Ochrana osobních údajů v oblasti zdraví: Základy HIPAA

Zveřejněno: 1. února 2015 | Revidováno: 1. února 2015

  1. Úvod
  2. Co je HIPAA?
    a. Stručná historie HIPAA
    b. Je HIPAA jediným zákonem, který se vztahuje na informace o zdraví?
  3. Kdo musí dodržovat HIPAA?
    a. Kryté subjekty
    b. Obchodní partneři
    c. Subdodavatelé
    d. Hybridní subjekty
  4. Kdo není povinen dodržovat HIPAA?
  5. Na jaké informace se HIPAA vztahuje?
    a. Na jaké informace se vztahuje pravidlo ochrany osobních údajů HIPAA?
    b. Na jaké informace se bezpečnostní pravidlo HIPAA vztahuje?
  6. Na jaké informace se pravidlo HIPAA soukromí nevztahuje?
    a. Zdravotní informace v záznamech o zaměstnání
    b. Zdravotní informace v záznamech o vzdělávání (z větší části)
    c. Zdravotní informace o osobě, která zemřela více než 50 let
    d. De-identifikovaná data
  7. Jak prosazuje americké ministerstvo zdravotnictví a sociálních služeb (HHS) HIPAA?
    a. Kdy HHS prošetří stížnost?
    b. Jak stanoví HHS pokutu za porušení?
    c. Pokud bude uložena peněžitá pokuta, obdrží osoba, která podala stížnost, peníze?
    d. Mohou jednotlivci podat žalobu podle zákona HIPAA?
  8. Zdroje

1. Úvod

Téměř každý uznává citlivou povahu zdravotních a lékařských informací. Ochrana osobních údajů a zabezpečení zdravotních informací jsou však složitá témata pro navigaci pacientů i zdravotnických pracovníků.

Federální předpisy, které upravují soukromí a zabezpečení zdravotních informací, jsou známé jako HIPAA, pro zákon o přenositelnosti a odpovědnosti zdravotního pojištění, který nařídil jim. Jako pacient je důležité porozumět rozsahu a omezením HIPAA. Tato příručka poskytuje informace o základech HIPAA, například o tom, na koho se HIPAA vztahuje a jaké informace pokrývá.

2. Co je HIPAA?

Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) je federální zákon, který poskytuje základní standardy ochrany osobních údajů a zabezpečení lékařských informací. Americké ministerstvo zdravotnictví a sociálních služeb (HHS) je federální agentura odpovědná za vytváření pravidel. které implementují HIPAA a také prosazují HIPAA.

a. Stručná historie HIPAA

  • 1996 – Kongres schválil zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA).
    Většina lidí zná HIPAA jako zákon o soukromí a bezpečnosti v lékařství. Původním účelem HIPAA však bylo stanovit standardy pro přenos elektronických zdravotních dat a umožnit lidem převádět a pokračovat ve zdravotním pojištění po změně nebo ztrátě zaměstnání.
    V do roku 2003 ve skutečnosti neexistovaly žádné národní standardy ochrany soukromí lékařské informace podle HIPAA. Veškerá ochrana byla založena na státním právu.

  • 2003 – Americké ministerstvo zdravotnictví a sociálních služeb (HHS) vydalo a přijalo pravidlo ochrany osobních údajů HIPAA, pravidlo zabezpečení HIPAA a pravidlo HIPAA Pravidlo vymáhání.
    V roce 2003 vydala společnost HHS první národní pravidla ochrany osobních údajů a zabezpečení podle zákona HIPAA.
    Pravidlo ochrany osobních údajů poskytuje jednotlivcům práva týkající se jejich chráněných zdravotních informací (PHI). Vysvětluje také, jak mohou kryté subjekty (ty, které musí dodržovat HIPAA) používat a zveřejňovat PHI.
    Pravidlo zabezpečení stanoví standardy pro ochranu elektronických PHI.
    Pravidlo vynucování se zabývá dodržováním předpisů, vyšetřováním a možnými pokutami za porušení pravidla ochrany soukromí a pravidla zabezpečení HIPAA. Za prosazování předpisů HIPAA odpovídá Úřad pro občanská práva (OCR) v rámci HHS.
  • 2009 – Byl podepsán zákon o zdravotních informačních technologiích pro hospodářské a klinické zdraví (HITECH) zákon. Zákon HITECH je hlavou XIII amerického zákona o zotavení a reinvesticích (AARA).
    V letech 2003 až 2009 technologie změnila prostředí ochrany soukromí lékařů. Elektronické lékařské záznamy začaly nahrazovat papírové složky. Pacienti začali komunikovat se svými lékaři e-mailem a prostřednictvím online portálů. Lékárny začaly zpracovávat recepty elektronicky.
    Zákon o HITECH vytvořil finanční pobídky pro poskytovatele zdravotní péče a pojišťovny, aby pokračovali v přechodu na elektronické lékařské záznamy, a zabýval se také otázkami ochrany soukromí a bezpečnosti souvisejícími s elektronickým přenosem zdravotních informací, včetně neoprávněného přístupu a údajů porušení.
  • 2013 – HHS „Úřad pro občanská práva vydal souhrnné pravidlo HIPAA.
    HHS„ Souhrnné pravidlo provedlo několik důležitých změn v ochraně, zabezpečení a prosazování zákona HIPAA Pravidla. Implementovalo mnoho ustanovení zákona o HITECH. Upravilo a dokončilo pravidlo oznamování porušení. Rovněž provedla změny pravidla ochrany soukromí HIPAA vyžadované zákonem o nediskriminaci genetických informací z roku 2008 (GINA).

b. Je HIPAA jediným zákonem, který se vztahuje na informace o zdraví?

Ne. Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění (HIPAA) není jediným zákonem, který se vztahuje na zdravotní informace.

Existují federální zákony, které se vztahují na konkrétní typy zdravotních informací (nebo záznamy obsahující zdravotní informace), jako jsou genetické informace, zdravotní informace ve školních záznamech, identifikovatelné informace o jednotlivcích udržované federální vládou, určitý alkohol a záznamy o zneužívání drog a informace týkající se lékařského výzkumu.

Kromě toho mohou státy uzákonit své vlastní zákony na ochranu zdravotních informací, protože HIPAA stanoví základní linii, ze které mohou státy vytvářet přísnější zákony. Další informace o státním právu naleznete na HealthInfoLaw.org (projekt Hirsh Health Law and Policy Program Univerzity George Washingtona).

3. Kdo musí dodržovat HIPAA?

HIPAA nechrání všechny informace o zdraví. Nevztahuje se na všechny osoby, které mohou informace o zdraví vidět nebo je používat. HIPAA se vztahuje pouze na kryté subjekty a jejich obchodní partnery.

a. Kryté subjekty

V rámci HIPAA existují tři typy krytých entit.

  • Poskytovatelé zdravotní péče dostávají za poskytování zdravotní péče zaplaceno. Lékaři, zubaři, nemocnice, pečovatelské domy, lékárny, kliniky urgentní péče a další subjekty poskytující zdravotní péči výměnou za platbu jsou příklady poskytovatelů.
    Poskytovatelé zdravotní péče musí dodržovat HIPAA pouze v případě, že předávají zdravotní informace elektronicky v souvislosti s krytými transakcemi. Většina poskytovatelů přenáší informace elektronicky za účelem provádění funkcí, jako je zpracování stížností a přijímání plateb. Proto většina prov na idery se vztahuje HIPAA.
  • Zdravotní plány hradí náklady na zdravotní péči.
    Níže jsou uvedeny příklady zdravotních plánů, na které se vztahuje HIPAA: zdravotní pojišťovny, organizace pro péči o zdraví (HMO), skupinové zdravotní plány sponzorované zaměstnavatelem, vládou financované zdravotní plány, jako jsou Medicare a Medicaid, a většina dalších společností nebo opatření, která platí za zdravotní péči.
  • clearinghouse zdravotní péče zpracovává informace tak, aby mohly být přenášeny ve standardním formátu mezi krytými subjekty. Zúčtovací střediska často fungují jako prostředník mezi poskytovateli zdravotní péče a zdravotními plány, což znamená, že málokdy jednají přímo s pacienty. Například clearinghouse může vzít informace od lékaře a dát je do standardního kódovaného formátu, který lze použít pro účely pojištění.

Další informace o tom, zda se na entitu vztahuje HIPAA, poskytuje HHS užitečný graf.

b. Obchodní partneři

Co je obchodní partner? Poskytovatelé zdravotní péče, plány zdravotní péče a clearingové střediska zdravotní péče jsou jen některé z hráčů v oboru zdravotní péče. Kryté subjekty najímají nebo uzavírají smlouvy s lidmi a společnostmi za účelem poskytování řady služeb.

„Obchodní spolupracovník“ vytváří, přijímá, udržuje nebo přenáší chráněné zdravotní informace (PHI) jménem kryté entity nebo jiného obchodního partnera jednajícího jako subdodavatel.

Definici obchodního partnera viz 45 CFR § 160.103.

Co dělají obchodní partneři? Obchodní partneři mohou pro krytou entitu provádět mnoho různých služeb, mimo jiné:

  • právní
  • pojistně-matematické
  • účetnictví
  • poradenství
  • agregace dat
  • správa
  • administrativní akreditace
  • zpracování nebo správa údajů
  • analýza
  • přenos dat
  • kontrola využití
  • zajištění kvality
  • určité činnosti v oblasti bezpečnosti pacientů
  • fakturace
  • správa výhod
  • řízení praxe
  • repricing.

Obchodní partneři často poskytují služby, které nezahrnují interakci s pacientem. Běžným příkladem obchodního partnera, s nímž mohou pacienti komunikovat, je společnost, která nabízí osobní zdravotní záznamy (PHR) jednotlivcům jménem krytých subjektů.

Jaké povinnosti mají obchodní partneři? Kryté subjekty musí se svými obchodními partnery uzavřít písemné smlouvy, aby zajistily ochranu PHI podle standardů HIPAA. Obchodní partneři musí udělat totéž s jakýmkoli ze svých subdodavatelů, kteří mohou být považováni za obchodní partnery. Web HHS obsahuje více informací o vztazích obchodních partnerů a také poskytuje vzorové doložky pro dohody o obchodních vztazích.

Obchodní spolupracovníci musí dodržovat smlouvy, které podepisují s krytými subjekty. Kromě toho jsou obchodní partneři přímo odpovědní za porušení bezpečnostního pravidla HIPAA a mnoha ustanovení pravidla ochrany osobních údajů HIPAA. To znamená, že na obchodní partnery se vztahují tytéž standardy ochrany soukromí a zabezpečení dat, jaké platí pro subjekty, na které se vztahuje, a mohou podléhat auditům a pokutám HHS.

c. Subdodavatelé

Subdodavatel, který jménem obchodního partnera vytváří, udržuje nebo přenáší chráněné zdravotní informace (PHI), má stejné právní odpovědnosti jako obchodní partner podle HIPAA.Jinými slovy, právní odpovědnost související s ochranou soukromí a bezpečností plyne „po proudu“ k subdodavatelům, kteří vykonávají práci pro obchodního partnera.

Například obchodní spolupracovník nemocnice může najmout externí společnost ke skartaci dokumentů obsahujících PHI nebo k poskytování cloudové služby pro ukládání dat. V obou případech by externí společnost (subdodavatel) musela dodržovat většinu pravidel HIPAA jako obchodní partner. Rovněž by byla vázána spíše smlouvou s obchodním partnerem než krytá entita (nebo v tomto příkladu nemocnice).

d. Hybridní entity

Hybridní entita vykonává v rámci svého podnikání funkce kryté i nepokryté HIPAA. společnost, která má pro své zaměstnance pojištěný zdravotní plán, se může rozhodnout, že s nimi bude zacházeno jako s hybridní entitou. Dalšími příklady jsou univerzita s lékařským střediskem nebo obchod s potravinami s lékárnou.

Když organizace se rozhodne považovat za hybridní entitu, pouze ta část společnost, která je krytou entitou (nazývanou složkou zdravotní péče), podléhá HIPAA. Hybridní subjekty musí zajistit, aby složka zdravotní péče nezveřejňovala chráněné zdravotní informace jiné nepokryté složce podniku. Musí také chránit elektronicky chráněné zdravotní informace.

4. Kdo není povinen dodržovat HIPAA?

Pamatujte, že mnoho společností a lidí nemusí dodržovat HIPAA a mnohokrát mohou být těmto lidem a společnostem k dispozici zdravotní informace. . HIPAA se vztahuje pouze na kryté subjekty a jejich obchodní partnery.

Zde je jen několik příkladů těch, na které se nevztahuje HIPAA, ale mohou zpracovávat zdravotní informace:

  • životní a dlouhodobé pojišťovny
  • pojišťovny pro odškodnění pracovníků, správní agentury nebo zaměstnavatelé (pokud nejsou považovány za jinak kryté subjekty)
  • agentury, které poskytují dávky sociálního zabezpečení a sociální péče
  • plány pojištění automobilů, které zahrnují zdravotní výhody
  • vyhledávače a weby, které poskytují zdravotní nebo lékařské informace a nejsou provozovány krytým subjektem
  • marketingoví pracovníci
  • tělocvičny a fitness kluby
  • společnosti zabývající se genetickým testováním přímo pro spotřebitele (DTC)
  • mnoho mobilních aplikací (aplikací) používá d pro účely zdraví a fitness
  • ti, kteří provádějí vyšetření v lékárnách, nákupních centrech, na veletrzích zdraví nebo na jiných veřejných místech zaměřených na krevní tlak, cholesterol, zarovnání páteře a další podmínky
  • určité praktici alternativní medicíny
  • většina škol a školských obvodů
  • výzkumní pracovníci, kteří získávají zdravotní údaje přímo od poskytovatelů zdravotní péče
  • většina donucovacích orgánů
  • mnoho státních úřadů, jako jsou služby ochrany dětí
  • soudy, kde jsou zdravotní informace důležité pro případ

Chcete-li se dozvědět více o tom, na koho se nevztahuje HIPAA, viz HHS Guidance Materials for Consumers.

5. Na jaké informace se vztahuje HIPAA?

Chcete-li zjistit, zda HIPAA chrání určitý typ zdravotních informací, je nejjednodušší nejprve zjistit, zda existuje krytý subjekt nebo obchodní partner, který musí dodržovat zákon.

Podle HIPAA jsou „zdravotní informace“ jakékoli informace (včetně genetických), které jsou vytvářeny nebo přijímány poskytovatelem zdravotní péče, zdravotním plánem, orgánem veřejného zdraví, zaměstnavatelem, životní pojišťovnou, školou nebo univerzitou nebo zdravotnickými středisko péče a týká se

  • minulosti, přítomnosti nebo budoucnosti fyzického nebo duševního zdraví nebo stavu osoby;
  • léčba poskytované osobě; nebo
  • minulé, současné nebo budoucí platby za zdravotní péči, které jednotlivec obdrží.

Informace o zdravotním stavu mohou existovat v jakékoli formě nebo na jakémkoli médiu, včetně tištěné, elektronické nebo ústní.

Když krytá entita vytváří nebo přijímá zdravotní informace, které identifikují – nebo je lze použít k identifikaci – osoby, HIPAA ji nazývá „individuálně identi zjevné zdravotní informace. “Individuálně identifikovatelné zdravotní údaje zahrnují demografické a další informace, které identifikují osobu, jako je jméno, adresa, datum narození a číslo sociálního zabezpečení.

Přesné definice kteréhokoli z výrazů v tomto sekce, viz 45 CFR § 160.103.

a. Na jaké informace se vztahuje pravidlo ochrany osobních údajů HIPAA?

Pravidlo ochrany osobních údajů HIPAA se vztahuje na „chráněné zdravotní informace“ (PHI), které zahrnují všechny „individuálně identifikovatelné zdravotní informace“, které jsou přenášeny nebo udržovány v jakémkoli formátu nebo médiu.

To znamená, že konverzace mezi pacientem a lékařem mají stejnou ochranu soukromí jako ručně psané nebo elektronické poznámky.

Další informace o pravidle ochrany osobních údajů HIPAA najdete v části: Pravidlo ochrany osobních údajů HIPAA : Jak mohou kryté subjekty používat a zveřejňovat informace o zdraví?

b. Na jaké informace se vztahuje pravidlo zabezpečení HIPAA?

Pravidlo zabezpečení HIPAA vyžaduje, aby kryté subjekty zavedly opatření k zabezpečení dat pouze pro PHI, která je udržována v elektronickém formátu zvaném „elektronicky chráněné zdravotní informace“ (ePHI). Pravidlo zabezpečení se nevztahuje na PHI, které se přenáší ústně nebo písemně.

Chcete-li se dozvědět více o pravidle zabezpečení HIPAA, přečtěte si Informační list o právech na ochranu soukromí 8d: Ochrana údajů o zdraví: HIPAA Zabezpečení a porušení Pravidla.

6. Na jaké informace se nevztahuje pravidlo ochrany osobních údajů HIPAA?

a. Zdravotní informace v záznamech o zaměstnání

HIPAA se nevztahuje na záznamy o zaměstnání, i když tyto záznamy obsahují lékařské informace. zahrnuje záznamy o zaměstnání, které zastřešená osoba zastává ve své roli zaměstnavatele. Pokud se však zaměstnanec poskytovatele zdravotní péče stane pacientem tohoto poskytovatele, použije se HIPAA.

Další informace o lékařských informacích na pracovišti, viz HHS „Zaměstnavatelé a zdravotní informace na pracovišti.

b. Zdravotní informace v záznamech o vzdělání (většinou)

Zdravotní informace v záznamech o vzdělání, na které se vztahuje zákon o rodinných výchovných právech a ochraně soukromí (FERPA), se podle HIPAA nepovažují za chráněné zdravotní informace (PHI). Například záznamy dítěte K-12 obsahující informace o návštěvách školních sester nepodléhají HIPAA.

Další informace o FERPA, která se týká zdravotních informací a HIPAA, viz: Společné pokyny k Uplatňování zákona o rodinných právech na vzdělání a soukromí (FERPA) a zákona o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 (HIPAA) na zdravotní záznamy studentů a soukromí studentů 101: Ochrana osobních údajů ve školách – Jaký zákon platí?

c. Zdravotní informace o osobě, která zemřela více než 50 let.

Chráněné zdravotní informace (PHI) nezahrnují zdravotní informace o osobě, která zemřela před více než 50 lety.

Další informace o zdravotních informacích zemřelých jedinců naleznete na webových stránkách HHS.

d. De-identifikované údaje

De-identifikované údaje jsou zdravotní informace, které obsahovaly 18 konkrétních údajů. identifikátory odstraněny, a proto se má za to, že jednotlivec, který je předmětem informace, bude uni dentifikovatelné. To znamená, že de-identifikované údaje nejsou chráněny podle pravidel ochrany soukromí HIPAA, protože PHI a kryté subjekty je mohou používat a zveřejňovat ve větším rozsahu.

De-identifikované údaje jsou často předmětem debaty kvůli možnosti opětovné identifikace jednotlivce. Latanya Sweeneyová provedla značné množství práce v oblasti opětovné identifikace.

Další informace o identifikaci viz 45 CFR 164.514 a pokyny HHS týkající se metod pro identifikaci Chráněné informace o zdraví v souladu s pravidlem ochrany osobních údajů HIPAA.

7. Jak HHS prosazuje HIPAA?

Pravidlo vymáhání HIPAA umožňuje Úřadu pro občanská práva (OCR) Ministerstva zdravotnictví a sociálních služeb USA (OHS) vyšetřovat potenciální porušení zákona HIPAA a posuzovat občanskoprávní peněžní pokuty (CMP) za porušení. Generální státní zástupci mají rovněž pravomoc prosazovat pravidla HIPAA. Jednotlivci nemají podle zákona HIPAA soukromé právo na akci a nemohou žalovat za porušení.

OCR zahájí proces vymáhání zahájením vyšetřování možného porušení pravidel ochrany soukromí nebo bezpečnosti podle zákona HIPAA. OCR reaguje na jednotlivé stížnosti, ale může odhalit porušení HIPAA i jinými způsoby (například prováděním auditů). Po vyšetřování může OCR vyřešit problém zjištěním, že nedochází k žádnému porušení, uzavřením dohody o řešení krize s odpovědnou stranou nebo zjištěním, že tato strana porušuje, a stanovením sankcí.

Další informace o HIPAA vymáhání, viz Jak OCR prosazuje pravidla ochrany soukromí a zabezpečení HIPAA, údaje o prosazování, hlavní údaje o prosazování a prosazování HIPAA.

a. Kdy HHS prošetří stížnost?

Pokud jsou jednotlivci seznámeni s možným porušením zákona HIPAA, mohou podat stížnost u úřadu HHS pro občanská práva (OCR). Aby byla stížnost zvážena k prošetření, musí splňovat následující základní kritéria:

  • Pokud se stížnost týká potenciálního porušení pravidla ochrany osobních údajů, k akci muselo dojít po dubnu 2003. Pokud se stížnost týká potenciálního Porušení pravidla zabezpečení, k akci muselo dojít po dubnu 2005.
  • Jednotlivec musí podat stížnost na osobu, organizaci nebo jiný subjekt, na který se vztahuje HIPAA.
  • Stížnost musí uvádět něco, co by porušovalo pravidla HIPAA.
  • Jednotlivci musí podat stížnost do 180 dnů od okamžiku, kdy věděli (nebo měli vědět) o možném porušení.

Pokud se OCR domnívá, že si stížnost zaslouží, agentura kontaktuje osobu, která stížnost podala, i dotčenou dotčenou entitu, aby se pokusila dosáhnout vzájemného řešení.Některé věci mohou být postoupeny k jednání před soudcem správního práva.

b. Jak stanoví HHS pokutu za porušení?

V případě porušení, k nimž došlo po roce 2009, stanoví HHS pokuty za porušení HIPAA na základě zavinění narušitele. Minimální pokuta se liší, ale maximální pokuta je 1,5 milionu $ ročně za porušení stejného ustanovení HIPAA.

Čtyřstupňová struktura občanskoprávního trestu je následující:

Nevědomost znamená, že se krytý subjekt o porušení nedozvěděl a při přiměřené péči by to nevěděl.

Přiměřená příčina znamená, že krytá entita by o porušení věděla při vynaložení přiměřené péče.

Svévolná korekce zanedbání znamená, že krytá entita úmyslně porušila HIPAA nebo jednala s bezohlednou lhostejností, ale porušení napravila do 30 dnů od objevení.

Svévolné zanedbání opravy znamená, že krytá entita úmyslně porušila HIPAA nebo jednala s bezohlednou lhostejností, ale do 30 dnů od objevení neopravila porušení.

c . Dostane-li peněžní pokuta, dostane osoba, která podala stížnost, peníze?

Ne. Jakékoli peníze ze sankcí, které HHS inkasuje, budou vyplaceny do státní pokladny USA.

d. Může jednotlivci žalovají podle zákona HIPAA?

Ne. Jednotlivci nemají právo žalovat podle zákona HIPAA. HIPAA však nebrání státům v přijímání zákonů poskytujících zvýšenou ochranu. Univerzita George Washingtona má průvodce, Informace o zdraví a zákon, který obsahuje informace o státních zákonech.

8. Zdroje

Federální zákon

Zákon o zdravotních informačních technologiích pro ekonomické a klinické zdraví (HITECH), veřejný Zákon 111-5, 2009

Zákon o nediskriminaci o genetických informacích z roku 2008 (GINA), (Public Law 110-223, 122 Stat. 881)

Federální předpisy

Pravidlo HIPAA o ochraně osobních údajů z roku 2003 a následné úpravy

HHS Omnibus Rule, 78 Federal Register, 25. ledna 2013

Státní zákony a ochrana zdraví

Univerzita George Washingtona, Health Information and the Zákon

Národní sdružení komisařů pro pojištění

Ministerstvo zdravotnictví a sociálních služeb, Úřad pro občanská práva

Poradenské materiály pro spotřebitele

Speciální témata v oblasti ochrany osobních údajů ve zdravotnictví

Dohody o obchodních vztazích

Oprávnění

Kryté subjekty

Zaměstnavatelé a zdravotní informace na pracovišti

Write a Comment

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *