HIPAA: privatliv og sikkerhed for beskyttede sundhedsoplysninger (PHI)

Ingen kommentarer

vores HIPAA juridiske Team rådgiver klienter om føderal og statslig lov fortrolighed, privatliv og sikkerhed sundhedsbehov. Vores juridiske tjenester omfatter:

  • tilpasning af HIPAA-politikker og procedurer for din praksis eller virksomhed
  • bestemmelse af, om HIPAA gælder for din praksis
  • udvikling af HIPAA-politikker og procedurer for mobilapps eller telemedicin
  • udarbejdelse af Forretningsforbindelsesaftaler
  • svar på HIPAA-klager
  • gennemgang af arrangementer for HIPAA-overtrædelser

Kontakt vores HIPAA-advokater for spørgsmål vedrørende dine HIPAA-privatlivs-og sikkerhedsforpligtelser eller for at diskutere overholdelse i tilfælde af et HIPAA-brud, der kan resultere i føderal og statslig håndhævelse og betydelige sanktioner. Eller find ud af mere om online HIPAA compliance training.

vores HIPAA — advokater har ekspertise, der rådgiver klienter til at opdatere deres HIPAA — overholdelsesindsats-herunder opdatering og implementering af privatlivs-og sikkerhedspolitikker, procedurer og formularer-både i en forebyggende kapacitet og for at afbøde efter et uventet databrud.

for nylig rådede vores advokater to klienter, som hver især udvikler en mobil medicinsk applikation, om HIPAA-privatlivs-og sikkerhedsspørgsmål. At repræsentere disse klienter involverede udvikling af tilpassede løsninger for at sikre, at klienten var beskyttet mod uberettiget ansvar i sin position som en internetportal til en sundhedsperson. I hvert tilfælde har vi designet virksomhedens Vilkår for brug og fortrolighedspolitik, såvel som dens kontrakt med praktikere, for at overholde HIPAA såvel som statens lov om privatlivets fred og fortrolighedsregler og relaterede love, der regulerer telemedicinsk praksis.

fortæl os, når HIPAA-problemer opstår, uanset om du er en startup-teknologi (og muligvis en forretningsforbindelse under HIPAA), en etableret medicinsk gruppe eller praksis eller en konsulent eller leverandør involveret i telemedicin eller en mobilapplikation, gennem hvilken beskyttet sundhedsinformation (PHI) overføres.

HIPPA og HITECH

i henhold til føderal lov regulerer Health Insurance Portability and Accountability Act (“HIPAA”) elektronisk dataudveksling af sundhedsoplysninger. Afsnit I i HIPAA beskytter sundhedsforsikringsdækning for arbejdstagere og deres familier, når de skifter eller mister deres job. Afsnit II i HIPAA, kendt som bestemmelserne om administrativ forenkling (AS), kræver etablering af nationale standarder for elektroniske sundhedstransaktioner og nationale identifikatorer for udbydere, sygesikringsplaner og arbejdsgivere. Administrationens Forenklingsbestemmelser vedrører også sikkerhed og privatlivets fred for sundhedsdata.

Under Afsnit II i HIPAA har HHS offentliggjort fem sæt gennemførelsesbestemmelser, der forskelligt er kendt som Privatlivsreglen; Sikkerhedsreglen; reglen om unikke identifikatorer (National Provider Identification (“NPI”)); reglen om transaktioner og kodesæt; og Håndhævelsesreglen. Men vores kunder er primært optaget af Privatlivsreglen og Sikkerhedsreglen, som begge vedrører beskyttelse af fortroligheden og privatlivets fred for patienters sundhedsoplysninger.

dele af HIPAA er blevet ændret ved en efterfølgende føderal statut, Health Information Technology for Economic and Clinical Health (“HITECH”) Act, vedtaget som en del af American Recovery and Reinvestment Act of 2009.

HIPAA etablerer civile penge sanktioner og strafferetlige sanktioner for overtrædelser. HHS håndhæver bestemmelsen om civil pengestraf, mens det amerikanske justitsministerium håndhæver de strafferetlige sanktioner. HIPPAS bestemmelse om civil pengestraf tillader en civil straf på op til $100 pr.overtrædelse, op til $25.000 pr. år. HIPAA godkender strafferetlige sanktioner i henhold til niveauet for skyld, op til $1,5 millioner.

Statens privatlivs-og Fortrolighedslove

stater har også deres egne privatlivs-og fortrolighedslove, hvoraf dele gælder uanset HIPAA ‘ s bestemmelser om forkøbsret. Derudover vil udbydere, der ikke falder ind under HIPAA, ikke desto mindre være bundet af statslige love og regler.

for eksempel i Californien:

California privacy standards er indeholdt i fortroligheden af Medicinsk Information Act (“CMIA”).

  • sundhed& sikkerhedskode (afsnit 123100 FF.) styr patientens adgang til sundhedsjournaler. (Blandt andet gælder særlige overvejelser for psykoterapi noter og mentale sundhedsregistre).Californisk lov opretter også et statskontor for Sundhedsinformationsintegritet, dedikeret til at informere om rettigheder og ansvar, der er relevante for sundhedsoplysninger, samt rollen som elektronisk sundhedsinformationsudveksling (“HIEs”) i transmission af patienters sundhedsoplysninger.Californiens Department of Health Care Services har også et Privatlivskontor, der sidder inden for afdelingens Office of HIPAA Compliance, og arbejder for at beskytte PHI, herunder undersøgelse af brud på privatlivets fred og klager, der involverer uautoriseret adgang eller videregivelse af PHI.
  • Californien har yderligere et kontor for beskyttelse af personlige oplysninger, der giver information om privatlivets emner for enkeltpersoner og forbrugere.

HIPAA-krav

HIPAA gælder for “dækkede enheder” og deres “forretningsforbindelser.”

dækkede enheder inkluderer:

(1) sundhedsplaner, herunder sundhedsforsikringsselskaber, HMO ‘ er, virksomhedens sundhedsplaner og visse offentlige programmer, der betaler for sundhedspleje, såsom Medicare og Medicaid.

(2) De fleste sundhedsudbydere — der overfører sundhedsoplysninger i elektronisk form til sundhedsforsikringsselskaber. Sådanne sundhedsudbydere kan omfatte læger, klinikker, hospitaler, psykologer, kiropraktorer, plejehjem, apoteker, og tandlæger, eller enhver anden person eller organisation, der leverer, regninger, eller betales for sundhedspleje i normal forretning.

(3) clearinghuse til sundhedspleje — enheder, der behandler ikke-standardiserede sundhedsoplysninger, de modtager fra en anden enhed, til en standard (dvs.standard elektronisk format eller dataindhold) eller omvendt.

en forretningsforbindelse er en person, der ikke er i arbejdsstyrken i en omfattet enhed, der bruger individuelt identificerbar behandling eller administration af sundhedsoplysninger; dataanalyse, behandling eller administration.det amerikanske Department of Health of Human Services (HHS) opsummerer de store administrative procedurer, som en omfattet enhed skal have under HIPAA, som følger:

  • privatlivspolitikker og-procedurer. En omfattet enhed skal udvikle og implementere skriftlige privatlivspolitikker og-procedurer, der er i overensstemmelse med HIPAA.
  • privatliv personale. En omfattet enhed skal udpege en embedsmand for beskyttelse af personlige oplysninger, der er ansvarlig for at udvikle og implementere dens politikker og procedurer for beskyttelse af personlige oplysninger, og en kontaktperson eller et kontaktkontor, der er ansvarligt for at modtage klager og give enkeltpersoner oplysninger om den omfattede enheds praksis for beskyttelse af personlige oplysninger.
  • uddannelse og ledelse af arbejdsstyrken. Arbejdsstyrkemedlemmer inkluderer ansatte, frivillige, praktikanter og kan også omfatte andre personer, hvis adfærd er under enhedens direkte kontrol (uanset om de betales af enheden eller ej). En omfattet enhed skal uddanne alle medarbejdere i sine privatlivspolitikker og-procedurer, som det er nødvendigt og passende for dem at udføre deres funktioner; og skal have og anvende passende sanktioner mod arbejdsstyrkemedlemmer, der overtræder dens privatlivspolitikker og-procedurer eller HIPAA.
  • afbødning. En omfattet enhed skal afbøde, i det omfang det er praktisk muligt, enhver skadelig virkning, som den lærer, skyldes brug eller videregivelse af beskyttede sundhedsoplysninger af dens arbejdsstyrke eller dets forretningsforbindelser i strid med dens privatlivspolitikker og-procedurer eller HIPAA.
  • datasikkerhed. En omfattet enhed skal opretholde rimelige og passende administrative, tekniske og fysiske sikkerhedsforanstaltninger for at forhindre forsætlig eller utilsigtet brug eller videregivelse af beskyttede sundhedsoplysninger i strid med Privatlivsreglen og for at begrænse dens tilfældige brug og videregivelse i henhold til ellers tilladt eller påkrævet brug eller videregivelse. Sådanne sikkerhedsforanstaltninger kan f.eks. omfatte makulering af dokumenter, der indeholder beskyttede sundhedsoplysninger, før de kasseres, sikring af lægejournaler med lås og nøgle eller adgangskode og begrænsning af adgangen til nøgler eller adgangskoder.
  • klager. En omfattet enhed skal have procedurer for enkeltpersoner til at klage over dens overholdelse af sine privatlivspolitikker og-procedurer og Privatlivsreglen. Den dækkede enhed skal forklare disse procedurer i sin meddelelse om fortrolighedspraksis. Den dækkede enhed skal blandt andet identificere, hvem enkeltpersoner kan indgive klager til hos den dækkede enhed og rådgive om, at klager også kan indgives til sekretæren for HHS.
  • ingen gengældelse og afkald. En omfattet enhed må ikke gengælde en person for at udøve rettigheder, der er leveret af Privacy Rule, for at hjælpe med en undersøgelse foretaget af HHS eller en anden passende myndighed, eller for at modsætte sig en handling eller praksis, som personen mener i god tro overtræder Privacy Rule. En omfattet enhed kan ikke kræve, at en person giver afkald på nogen ret i henhold til Privatlivsreglen som en betingelse for at opnå behandling, betaling, og tilmelding eller berettigelse til fordele.
  • dokumentation og registrering opbevaring. En omfattet enhed skal opretholde, indtil seks år efter den senere dato for deres oprettelse eller sidste ikrafttrædelsesdato, dens privatlivspolitikker og-procedurer, dens meddelelser om fortrolighedspraksis, disposition af klager, og andre handlinger, aktiviteter, og betegnelser, som Privatlivsreglen kræver at blive dokumenteret.

Kontakt vores HIPAA juridiske Team for juridisk rådgivning relateret til patientens privatliv, fortrolighed og datasikkerhed.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *