Terveyden tietosuoja: HIPAA-perusteet

Lähetetty: 1. helmikuuta 2015 | Päivitetty: 1. helmikuuta 2015

  1. Johdanto
  2. Mikä on HIPAA?
    a. Lyhyt historia HIPAA: sta
    b. Onko HIPAA ainoa laki, jota sovelletaan terveystietoihin?
  3. Kenen on noudatettava HIPAA: ta?
    a. Katetut yhteisöt
    b. Liikekumppanit
    c. Alihankkijat
    d. Hybridiyksiköt
  4. Kenen ei tarvitse noudattaa HIPAA: ta?
  5. Mitä tietoja HIPAA kattaa?
    a. Mitä tietoja HIPAA: n tietosuojasääntö koskee?
    b. Mitä tietoja HIPAA-tietosuojasääntö koskee?
  6. Mitä tietoja HIPAA-tietosuojasääntö ei kata?
    a. Terveystiedot työtiedoissa
    b. Terveystiedot koulutusasiakirjoissa (pääosin)
    c. Yli 50 vuotta kuolleen henkilön terveystiedot
    d. Tunnistamattomat tiedot
  7. Kuinka Yhdysvaltain terveys- ja henkilöstöministeriö (HHS) panee HIPAA: n täytäntöön?
    a. Milloin HHS tutkii valituksen?
    b. Kuinka HHS määrittää rangaistuksen rikkomuksesta?
    c. Jos rahasakko on määrätty, saako valituksen tehnyt henkilö rahaa?
    d. Voivatko henkilöt haastaa HIPAA: n nojalla?
  8. Resurssit

1. Johdanto

Lähes kaikki tunnistavat terveys- ja lääketieteellisen tiedon arkaluonteisuuden. Terveystietojen yksityisyys ja tietoturva ovat kuitenkin monimutkaisia aiheita, joita on käytettävä potilaille ja terveydenhuollon ammattilaisille.

Terveystietojen yksityisyyttä ja tietoturvaa sääteleviä liittovaltion sääntöjä kutsutaan nimellä HIPAA. valtuuttanut heidät. Potilaana on tärkeää ymmärtää HIPAA: n laajuus ja rajoitukset. Tämä opas sisältää tietoja HIPAA: n perusteista, kuten keneen HIPAA soveltuu ja mitä tietoja se kattaa.

2. Mikä on HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) on liittovaltion laki, joka tarjoaa perustiedot yksityisyyden ja turvallisuuden standardeille lääketieteellisille tiedoille. Yhdysvaltain terveys- ja henkilöstöministeriö (HHS) on liittovaltion virasto, joka vastaa sääntöjen luomisesta. jotka toteuttavat HIPAA: n ja valvovat myös HIPAA: ta.

a. Lyhyt historia HIPAA: sta

  • 1996 – kongressi hyväksyi sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskevan lain (HIPAA).
    Useimmat ihmiset tuntevat HIPAA: n lääketieteen yksityisyyttä ja turvallisuutta koskevana lakina. HIPAA: n alkuperäinen tarkoitus oli kuitenkin asettaa standardit sähköisten terveystietojen siirtämiselle ja antaa ihmisille mahdollisuus siirtää ja jatkaa sairausvakuutusta vaihdettuaan tai menettämättä työpaikkaa.
    Itse asiassa vuoteen 2003 asti ei ollut kansallisia yksityisyyden suojaa koskevia standardeja lääketieteelliset tiedot HIPAA: n nojalla. Kaikki suojaukset perustuivat osavaltioiden lakiin.

  • 2003 – Yhdysvaltain terveys- ja henkilöstöministeriö (HHS) antoi ja hyväksyi HIPAA-tietosuojasäännön, HIPAA-tietosäännön ja HIPAA: n. Täytäntöönpanosääntö.
    Vuonna 2003 HHS antoi HIPAA: n ensimmäiset kansalliset tietosuoja- ja tietosuojasäännöt.
    Tietosuojasääntö antaa ihmisille oikeudet heidän suojattuun terveystietoonsa. Siinä selitetään myös, kuinka katetut yksiköt (ne, joiden on noudatettava HIPAA: ta) voivat käyttää ja paljastaa PHI: tä.
    Turvasääntö asettaa standardit sähköisen PHI: n suojaamiseksi.
    Täytäntöönpanosääntö koskee noudattamista, tutkimuksia ja mahdollisia seuraamuksia HIPAA: n tietosuojasäännön ja tietoturvasäännön rikkomisesta. HHS: n kansalaisoikeustoimisto (OCR) on vastuussa HIPAA-määräysten täytäntöönpanosta.
  • 2009 – Terveystietotekniikka taloudelliselle ja kliiniselle terveydelle (HITECH) allekirjoitettiin laki. HITECH-laki on Yhdysvaltojen takaisinperintä- ja uudelleeninvestointilain (AARA) XIII osasto.
    Vuosien 2003 ja 2009 välillä tekniikka muutti lääketieteen yksityisyyden maisemaa. Sähköiset potilastiedot alkoivat korvata paperitiedostoja. Potilaat alkoivat kommunikoida lääkäreiden kanssa sähköpostitse ja verkkoportaalien kautta. Apteekit alkoivat käsitellä lääkemääräyksiä sähköisesti.
    HITECH-laki loi taloudellisia kannustimia terveydenhuollon tarjoajille ja vakuutusyhtiöille siirtymään edelleen sähköisiin potilastietoihin ja käsitteli myös terveystietojen, myös luvattoman pääsyn ja tietojen, sähköiseen siirtoon liittyviä yksityisyyden ja turvallisuuden huolenaiheita. rikkomukset.
  • 2013 – HHS ”kansalaisoikeuksien toimisto antoi HIPAA Omnibus -säännön.
    HHS” Omnibus-sääntö teki useita tärkeitä muutoksia HIPAA: n tietosuojaan, turvallisuuteen ja täytäntöönpanoon Säännöt. Se pani täytäntöön monet HITECH-lain säännökset. Se muutti ja viimeisteli rikkomuksista ilmoittamista koskevan säännön. Se toteutti myös muutoksia HIPAA-tietosuojasääntöön, joka vaaditaan vuoden 2008 GINA-asetuksessa (geneettisen tiedon syrjimättömyydestä).

b. Onko HIPAA ainoa laki, jota sovelletaan terveystietoihin?

Ei. Sairausvakuutuksen siirrettävyys- ja vastuuvelvollisuuslaki (HIPAA) ei ole ainoa laki, jota sovelletaan terveystietoihin.

huumeiden väärinkäyttöä koskevat tiedot ja lääketieteelliseen tutkimukseen liittyvät tiedot.

Lisäksi valtiot voivat antaa omia lakeja terveystietojen suojaamiseksi, koska HIPAA asettaa perustason, josta valtiot voivat luoda tiukempia lakeja. Lisätietoja osavaltion lainsäädännöstä on HealthInfoLaw.org -oppaassa (George Washington Universityn Hirsh Health Law and Policy Programme -hanke).

3. Kenen on noudatettava HIPAA: ta?

HIPAA ei suojaa kaikkia terveystietoja. Se ei koske myöskään henkilöitä, jotka saattavat nähdä tai käyttää terveystietoja. HIPAA koskee vain katettuja yhteisöjä ja heidän liikekumppaneitaan.

HIPAA: n piirissä on kolmen tyyppisiä piiriin kuuluvia yhteisöjä.

  • Terveydenhuollon tarjoajat saavat maksun terveydenhuollon tarjoamisesta. Lääkärit, hammaslääkärit, sairaalat, hoitokodit, apteekit, kiireellisen hoidon klinikat ja muut yhteisöt, jotka tarjoavat terveydenhoitoa maksua vastaan, ovat esimerkkejä palveluntarjoajista.
    Terveydenhuollon tarjoajien on noudatettava HIPAA: ta vain, jos ne välittävät terveystietoja sähköisesti katettujen tapahtumien yhteydessä. Useimmat palveluntarjoajat lähettävät tietoja sähköisesti tehtävien suorittamiseksi, kuten vaatimusten käsittelyä varten. Siksi useimmat todistajat henkilöt kuuluvat HIPAA: n piiriin.
  • Terveyssuunnitelmat maksavat sairaanhoidon kustannukset.
    Seuraavassa on esimerkkejä HIPAA: n piiriin kuuluvista terveydenhuoltosuunnitelmista: sairausvakuutusyhtiöt, terveydenhuollon organisaatiot (HMO), ryhmäterveyssuunnitelmat työnantajan tukemina valtion rahoittamat terveydenhuoltosuunnitelmat, kuten Medicare ja Medicaid, ja useimmat muut terveydenhuollosta maksavat yritykset tai järjestelyt.
  • Terveydenhuollon selvitystilat käsittelevät tietoja, jotta ne voidaan välittää vakiomuodossa. katettujen yksiköiden välillä. Selvitystilat toimivat usein terveydenhuollon tarjoajien ja terveydenhuoltosuunnitelmien välillä, mikä tarkoittaa, että ne harjoittavat harvoin suoraan potilaita. Esimerkiksi selvityskeskus voi ottaa tietoja lääkäriltä ja laittaa ne vakiokoodattuun muotoon, jota voidaan käyttää vakuutustarkoituksiin.

Lisätietoja siitä, kuuluuko yhteisö HIPAA: n piiriin, HHS tarjoaa hyödyllisen kaavion.

b. Liikekumppanit

Mikä on liikekumppani? Terveydenhuollon tarjoajat, terveydenhuoltosuunnitelmat ja terveydenhuollon selvityskeskukset ovat vain muutamia toimijoita terveydenhuollon alalla. Katetut yhteisöt vuokraavat tai tekevät sopimuksia ihmisten ja yritysten kanssa lukuisten palvelujen suorittamiseksi.

”Liikekumppani” luo, vastaanottaa, ylläpitää tai välittää suojattua terveystietoa (PHI) katetun yksikön tai muun alihankkijana toimivan liikekumppanin puolesta.

Liikekumppanin määritelmä, katso 45 CFR § 160.103.

Mitä liikekumppanit tekevät? Liikekumppanit voivat tarjota useita erilaisia palveluja katetulle yhteisölle, mukaan lukien (mutta ei rajoittuen):

  • laillinen
  • vakuutusmatemaattinen
  • kirjanpito
  • konsultointi
  • tietojen yhdistäminen
  • hallinta
  • hallinnollinen akkreditointi
  • vaatimusten käsittely tai hallinta
  • tiedot analyysi
  • tiedonsiirto
  • hyödyntämiskatsaus
  • laadunvarmistus
  • tietyt potilasturvallisuustoimenpiteet
  • laskutus
  • edunhallinta
  • käytännön hallinta
  • hinnoittelu.

Liikekumppanit suorittavat usein palveluja, joihin ei liity potilaan vuorovaikutusta. Yleinen esimerkki liikekumppaneista, joiden kanssa potilas voi olla tekemisissä, on kuitenkin yritys, joka tarjoaa henkilöille henkilökohtaisen terveystietueen (PHR) kuuluvien tahojen puolesta.

Mitä vastuita liikekumppaneilla on? Katettujen yhteisöjen on tehtävä kirjalliset sopimukset liikekumppaneidensa kanssa varmistaakseen, että ne suojaavat PHI: tä HIPAA-standardien mukaisesti. Liikekumppaneiden on tehtävä sama kaikkien alihankkijoidensa kanssa, joita voidaan pitää liikekumppaneina. HHS: n verkkosivusto sisältää lisätietoja liikekumppanisuhteista ja tarjoaa myös esimerkkilausekkeita liikekumppanisopimuksiin.

Liikekumppaneiden on noudatettava sopimuksia, jotka he allekirjoittavat katettujen yhteisöjen kanssa. Lisäksi liikekumppanit ovat suoraan vastuussa HIPAA-tietoturvasäännön ja useiden HIPAA-tietosuojasääntöjen rikkomisista. Tämä tarkoittaa, että liikekumppaneihin sovelletaan suurinta osaa samoista yksityisyyden suojasta ja tietoturvastandardeista, joita sovelletaan katettuihin yhteisöihin, ja heihin voidaan kohdistaa HHS-tarkastuksia ja seuraamuksia.

c. Alihankkijat

Alihankkijoilla, jotka luovat, ylläpitävät tai välittävät suojattuja terveystietoja liikekumppanin puolesta, on samat oikeudelliset vastuut kuin HIPAA: n mukaisella liikekumppanilla.Toisin sanoen yksityisyyteen ja turvallisuuteen liittyvät oikeudelliset vastuut kulkevat ”loppupäässä” alihankkijoille, jotka tekevät työtä liikekumppanille.

Esimerkiksi sairaalan liikekumppani voi palkata ulkopuolisen yrityksen murskaamaan asiakirjoja, jotka sisältävät PHI tai pilvipalvelun tarjoaminen tietojen tallentamiseksi. Molemmissa tapauksissa ulkopuolisen yrityksen (alihankkijan) edellytetään noudattavan useimpia HIPAA-sääntöjä liikekumppanina. Sitä sitovat myös sopimus liikekumppanin kanssa sen sijaan, että katettu yhteisö (tai tässä esimerkissä sairaala).

d. Hybridi-yksiköt

Hybridi-yksikkö suorittaa sekä HIPAA: n että sen ulkopuolisia toimintoja osana liiketoimintaansa. yritys, jolla on työntekijöilleen itsevakuutettu terveydenhoitosuunnitelma, voi valita, että häntä kohdellaan hybridiyksikkönä. Muita esimerkkejä ovat yliopisto, jossa on terveyskeskus, tai ruokakauppa, jolla on apteekki.

Kun organisaatio – päättää kohdella hybridikokonaisuutena, vain osa yritys, joka on katettu yksikkö (kutsutaan terveydenhuollon osaksi), kuuluu HIPAA: n piiriin. Hybridiyksiköiden on varmistettava, että terveydenhuoltokomponentti ei paljasta suojattuja terveystietoja liiketoiminnan muulle osa-alueelle, joka ei kuulu sen piiriin. Heidän on myös suojattava sähköisesti suojattuja terveystietoja.

4. Kenen ei tarvitse noudattaa HIPAA: ta?

Muista, että monien yritysten ja ihmisten ei tarvitse noudattaa HIPAA: ta, ja on usein tilanteita, jolloin terveystietoja saattaa olla näiden ihmisten ja yritysten saatavilla . HIPAA koskee vain katettuja yhteisöjä ja heidän liikekumppaneitaan.

Tässä on vain muutama esimerkki niistä, jotka eivät kuulu HIPAA: n piiriin, mutta saattavat käsitellä terveystietoja:

  • henki- ja pitkäaikaiset vakuutusyhtiöt
  • työntekijät ”korvausvakuutusyhtiöt, hallintovirastot tai työnantajat (ellei heitä pidetä toisinaan katettuina)
  • sosiaaliturva- ja sosiaalietuuksia tarjoavat elimet
  • autovakuutussuunnitelmat, jotka sisältävät terveydellisiä etuja
  • hakukoneet ja verkkosivustot, jotka tarjoavat terveys- tai lääketieteellistä tietoa ja joita ei ylläpidetty kattavalla yksiköllä
  • markkinoijat
  • kuntosalit ja kuntosalit
  • suoraan kuluttajien geenitestausyrityksille
  • monet mobiilisovellukset (sovellukset) käyttävät d terveys- ja kuntotarkoituksiin
  • ne, jotka tekevät seulontoja apteekeissa, kauppakeskuksissa, terveysmessuilla tai muissa julkisissa paikoissa verenpaineen, kolesterolin, selkärangan kohdentamisen ja muiden sairauksien varalta
  • tietyt vaihtoehtoisen lääketieteen ammattilaiset
  • useimmat koulut ja koulupiirit
  • tutkijat, jotka saavat terveystietoja suoraan terveydenhuollon tarjoajilta
  • useimmat lainvalvontaviranomaiset
  • monet valtion virastot, kuten lastensuojelupalvelut
  • tuomioistuimet, joissa terveystiedoilla on merkitystä tapaukselle

Lisätietoja siitä, kuka kuuluu (tai ei kuulu) HIPAA, katso HHS: n ohjeet kuluttajille.

5. Mitä tietoja HIPAA kattaa?

Sen selvittämiseksi, suojaako HIPAA tietyntyyppisiä terveystietoja, on helpoin ensin selvittää, onko olemassa suojattu yhteisö tai liikekumppani, jonka on noudatettava lakia.

HIPAA: n alaisuudessa ”terveystiedoilla” tarkoitetaan kaikkia tietoja (mukaan lukien geneettiset tiedot), jotka terveydenhuollon tarjoaja, terveydenhuoltosuunnitelma, julkinen terveysviranomainen, työnantaja, henkivakuutusyhtiö, koulu tai yliopisto tai terveyslaitos on luonut tai vastaanottanut. hoidon selvitystila ja liittyy

  • henkilön menneeseen, nykyiseen tai tulevaan fyysiseen tai henkiseen terveyteen tai tilaan;
  • henkilölle tarjottu hoito tai
  • menneisyyden, nykyisyyden tai tulevaisuuden maksu terveydenhuollosta, jota henkilö saa.

Terveystietoja voi olla missä tahansa muodossa tai muodossa, mukaan lukien paperinen, sähköinen tai suullinen.

Kun katettu yksikkö luo tai vastaanottaa terveystietoja, jotka tunnistavat henkilön tai voidaan käyttää henkilön tunnistamiseen, HIPAA kutsuu sitä ”yksilöllisesti todentavia terveystietoja. ”Yksilöitävissä olevat terveystiedot sisältävät väestötietoja ja muita tietoja, jotka tunnistavat henkilön, kuten nimen, osoitteen, syntymäajan ja sosiaaliturvatunnuksen.

Määritellään tarkasti tämän käsitteen termit osio, katso 45 CFR § 160.103.

a. Mitä tietoja HIPAA-tietosuojasääntö koskee?

HIPAA-tietosuojasääntö koskee ”suojattua terveystietoa” (PHI), joka sisältää kaikki ”yksilöllisesti tunnistettavat terveystiedot”, jotka lähetetään tai ylläpidetään missä tahansa muodossa tai millä tahansa tavalla.

Tämä tarkoittaa, että potilaan ja lääkärin välisillä keskusteluilla on samat yksityisyyden suojat kuin käsinkirjoitetuilla tai sähköisillä muistiinpanoilla.

Lisätietoja HIPAA-tietosuojasäännöstä: HIPAA-tietosuojasääntö : Kuinka kattamat yhteisöt voivat käyttää ja paljastaa terveystietoja?

b. Mitä tietoja HIPAA-suojaussääntö koskee?

HIPAA-tietoturvasääntö edellyttää, että katetut yhteisöt määrittävät tietoturvatoimenpiteet vain sähköisessä muodossa pidettävälle PHI: lle, nimeltään ”elektronisesti suojattu terveystieto” (ePHI). Suojaussääntö ei koske PHI: tä, joka lähetetään suullisesti tai kirjallisesti.

Jos haluat lisätietoja HIPAA-suojaussäännöstä, katso Privacy Rights Clearinghouse -taulukko 8d: Terveystietojen suojaaminen: HIPAA-tietoturva- ja rikkomusilmoitus Säännöt.

6. Mitkä tiedot eivät kuulu HIPAA: n tietosuojasäännön piiriin?

a. Työtilastojen terveystiedot

HIPAA ei koske työsuhdetietoja, vaikka kyseisissä tiedoissa olisi lääketieteellisiä tietoja. sisältää työtiedot, jotka katettu yhteisö pitää työnantajana. Jos kuitenkin terveydenhuollon tarjoajan työntekijästä tulee kyseisen palveluntarjoajan potilas, HIPAA hakee asiaa.

Lisätietoja työpaikan lääketieteellisestä tiedosta, katso HHS: n ”Työnantajat ja terveystiedot työpaikalla.

b. Terveystietoja koulutusrekistereissä (pääosin)

Terveystietoja koulutusrekistereissä, joihin sovelletaan Family Educational Rights and Privacy Act -lakia (FERPA), ei pidetä HIPAA: n mukaan suojattuna terveystietona (PHI). Esimerkiksi lapsen K-12-tietueet, jotka sisältävät tietoa koulun sairaanhoitajien vierailuista, eivät kuulu HIPAA: n piiriin.

Lisätietoja terveystietoihin ja HIPAA: han liittyvistä FERPA-ohjelmista, katso: Yhteiset ohjeet Perheen koulutusoikeuksista ja yksityisyydensuojasta annetun lain (FERPA) ja vuoden 1996 sairausvakuutuksen siirrettävyys- ja vastuuvelvollisuuslain (HIPAA) soveltaminen opiskelijoiden terveystietoihin ja opiskelijoiden yksityisyyden suojaan 101: terveydenhuollon yksityisyys kouluissa – mitä lakia sovelletaan? c. Yli 50 vuotta kuolleen henkilön terveystiedot

Suojattu terveystieto (PHI) ei sisällä yli 50 vuotta sitten kuolleen henkilön terveystietoja.

Lisätietoja kuolleiden ihmisten terveystiedoista on HHS: n verkkosivustolla.

d. Tunnistamattomat tiedot

Tunnistamattomat tiedot ovat terveystietoja, joihin on sisältynyt 18 erityistä tietoa poistetut tunnisteet, minkä vuoksi sen katsotaan tekevän tiedon kohteena olevasta yksilöstä uni hammastettavissa. Tämä tarkoittaa, että tunnistamattomia tietoja ei ole suojattu HIPAA: n tietosuojasäännöissä, koska PHI ja katetut yksiköt voivat käyttää ja paljastaa niitä laajemmin.

Tunnistamattomista tiedoista keskustellaan usein, koska on mahdollista tunnistaa henkilö uudelleen. Prof. Latanya Sweeney on tehnyt huomattavan määrän työtä uudelleen tunnistamisen alalla.

Lisätietoja tunnistamisen poistamisesta, katso 45 CFR 164.514 ja HHS: n ohjeet menetelmien poistamiseksi Suojattu terveystieto HIPAA-tietosuojasäännön mukaisesti.

7. Kuinka HHS panee täytäntöön HIPAA: n?

HIPAA: n täytäntöönpanosääntö antaa Yhdysvaltojen terveys- ja ihmisoikeusministeriön (HHS) kansalaisoikeusviraston (OCR) tutkia mahdollisia HIPAA-rikkomuksia ja arvioida siviilipoliittisia seuraamuksia (CMP) rikkomuksia. Valtion oikeusasianajajilla on myös toimivalta valvoa HIPAA-sääntöjä. Yksilöillä ei ole HIPAA: n mukaisia yksityisiä oikeuksia toimia, eivätkä he voi haastaa rikkomuksia.

OCR aloittaa täytäntöönpanoprosessin avaamalla mahdollisten HIPAA-tietosuoja- tai tietoturvasääntöjen rikkomusten tutkinnan. OCR reagoi yksittäisiin valituksiin, mutta voi havaita HIPAA-rikkomuksia myös muilla tavoin (kuten auditointien suorittaminen). Tutkinnan jälkeen OCR voi ratkaista ongelman toteamalla, ettei rikkomuksia ole, tekemällä ratkaisusopimuksen vastuuhenkilön kanssa tai toteamalla, että osapuoli rikkoo sääntöjä, ja arvioimalla seuraamuksia.

Lisätietoja HIPAA: sta valvontaa, katso miten OCR noudattaa HIPAA: n tietosuoja- ja suojaussääntöjä, valvontatietoja, täytäntöönpanon kohokohtia ja HIPAA-valvontaa.

a. Milloin HHS tutkii valituksen?

Kun henkilöt ovat tietoisia mahdollisesta HIPAA-rikkomuksesta, he voivat tehdä valituksen HHS: n kansalaisoikeuksien toimistoon (OCR). Tutkittavaksi ottamiseksi valituksen on täytettävä seuraavat peruskriteerit:

  • Jos valitus koskee mahdollista yksityisyyden suojarikkomusta, toiminnan on tapahduttava huhtikuun 2003 jälkeen. Jos valitus koskee mahdollista Turvasääntöjen rikkominen, toiminnan on tapahduttava huhtikuun 2005 jälkeen.
  • Yksilön on tehtävä valitus henkilöstä, organisaatiosta tai muusta HIPAA: n piiriin kuuluvasta yhteisöstä.
  • Valituksen on väitettävä olevan jotain, joka rikkoo HIPAA-sääntöjä.
  • Henkilöiden on tehtävä valitus 180 päivän kuluessa siitä, kun he tiesivät (tai heidän olisi pitänyt tietää) mahdollisesta rikkomuksesta.

Jos OCR uskoo, että valitus on perusteltu, virasto ottaa yhteyttä valituksen tehneeseen henkilöön sekä asiaan kuuluvaan kattamaan tahoon yrittää päästä keskinäiseen ratkaisuun.Jotkut asiat voidaan saattaa käsittelyyn hallinto-oikeuden tuomarissa.

b. Kuinka HHS määrittää rikkomuksesta määrättävän seuraamuksen?

Vuoden 2009 jälkeen tapahtuneista rikkomuksista HHS määrää HIPAA-rikkomuksista seuraamukset rikkojan syyllisyyden perusteella. Pienin rangaistus vaihtelee, mutta enimmäisrangaistus on 1,5 miljoonaa dollaria vuodessa saman HIPAA-säännön rikkomuksista.

Nelitasoinen siviilirangaistusrakenne on seuraava:

Tietämättömyys tarkoittaa, että katettu yksikkö ei tiennyt rikkomuksesta eikä olisi tiennyt kohtuullisen huolellisuuden avulla.

Kohtuullinen syy tarkoittaa sitä, että katettu yhteisö olisi tiennyt rikkomisesta käyttäessään kohtuullista huolellisuutta.

Tahallinen laiminlyönti-korjattu tarkoittaa, että katettu taho rikkoi tahallaan HIPAA: ta tai toimi holtittomalla välinpitämättömyydellä, mutta korjasi rikkomuksen 30 päivän kuluessa löydöksestä.

Tahallinen laiminlyönti – korjaamaton tarkoittaa, että katettu taho rikkoi tahallaan HIPAA: ta tai toimi holtittomalla välinpitämättömyydellä, mutta ei korjannut rikkomusta 30 päivän kuluessa löydöksestä.

c . Jos rahamääräinen sakko on olemassa, saako valituksen tehnyt henkilö rahaa?

Ei. HHS: n keräämistä sakoista maksetaan rahaa Yhdysvaltain valtiovarainministeriölle.

d. Voiko henkilöt haastavat HIPAA: n nojalla?

Ei. Yksilöillä ei ole oikeutta nostaa kanne HIPAA: n nojalla. HIPAA ei kuitenkaan estä valtioita antamasta lakeja, jotka tarjoavat paremman suojan. George Washingtonin yliopistossa on opas, terveystietoja ja laki, joka sisältää tietoja osavaltioiden laeista.

8. Resurssit

Liittovaltion laki

Terveystietotekniikka taloudelliseen ja kliiniseen terveyteen (HITECH), julkinen Laki 111-5, 2009

Geneettisten tietojen syrjimättömyys vuonna 2008 (GINA), (julkisoikeus 110-223, 122 laki 881)

Liittovaltion asetukset

HIPAA: n vuoden 2003 tietosuojasääntö ja sen muutokset

George Washington University, Terveystieto ja Laki

Kansallinen vakuutusasiamiesyhdistys

Terveys- ja henkilöstöosasto, kansalaisoikeuksien toimisto

Kuluttajien oppaat

p> Terveystietojen yksityisyyden erityisaiheet

Liikekumppanisopimukset

Valtuutukset

Katetut yhteisöt

Työnantajat ja terveystieto työpaikalla

Write a Comment

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *