Geplaatst: 01 februari 2015 | Herzien: 1 februari 2015
- Inleiding
- Wat is HIPAA?
a. Een korte geschiedenis van HIPAA
b. Is HIPAA de enige wet die van toepassing is op gezondheidsinformatie? - Wie moet HIPAA naleven?
a. Gedekte entiteiten
b. Zakenpartners
c. Onderaannemers
d. Hybride entiteiten - Wie is niet verplicht om te voldoen aan HIPAA?
- Welke informatie dekt HIPAA?
a. Op welke informatie is de HIPAA-privacyregel van toepassing?
b. Op welke informatie is de HIPAA-beveiligingsregel van toepassing? - Welke informatie valt niet onder de HIPAA-privacyregel?
a. Gezondheidsinformatie in arbeidsregistraties
b. Gezondheidsinformatie in onderwijsdossiers (voor het grootste deel)
c. Gezondheidsinformatie over een persoon die meer dan 50 jaar is overleden
d. Geanonimiseerde gegevens - Hoe handhaaft het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) HIPAA?
a. Wanneer zal HHS een klacht onderzoeken?
b. Hoe bepaalt HHS een straf voor een overtreding?
c. Als er een geldboete is, zal de persoon die de klacht heeft ingediend geld ontvangen?
d. Kunnen individuen een rechtszaak aanspannen op grond van HIPAA? - Bronnen
1. Inleiding
Bijna iedereen erkent de gevoelige aard van gezondheids- en medische informatie. De privacy en beveiliging van gezondheidsinformatie zijn echter complexe onderwerpen voor zowel patiënten als zorgverleners.
De federale voorschriften die de privacy en beveiliging van gezondheidsinformatie regelen, staan bekend als HIPAA, voor de Health Insurance Portability and Accountability Act, die verplichtte hen. Als patiënt is het belangrijk om de reikwijdte en beperkingen van HIPAA te begrijpen. Deze gids geeft informatie over de basisprincipes van HIPAA, zoals op wie HIPAA van toepassing is en op welke informatie het betrekking heeft.
2. Wat is HIPAA?
De Health Insurance Portability and Accountability Act (HIPAA) is een federale wet die basisnormen voor privacy en beveiliging biedt voor medische informatie. Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) is de federale instantie die verantwoordelijk is voor het opstellen van regels die HIPAA implementeren en ook HIPAA afdwingen.
a. Een korte geschiedenis van HIPAA
- 1996 – Het congres heeft de Health Insurance Portability and Accountability Act (HIPAA) aangenomen.
De meeste mensen zijn bekend met HIPAA als een medische privacy- en veiligheidswet. Het oorspronkelijke doel van HIPAA was echter om normen vast te stellen voor het verzenden van elektronische gezondheidsgegevens en om mensen in staat te stellen de ziektekostenverzekering over te dragen en voort te zetten nadat ze van baan zijn veranderd of verloren.
In Sterker nog, tot 2003 waren er geen nationale privacynormen voor medische informatie onder HIPAA. Alle beschermingen waren gebaseerd op staatswetgeving.
- 2003 – Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft de HIPAA Privacy Rule, HIPAA Security Rule en de HIPAA uitgevaardigd en aangenomen. Handhavingsregel.
In 2003 vaardigde HHS de eerste nationale gegevensprivacy- en beveiligingsregels uit onder HIPAA.
De privacyregel geeft individuen rechten met betrekking tot hun beschermde gezondheidsinformatie (PHI). Het legt ook uit hoe gedekte entiteiten (degenen die moeten voldoen aan HIPAA) PHI kunnen gebruiken en openbaar maken.
De beveiligingsregel stelt normen voor het beveiligen van elektronische PHI.
De Enforcement Rule behandelt naleving, onderzoeken en mogelijke straffen voor schendingen van de HIPAA Privacy Rule en Security Rule. Het Office for Civil Rights (OCR) binnen HHS is verantwoordelijk voor de handhaving van de HIPAA-voorschriften.
- 2009 – De Health Information Technology for Economic and Clinical Health (HITECH) Act werd ondertekend in wet. De HITECH Act is Titel XIII van de American Recovery and Reinvestment Act (AARA).
Tussen 2003 en 2009 veranderde technologie het medische privacylandschap. Elektronische medische dossiers begonnen met het vervangen van papieren dossiers. Patiënten begonnen met hun artsen te communiceren via e-mail en via online portalen. Apotheken begonnen recepten elektronisch te verwerken.
De HITECH-wet creëerde financiële prikkels voor zorgaanbieders en verzekeraars om te blijven overschakelen op elektronische medische dossiers, en loste ook privacy- en veiligheidsproblemen op met betrekking tot de elektronische verzending van gezondheidsinformatie, waaronder ongeautoriseerde toegang en gegevens schendingen.
- 2013 – HHS “Office for Civil Rights heeft de HIPAA Omnibus Rule uitgevaardigd.
HHS” Omnibus Rule heeft verschillende belangrijke wijzigingen aangebracht in de HIPAA Privacy, Security en Enforcement Reglement. Het implementeerde veel bepalingen van de HITECH Act. Het heeft de regel voor het melden van inbreuken gewijzigd en afgerond. Het implementeerde ook wijzigingen in de HIPAA-privacyregel die vereist zijn door de Genetic Information Nondiscrimination Act van 2008 (GINA).
b. Is HIPAA de enige wet die van toepassing is op gezondheidsinformatie?
Nee. De Health Insurance Portability and Accountability Act (HIPAA) is niet de enige wet die van toepassing is op gezondheidsinformatie.
Er zijn federale wetten die van toepassing zijn op specifieke soorten gezondheidsinformatie (of dossiers met gezondheidsinformatie), zoals genetische informatie, gezondheidsinformatie in schoolgegevens, identificeerbare informatie over personen die door de federale overheid worden beheerd, bepaalde alcohol en Verslagen over misbruik van drugs en informatie met betrekking tot medisch onderzoek.
Bovendien kunnen staten hun eigen wetten uitvaardigen om gezondheidsinformatie te beschermen, omdat HIPAA een basis bepaalt van waaruit staten sterkere wetten kunnen maken. Voor meer informatie over staatswet, zie HealthInfoLaw.org (een project van het Hirsh Health Law and Policy Program van de George Washington University).
3. Wie moet HIPAA naleven?
HIPAA beschermt niet alle gezondheidsinformatie. Het is ook niet van toepassing op elke persoon die gezondheidsinformatie kan zien of gebruiken. HIPAA is alleen van toepassing op gedekte entiteiten en hun zakenpartners.
a. Gedekte entiteiten
Er zijn drie soorten gedekte entiteiten onder HIPAA.
- Zorgverleners worden betaald om gezondheidszorg te verlenen. Artsen, tandartsen, ziekenhuizen, verpleeghuizen, apotheken, spoedeisende zorgklinieken en andere entiteiten die gezondheidszorg verlenen in ruil voor betaling, zijn voorbeelden van aanbieders.
Zorgverleners moeten alleen voldoen aan HIPAA als ze gezondheidsinformatie elektronisch verzenden in verband met gedekte transacties. De meeste providers verzenden informatie elektronisch om functies uit te voeren zoals het verwerken van claims en het ontvangen van betaling. Daarom zijn de meeste prov iders worden gedekt door HIPAA. - Gezondheidsplannen betalen de kosten van medische zorg.
Hieronder volgen voorbeelden van gezondheidsplannen die onder HIPAA vallen: zorgverzekeraars, gezondheidsonderhoudsorganisaties (HMO’s), collectieve gezondheidsplannen gesponsord door een werkgever, door de overheid gefinancierde gezondheidsplannen zoals Medicare en Medicaid, en de meeste andere bedrijven of regelingen die voor gezondheidszorg betalen. - Uitwisselingscentra voor gezondheidszorg verwerken informatie zodat deze in een standaardformaat kan worden verzonden tussen gedekte entiteiten. Uitwisselingscentra fungeren vaak als tussenpersoon voor zorgverleners en gezondheidsplannen, wat betekent dat ze zelden rechtstreeks met patiënten te maken hebben. Een verrekenkantoor kan bijvoorbeeld informatie van een arts nemen en deze in een standaard gecodeerd formaat plaatsen dat kan worden gebruikt voor verzekeringsdoeleinden.
Voor meer informatie over of een entiteit onder HIPAA valt, biedt HHS een handig overzicht.
b. Zakenpartners
Wat is een zakenpartner? Zorgverleners, gezondheidsplannen en uitwisselingscentra voor gezondheidszorg zijn slechts enkele van de spelers in de gezondheidszorg. Gedekte entiteiten huren of contracteren mensen en bedrijven om tal van diensten uit te voeren.
Een “zakenpartner” creëert, ontvangt, onderhoudt of verzendt beschermde gezondheidsinformatie (PHI) namens een gedekte entiteit of een andere zakenpartner die optreedt als onderaannemer.
Voor de definitie van een zakenpartner, zie 45 CFR § 160.103.
Wat doen zakenpartners? Zakenpartners kunnen veel verschillende diensten verlenen voor een gedekte entiteit, waaronder (maar niet beperkt tot):
- juridisch
- actuarieel
- boekhouding
- raadplegen
- gegevensaggregatie
- beheer
- administratieve accreditatie
- verwerken of beheren van claims
- gegevens analyse
- gegevensoverdracht
- beoordeling van gebruik
- kwaliteitsborging
- bepaalde activiteiten op het gebied van patiëntveiligheid
- facturering
- voordeelbeheer
- praktijkbeheer
- herprijzing.
Zakenpartners verlenen vaak diensten waarbij geen interactie met de patiënt is betrokken. Een bekend voorbeeld van een zakenpartner waarmee patiënten mogelijk interactie hebben, is een bedrijf dat een persoonlijk gezondheidsdossier (PHR) aanbiedt aan personen namens de gedekte entiteiten.
Welke verantwoordelijkheden hebben zakenpartners? Gedekte entiteiten moeten schriftelijke contracten sluiten met hun zakenpartners om ervoor te zorgen dat ze PHI beschermen volgens de HIPAA-normen. Zakenpartners moeten hetzelfde doen met hun onderaannemers die als zakenpartners kunnen worden beschouwd. De HHS-website bevat meer informatie over relaties met zakenpartners en biedt ook voorbeeldclausules voor overeenkomsten met zakenpartners.
Zakenpartners moeten de contracten die ze met gedekte entiteiten ondertekenen, naleven. Bovendien zijn zakenpartners direct aansprakelijk voor schendingen van de HIPAA-beveiligingsregel en veel bepalingen van de HIPAA-privacyregel. Dit betekent dat zakenpartners zijn onderworpen aan de meeste van dezelfde privacy- en gegevensbeveiligingsnormen die van toepassing zijn op gedekte entiteiten en mogelijk onderworpen zijn aan HHS-audits en sancties.
c. Onderaannemers
Een onderaannemer die beschermde gezondheidsinformatie (PHI) creëert, onderhoudt of verzendt namens een zakenpartner heeft dezelfde wettelijke verantwoordelijkheden als een zakenpartner onder HIPAA.Met andere woorden, privacy- en veiligheidsgerelateerde wettelijke verantwoordelijkheden stromen “stroomafwaarts” naar onderaannemers die werk uitvoeren voor een zakenpartner.
De zakenpartner van een ziekenhuis kan bijvoorbeeld een extern bedrijf inhuren om documenten te versnipperen die PHI of om een cloudservice te bieden om de gegevens op te slaan. In beide gevallen zou het externe bedrijf (onderaannemer) als zakenpartner aan de meeste HIPAA-regels moeten voldoen. Het zou ook gebonden zijn door een contract met de zakenpartner in plaats van de gedekte entiteit (of het ziekenhuis in dit voorbeeld).
d. Hybride entiteiten
Een hybride entiteit voert zowel HIPAA-gedekte als niet-gedekte functies uit als onderdeel van haar bedrijf. Een grote een bedrijf dat een zelfverzekerd gezondheidsplan voor zijn werknemers heeft, kan ervoor kiezen om als een hybride entiteit te worden behandeld. Andere voorbeelden zijn een universiteit met een medisch centrum of een supermarkt met een apotheek.
Wanneer een organisatie ervoor kiest om te worden behandeld als een hybride entiteit, alleen het gedeelte van de bedrijf dat een gedekte entiteit is (de gezondheidszorgcomponent genoemd) is onderworpen aan HIPAA. Hybride entiteiten moeten ervoor zorgen dat de gezondheidszorgcomponent geen beschermde gezondheidsinformatie onthult aan een andere niet-gedekte component van het bedrijf. Ze moeten ook elektronisch beschermde gezondheidsinformatie beschermen.
4. Wie is niet verplicht om te voldoen aan HIPAA?
Onthoud dat veel bedrijven en mensen niet verplicht zijn om te voldoen aan HIPAA, en er zijn vaak momenten waarop gezondheidsinformatie beschikbaar kan zijn voor deze mensen en bedrijven . HIPAA is alleen van toepassing op gedekte entiteiten en hun zakenpartners.
Hier zijn slechts enkele voorbeelden van degenen die niet onder HIPAA vallen, maar mogelijk omgaan met gezondheidsinformatie:
- levens- en langetermijnverzekeringsmaatschappijen
- schadevergoedingsverzekeraars voor werknemers, administratieve agentschappen of werkgevers (tenzij ze anders als gedekte entiteiten worden beschouwd)
- agentschappen die sociale zekerheid en sociale voorzieningen verstrekken
- autoverzekeringsplannen die gezondheidsvoordelen omvatten
- zoekmachines en websites die gezondheids- of medische informatie verstrekken en die niet worden beheerd door een gedekte entiteit
- marketeers
- sportscholen en fitnessclubs
- rechtstreeks naar consumenten (DTC) genetische testbedrijven
- veel mobiele applicaties (apps) gebruiken d voor gezondheids- en fitnessdoeleinden
- degenen die screeningen uitvoeren in apotheken, winkelcentra, gezondheidsbeurzen of andere openbare plaatsen voor bloeddruk, cholesterol, uitlijning van de wervelkolom en andere aandoeningen
- bepaalde beoefenaars van alternatieve geneeswijzen
- de meeste scholen en schooldistricten
- onderzoekers die gezondheidsgegevens rechtstreeks van zorgverleners verkrijgen
- de meeste wetshandhavingsinstanties
- veel overheidsinstanties, zoals kinderbeschermingsdiensten
- rechtbanken, waar gezondheidsinformatie van belang is voor een zaak
Voor meer informatie over wie wel (of niet) wordt gedekt door HIPAA, zie de HHS-richtlijnen voor consumenten.
5. Welke informatie dekt HIPAA?
Om te bepalen of HIPAA een bepaald type gezondheidsinformatie beschermt, is het het gemakkelijkst om er eerst achter te komen of er een gedekte entiteit of zakenpartner is die de wet moet naleven.
Onder HIPAA is ‘gezondheidsinformatie’ alle informatie (inclusief genetische informatie) die is gemaakt of ontvangen door een zorgverlener, gezondheidsplan, openbare gezondheidsinstantie, werkgever, levensverzekeringsmaatschappij, school of universiteit, of gezondheidsinformatie zorguitwisselingscentrum en heeft betrekking op
- iemands vroegere, huidige of toekomstige lichamelijke of geestelijke gezondheid of toestand;
- behandeling aan een persoon; of
- betalingen uit het verleden, heden of toekomst voor gezondheidszorg die een persoon ontvangt.
Gezondheidsinformatie kan in elke vorm of elk medium bestaan, inclusief papier, elektronisch of mondeling.
Wanneer een gedekte entiteit gezondheidsinformatie creëert of ontvangt die een persoon identificeert (of kan worden gebruikt om te identificeren), noemt HIPAA dit ‘individueel identi fiable gezondheidsinformatie. “Individueel identificeerbare gezondheidsinformatie omvat demografische en andere informatie die een persoon identificeert, zoals naam, adres, geboortedatum en burgerservicenummer.
Voor nauwkeurige definities van een van de termen in deze sectie, zie 45 CFR § 160.103.
a. Op welke informatie is de HIPAA-privacyregel van toepassing?
De HIPAA-privacyregel is van toepassing op “beschermde gezondheidsinformatie” (PHI) die alle “individueel identificeerbare gezondheidsinformatie” omvat die wordt verzonden of onderhouden in elk formaat of medium.
Dit betekent dat gesprekken tussen een patiënt en een arts dezelfde privacybescherming hebben als handgeschreven of elektronische notities.
Voor meer informatie over de HIPAA-privacyregel, zie: De HIPAA-privacyregel : Hoe mogen de gedekte entiteiten gezondheidsinformatie gebruiken en vrijgeven?
b. Op welke informatie is de HIPAA-beveiligingsregel van toepassing?
De HIPAA-beveiligingsregel vereist dat gedekte entiteiten alleen gegevensbeveiligingsmaatregelen nemen voor PHI die in elektronisch formaat wordt onderhouden, genaamd “elektronische beschermde gezondheidsinformatie” (ePHI). De beveiligingsregel is niet van toepassing op PHI die mondeling of schriftelijk wordt verzonden.
Voor meer informatie over de HIPAA-beveiligingsregel, zie Privacy Rights Clearinghouse Fact Sheet 8d: Bescherming van gezondheidsinformatie: The HIPAA Security and Breach Notification Regels.
6. Welke informatie valt niet onder de HIPAA-privacyregel?
a. Gezondheidsinformatie in arbeidsregistraties
HIPAA is niet van toepassing op arbeidsregistraties, zelfs niet als die gegevens medische informatie bevatten. Dit omvat arbeidsregisters die een gedekte entiteit in haar rol als werkgever heeft. Als een werknemer van een zorgaanbieder echter patiënt wordt van die zorgverlener, is HIPAA van toepassing.
Voor meer informatie over medische informatie op de werkplek, zie de HHS “Werkgevers- en gezondheidsinformatie op de werkplek.
b. Gezondheidsinformatie in onderwijsdossiers (voor het grootste deel)
Gezondheidsinformatie in onderwijsdossiers die onderhevig zijn aan de Family Educational Rights and Privacy Act (FERPA), wordt niet beschouwd als beschermde gezondheidsinformatie (PHI) onder HIPAA. De K-12-records van een kind met informatie over bezoeken aan schoolverpleegsters vallen bijvoorbeeld niet onder HIPAA.
Voor meer informatie over FERPA met betrekking tot gezondheidsinformatie en HIPAA, zie: Gezamenlijke richtlijnen voor de Toepassing van de Family Educational Rights and Privacy Act (FERPA) en de Health Insurance Portability and Accountability Act van 1996 (HIPAA) op de gezondheidsdossiers van studenten en de privacy van studenten 101: Gezondheidsprivacy op scholen – Welke wet is van toepassing?
c. Gezondheidsinformatie over een persoon die meer dan 50 jaar is overleden
Beschermde gezondheidsinformatie (PHI) omvat geen gezondheidsinformatie over een persoon die meer dan 50 jaar geleden is overleden.
Zie de HHS-website voor meer informatie over de gezondheidsinformatie van overleden personen.
d. Geanonimiseerde gegevens
Geanonimiseerde gegevens zijn gezondheidsinformatie die 18 specifieke identificatiegegevens verwijderd en daarom wordt aangenomen dat de persoon die het onderwerp is van de informatie uni identificeerbaar. Dit betekent dat geanonimiseerde gegevens niet worden beschermd onder de HIPAA-privacyregels, aangezien PHI en onder de overeenkomst vallende entiteiten deze op grotere schaal kunnen gebruiken en openbaar maken.
Gedeïdentificeerde gegevens zijn vaak onderwerp van discussie vanwege de mogelijkheid om een persoon opnieuw te identificeren. Prof. Latanya Sweeney heeft een aanzienlijke hoeveelheid werk verricht op het gebied van heridentificatie.
Voor meer informatie over de-identificatie, zie 45 CFR 164.514 en de HHS-richtlijn betreffende methoden voor de-identificatie van Beschermde gezondheidsinformatie in overeenstemming met de HIPAA-privacyregel.
7. Hoe handhaaft HHS HIPAA?
De HIPAA Enforcement Rule stelt het Office for Civil Rights (OCR) van het Amerikaanse Department of Health and Human Services (HHS) in staat om mogelijke HIPAA-schendingen te onderzoeken en civiele geldboetes (CMP) te beoordelen voor overtredingen. Openbare procureurs-generaal hebben ook de bevoegdheid om de HIPAA-regels te handhaven. Individuen hebben geen privérecht om actie te ondernemen onder HIPAA en kunnen niet aanklagen voor een overtreding.
OCR start het handhavingsproces door een onderzoek te openen naar mogelijke schendingen van de HIPAA-privacy- of beveiligingsregels. OCR reageert op individuele klachten, maar kan HIPAA-overtredingen ook op andere manieren ontdekken (bijvoorbeeld door audits uit te voeren). Na het onderzoek kan OCR een probleem oplossen door vast te stellen dat er geen overtreding is, een resolutieovereenkomst aan te gaan met de verantwoordelijke partij of vast te stellen dat de partij in overtreding is en door sancties te beoordelen.
Voor meer informatie over HIPAA handhaving, zie Hoe OCR de HIPAA-privacy- en beveiligingsregels, handhavingsgegevens, handhavingshoogtepunten en HIPAA-handhaving afdwingt.
a. Wanneer zal HHS een klacht onderzoeken?
Wanneer individuen zich bewust zijn van een mogelijke HIPAA-overtreding, kunnen ze een klacht indienen bij het HHS ’Office for Civil Rights (OCR). Om in aanmerking te komen voor onderzoek, moet een klacht aan de volgende basiscriteria voldoen:
- Als de klacht betrekking heeft op een mogelijke schending van de privacyregel, moet de actie hebben plaatsgevonden na april 2003. Als de klacht betrekking heeft op een mogelijke Overtreding van de beveiligingsregel, de actie moet hebben plaatsgevonden na april 2005.
- Een persoon moet een klacht indienen tegen een persoon, organisatie of andere entiteit die onderhevig is aan HIPAA.
- De klacht moet iets beweren dat in strijd is met de HIPAA-regels.
- Individuen moeten klachten indienen binnen 180 dagen nadat ze op de hoogte waren (of hadden moeten weten) over de mogelijke overtreding.
Als OCR van mening is dat de klacht gegrond is, neemt het bureau contact op met de persoon die de klacht heeft ingediend en met de betrokken entiteit om te proberen tot een wederzijdse oplossing te komen.Sommige zaken kunnen worden voorgelegd aan een bestuursrechter.
b. Hoe bepaalt HHS een straf voor een overtreding?
Voor overtredingen die zich na 2009 hebben voorgedaan, stelt HHS sancties vast voor HIPAA-overtredingen op basis van de schuld van de overtreder. De minimumstraf varieert, maar de maximumstraf is $ 1,5 miljoen per jaar voor overtredingen van dezelfde HIPAA-bepaling.
De structuur van de civiele boete met vier niveaus is als volgt:
Onwetend betekent dat de gedekte entiteit niet op de hoogte was van de overtreding en dit niet zou hebben geweten door middel van redelijke toewijding.
Redelijke oorzaak betekent dat de gedekte entiteit op de hoogte zou zijn van de overtreding door redelijke toewijding te betrachten.
Opzettelijke verwaarlozing gecorrigeerd betekent dat de gedekte entiteit opzettelijk HIPAA heeft geschonden of met roekeloze onverschilligheid heeft gehandeld, maar de overtreding heeft gecorrigeerd binnen 30 dagen na ontdekking.
Opzettelijke verwaarlozing – ongecorrigeerd betekent dat de gedekte entiteit opzettelijk de HIPAA heeft geschonden of met roekeloze onverschilligheid heeft gehandeld, maar de overtreding niet binnen 30 dagen na ontdekking heeft gecorrigeerd.
c . Als er een geldboete is, zal de persoon die de klacht heeft ingediend dan geld ontvangen?
Nee. Geld van de boetes die HHS int, wordt betaald aan de Amerikaanse schatkist.
d. Can individuen aanklagen onder HIPAA?
Nee. Individuen hebben niet het recht om een aanklacht in te dienen onder HIPAA. HIPAA verhindert echter niet dat staten wetten aannemen die verbeterde bescherming bieden. George Washington University heeft een gids, gezondheidsinformatie en de wet, die informatie bevat over staatswetten.
8. Bronnen
Federale wet
Health Information Technology for Economic and Clinical Health (HITECH) Act, Public Wet 111-5, 2009
Genetische Informatie Nondiscriminatiewet van 2008 (GINA), (Public Law 110-223, 122 Stat. 881)
Federale voorschriften
HIPAA Privacy Rule van 2003 en latere wijzigingen
HHS Omnibus Rule, 78 Federal Register, 25 januari 2013
Staatswetten en gezondheidsprivacy
George Washington University, gezondheidsinformatie en de Wet
Nationale Vereniging van Verzekeringscommissarissen
Ministerie van Volksgezondheid en Human Services, Bureau voor Burgerrechten
Richtlijnen voor consumenten
Speciale onderwerpen op het gebied van privacy van gezondheidsinformatie
Overeenkomsten met zakenpartners
Autorisaties
Gedekte entiteiten
Werkgevers en gezondheidsinformatie op de werkplek