Publicat: 01 februarie 2015 | Revizuit: 01 februarie 2015
- Introducere
- Ce este HIPAA?
a. O scurtă istorie a HIPAA
b. Este HIPAA singura lege care se aplică informațiilor despre sănătate? - Cine trebuie să respecte HIPAA?
a. Entități acoperite
b. Asociați de afaceri
c. Subcontractori
d. Entități hibride - Cui nu i se cere să respecte HIPAA?
- Ce informații acoperă HIPAA?
a. La ce informații se aplică regula de confidențialitate HIPAA?
b. La ce informații se aplică regula de securitate HIPAA? - Ce informații nu sunt acoperite de regula de confidențialitate HIPAA?
a. Informații despre sănătate în fișele de angajare
b. Informații despre sănătate în evidența educației (în cea mai mare parte)
c. Informații de sănătate referitoare la o persoană decedată de peste 50 de ani
d. Date neidentificate - Cum impune Departamentul pentru Sănătate și Servicii Umane (HHS) din SUA HIPAA?
a. Când va investiga HHS o plângere?
b. Cum determină HHS o pedeapsă pentru o încălcare?
c. Dacă există o penalitate monetară, va primi bani persoana care a depus plângerea?
d. Pot persoanele să dea în judecată în temeiul HIPAA? - Resurse
1. Introducere
Aproape toată lumea recunoaște natura sensibilă a informațiilor medicale și de sănătate. Cu toate acestea, confidențialitatea și securitatea informațiilor despre sănătate sunt subiecte complexe de navigat atât pentru pacienți, cât și pentru profesioniștii din domeniul sănătății.
Regulamentele federale care guvernează confidențialitatea și securitatea informațiilor despre sănătate sunt cunoscute sub numele de HIPAA, pentru Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate care i-a mandatat. Ca pacient, este important să înțelegem sfera și limitele HIPAA. Acest ghid oferă informații despre elementele de bază HIPAA, cum ar fi cui se aplică HIPAA și ce informații acoperă.
2. Ce este HIPAA?
Legea portabilității și responsabilității asigurărilor de sănătate (HIPAA) este o lege federală care prevede standarde de bază privind confidențialitatea și securitatea informațiilor medicale. Departamentul american de sănătate și servicii umane (HHS) este agenția federală responsabilă de crearea regulilor care pun în aplicare HIPAA și, de asemenea, aplică HIPAA.
a. O scurtă istorie a HIPAA
- 1996 – Congresul a adoptat Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA).
Majoritatea oamenilor sunt familiarizați cu HIPAA ca lege de confidențialitate și securitate medicală. Cu toate acestea, scopul inițial al HIPAA a fost de a stabili standarde pentru transmiterea datelor electronice de sănătate și de a permite oamenilor să transfere și să continue asigurarea de sănătate după ce se schimbă sau își pierd un loc de muncă.
În De fapt, până în 2003 nu existau standarde naționale de confidențialitate pentru informații medicale în conformitate cu HIPAA. Toate protecțiile au fost bazate pe legislația statului.
- 2003 – Departamentul SUA pentru Sănătate și Servicii Umane (HHS) a emis și a adoptat Regula de confidențialitate HIPAA, Regula de securitate HIPAA și HIPAA Regula de executare.
În 2003, HHS a emis primele reguli naționale privind confidențialitatea și securitatea datelor în temeiul HIPAA.
Regula de confidențialitate conferă persoanelor drepturi cu privire la informațiile lor de sănătate protejate (PHI). De asemenea, explică modul în care entitățile acoperite (cele care trebuie să respecte HIPAA) pot utiliza și dezvălui PHI.
Regula de securitate stabilește standarde pentru protejarea PHI electronice.
Regula de aplicare se referă la conformitate, investigații și sancțiuni potențiale pentru încălcări ale regulii de confidențialitate și regulii de securitate HIPAA. Oficiul pentru Drepturile Civile (OCR) din cadrul HHS este responsabil pentru aplicarea reglementărilor HIPAA.
- 2009 – Legea privind tehnologia informației în sănătate pentru sănătate economică și clinică (HITECH) a fost semnată lege. Legea HITECH este titlul XIII din Legea americană de recuperare și reinvestire (AARA).
Între 2003 și 2009, tehnologia a schimbat peisajul de confidențialitate medicală. Dosarele medicale electronice au început să înlocuiască fișierele pe hârtie. Pacienții au început să comunice cu medicii lor prin e-mail și prin portaluri online. Farmaciile au început să proceseze prescripțiile pe cale electronică.
Legea HITECH a creat stimulente financiare pentru furnizorii de servicii medicale și asigurătorii pentru a continua trecerea la dosarele medicale electronice și, de asemenea, a abordat problemele de confidențialitate și securitate legate de transmiterea electronică a informațiilor medicale, inclusiv accesul și datele neautorizate. încălcări.
- 2013 – HHS „Biroul pentru drepturi civile a emis regula HIPAA Omnibus.
HHS” Regula omnibus a făcut câteva modificări importante în confidențialitatea, securitatea și aplicarea HIPAA Reguli. A implementat multe prevederi ale Legii HITECH. A modificat și finalizat regula de notificare a încălcării. De asemenea, a implementat modificări ale Regulii de confidențialitate HIPAA cerute de Legea privind nediscriminarea informațiilor genetice din 2008 (GINA).
b. Este HIPAA singura lege care se aplică informațiilor despre sănătate?
Nu. Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) nu este singura lege care se aplică informațiilor de sănătate.
Există legi federale care se aplică anumitor tipuri de informații despre sănătate (sau înregistrări care conțin informații despre sănătate), cum ar fi informații genetice, informații de sănătate din dosarele școlare, informații de identificare despre persoanele menținute de guvernul federal, anumite alcool și înregistrări privind abuzul de substanțe medicamentoase și informații referitoare la cercetarea medicală.
În plus, statele pot adopta propriile legi pentru a proteja informațiile despre sănătate, deoarece HIPAA stabilește o linie de bază din care statele pot crea legi mai puternice. Pentru mai multe informații despre legislația de stat, consultați HealthInfoLaw.org (un proiect al programului Hirsh Health Law and Policy Program al Universității George Washington).
3. Cine trebuie să respecte HIPAA?
HIPAA nu protejează toate informațiile despre sănătate. Nici nu se aplică tuturor persoanelor care pot vedea sau utiliza informații despre sănătate. HIPAA se aplică numai entităților acoperite și asociaților lor de afaceri.
a. Entități acoperite
Există trei tipuri de entități acoperite în cadrul HIPAA.
- Furnizorii de servicii medicale sunt plătiți pentru a oferi asistență medicală. Medici, dentiști, spitale, case de bătrâni, farmacii, clinici de îngrijire urgentă și altele entitățile care oferă asistență medicală în schimbul plății sunt exemple de furnizori.
Furnizorii de asistență medicală trebuie să respecte HIPAA numai dacă transmit informații despre sănătate pe cale electronică în legătură cu tranzacțiile acoperite. Majoritatea furnizorilor transmit informații pe cale electronică pentru a îndeplini funcții precum procesarea cererilor de despăgubire și primirea plății. Prin urmare, majoritatea prov IDERS sunt acoperiți în cadrul HIPAA. - Planurile de sănătate plătesc costul asistenței medicale.
Următoarele sunt exemple de planuri de sănătate acoperite în cadrul HIPAA: companiile de asigurări de sănătate, organizațiile de întreținere a sănătății (HMO), planurile de sănătate de grup sponsorizat de un angajator, planuri de sănătate finanțate de guvern, cum ar fi Medicare și Medicaid, și majoritatea celorlalte companii sau aranjamente care plătesc pentru asistență medicală. - Centrele de servicii medicale procesează informații, astfel încât să poată fi transmise într-un format standard între entitățile acoperite. Casele de compensare acționează adesea ca o alternativă pentru furnizorii de servicii medicale și planurile de sănătate, ceea ce înseamnă că rareori se ocupă direct de pacienți. De exemplu, un centru de compensare poate prelua informații de la un medic și le poate pune într-un format codat standard care poate fi utilizat în scopuri de asigurare.
Pentru mai multe informații despre dacă o entitate este acoperită de HIPAA, HHS oferă o diagramă utilă.
b. Asociați de afaceri
Ce este un asociat de afaceri? Furnizorii de servicii medicale, planurile de sănătate și centrele de îngrijire a sănătății sunt doar câțiva dintre jucătorii din domeniul asistenței medicale. Entitățile acoperite angajează sau contractează cu persoane și companii pentru a efectua numeroase servicii.
Un „asociat comercial” creează, primește, menține sau transmite informații de sănătate protejate (PHI) în numele unei entități acoperite sau a unui alt asociat comercial care acționează ca subcontractant.
Pentru definiția unui asociat de afaceri, consultați 45 CFR § 160.103.
Ce fac asociații de afaceri? Asociații de afaceri pot efectua multe servicii diferite pentru o entitate acoperită, inclusiv (dar fără a se limita la):
- legal
- actuarial
- contabilitate
- consultarea
- agregarea datelor
- gestionarea
- acreditarea administrativă
- procesarea sau administrarea revendicărilor
- date analiza
- transmiterea datelor
- revizuirea utilizării
- asigurarea calității
- anumite activități de siguranță a pacienților
- facturare
- gestionarea beneficiilor
- gestionarea practicii
- reevaluarea.
Asociații de afaceri prestează adesea servicii care nu implică interacțiunea pacientului. Cu toate acestea, un exemplu obișnuit de asociere de afaceri cu care pot interacționa pacienții este o companie care oferă fișe personale de sănătate (PHR) persoanelor fizice în numele entităților acoperite.
Ce responsabilități au asociații de afaceri? Entitățile acoperite trebuie să execute contracte scrise cu asociații lor de afaceri pentru a se asigura că protejează PHI conform standardelor HIPAA. Asociații de afaceri trebuie să facă același lucru cu oricare dintre subcontractanții lor care pot fi considerați asociați de afaceri. Site-ul web HHS conține mai multe informații despre relațiile asociaților de afaceri și oferă, de asemenea, exemple de clauze pentru acordurile asociaților de afaceri.
Asociații de afaceri trebuie să respecte contractele pe care le semnează cu entitățile acoperite. În plus, asociații de afaceri sunt răspunzători direct pentru încălcările regulii de securitate HIPAA și a multor dispoziții ale regulii de confidențialitate HIPAA. Aceasta înseamnă că asociații de afaceri sunt supuși majorității acelorași standarde de confidențialitate și securitate a datelor care se aplică entităților acoperite și pot fi supuși auditurilor și sancțiunilor HHS.
c. Subcontractanți
Un subcontractant care creează, menține sau transmite informații de sănătate protejate (PHI) în numele unui asociat de afaceri are aceleași responsabilități juridice ca un asociat de afaceri în temeiul HIPAA.Cu alte cuvinte, responsabilitățile legale legate de confidențialitate și securitate se revarsă „în aval” către subcontractanții care efectuează lucrări pentru un asociat de afaceri.
De exemplu, un asociat de afaceri al unui spital poate angaja o companie externă pentru a distruge documentele PHI sau să furnizeze un serviciu cloud pentru stocarea datelor. În ambele cazuri, compania externă (subcontractant) ar fi obligată să respecte cele mai multe reguli HIPAA ca asociat de afaceri. De asemenea, ar fi obligată printr-un contract cu asociatul de afaceri, mai degrabă decât entitatea acoperită (sau spitalul din acest exemplu).
d. Entitățile hibride
O entitate hibridă îndeplinește atât funcții acoperite de HIPAA, cât și funcții neacoperite ca parte a activității sale. corporația care are un plan de sănătate autoasigurat pentru angajații săi poate alege să fie tratată ca o entitate hibridă. Alte exemple sunt o universitate cu un centru medical sau un magazin alimentar care are o farmacie.
Când o organizație alege să fie tratat ca o entitate hibridă, doar partea din compania care este o entitate acoperită (numită componenta de îngrijire a sănătății) este supusă HIPAA. Entitățile hibride trebuie să se asigure că componenta de îngrijire a sănătății nu dezvăluie informații de sănătate protejate către o altă componentă neacoperită a afacerii. De asemenea, trebuie să protejeze informațiile electronice de sănătate protejate.
4. Cine nu este obligat să respecte HIPAA?
Amintiți-vă, multe companii și oameni nu sunt obligați să respecte HIPAA și există de multe ori când informații despre sănătate pot fi disponibile pentru acești oameni și companii . HIPAA se aplică numai entităților acoperite și asociaților lor de afaceri.
Iată doar câteva exemple de persoane care nu sunt acoperite de HIPAA, dar care pot gestiona informații despre sănătate:
- companiile de asigurări de viață și pe termen lung
- asigurătorii de despăgubire a lucrătorilor, agențiile administrative sau angajatorii (cu excepția cazului în care sunt considerați altfel entități acoperite)
- agenții care furnizează beneficii de securitate socială și asistență socială
- planuri de asigurări auto care includ beneficii pentru sănătate
- motoare de căutare și site-uri web care furnizează informații medicale sau medicale și nu sunt operate de o entitate acoperită
- comercianți
- săli de sport și cluburi de fitness
- direct către companii de testare genetică pentru consumatori (DTC)
- multe aplicații mobile (aplicații) folosesc d în scopuri de sănătate și fitness
- cei care efectuează proiecții la farmacii, centre comerciale, târguri de sănătate sau alte locuri publice pentru tensiune arterială, colesterol, alinierea coloanei vertebrale și alte afecțiuni
- anumite practicieni în medicina alternativă
- majoritatea școlilor și districtelor școlare
- cercetători care obțin date de sănătate direct de la furnizorii de servicii medicale
- majoritatea agențiilor de aplicare a legii
- multe agenții de stat, cum ar fi serviciile de protecție a copilului
- instanțele judecătorești, în care informațiile despre sănătate sunt importante pentru un caz
Pentru a afla mai multe despre cine este (sau nu) acoperit de HIPAA, consultați Materialele de orientare HHS pentru consumatori.
5. Ce informații acoperă HIPAA?
Pentru a stabili dacă HIPAA protejează un anumit tip de informații despre sănătate, este mai ușor să ne dăm seama dacă există o entitate acoperită sau un asociat comercial care trebuie să respecte legea.
Conform HIPAA, „informații despre sănătate” reprezintă orice informație (inclusiv informații genetice) care este creată sau primită de un furnizor de servicii medicale, plan de sănătate, autoritate de sănătate publică, angajator, companie de asigurări de viață, școală sau universitate sau sănătate centru de îngrijire și se referă la
- sănătatea sau starea fizică sau mentală trecută, prezentă sau viitoare a unei persoane;
- tratamentul oferit unei persoane; sau
- plata trecută, prezentă sau viitoare pentru asistența medicală pe care o primește o persoană fizică.
Informațiile privind sănătatea pot exista sub orice formă sau mediu, inclusiv pe hârtie, electronice sau orale.
Când o entitate acoperită creează sau primește informații de sănătate care identifică – sau pot fi utilizate pentru a identifica – o persoană, HIPAA o numește „individual identificată” informații de sănătate fiabile. „Informațiile de sănătate identificabile individual includ informații demografice și alte informații care identifică o persoană, cum ar fi numele, adresa, data nașterii și numărul de securitate socială.
Pentru definiții precise ale oricăruia dintre termenii din prezenta secțiune, a se vedea 45 CFR § 160.103.
a. La ce informații se aplică regula de confidențialitate HIPAA?
Regula de confidențialitate HIPAA se aplică „informațiilor de sănătate protejate” (PHI) care include toate „informațiile de sănătate identificabile individual” care sunt transmise sau menținute în orice format sau mediu.
Aceasta înseamnă că conversațiile dintre un pacient și un medic au aceleași protecții privind confidențialitatea ca și notele scrise de mână sau electronice.
Pentru a afla mai multe despre regula de confidențialitate HIPAA, consultați: Regula de confidențialitate HIPAA : Cum pot entitățile acoperite să utilizeze și să dezvăluie informații despre sănătate?
b. La ce informații se aplică regula de securitate HIPAA?
Regula de securitate HIPAA impune entităților acoperite să stabilească măsuri de securitate a datelor numai pentru PHI care este menținut în format electronic, numit „informații de sănătate electronice protejate” (ePHI). Regula de securitate nu se aplică PHI-urilor transmise oral sau în scris.
Pentru a afla mai multe despre regula de securitate HIPAA, consultați Fișa informativă 8d privind drepturile de confidențialitate: Protejarea informațiilor de sănătate: Notificarea de securitate și încălcare HIPAA Reguli.
6. Ce informații nu sunt acoperite de regula de confidențialitate HIPAA?
a. Informațiile de sănătate din fișele de muncă
HIPAA nu se aplică fișelor de muncă, chiar și atunci când aceste fișiere includ informații medicale. include fișele de muncă pe care o entitate acoperită le deține în rolul său de angajator. Cu toate acestea, dacă un angajat al unui furnizor de asistență medicală devine pacient al furnizorului respectiv, HIPAA se va aplica.
Pentru a afla mai multe despre informațiile medicale la locul de muncă, vezi HHS „Angajatori și informații despre sănătate la locul de muncă.
b. Informațiile privind sănătatea din fișele educaționale (în cea mai mare parte)
Informațiile despre sănătate din fișele educaționale care sunt supuse Legii privind drepturile educaționale și confidențialitatea familiei (FERPA) nu sunt considerate informații despre sănătate protejate (PHI) conform HIPAA. De exemplu, înregistrările K-12 ale unui copil care conțin informații despre vizitele asistentelor școlare nu fac obiectul HIPAA.
Pentru mai multe informații despre FERPA în ceea ce privește informațiile despre sănătate și HIPAA, consultați: Ghidul comun privind Aplicarea Legii privind drepturile educaționale și confidențialitatea familiei (FERPA) și Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate din 1996 (HIPAA) la dosarele de sănătate ale studenților și confidențialitatea studenților 101: confidențialitatea sănătății în școli – Ce lege se aplică?
c. Informațiile de sănătate referitoare la o persoană decedată de peste 50 de ani
Informațiile de sănătate protejate (PHI) nu includ informații de sănătate despre o persoană care a decedat acum mai bine de 50 de ani.
Pentru mai multe informații despre informațiile de sănătate ale persoanelor decedate, consultați site-ul web HHS.
d. Date dezidentificate
Datele dezidentificate sunt informații despre sănătate care au avut 18 specificații identificatorii au fost eliminați și, prin urmare, se consideră că face ca persoana care face obiectul informațiilor să fie unită dentifiabile. Aceasta înseamnă că datele nidentificate nu sunt protejate în conformitate cu regulile de confidențialitate HIPAA, deoarece PHI și entitățile acoperite pot să le utilizeze și să le dezvăluie mai pe larg.
Datele dezidentificate sunt adesea subiectul dezbaterii din cauza posibilității de reidentificare a unei persoane. Prof. Latanya Sweeney, a făcut o cantitate semnificativă de muncă în domeniul reidentificării.
Pentru mai multe informații despre dezidentificare, consultați 45 CFR 164.514 și Ghidul HHS privind metodele de dezidentificare a Informații de sănătate protejate în conformitate cu regula HIPAA privind confidențialitatea.
7. Cum aplică HHS HIPAA?
Regula de aplicare a HIPAA permite Oficiului pentru Drepturi Civile al Departamentului Sănătății și Serviciilor Umane (HHS) al SUA să investigheze potențialele încălcări ale HIPAA și să evalueze sancțiunile monetare civile (CMP) pentru încălcări. Procurorii generali ai statului au, de asemenea, autoritatea de a aplica regulile HIPAA. Persoanele fizice nu au un drept privat de acțiune în temeiul HIPAA și nu pot acționa în judecată pentru o încălcare.
OCR pornește procesul de executare prin deschiderea unei investigații cu privire la potențiale încălcări ale confidențialității sau regulilor de securitate HIPAA. OCR răspunde la reclamațiile individuale, dar poate descoperi încălcările HIPAA și în alte moduri (cum ar fi efectuarea auditurilor). După anchetă, OCR poate rezolva o problemă stabilind că nu există nicio încălcare, încheind un acord de soluționare cu partea responsabilă sau constatând că partea încalcă și evaluând sancțiunile.
Pentru a afla mai multe despre HIPAA punerea în aplicare, consultați modul în care OCR aplică regulile de confidențialitate și securitate HIPAA, datele privind aplicarea, principalele aspecte ale aplicării și aplicarea HIPAA.
a. Când va investiga HHS o plângere?
Când persoanele sunt conștiente de o posibilă încălcare a HIPAA, pot depune o plângere la Oficiul pentru Drepturi Civile (OCR) al HHS. Pentru a fi luată în considerare pentru anchetă, o reclamație trebuie să îndeplinească următoarele criterii de bază:
- Dacă reclamația se referă la o posibilă încălcare a regulii de confidențialitate, acțiunea trebuie să fi avut loc după aprilie 2003. Dacă reclamația se referă la un potențial Încălcarea regulilor de securitate, acțiunea trebuie să fi avut loc după aprilie 2005.
- O persoană trebuie să depună o reclamație împotriva unei persoane, organizații sau altei entități care face obiectul HIPAA.
- Plângerea trebuie să pretindă ceva care ar încălca Regulile HIPAA.
- Persoanele trebuie să depună plângeri în termen de 180 de zile de la momentul în care au știut (sau ar fi trebuit să știe) despre potențiala încălcare.
Dacă OCR consideră că reclamația are merite, agenția va contacta persoana care a depus reclamația, precum și entitatea acoperită implicată pentru a încerca să ajungă la o rezoluție reciprocă.Unele chestiuni pot fi sesizate în fața unei audieri în fața unui judecător de drept administrativ.
b. Cum determină HHS o pedeapsă pentru o încălcare?
Pentru încălcările care au avut loc după 2009, HHS stabilește sancțiuni pentru încălcările HIPAA pe baza culpabilității infractorului. Sancțiunea minimă variază, dar sancțiunea maximă este de 1,5 milioane de dolari pe an pentru încălcările aceleiași prevederi HIPAA.
Structura de pedeapsă civilă pe patru niveluri este după cum urmează:
Necunoscând înseamnă că entitatea acoperită nu știa încălcarea și nu ar fi știut prin exercitarea unei diligențe rezonabile.
Cauză rezonabilă înseamnă că entitatea acoperită ar fi știut de încălcare prin exercitarea unei diligențe rezonabile.
Negectarea intenționată corectată înseamnă că entitatea acoperită a încălcat intenționat HIPAA sau a acționat cu indiferență nesăbuită, dar a corectat încălcarea în termen de 30 de zile de la descoperire.
neglijare deliberată-necorectată înseamnă că entitatea acoperită a încălcat intenționat HIPAA sau a acționat cu indiferență nesăbuită, dar nu a corectat încălcarea în termen de 30 de zile de la descoperire.
c . Dacă există „o penalitate monetară, va primi banii persoana care a depus plângerea?
Nu. Orice bani din penalități pe care HHS le încasează sunt plătiți Trezoreriei SUA.
d. Poate indivizii dau în judecată în temeiul HIPAA?
Nu. Indivizii nu au dreptul să dea în judecată în temeiul HIPAA. Cu toate acestea, HIPAA nu împiedică statele să adopte legi care oferă o protecție sporită. legea, care conține informații despre legile statului.
8. Resurse
Legea federală
Legea publică privind tehnologia informației sanitare pentru sănătatea economică și clinică (HITECH), publică Legea 111-5, 2009
Legea privind discriminarea informațiilor genetice din 2008 (GINA), (Legea publică 110-223, 122 Stat. 881)
Regulamentele federale
Regula HIPAA privind confidențialitatea din 2003 și modificările ulterioare
Regula HHS Omnibus, 78 Registrul federal, 25 ianuarie 2013
Legile statului și confidențialitatea sănătății
George Washington University, Health Information and the Drept
Asociația Națională a Comisarilor în Asigurări
Departamentul de Sănătate și Servicii Umane, Biroul Drepturilor Civile
Materiale de orientare pentru consumatori
Subiecte speciale în confidențialitatea informațiilor referitoare la sănătate
Acorduri comerciale asociate
Autorizații
Entități acoperite
Angajatori și informații despre sănătate la locul de muncă