防范对信息安全的预期威胁
防止预期的不允许的使用或披露
证明其员工的合规性
在考虑对这些许可使用和披露的请求时,涵盖实体应依赖职业道德和最佳判断。HHS 民权办公室执行 HIPAA 规则,所有投诉都应报告给该办公室。违反 HIPAA 可能会导致民事罚款或刑事处罚。
网友评论