Lakipalvelujamme ovat:
ota yhteyttä HIPAA-lakimiehiimme kysymyksissä, jotka koskevat HIPAA-Yksityisyys-ja turvallisuusvelvoitteitasi, tai keskustellakseen niiden noudattamisesta HIPAA-rikkomuksen tapahtuma, joka voi johtaa liittovaltion ja osavaltion täytäntöönpanoon ja merkittäviä rangaistuksia. Tutustu myös HIPAA compliance-koulutukseen.
HIPAA — lakimiehillämme on asiantuntemusta, joka neuvoo asiakkaitamme päivittämään HIPAA — säännösten noudattamista koskevia toimiaan-mukaan lukien yksityisyyden ja turvallisuuden käytäntöjen, menettelyjen ja lomakkeiden päivittäminen ja täytäntöönpano-sekä ennaltaehkäisevästi että ennakoimattoman tietomurron lieventämiseksi.
äskettäin asianajajamme neuvoivat kahta asiakasta, joista kumpikin kehittää mobiilia lääketieteellistä sovellusta, HIPAA: n yksityisyyteen ja turvallisuuteen liittyvissä kysymyksissä. Näiden asiakkaiden edustamiseen kuului räätälöityjen ratkaisujen kehittäminen sen varmistamiseksi, että asiakas oli suojassa perusteettomalta vastuulta toimiessaan terveydenhuollon ammattihenkilön Verkkoportaalina. Kussakin tapauksessa suunnittelimme yrityksen Käyttöehdot ja Tietosuojakäytännön sekä sopimuksen harjoittajien kanssa noudattaaksemme HIPAA: ta sekä valtion yksityisyyttä ja luottamuksellisuutta koskevia sääntöjä ja niihin liittyviä etälääketieteen käytäntöjä koskevia lakeja.
kerro meille aina, kun HIPAA-ongelmia ilmenee, oletko startup-teknologia (ja mahdollisesti HIPAA: n alainen liikekumppani), vakiintunut lääketieteellinen ryhmä tai praktiikka, etälääketieteen konsultti tai myyjä tai mobiilisovellus, jonka kautta suojattuja terveystietoja (Phi) välitetään.
HIPPA ja HITECH
liittovaltion lain mukaan Health Insurance Portability and Accountability Act (”HIPAA”) säätelee terveydenhuoltotietojen sähköistä tietojenvaihtoa. HIPAA: n I osasto turvaa työntekijöiden ja heidän perheidensä sairausvakuutusturvan, kun he vaihtavat työpaikkaa tai menettävät työpaikkansa. HIPAA: n II osastossa, joka tunnetaan hallinnollisen yksinkertaistamisen (as) säännöksinä, edellytetään sähköisten terveydenhuollon liiketoimien kansallisten standardien ja palveluntarjoajien, sairausvakuutussuunnitelmien ja työnantajien kansallisten tunnisteiden vahvistamista. Hallinnon Yksinkertaistamissäännöksissä käsitellään myös terveystietojen turvallisuutta ja yksityisyyttä.
HIPAA: n II osaston nojalla HHS on julkaissut viisi täytäntöönpanosääntöä, jotka tunnetaan vaihtelevasti Tietosuojasääntönä; Turvallisuussääntönä; yksilöllisten tunnisteiden sääntönä (National Provider Identification, ”NPI”); Transactions and Code set Rule-sääntönä; sekä Täytäntöönpanosääntönä. Mutta asiakkaamme ovat ensisijaisesti huolissaan Yksityisyyssäännöstä ja Turvallisuussäännöstä, joissa molemmissa käsitellään potilaiden terveydenhuollon tietojen luottamuksellisuuden ja yksityisyyden suojaamista.
osia HIPAA: sta on muutettu myöhemmällä liittovaltion säädöksellä, Health Information Technology for Economic and Clinical Health (”HITECH”) Act, joka säädettiin osana American Recovery and Reinvestment Act of 2009-lakia.
HIPAA laatii siviilirahaseuraamuksia ja rikkeistä rikosoikeudellisia seuraamuksia. HHS valvoo siviili rahaa seuraamus säännös, kun taas Yhdysvaltain oikeusministeriö valvoo rikosoikeudellisia seuraamuksia. HIPPAN rahasakkosäännös sallii jopa 100 dollarin rikesakon, jopa 25 000 dollarin vuosittaisen rikesakon. HIPAA sallii rikosoikeudelliset rangaistukset syyllisyystason mukaan, jopa 1,5 miljoonaa dollaria.
osavaltioiden Yksityisyys-ja Salassapitolait
Osavaltioilla on myös omat Yksityisyys-ja salassapitolakinsa, joista osa on voimassa HIPAA: n pre-emption-säännöksistä huolimatta. Lisäksi palveluntarjoajia, jotka eivät kuulu HIPAA: n piiriin, sitovat kuitenkin valtion lait ja asetukset.
esimerkiksi Kaliforniassa:
California privacy standards sisältyy privacy of Medical Information Act-lakiin (”Cmia”).
- Terveys & Turvallisuuskoodi (pykälät 123100 ja sitä seuraavat kohdat.) säännellä potilaan pääsyä terveystietoihin. (Erityishuomioita sovelletaan muun muassa psykoterapian muistiinpanoihin ja mielenterveystietoihin).
- California law perustaa myös osavaltion terveystietojen Integriteettiviraston, jonka tehtävänä on tiedottaa terveystietoihin liittyvistä oikeuksista ja velvollisuuksista sekä sähköisen terveystietojen vaihdon (”HIEs”) roolista potilaiden terveystietojen välittämisessä.
- Kalifornian terveyspalvelujen laitoksella on myös Yksityisyydensuojatoimisto, joka sijaitsee osaston HIPAA Compliance-toimistossa ja toimii PHI: n suojelemiseksi muun muassa tutkimalla yksityisyyden loukkauksia ja valituksia, joihin liittyy luvatonta pääsyä tai PHI: n paljastamista.
- Kaliforniassa on edelleen Yksityisyydensuojavirasto, joka tarjoaa tietoa yksityishenkilöille ja kuluttajille yksityisyyteen liittyvistä aiheista.
HIPAA koskevat vaatimukset
HIPAA koskee ”katettuja yhteisöjä” ja niiden ”liikekumppaneita”.”
katettuja yhteisöjä ovat:
(1) terveyssuunnitelmat, mukaan lukien sairausvakuutusyhtiöt, HMOs: t, yritysten terveyssuunnitelmat ja tietyt hallituksen ohjelmat, jotka maksavat terveydenhuollosta, kuten Medicare ja Medicaid.
(2) useimmat terveydenhuollon tarjoajat — jotka välittävät kaikki terveydenhuollon tiedot sähköisessä muodossa sairausvakuutusyhtiöille. Tällaisia terveydenhuollon tarjoajia voivat olla lääkärit, klinikat, sairaalat, psykologit, kiropraktikot, hoitokodit, apteekit ja hammaslääkärit tai mikä tahansa muu henkilö tai järjestö, joka toimittaa, laskuttaa tai saa palkkaa terveydenhuollosta tavanomaisessa liiketoiminnassa.
(3) terveydenhuollon Selvitystalot — yhteisöt, jotka käsittelevät toiselta taholta saamiaan epätyypillisiä terveystietoja standardiksi (eli sähköiseksi standardimuodoksi tai tietosisällöksi) tai päinvastoin.
liikekumppani on henkilö, joka ei ole vakuutetun yhteisön palveluksessa ja joka käyttää yksilöitävissä olevia terveystietoväitteiden käsittelyä tai hallinnointia; tietojen analysointia, käsittelyä tai hallinnointia.
Yhdysvaltain terveysministeriö (HHS) esittää yhteenvedon tärkeimmistä hallinnollisista menettelyistä, joita katetun yksikön on noudatettava HIPAA: ssa, seuraavasti:
- tietosuojakäytännöt ja-menettelyt. Suojatun yhteisön on kehitettävä ja toteutettava kirjallisia tietosuojakäytäntöjä ja-menettelyjä, jotka ovat HIPAA: n mukaisia.
- yksityishenkilöitä. Sopimuksen piiriin kuuluvan yhteisön on nimettävä tietosuojasta vastaava virkamies, joka vastaa tietosuojakäytäntöjensä ja-menettelyjensä kehittämisestä ja täytäntöönpanosta, sekä yhteyshenkilö tai yhteystoimisto, joka vastaa valitusten vastaanottamisesta ja tietojen antamisesta yksityishenkilöille tämän tietosuojakäytännöistä.
- työvoiman koulutus ja johtaminen. Työvoiman jäseniä ovat työntekijät, vapaaehtoiset, harjoittelijat, ja heihin voi kuulua myös muita henkilöitä, joiden toiminta on yhteisön suorassa määräysvallassa (riippumatta siitä, maksaako yhteisö heille palkkaa). Sopimuksen piiriin kuuluvan yhteisön on koulutettava kaikki työntekijät tietosuojakäytäntöjensä ja-menettelyjensä mukaisesti, kun se on tarpeen ja tarkoituksenmukaista, jotta he voivat suorittaa tehtävänsä; ja sen on sovellettava asianmukaisia seuraamuksia työntekijöitä kohtaan, jotka rikkovat sen tietosuojakäytäntöjä ja-menettelyjä tai HIPAA: ta.
- lieventäminen. Suojatun yhteisön on mahdollisuuksien mukaan lievennettävä mahdollisia haitallisia vaikutuksia, jotka sen työntekijät tai liikekumppanit ovat aiheuttaneet käyttämällä tai luovuttamalla suojattuja terveystietoja tietosuojakäytäntöjensä ja-menettelyjensä tai HIPAA: n vastaisesti.
- tietojen suojaaminen. Suojatun yhteisön on ylläpidettävä kohtuullisia ja asianmukaisia hallinnollisia, teknisiä ja fyysisiä suojatoimia, joilla estetään suojattujen terveystietojen tarkoituksellinen tai tahaton käyttö tai ilmaiseminen Tietosuojasäännön vastaisesti ja rajoitetaan niiden satunnaista käyttöä ja ilmaisemista muutoin sallitun tai vaaditun käytön tai ilmaisemisen mukaisesti. Tällaisia suojatoimia voivat olla esimerkiksi suojattuja terveystietoja sisältävien asiakirjojen silppuaminen ennen niiden poisheittämistä, terveystietojen turvaaminen lukolla ja avaimella tai pääsykoodilla sekä avainten tai pääsykoodien saatavuuden rajoittaminen.
- valituksia. Sopimuksen piiriin kuuluvalla yhteisöllä on oltava menettelyt, joilla yksityishenkilöt voivat valittaa siitä, että se noudattaa tietosuojakäytäntöjään ja-menettelyjään sekä Tietosuojasääntöä. Sopimuksen piiriin kuuluvan yhteisön on selitettävä nämä menettelyt tietosuojakäytäntöjä koskevassa ilmoituksessaan. Tukisopimuksen piiriin kuuluvan yksikön on muun muassa yksilöitävä, kenelle yksityishenkilöt voivat tehdä valituksia tukisopimuksen piiriin kuuluvassa yksikössä, ja ohjeistettava, että valitukset voidaan tehdä myös HHS: n sihteeristölle.
- ei kostoa ja luopumista. Sopimuksen piiriin kuuluva yhteisö ei saa kostaa henkilölle Tietosuojasäännön mukaisten oikeuksien käyttämisestä, HHS: n tai muun asianmukaisen viranomaisen tutkinnassa avustamisesta tai sellaisen teon tai käytännön vastustamisesta, jonka henkilö uskoo vilpittömässä mielessä rikkovan Tietosuojasääntöä. Katettu yhteisö ei saa vaatia yksilöä luopumaan Yksityisyyssäännön mukaisista oikeuksista ehtona hoidon saamiselle, maksamiselle ja rekisteröinnille tai etuuksien kelpoisuudelle.
- dokumentointi ja tietojen säilyttäminen. Suojattavan yhteisön on pidettävä yllä tietosuojakäytäntöjään ja-menettelyjään, tietosuojakäytäntöjään, valitusten käsittelyä ja muita toimia, toimintoja ja nimityksiä, jotka Tietosuojasäännön mukaan on dokumentoitava, kuuden vuoden ajan niiden perustamispäivästä tai viimeisestä voimaantulopäivästä.
ota yhteyttä HIPAA: n Lakitiimiimme saadaksesi oikeudellista neuvontaa liittyen potilaiden yksityisyyteen, luottamuksellisuuteen ja tietoturvaan.
California law has HIPAA-like privacy provisions for personal information
HIPAA Privacy Compliance and Enforcement website
Physician obligation regarding medical records
See also our full series of articles:
HIPAA Omnibus Rule: Part 1 (Overview)
HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)
HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)
HIPAA Omnibus Rule: Part 4 (Security Rule Changes)
HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)
HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)
HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)
HIPAA Omnibus Rule: Part 8 (Breach Analysis)
Or find out more about online HIPAA compliance training.