Zdrowie Prywatność: Podstawy HIPAA

Zamieszczono: 1 lutego 2015 | Poprawiono: 1 lutego 2015 r.

  1. Wprowadzenie
  2. Co to jest HIPAA?
    a. Krótka historia HIPAA
    b. Czy ustawa HIPAA to jedyne prawo mające zastosowanie do informacji zdrowotnych?
  3. Kto musi przestrzegać ustawy HIPAA?
    a. Podmioty objęte
    b. Współpracownicy
    c. Podwykonawcy
    d. Podmioty hybrydowe
  4. Kto nie jest zobowiązany do przestrzegania HIPAA?
  5. Jakie informacje obejmuje HIPAA?
    a. Jakich informacji dotyczy zasada prywatności HIPAA?
    b. Jakich informacji dotyczy zasada bezpieczeństwa HIPAA?
  6. Jakich informacji nie obejmuje zasada prywatności HIPAA?
    a. Informacje zdrowotne w aktach zatrudnienia
    b. Informacje zdrowotne w dokumentacji edukacyjnej (w większości)
    c. Informacje zdrowotne dotyczące osoby zmarłej powyżej 50 lat
    d. Dane pozbawione elementów identyfikacyjnych
  7. W jaki sposób Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) egzekwuje ustawę HIPAA?
    a. Kiedy HHS zbada skargę?
    b. W jaki sposób HHS określa karę za naruszenie?
    c. Czy w przypadku nałożenia kary pieniężnej osoba, która złożyła skargę, otrzyma pieniądze?
    d. Czy osoby fizyczne mogą pozywać zgodnie z ustawą HIPAA?
  8. Zasoby

1. Wprowadzenie

Niemal każdy zdaje sobie sprawę z wrażliwego charakteru informacji zdrowotnych i medycznych. Jednak prywatność i bezpieczeństwo informacji zdrowotnych są złożonymi tematami do poruszania się zarówno dla pacjentów, jak i pracowników służby zdrowia.

Federalne przepisy regulujące prywatność i bezpieczeństwo informacji zdrowotnych są znane jako HIPAA, dla ustawy o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych upoważnił ich. Jako pacjent ważne jest, aby zrozumieć zakres i ograniczenia HIPAA. Ten przewodnik zawiera informacje o podstawach HIPAA, takich jak do kogo ma zastosowanie HIPAA i jakie informacje obejmuje.

2. Co to jest HIPAA?

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) to federalne prawo, które zapewnia podstawowe standardy prywatności i bezpieczeństwa informacji medycznych. Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) jest federalną agencją odpowiedzialną za tworzenie reguł które wdrażają HIPAA, a także egzekwują HIPAA.

a. Krótka historia HIPAA

  • 1996 – Kongres uchwalił ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA).
    Większość ludzi jest zaznajomiona z ustawą HIPAA jako prawem ochrony prywatności i bezpieczeństwa medycznego. Jednak początkowym celem HIPAA było ustanowienie standardów przesyłania elektronicznych danych dotyczących zdrowia oraz umożliwienie ludziom przenoszenia i kontynuowania ubezpieczenia zdrowotnego po zmianie lub utracie pracy.
    W W rzeczywistości do 2003 roku nie istniały żadne krajowe standardy prywatności informacje medyczne objęte ustawą HIPAA. Wszystkie zabezpieczenia opierały się na prawie stanowym.

