Feladva: 2015. február 01. | Felülvizsgált: 2015. február 1.
- Bevezetés
- Mi a HIPAA?
a. A HIPAA rövid története
b. A HIPAA az egyetlen törvény, amely az egészségügyi információkra vonatkozik? - Kinek kell megfelelnie a HIPAA-nak?
a. Fedett szervezetek
b. Üzleti munkatársak
c. Alvállalkozók
d. Hibrid entitások - Kiknek nem kötelező betartaniuk a HIPAA-t?
- Milyen információkat takar a HIPAA?
a. Milyen információkra vonatkozik a HIPAA adatvédelmi szabálya?
b. Milyen információkra vonatkozik a HIPAA biztonsági szabály? - Milyen információkra nem vonatkozik a HIPAA adatvédelmi szabálya?
a. Egészségügyi információk a foglalkoztatási nyilvántartásban
b. Egészségügyi információk az oktatási nyilvántartásokban (többnyire)
c. Egészségügyi információk egy 50 év alatt elhunyt személlyel kapcsolatban
d. Azonosítatlan adatok - Hogyan hajtja végre az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériuma (HHS) a HIPAA-t?
a. Mikor vizsgálja a HHS a panaszt?
b. Hogyan állapítja meg a HHS a szabálysértés büntetését?
c. Ha pénzbüntetés van, akkor a panaszt benyújtó személy pénzt kap?
d. Perelhetnek-e egyének a HIPAA alapján? - Erőforrások
1. Bevezetés
Szinte mindenki felismeri az egészségügyi és orvosi információk érzékeny természetét. Az egészségügyi információk adatvédelme és biztonsága azonban komplex témák, amelyeket a betegek és az egészségügyi szakemberek számára egyaránt navigálni kell. megbízta őket. Betegként fontos megérteni a HIPAA hatókörét és korlátait. Ez az útmutató információkat nyújt a HIPAA alapjairól, például arról, hogy kire vonatkozik a HIPAA és milyen információkkal.
2. Mi a HIPAA?
Az Egészségbiztosítási Hordozhatóságról és az elszámoltathatóságról szóló törvény (HIPAA) egy szövetségi törvény, amely az orvosi információk alapszintű adatvédelmi és biztonsági normáit írja elő. Az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériuma (HHS) a szabályok létrehozásáért felelős szövetségi ügynökség amelyek megvalósítják a HIPAA-t és a HIPAA érvényesítését is.
a. A HIPAA rövid története
- 1996 – a kongresszus elfogadta az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényt (HIPAA).
A legtöbb ember ismeri a HIPAA-t, mint az orvosi adatvédelmi és biztonsági törvényt. A HIPAA kezdeti célja azonban az volt, hogy szabványokat állítson fel az elektronikus egészségügyi adatok továbbítására, és lehetővé tegye az emberek számára, hogy munkahelyüket megváltoztatva vagy elvesztve átvigyék és folytassák az egészségbiztosítást.
valójában 2003-ig nem voltak nemzeti adatvédelmi előírások orvosi információk a HIPAA szerint. Minden védelem az állami törvényeken alapult.
- 2003 – Az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériuma (HHS) kiadta és elfogadta a HIPAA adatvédelmi szabályt, a HIPAA biztonsági szabályt és a HIPAA Végrehajtási szabály.
2003-ban a HHS kiadta az első nemzeti adatvédelmi és biztonsági szabályokat a HIPAA alapján.
Az adatvédelmi szabály az egyének számára jogokat biztosít védett egészségügyi információik (PHI) tekintetében. Azt is elmagyarázza, hogy a lefedett szervezetek (azok, akiknek meg kell felelniük a HIPAA-nak) hogyan tudják felhasználni és nyilvánosságra hozni a PHI-t.
A biztonsági szabály meghatározza az elektronikus PHI védelmének szabványait.
A végrehajtási szabály a megfelelésre, a vizsgálatokra és a HIPAA adatvédelmi szabály és a biztonsági szabály megsértésének esetleges büntetésére vonatkozik. A HHS-en belül az Állampolgári Jogi Hivatal (OCR) felelős a HIPAA előírások betartatásáért.
- 2009 – A gazdasági és klinikai egészségügy egészségügyi információs technológiájáról (HITECH) szóló törvényt aláírták törvény. A HITECH törvény az amerikai helyreállítási és újrabefektetési törvény (AARA) XIII. Címe.
2003 és 2009 között a technológia megváltoztatta az orvosi adatvédelmi tájat. Az elektronikus orvosi dokumentumok megkezdték a papírfájlok cseréjét. A betegek e-mailben és online portálokon keresztül kezdtek kommunikálni orvosaikkal. A gyógyszertárak elkezdték elektronikus úton feldolgozni a vényeket.
A HITECH-törvény pénzügyi ösztönzőket hozott létre az egészségügyi szolgáltatók és a biztosítók számára, hogy folytassák az elektronikus egészségügyi nyilvántartásokra való áttérést, és foglalkoztak az egészségügyi információk elektronikus továbbításával kapcsolatos adatvédelmi és biztonsági aggályokkal is, ideértve az illetéktelen hozzáférést és az adatokat. jogsértések.
- 2013 – A HHS “Polgári Jogi Hivatala kiadta a HIPAA Omnibus szabályt.
A HHS” Omnibus Rule számos fontos változtatást hajtott végre a HIPAA adatvédelmi, biztonsági és végrehajtási szabályaiban. Szabályok. A HITECH törvény számos rendelkezését végrehajtotta. Módosította és véglegesítette a szabálysértési értesítési szabályt. Ezenkívül végrehajtotta a HIPAA adatvédelmi szabályának módosítását, amelyet a 2008. évi genetikai információ-megkülönböztetés-törvény (GINA) követel meg.
b. A HIPAA az egyetlen törvény, amely az egészségügyi információkra vonatkozik?
Nem. Az egészségbiztosítási információkra nem az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény (HIPAA) az egyetlen törvény.
Vannak szövetségi törvények, amelyek bizonyos típusú egészségügyi információkra (vagy egészségügyi információkat tartalmazó nyilvántartásokra) vonatkoznak, például genetikai információkra, az iskolai nyilvántartásokban szereplő egészségügyi információkra, a szövetségi kormány által fenntartott személyekre vonatkozó azonosítható információkra, bizonyos alkoholokra és a kábítószer-visszaélések nyilvántartása és az orvosi kutatással kapcsolatos információk.
Ezen túlmenően az államok saját törvényeket hozhatnak az egészségügyi információk védelme érdekében, mivel a HIPAA meghatároz egy alapvonalat, amelyből az államok erősebb törvényeket hozhatnak létre. Az állami jogról további információkért lásd: HealthInfoLaw.org (a George Washington Egyetem Hirsh Egészségügyi Jogi és Politikai Programjának projektje).
3. Kinek kell megfelelnie a HIPAA-nak?
A HIPAA nem véd minden egészségügyi információt. Ez sem vonatkozik minden olyan személyre, aki egészségügyi információkat láthat vagy használhat. A HIPAA csak a hatálya alá tartozó jogalanyokra és üzleti partnereikre vonatkozik.
a. A fedett szervezetek
A HIPAA alá három típusú fedezett szervezet tartozik.
- Az egészségügyi szolgáltatók fizetnek az egészségügyi ellátásért. Orvosok, fogorvosok, kórházak, idősek otthonai, gyógyszertárak, sürgősségi klinikák és egyéb a fizetés ellenében egészségügyi szolgáltatást nyújtó szervezetek példák a szolgáltatókra.
Az egészségügyi szolgáltatóknak csak akkor kell megfelelniük a HIPAA követelményeinek, ha egészségügyi információkat elektronikus úton továbbítanak a lefedett ügyletekhez kapcsolódóan. A legtöbb szolgáltató elektronikusan továbbítja az információkat olyan funkciók végrehajtása érdekében, mint például a kérelmek feldolgozása. és fizetésben részesülnek. Ezért a legtöbb prov a személyek a HIPAA hatálya alá tartoznak. - Az egészségügyi tervek fizetik az orvosi ellátás költségeit.
A következőkben a HIPAA hatálya alá tartozó egészségügyi tervekre példa: egészségbiztosító társaságok, egészségmegőrző szervezetek (HMO), csoportos egészségügyi tervek munkáltató által támogatott állami finanszírozású egészségügyi tervek, mint például a Medicare és a Medicaid, valamint a legtöbb más társaság vagy olyan megállapodás, amely fizeti az egészségügyi ellátást. - Az egészségügyi elszámolóházak feldolgozzák az információkat, hogy azok szabványos formátumban továbbíthatók legyenek az érintett szervezetek között. Az elszámolóházak gyakran járnak az egészségügyi szolgáltatók és az egészségügyi tervek között, ami azt jelenti, hogy ritkán foglalkoznak közvetlenül a betegekkel. Például egy elszámolóház információkat vehet fel egy orvostól, és szabványos kódolt formátumba helyezheti, amelyet biztosítási célokra lehet felhasználni.
Ha többet szeretne tudni arról, hogy egy entitás a HIPAA hatálya alá tartozik-e, a HHS hasznos táblázatot nyújt.
b. Üzleti munkatársak
Mi az üzleti munkatárs? Az egészségügyi szolgáltatók, az egészségügyi tervek és az egészségügyi elszámolóházak csak néhány szereplője az egészségügyi üzletágnak. Az érintett szervezetek számos szolgáltatás elvégzésére bérelnek vagy szerződnek emberekkel és társaságokkal.
Az “üzleti munkatárs” védett egészségügyi információkat (PHI) hoz létre, fogad, tart fenn vagy továbbít egy fedett entitás vagy más alvállalkozóként működő üzleti partner nevében.
Az üzleti partner definícióját lásd a 45 CFR 160.103.
Mit csinálnak az üzleti partnerek? Az üzleti partnerek számos különféle szolgáltatást tudnak nyújtani egy fedett entitás számára, ideértve (de nem kizárólag):
- jogi
- biztosításmatematikai
- könyvelés
- konzultáció
- adatgyűjtés
- kezelés
- adminisztratív akkreditáció
- követelések feldolgozása vagy kezelése
- adatok elemzés
- adatátvitel
- felhasználás áttekintése
- minőségbiztosítás
- bizonyos betegbiztonsági tevékenységek
- számlázás
- előnykezelés
- gyakorlatvezetés
- átárazás.
Az üzleti partnerek gyakran olyan szolgáltatásokat nyújtanak, amelyek nem járnak beteg interakcióval. Azonban egy gyakori példa arra, hogy a betegek kapcsolatba léphetnek egy üzleti partnerrel, egy olyan vállalat, amely személyes egészségügyi nyilvántartást (PHR) kínál a magánszemélyeknek a fedett szervezetek nevében.
Milyen felelősséggel tartoznak az üzleti partnerek? Az érintett szervezeteknek írásos szerződéseket kell kötniük üzleti partnereikkel annak biztosítására, hogy a PHI-t a HIPAA szabványoknak megfelelően védjék. Az üzleti munkatársaknak ugyanezt kell tenniük bármely alvállalkozójukkal, akik üzleti partnernek tekinthetők. A HHS webhelye további információkat tartalmaz az üzleti társulási kapcsolatokról, és mintakondíciókat is tartalmaz az üzleti társulási megállapodásokra vonatkozóan.
Az üzleti partnereknek be kell tartaniuk a hatálya alá tartozó jogalanyokkal kötött szerződéseket. Ezenkívül az üzleti partnerek közvetlenül felelősek a HIPAA biztonsági szabály és a HIPAA adatvédelmi szabály számos rendelkezésének megsértéséért. Ez azt jelenti, hogy az üzleti partnerekre ugyanazok az adatvédelmi és adatbiztonsági előírások vonatkoznak, amelyek a hatálya alá tartozó jogalanyokra vonatkoznak, és HHS auditok és büntetések vonatkozhatnak rájuk.
c. Alvállalkozók
Azok az alvállalkozók, amelyek védett egészségügyi információkat (PHI) hoznak létre, tartanak karban vagy továbbítanak egy üzleti partner nevében, ugyanolyan jogi felelősséggel tartoznak, mint a HIPAA szerinti üzleti partner.Más szavakkal, az adatvédelemmel és a biztonsággal kapcsolatos jogi felelősségek “lefelé irányulnak” az alvállalkozók felé, akik üzleti kapcsolatban állnak.
Például a kórház üzleti munkatársa külső céget is fel lehet bérelni, hogy feldarabolja az azokat tartalmazó dokumentumokat. PHI vagy felhőalapú szolgáltatás nyújtása az adatok tárolásához. Mindkét esetben a külső vállalatnak (alvállalkozónak) üzleti partnerként kellene betartania a legtöbb HIPAA-szabályt. Emellett az üzleti partnerrel kötött szerződés kötné, nem pedig a fedett entitás (vagy ebben a példában kórház).
d. Hibrid entitások
A hibrid entitás üzleti tevékenységének részeként mind a HIPAA fedett, mind a nem fedett funkciókat látja el. az a vállalat, amelynek önbiztosított egészségügyi terve van az alkalmazottainak, úgy dönthet, hogy hibrid entitásként kezelik. Más példa erre az orvosi egyetemmel rendelkező egyetem vagy a gyógyszertárral rendelkező élelmiszerbolt.
Amikor egy szervezet úgy dönt, hogy hibrid entitásként kezelendő, csak a a fedett szervezet (az úgynevezett egészségügyi elem) társasága a HIPAA hatálya alá tartozik. A hibrid szervezeteknek biztosítaniuk kell, hogy az egészségügyi komponens ne tegye közzé a védett egészségügyi információkat a vállalkozás egy másik nem lefedett elemének. Meg kell őrizniük az elektronikusan védett egészségügyi információkat is.
4. Kinek nem kötelező betartania a HIPAA-t?
Ne feledje, hogy sok vállalatnak és embernek nem kötelező betartania a HIPAA-t, és sokszor előfordulhat, hogy ezek az emberek és vállalatok egészségügyi információkkal rendelkeznek . A HIPAA csak a lefedett szervezetekre és üzleti partnereikre vonatkozik.
Íme néhány példa azokra, akik nem tartoznak a HIPAA hatálya alá, de kezelhetik az egészségügyi információkat:
- élet- és tartós biztosítótársaságok
- munkavállalók “kártérítési biztosítók, igazgatási ügynökségek vagy munkáltatók (hacsak másként nem minősülnek fedezett szervezeteknek)
- társadalombiztosítási és jóléti juttatásokat nyújtó ügynökségek
- egészségbiztosítási előnyöket magában foglaló gépjármű-biztosítási tervek
- keresőmotorok és weboldalak, amelyek egészségügyi vagy orvosi információkat nyújtanak, és amelyeket nem egy fedett szervezet működtet.
- marketingszakemberek
- edzőtermek és fitnesz klubok
- közvetlenül a fogyasztói (DTC) genetikai tesztelő vállalatok számára
- sok mobilalkalmazás (alkalmazás) használ d egészségügyi és fitnesz célokra
- azok, akik szűréseket végeznek gyógyszertárakban, bevásárlóközpontokban, egészségügyi vásárokon vagy más nyilvános helyeken vérnyomás, koleszterinszint, gerincbeállítás és egyéb feltételek miatt
- bizonyosak alternatív orvosok
- a legtöbb iskola és körzet
- olyan kutatók, akik egészségügyi adatokat szereznek közvetlenül az egészségügyi szolgáltatóktól
- a legtöbb rendvédelmi szerv
- sok állami ügynökség, például a gyermekvédelmi szolgálatok
- bíróságok, ahol az egészségügyi információk lényegesek egy ügyben
További információ arról, hogy kik tartoznak (vagy akik nem tartoznak ide) HIPAA, lásd a HHS útmutató anyagokat a fogyasztók számára.
5. Milyen információkat takar a HIPAA?
Annak megállapításához, hogy a HIPAA véd-e egy bizonyos típusú egészségügyi információt, a legegyszerűbb először kitalálni, hogy létezik-e fedezett szervezet vagy üzleti társult vállalkozás, akinek be kell tartania a törvényeket.
A HIPAA szerint az “egészségügyi információ” minden olyan információ (beleértve a genetikai információkat is), amelyet egy egészségügyi szolgáltató, egészségügyi terv, közegészségügyi hatóság, munkáltató, életbiztosító társaság, iskola vagy egyetem vagy egészségügyi szakember hoz létre vagy kap. gondozási klíringház és
- kapcsolódik egy személy múltbeli, jelenlegi vagy jövőbeli testi vagy lelki egészségéhez vagy állapotához;
- egy személynek nyújtott kezelés; vagy
- az egyén által az egészségügyi ellátásért fizetett múltbeli, jelenlegi vagy jövőbeni fizetés.
Az egészségügyi információk bármilyen formában vagy formában létezhetnek, beleértve a papíros, elektronikus vagy szóbeli tájékoztatást is.
Amikor egy érintett entitás olyan egészségügyi információkat hoz létre vagy kap, amelyek azonosítják – vagy felhasználhatók egy személy azonosítására -, a HIPAA “egyénileg azonosítja” megbízható egészségügyi információk. “Az egyénileg azonosítható egészségügyi információk magukban foglalják a személyt azonosító demográfiai és egyéb információkat, például a nevét, címét, születési dátumát és társadalombiztosítási számát.
Az ebben szereplő kifejezések bármelyikének pontos meghatározásához szakasz, lásd: 45 CFR, 160.103.§.
a. Milyen információkra vonatkozik a HIPAA adatvédelmi szabálya?
A HIPAA adatvédelmi szabálya a „védett egészségügyi információkra” (PHI) vonatkozik, amely magában foglal minden „egyénileg azonosítható egészségügyi információt”, amelyet bármilyen formátumban vagy médiumban továbbítanak vagy fenntartanak.
Ez azt jelenti, hogy a beteg és az orvos közötti beszélgetések ugyanolyan adatvédelmi védelemmel bírnak, mint a kézzel írott vagy az elektronikus jegyzetek.
A HIPAA adatvédelmi szabályával kapcsolatos további információkért lásd: A HIPAA adatvédelmi szabálya : Hogyan használhatják és terjeszthetik az érintett szervezetek az egészségügyi információkat?
b. Milyen információkra vonatkozik a HIPAA biztonsági szabály?
A HIPAA biztonsági szabály előírja, hogy a hatálya alá tartozó szervezetek csak az elektronikus formátumban fenntartott PHI esetén hozzanak létre adatbiztonsági intézkedéseket, az úgynevezett „elektronikus védett egészségügyi információk” (ePHI). A biztonsági szabály nem vonatkozik a szóban vagy írásban továbbított PHI-re.
Ha többet szeretne megtudni a HIPAA biztonsági szabályról, olvassa el az Adatvédelmi Jogi Központ 8d. Adatlapját: Az egészségügyi információk védelme: A HIPAA biztonsági és szabálysértési értesítése Szabályok.
6. Milyen információkra nem vonatkozik a HIPAA adatvédelmi szabálya?
a. A munkaügyi nyilvántartásban szereplő egészségügyi információk
A HIPAA nem vonatkozik a foglalkoztatási nyilvántartásokra, még akkor sem, ha ezek a nyilvántartások orvosi információkat tartalmaznak. magában foglalja a foglalkoztatási nyilvántartásokat, amelyeket a fedezett szervezet munkáltatói szerepében tölt be. Ha azonban egy egészségügyi szolgáltató alkalmazottja az adott szolgáltató betegévé válik, a HIPAA jelentkezik.
Ha többet szeretne megtudni a munkahelyi orvosi információkról, lásd a HHS “Munkaadók és egészségügyi információk a munkahelyen.
b. Az oktatási nyilvántartásokban szereplő egészségügyi információk (javarészt)
A családi oktatási jogokról és adatvédelemről szóló törvény (FERPA) hatálya alá tartozó oktatási nyilvántartásokban szereplő egészségügyi információk a HIPAA szerint nem minősülnek védett egészségügyi információknak (PHI). Például a gyermek K-12 nyilvántartásai, amelyek információkat tartalmaznak az ápolónői látogatásokról, nem tartoznak a HIPAA hatálya alá.
További információ a FERPA-ról, amely az egészségügyi információkra és a HIPAA-ra vonatkozik, lásd: Közös útmutató a A családi oktatási jogokról és a magánéletről szóló törvény (FERPA) és az 1996. évi egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) alkalmazása a diákok egészségügyi nyilvántartásaira és a diákok adatvédelmére 101: Egészségügyi magánélet az iskolákban – Milyen törvények érvényesek?
c) Több mint 50 éve elhunyt személyre vonatkozó egészségügyi információk
A védett egészségügyi információk (PHI) nem tartalmaznak olyan információkat, amelyek több mint 50 éve elhunytakról szólnak.
Ha többet szeretne tudni az elhunyt személyek egészségi állapotáról, keresse fel a HHS webhelyét.
d. Azonosítatlan adatok
Az azonosítatlan adatok olyan egészségügyi információk, amelyeknek 18 specifikus információja volt az azonosítókat eltávolították, és ezért úgy tekintik, hogy az információ tárgyát képező egyént uni fogazható. Ez azt jelenti, hogy az azonosítatlan adatokat nem védik a HIPAA adatvédelmi szabályai, mivel a PHI és az érintett szervezetek szélesebb körben használhatják és nyilvánosságra hozhatják azokat.
Az azonosítatlan adatok gyakran viták tárgyát képezik az egyén újból azonosításának lehetősége miatt. Prof. Latanya Sweeney jelentős munkát végzett az újra-azonosítás területén.
Az azonosítás megszüntetésével kapcsolatos további információkért lásd: 45 CFR 164.514 és HHS „Útmutató a metódusok eltávolításához”. Védett egészségügyi információk a HIPAA adatvédelmi szabályának megfelelően.
7. Hogyan hajtja végre a HHS a HIPAA-t?
A HIPAA végrehajtási szabály lehetővé teszi az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériumának (HHS) Polgári Jogi Hivatalának (OCR) kivizsgálását a HIPAA esetleges megsértése és a polgári pénzbüntetések (CMP) felmérése érdekében. jogsértések. Az államügyészek szintén hatáskörrel rendelkeznek a HIPAA szabályok betartatására. A magánszemélyeknek nincs magánjogi cselekvési joguk a HIPAA alapján, és nem indíthatnak jogsértést.
Az OCR a végrehajtási folyamatot úgy indítja, hogy megindítja a HIPAA adatvédelmi vagy biztonsági szabályainak lehetséges megsértésének kivizsgálását. Az OCR reagál az egyedi panaszokra, de más módon is felfedezheti a HIPAA megsértését (például auditok lefolytatását). A vizsgálat után az OCR megoldhatja a problémát azáltal, hogy megállapítja, hogy nincs jogsértés, megoldási megállapodást köt a felelős féllel, vagy megállapítja, hogy a fél jogsértést követ el, és értékeli a büntetéseket.
További információ a HIPAA-ról végrehajtás, lásd: Az OCR miként hajtja végre a HIPAA adatvédelmi és biztonsági szabályait, a végrehajtási adatokat, a végrehajtás kiemelését és a HIPAA végrehajtását.
a. Mikor vizsgálja a HHS a panaszt?
Ha az egyének tudatában vannak a HIPAA lehetséges megsértésének, panaszt nyújthatnak be a HHS Polgári Jogi Hivatalánál (OCR). Ahhoz, hogy a panaszt megvizsgálhassák, a következő alapvető kritériumoknak kell megfelelniük:
- Ha a panasz az adatvédelmi szabály lehetséges megsértésére vonatkozik, akkor a műveletnek 2003. április után kellett történnie. A biztonsági szabály megsértése, a műveletnek 2005. április után kellett történnie.
- Az egyénnek panaszt kell benyújtania a HIPAA hatálya alá tartozó személy, szervezet vagy más szervezet ellen.
- A panasznak olyan dologra kell hivatkoznia, amely sértené a HIPAA szabályait.
- A magánszemélyeknek 180 napon belül kell panaszt benyújtaniuk attól az időponttól számítva, amikor tudtak (vagy tudnia kellett volna) a lehetséges jogsértésről.
Ha az OCR úgy véli, hogy a panasz érdemben van, az ügynökség felveszi a kapcsolatot a panaszt benyújtó személlyel, valamint az érintett érintett szervvel, hogy megpróbálja elérni a kölcsönös megoldást.Bizonyos ügyeket tárgyalásra lehet utalni egy közigazgatási bíró előtt.
b. Hogyan állapítja meg a HHS a szabálysértés büntetését?
A 2009 után bekövetkezett jogsértések esetén a HHS a szabálysértő bűntettén alapuló büntetést állapít meg a HIPAA jogsértésekért. A minimális büntetés változó, de a maximális büntetés évi 1,5 millió dollár ugyanazon HIPAA rendelkezés megsértéséért.
A négyszintű polgári büntetési struktúra a következő:
A tudatlanság azt jelenti, hogy az érintett jogalany nem tudott a jogsértésről, és ésszerű gondossággal nem tudott volna róla.
Ésszerű ok azt jelenti, hogy a lefedett entitás ésszerű gondossággal tudott volna a jogsértésről.
A szándékos elhanyagolással kijavított azt jelenti, hogy a fedett entitás szándékosan megsértette a HIPAA-t, vagy vakmerő közömbösséggel járt el, de a jogsértést kijavította. a felfedezéstől számított 30 napon belül.
A szándékos elhanyagolás-kijavítás azt jelenti, hogy az érintett entitás szándékosan megsértette a HIPAA-t, vagy vakmerő közönnyel járt el, de a felfedezéstől számított 30 napon belül nem orvosolta a szabálysértést.
c . Ha van pénzbüntetés, kap-e pénzt a panaszt benyújtó személy?
Nem. A HHS által beszedett büntetésekből fizetett pénzt az USA kincstárának fizetik ki.
d. az egyének a HIPAA alapján perelnek?
Nem. Az egyéneknek nincs joguk pert indítani a HIPAA alapján. A HIPAA azonban nem akadályozza meg az államokat abban, hogy fokozott védelmet nyújtó törvényeket fogadjanak el. A George Washington Egyetem útmutatóval, egészségügyi információkkal és törvény, amely információkat tartalmaz az állami törvényekről.
8. Források
Szövetségi törvény
Egészségügyi információs technológiák a gazdasági és klinikai egészségügyről (HITECH) törvény, nyilvános 2009. évi 111–5. Törvény
A genetikai információkkal kapcsolatos diszkrimináció-mentességről szóló 2008. évi törvény (GINA), (Közjog 110-223, 122 Stat. 881.)
Szövetségi előírások
A HIPAA 2003. évi adatvédelmi szabálya és az azt követő módosítások
HHS Omnibus szabály, 78 Szövetségi Nyilvántartás, 2013. január 25.
Állami törvények és egészségügyi adatvédelem
George Washington Egyetem, Egészségügyi információk és Törvény
A biztosítási biztosok országos szövetsége
Egészségügyi és Humán Szolgáltatások Minisztérium, Állampolgári Jogi Hivatal
Útmutató anyagok a fogyasztók számára
Speciális témák az egészségügyi információk adatvédelmében
Vállalkozói megállapodások
Engedélyek
Érintett szervezetek
Munkaadók és egészségügyi információk a munkahelyen