  • 2003 – Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) wydał i przyjął zasady ochrony prywatności HIPAA, zasady bezpieczeństwa HIPAA i HIPAA Reguła egzekwowania.
    W 2003 r. HHS wydało pierwsze krajowe przepisy dotyczące prywatności i bezpieczeństwa danych zgodnie z ustawą HIPAA.
    Reguła prywatności przyznaje osobom fizycznym prawa w zakresie ich chronionych informacji zdrowotnych (PHI). Wyjaśnia również, w jaki sposób podmioty objęte ochroną (te, które muszą przestrzegać HIPAA) mogą wykorzystywać i ujawniać ChIZ.
    Reguła bezpieczeństwa określa standardy ochrony elektronicznych ChIZ.
    Reguła dotycząca egzekwowania dotyczy zgodności, dochodzeń i potencjalnych kar za naruszenia zasad ochrony prywatności i zasad HIPAA. Biuro Praw Obywatelskich (OCR) w ramach HHS jest odpowiedzialne za egzekwowanie przepisów HIPAA.
  • 2009 – Podpisano ustawę o informacjach zdrowotnych dla zdrowia ekonomicznego i klinicznego (HITECH) prawo. Ustawa HITECH jest tytułem XIII amerykańskiej ustawy o odbudowie i reinwestycji (AARA).
    W latach 2003-2009 technologia zmieniła krajobraz prywatności medycznej. Elektroniczna dokumentacja medyczna zaczęła zastępować papierowe akta. Pacjenci zaczęli komunikować się ze swoimi lekarzami za pośrednictwem poczty elektronicznej i portali internetowych. Apteki zaczęły przetwarzać recepty elektronicznie.
    Ustawa HITECH stworzyła zachęty finansowe dla świadczeniodawców i ubezpieczycieli do dalszego przechodzenia na elektroniczną dokumentację medyczną, a także zajęła się kwestiami prywatności i bezpieczeństwa związanymi z elektroniczną transmisją informacji zdrowotnych, w tym nieuprawnionym dostępem i danymi naruszeń.
  • 2013 – HHS „Urząd Praw Obywatelskich wydał regułę zbiorczą HIPAA.
    HHS” Omnibus Rule wprowadził kilka ważnych zmian w ustawie HIPAA dotyczącej prywatności, bezpieczeństwa i egzekwowania przepisów Zasady. Wdrożył wiele zapisów ustawy HITECH. Zmodyfikował i sfinalizował zasadę powiadamiania o naruszeniu. Wprowadził również zmiany w zasadach prywatności HIPAA wymaganych przez Ustawę o niedyskryminacji informacji genetycznych z 2008 roku (GINA).

b. Czy HIPAA to jedyne prawo mające zastosowanie do informacji zdrowotnych?

Nie. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) nie jest jedynym prawem, które ma zastosowanie do informacji zdrowotnych.

Istnieją przepisy federalne, które mają zastosowanie do określonych rodzajów informacji zdrowotnych (lub zapisów zawierających informacje zdrowotne), takich jak informacje genetyczne, informacje zdrowotne w dokumentach szkolnych, dane umożliwiające identyfikację osób utrzymywane przez rząd federalny, niektóre rodzaje alkoholu i zapisy dotyczące nadużywania substancji odurzających oraz informacje dotyczące badań medycznych.

Ponadto stany mogą uchwalać własne prawa w celu ochrony informacji zdrowotnych, ponieważ HIPAA określa podstawę, na podstawie której stany mogą tworzyć silniejsze przepisy. Więcej informacji na temat prawa stanowego można znaleźć na stronie HealthInfoLaw.org (projekt Hirsh Health Law and Policy Program na Uniwersytecie George Washington).

3. Kto musi przestrzegać HIPAA?

Ustawa HIPAA nie chroni wszystkich informacji zdrowotnych. Nie ma też zastosowania do każdej osoby, która może przeglądać lub wykorzystywać informacje zdrowotne. Ustawa HIPAA ma zastosowanie tylko do podmiotów objętych ochroną i ich partnerów biznesowych.

a. Podmioty objęte ubezpieczeniem

Istnieją trzy rodzaje podmiotów objętych ustawą HIPAA.

  • Dostawcy opieki zdrowotnej otrzymują wynagrodzenie za świadczenie opieki zdrowotnej. Lekarze, dentyści, szpitale, domy opieki, apteki, przychodnie i inne Przykładami dostawców są podmioty zapewniające opiekę zdrowotną za opłatą.
    Świadczeniodawcy muszą przestrzegać ustawy HIPAA tylko wtedy, gdy przekazują informacje o stanie zdrowia drogą elektroniczną w związku z transakcjami objętymi ubezpieczeniem. Większość dostawców przesyła informacje drogą elektroniczną w celu wykonywania takich czynności, jak przetwarzanie roszczeń i otrzymując zapłatę. Dlatego większość prz iders są objęci ustawą HIPAA.
  • Plany zdrowotne pokrywają koszty opieki medycznej.
    Oto przykłady planów zdrowotnych objętych ustawą HIPAA: firmy ubezpieczeniowe, organizacje zajmujące się opieką zdrowotną (HMO), grupowe plany zdrowotne sponsorowane przez pracodawcę, finansowane przez rząd plany zdrowotne, takie jak Medicare i Medicaid, oraz większość innych firm lub umów, które płacą za opiekę zdrowotną.
  • Biura rozliczeniowe opieki zdrowotnej przetwarzają informacje, aby można je było przesłać w standardowym formacie między podmiotami objętymi ubezpieczeniem. Biura informacyjne często pełnią rolę pośrednika między świadczeniodawcami a planami zdrowotnymi, co oznacza, że rzadko zajmują się bezpośrednio pacjentami. Na przykład biuro informacyjne może pobrać informacje od lekarza i umieścić je w standardowym zakodowanym formacie, który można wykorzystać do celów ubezpieczeniowych.

Aby uzyskać więcej informacji na temat tego, czy podmiot jest objęty ustawą HIPAA, HHS udostępnia pomocną tabelę.

b. Partnerzy biznesowi

Kim jest wspólnik biznesowy? Świadczeniodawcy, plany zdrowotne i biura informacyjne to tylko niektórzy z graczy na rynku opieki zdrowotnej. Podmioty objęte usługą wynajmują lub zlecają osobom i firmom wykonywanie wielu usług.

„Partner biznesowy” tworzy, otrzymuje, utrzymuje lub przesyła chronione informacje zdrowotne (PHI) w imieniu podmiotu objętego ubezpieczeniem lub innego współpracownika działającego jako podwykonawca.

Definicja wspólnika biznesowego znajduje się w 45 CFR § 160.103.

Czym zajmują się współpracownicy? Współpracownicy biznesowi mogą świadczyć wiele różnych usług na rzecz podmiotu objętego ubezpieczeniem, w tym między innymi:

  • prawne
  • aktuarialne
  • księgowe
  • konsultacje
  • agregacja danych
  • zarządzanie
  • akredytacja administracyjna
  • przetwarzanie roszczeń lub administrowanie nimi
  • dane analiza
  • transmisja danych
  • przegląd wykorzystania
  • zapewnienie jakości
  • niektóre działania związane z bezpieczeństwem pacjentów
  • rozliczenia
  • zarządzanie korzyściami
  • zarządzanie praktykami
  • przecena.

Współpracownicy często wykonują usługi, które nie obejmują interakcji z pacjentem. Jednak typowym przykładem współpracowników, z którymi mogą współpracować pacjenci, jest firma, która oferuje osobistą kartę zdrowia (PHR) osobom fizycznym w imieniu podmiotów objętych ubezpieczeniem.

Jakie obowiązki mają wspólnicy biznesowi? Podmioty objęte muszą zawierać pisemne umowy ze swoimi partnerami biznesowymi, aby upewnić się, że chronią ChIZ zgodnie ze standardami HIPAA. Współpracownicy biznesowi muszą robić to samo z każdym ze swoich podwykonawców, których można uznać za współpracowników biznesowych. Witryna HHS zawiera więcej informacji na temat relacji z partnerami biznesowymi, a także przykładowe klauzule umów z partnerami biznesowymi.

Współpracownicy biznesowi muszą przestrzegać umów, które podpisują z podmiotami objętymi ubezpieczeniem. Ponadto partnerzy biznesowi są bezpośrednio odpowiedzialni za naruszenia zasady bezpieczeństwa HIPAA i wielu postanowień zasady prywatności HIPAA. Oznacza to, że partnerzy biznesowi podlegają większości tych samych standardów prywatności i bezpieczeństwa danych, które mają zastosowanie do podmiotów objętych ubezpieczeniem i mogą podlegać audytom i karom HHS.

c. Podwykonawcy

Podwykonawca, który tworzy, utrzymuje lub przesyła chronione informacje zdrowotne (PHI) w imieniu współpracownika biznesowego, ma takie same obowiązki prawne jak współpracownik biznesowy na mocy ustawy HIPAA.Innymi słowy, odpowiedzialność prawna związana z prywatnością i bezpieczeństwem spływa „na dół” do podwykonawców wykonujących pracę dla wspólników biznesowych.

Na przykład współpracownik szpitala może zatrudnić firmę zewnętrzną do niszczenia dokumentów zawierających PHI lub w celu świadczenia usługi w chmurze do przechowywania danych. W obu przypadkach firma zewnętrzna (podwykonawca) byłaby zobowiązana do przestrzegania większości zasad HIPAA jako partner biznesowy. Byłby również związany umową z partnerem biznesowym, a nie podmiot objęty ubezpieczeniem (lub szpital w tym przykładzie).

d. Podmioty hybrydowe

Podmiot hybrydowy w ramach swojej działalności wykonuje zarówno funkcje objęte ustawą HIPAA, jak i nieobjęte. korporacja, która ma ubezpieczenie zdrowotne dla swoich pracowników, może zdecydować się na traktowanie jej jako podmiotu hybrydowego. Inne przykłady to uniwersytet z centrum medycznym lub sklep spożywczy z apteką.

Gdy organizacja decyduje się traktować jako podmiot hybrydowy, tylko część domeny firma będąca podmiotem objętym ubezpieczeniem (zwana składnikiem opieki zdrowotnej) podlega ustawie HIPAA. Podmioty hybrydowe muszą zapewnić, że składnik opieki zdrowotnej nie ujawnia chronionych informacji zdrowotnych innemu nieobjętemu składnikowi przedsiębiorstwa. Muszą także chronić elektroniczne informacje zdrowotne.

4. Kto nie jest zobowiązany do przestrzegania ustawy HIPAA?

Pamiętaj, że wiele firm i osób nie jest zobowiązanych do przestrzegania ustawy HIPAA i wiele razy zdarza się, że informacje zdrowotne mogą być dostępne dla tych osób i firm . HIPAA ma zastosowanie tylko do podmiotów objętych ustawą i ich współpracowników biznesowych.

Oto kilka przykładów osób, które nie są objęte ustawą HIPAA, ale mogą mieć do czynienia z informacjami zdrowotnymi:

  • towarzystwa ubezpieczeń na życie i długoterminowych
  • pracownicze ubezpieczyciele odszkodowań, agencje administracyjne lub pracodawcy (o ile nie są uważani za podmioty objęte ubezpieczeniem)
  • agencje, które zapewniają ubezpieczenia społeczne i świadczenia socjalne
  • plany ubezpieczeń komunikacyjnych, które obejmują świadczenia zdrowotne
  • wyszukiwarki i strony internetowe, które dostarczają informacji zdrowotnych lub medycznych i nie są obsługiwane przez podmiot objęty ubezpieczeniem.
  • marketerzy
  • siłownie i kluby fitness
  • bezpośrednio do firm przeprowadzających testy genetyczne konsumentów (DTC)
  • korzysta z wielu aplikacji mobilnych (aplikacji) d w celach związanych ze zdrowiem i kondycją.
  • osoby, które przeprowadzają badania przesiewowe w aptekach, centrach handlowych, na targach zdrowia lub w innych miejscach publicznych pod kątem ciśnienia krwi, cholesterolu, wyrównania kręgosłupa i innych schorzeń.
  • pewne lekarze medycyny alternatywnej
  • większość szkół i okręgów szkolnych
  • naukowcy, którzy uzyskują dane zdrowotne bezpośrednio od świadczeniodawców.
  • większość organów ścigania
  • wiele agencji stanowych, takich jak służby ochrony dzieci
  • sądy, w których informacje zdrowotne są istotne dla sprawy

Aby dowiedzieć się więcej o tym, kto jest (lub nie) HIPAA, patrz Materiały z wytycznymi HHS dla konsumentów.

5. Jakie informacje obejmuje HIPAA?

Aby ustalić, czy HIPAA chroni określony rodzaj informacji zdrowotnych, najłatwiej jest najpierw ustalić, czy istnieje podmiot objęty ochroną lub współpracownik, który musi przestrzegać prawa.

Zgodnie z ustawą HIPAA „informacje zdrowotne” to wszelkie informacje (w tym informacje genetyczne), które są tworzone lub otrzymywane przez świadczeniodawcę opieki zdrowotnej, plan opieki zdrowotnej, organ zdrowia publicznego, pracodawcę, firmę ubezpieczeniową, szkołę lub uniwersytet lub biuro informacyjne i odnosi się do

  • przeszłego, obecnego lub przyszłego stanu fizycznego lub psychicznego osoby;
  • leczenia zapewnionego osobie; lub
  • przeszłe, obecne lub przyszłe płatności za opiekę zdrowotną, którą osoba otrzymuje.

Informacje zdrowotne mogą istnieć w dowolnej formie lub na dowolnym nośniku, w tym w formie papierowej, elektronicznej lub ustnej.

Gdy podmiot objęty ubezpieczeniem tworzy lub otrzymuje informacje zdrowotne, które identyfikują – lub mogą służyć do identyfikacji – osoby, HIPAA nazywa to „indywidualną identyfikacją wiarygodne informacje zdrowotne. ”Indywidualnie identyfikowalne informacje zdrowotne obejmują dane demograficzne i inne informacje identyfikujące osobę, takie jak imię i nazwisko, adres, data urodzenia i numer ubezpieczenia społecznego.

Aby uzyskać dokładne definicje któregokolwiek z terminów w tym rozdział, patrz 45 CFR § 160.103.

a. Jakich informacji dotyczy zasada prywatności HIPAA?

Zasada prywatności HIPAA ma zastosowanie do „chronionych informacji zdrowotnych” (PHI), które obejmują wszystkie „informacje o stanie zdrowia umożliwiające indywidualną identyfikację”, które są przesyłane lub przechowywane w dowolnym formacie lub na dowolnym nośniku.

Oznacza to, że rozmowy między pacjentem a lekarzem mają taką samą ochronę prywatności jak notatki odręczne lub elektroniczne.

Aby dowiedzieć się więcej o zasadach prywatności HIPAA, zobacz: Zasada prywatności HIPAA : W jaki sposób podmioty objęte ubezpieczeniem mogą wykorzystywać i ujawniać informacje zdrowotne?

b. Jakich informacji dotyczy zasada bezpieczeństwa HIPAA?

Zasada bezpieczeństwa HIPAA wymaga od podmiotów objętych ochroną ustanowienia środków bezpieczeństwa danych tylko dla PHI, które są utrzymywane w formacie elektronicznym, zwanym „elektronicznie chronionymi informacjami zdrowotnymi” (ePHI). Zasada bezpieczeństwa nie ma zastosowania do ChIZ, które są przekazywane ustnie lub pisemnie.

Aby dowiedzieć się więcej na temat reguły bezpieczeństwa HIPAA, zobacz Arkusz informacyjny 8d Privacy Rights Clearinghouse: Ochrona informacji zdrowotnych: HIPAA Security and Breach Notification Zasady.

6. Jakich informacji nie obejmuje zasada prywatności HIPAA?

a. Informacje zdrowotne w dokumentacji zatrudnienia

Ustawa HIPAA nie ma zastosowania do dokumentacji zatrudnienia, nawet jeśli zawiera ona informacje medyczne. obejmuje dokumentację zatrudnienia, którą podmiot objęty ubezpieczeniem posiada jako pracodawca. Jeśli jednak pracownik świadczeniodawcy opieki zdrowotnej zostanie pacjentem tego dostawcy, zastosowanie ma ustawa HIPAA.

Aby dowiedzieć się więcej o informacjach medycznych w miejscu pracy, patrz HHS „Pracodawcy i informacje zdrowotne w miejscu pracy.

b. Informacje zdrowotne w dokumentach edukacyjnych (w większości)

Informacje zdrowotne w dokumentach edukacyjnych, które podlegają ustawie o rodzinnych prawach do edukacji i prywatności (FERPA), nie są uważane za chronione informacje zdrowotne (PHI) na mocy ustawy HIPAA. Na przykład zapisy dziecka w wieku szkolnym 12 lat zawierające informacje o wizytach pielęgniarki szkolnej nie podlegają ustawie HIPAA.

Aby uzyskać więcej informacji na temat FERPA w odniesieniu do informacji o zdrowiu i HIPAA, zobacz: Joint Guidance on the Zastosowanie ustawy o prawach rodzinnych do edukacji i prywatności (FERPA) oraz ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA) do dokumentacji dotyczącej zdrowia uczniów i prywatności uczniów 101: Prywatność zdrowotna w szkołach – jakie prawo ma zastosowanie?

c. Informacje zdrowotne dotyczące osoby zmarłej od ponad 50 lat.

Chronione informacje zdrowotne (PHI) nie obejmują informacji zdrowotnych o osobie, która zmarła ponad 50 lat temu.

Aby uzyskać więcej informacji na temat informacji o zdrowiu osób zmarłych, odwiedź witrynę internetową HHS.

d. Dane pozbawione danych identyfikacyjnych

Dane pozbawione elementów identyfikacyjnych to informacje dotyczące zdrowia, które zawierają 18 konkretnych identyfikatory usunięte i dlatego uważa się, że osoba, której dane dotyczą, jest ujednolicona usuwalny. Oznacza to, że dane pozbawione elementów identyfikacyjnych nie są chronione zgodnie z zasadami ochrony prywatności HIPAA, ponieważ PHI i objęte podmioty mogą je wykorzystywać i ujawniać w szerszym zakresie.

Dane pozbawione elementów identyfikacyjnych są często przedmiotem debaty ze względu na możliwość ponownej identyfikacji osoby. Prof. Latanya Sweeney wykonała znaczną pracę w dziedzinie ponownej identyfikacji.

Więcej informacji na temat usuwania identyfikacji można znaleźć w 45 CFR 164.514 i Wytycznych HHS dotyczących metod usuwania identyfikacji Chronione informacje zdrowotne zgodnie z zasadą prywatności HIPAA.

7. W jaki sposób HHS egzekwuje ustawę HIPAA?

Reguła egzekwowania ustawy HIPAA umożliwia Urzędowi Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (OCR) badanie potencjalnych naruszeń ustawy HIPAA i ocenę cywilnych kar pieniężnych (CMP) za naruszenia. Prokuratorzy generalni stanowi mają również uprawnienia do egzekwowania przepisów HIPAA. Osoby nie mają prywatnego prawa do działania zgodnie z ustawą HIPAA i nie mogą pozwać za naruszenie.

OCR rozpoczyna proces egzekwowania, otwierając dochodzenie w sprawie potencjalnych naruszeń zasad HIPAA dotyczących prywatności lub bezpieczeństwa. OCR odpowiada na indywidualne skargi, ale może wykryć naruszenia HIPAA również w inny sposób (np. Przeprowadzanie audytów). Po dochodzeniu OCR może rozwiązać problem, stwierdzając, że nie doszło do naruszenia, zawierając umowę o rozwiązanie z osobą odpowiedzialną lub stwierdzając, że strona narusza i oceniając kary.

Aby dowiedzieć się więcej o ustawie HIPAA egzekwowania, zobacz Jak OCR egzekwuje zasady ochrony prywatności i bezpieczeństwa HIPAA, dane dotyczące egzekwowania, najważniejsze informacje dotyczące egzekwowania i egzekwowanie ustawy HIPAA.

a. Kiedy HHS zbada skargę?

Gdy osoby są świadome potencjalnego naruszenia ustawy HIPAA, mogą złożyć skargę w Biurze Praw Obywatelskich HHS (OCR). Aby skarga mogła zostać rozpatrzona w celu zbadania, musi spełniać następujące podstawowe kryteria:

  • Jeśli skarga dotyczy potencjalnego naruszenia zasad prywatności, działanie musiało nastąpić po kwietniu 2003 r. Jeśli skarga dotyczy potencjalnego Naruszenie reguły bezpieczeństwa, akcja musiała nastąpić po kwietniu 2005 roku.
  • Osoba fizyczna musi złożyć skargę na osobę, organizację lub inny podmiot podlegający ustawie HIPAA.
  • Skarga musi dotyczyć czegoś, co naruszałoby zasady HIPAA.
  • Osoby fizyczne muszą złożyć skargę w ciągu 180 dni od chwili, gdy dowiedziały się (lub powinny były wiedzieć) o potencjalnym naruszeniu.

Jeśli OCR uzna skargę za zasadną, agencja skontaktuje się z osobą, która złożyła skargę, a także z zaangażowanym podmiotem objętym ubezpieczeniem, aby spróbować osiągnąć obopólne rozwiązanie.Niektóre sprawy mogą zostać skierowane na rozprawę przed sądem administracyjnym.

b. W jaki sposób HHS ustala kary za naruszenie przepisów?

W przypadku naruszeń, które miały miejsce po 2009 roku, HHS określa kary za naruszenia HIPAA na podstawie winy sprawcy. Minimalna kara jest różna, ale maksymalna kara wynosi 1,5 miliona dolarów rocznie za naruszenie tego samego przepisu HIPAA.

Czterostopniowa struktura kar cywilnych jest następująca:

Nieświadoma oznacza, że objęty ubezpieczeniem podmiot nie wiedział o naruszeniu i nie wiedziałby o naruszeniu, działając z należytą starannością. p>

Rozsądna przyczyna oznacza, że objęty ubezpieczeniem podmiot wiedziałby o naruszeniu, działając z należytą starannością.

Celowe usunięcie zaniedbań oznacza, że podmiot objęty ubezpieczeniem celowo naruszył ustawę HIPAA lub działał z lekkomyślną obojętnością, ale naprawił naruszenie w ciągu 30 dni od wykrycia.

Rozmyślne zaniedbanie – nieskorygowane oznacza, że objęty ubezpieczeniem podmiot celowo naruszył HIPAA lub działał z lekkomyślną obojętnością, ale nie naprawił naruszenia w ciągu 30 dni od wykrycia.

c . Jeśli istnieje kara pieniężna, czy osoba, która złożyła skargę, otrzyma pieniądze?

Nie. Wszelkie pieniądze z kar pobieranych przez HHS są wpłacane do Departamentu Skarbu USA.

d. Czy osoby fizyczne pozywają na mocy ustawy HIPAA?

Nie. Osoby fizyczne nie mają prawa do pozywania na mocy ustawy HIPAA. Jednak ustawa HIPAA nie zabrania stanom wydawania przepisów zapewniających zwiększoną ochronę. Ustawa, która zawiera informacje o prawach stanowych.

8. Zasoby

Prawo federalne

Ustawa o informatyce zdrowotnej dla zdrowia ekonomicznego i klinicznego (HITECH), ustawa publiczna Law 111-5, 2009

Genetic Information Nondiscrimination Act of 2008 (GINA), (Public Law 110-223, 122 Stat. 881)

Federalne przepisy

Zasada prywatności HIPAA z 2003 r. i kolejne modyfikacje

Zasada zbiorcza HHS, 78 Rejestr Federalny, 25 stycznia 2013 r.

Prawo stanowe i prywatność zdrowotna

George Washington University, Health Information and the Prawo

Krajowe Stowarzyszenie Komisarzy Ubezpieczeniowych

Departament Zdrowia i Opieki Społecznej, Biuro Praw Obywatelskich

Poradniki dla konsumentów

Specjalne zagadnienia dotyczące prywatności informacji zdrowotnych

Umowy z partnerami biznesowymi

Zezwolenia

Podmioty objęte

Pracodawcy i informacje zdrowotne w miejscu pracy

Write a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *