HIPAA: confidențialitate și securitate a informațiilor de sănătate protejate (PHI)

echipa noastră juridică HIPAA consiliază clienții cu privire la confidențialitatea legii federale și de stat, confidențialitatea și securitatea nevoilor de asistență medicală. Serviciile noastre juridice includ:

  • personalizarea politicilor și procedurilor HIPAA pentru practica sau întreprinderea dvs.
  • determinarea dacă HIPAA se aplică practicii dvs.
  • dezvoltarea politicilor și procedurilor HIPAA pentru aplicații Mobile sau telemedicină
  • redactarea acordurilor de asociere în afaceri
  • răspunsul la plângerile HIPAA
  • revizuirea aranjamentelor pentru încălcările HIPAA

contactați avocații noștri HIPAA pentru întrebări cu privire la obligațiile dvs. de confidențialitate și securitate HIPAA sau pentru a discuta cazul unei încălcări HIPAA care ar putea duce la aplicarea federală și de stat și sancțiuni semnificative. Sau aflați mai multe despre instruirea online de conformitate HIPAA.avocații noștri HIPAA au expertiză în consilierea clienților pentru a — și actualiza eforturile de conformitate HIPAA — inclusiv actualizarea și implementarea politicilor, procedurilor și formularelor de confidențialitate și securitate-atât în capacitate preventivă, cât și pentru a atenua în urma unei încălcări neprevăzute a datelor.

recent, avocații noștri au sfătuit doi clienți, fiecare dintre ei dezvoltând o aplicație medicală mobilă, cu privire la problemele de confidențialitate și securitate HIPAA. Reprezentarea acestor clienți a implicat dezvoltarea de soluții personalizate pentru a se asigura că clientul a fost protejat de răspunderea nejustificată în poziția sa de portal Web către un medic. În fiecare caz, am conceput termenii de Utilizare și Politica de Confidențialitate a companiei, precum și contractul său cu practicienii, pentru a respecta HIPAA, precum și regulile de confidențialitate și confidențialitate ale legii statului și legile conexe care reglementează practicile de telemedicină.

anunțați-ne ori de câte ori apar probleme HIPAA, indiferent dacă sunteți o tehnologie de pornire (și posibil un asociat de afaceri în cadrul HIPAA), un grup sau o practică medicală stabilită sau un consultant sau furnizor implicat în telemedicină sau o aplicație mobilă prin care se transmit informații de sănătate protejate (PHI).

HIPPA și HITECH

conform legii federale, Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate („HIPAA”) reglementează schimbul electronic de date al informațiilor de îngrijire a sănătății. Titlul I al HIPAA protejează acoperirea asigurărilor de sănătate pentru lucrători și familiile lor atunci când își schimbă sau își pierd locul de muncă. Titlul II din HIPAA, cunoscut sub numele de dispoziții de simplificare administrativă (AS), impune stabilirea unor standarde naționale pentru tranzacțiile electronice de asistență medicală și identificatorii naționali pentru furnizori, planuri de asigurări de sănătate și angajatori. Dispozițiile de simplificare a administrației abordează, de asemenea, securitatea și confidențialitatea datelor privind sănătatea.în conformitate cu titlul II din HIPAA, HHS a promulgat cinci seturi de reglementări de punere în aplicare, care sunt cunoscute sub numele de regula de Confidențialitate; regula de securitate; regula identificatorilor unici (identificarea furnizorului Național („NPI”)); regula tranzacțiilor și seturilor de coduri; și regula de aplicare. Dar clienții noștri sunt preocupați în primul rând de regula de confidențialitate și regula de securitate, ambele abordând protejarea confidențialității și confidențialității informațiilor medicale ale pacienților.porțiuni din HIPAA au fost modificate printr-un statut federal ulterior, Legea privind Tehnologia Informației pentru sănătate economică și clinică („HITECH”), adoptată ca parte a American Recovery and Reinvestment Act din 2009.

HIPAA stabilește sancțiuni civile de bani și sancțiuni penale pentru încălcări. HHS impune prevederea de penalizare a banilor civili, în timp ce Departamentul de Justiție al SUA aplică sancțiunile penale. Dispoziția de penalizare a banilor civili a lui HIPPA autorizează o pedeapsă civilă de până la 100 USD pe încălcare, până la 25.000 USD pe an. HIPAA autorizează sancțiuni penale în funcție de nivelul de culpabilitate, până la 1,5 milioane de dolari.

legile statului privind confidențialitatea și confidențialitatea

statele au, de asemenea, propriile legi privind confidențialitatea și confidențialitatea, porțiuni din care se aplică fără a aduce atingere dispozițiilor de preempțiune ale HIPAA. În plus, furnizorii care nu intră sub incidența HIPAA vor fi totuși obligați de legile și reglementările statului.

de exemplu, în California:

standardele de confidențialitate din California sunt cuprinse în Legea privind confidențialitatea informațiilor medicale („CMIA”).

  • sănătate& codul de siguranță (secțiunile 123100 și următoarele.) guvernează accesul pacientului la dosarele medicale. (Printre altele, considerații speciale se aplică notelor de psihoterapie și înregistrărilor de sănătate mintală).Legea din California stabilește, de asemenea, un oficiu De stat pentru integritatea informațiilor despre sănătate, dedicat informării despre drepturile și responsabilitățile relevante pentru informațiile despre sănătate, precum și rolul schimburilor electronice de informații despre sănătate („HIEs”) în transmiterea informațiilor despre sănătatea pacienților.Departamentul de servicii de îngrijire a Sănătății din California are, de asemenea, un birou de Confidențialitate, care se află în cadrul Biroului Departamentului de conformitate HIPAA și lucrează pentru a proteja PHI, inclusiv investigarea încălcărilor confidențialității și a plângerilor care implică accesul neautorizat sau dezvăluirea PHI.
  • California are în continuare un birou de protecție a confidențialității care oferă informații despre subiecte de confidențialitate pentru persoane fizice și consumatori.

cerințe HIPAA

HIPAA se aplică „entităților acoperite” și „asociaților lor de afaceri”.”

entitățile acoperite includ:(1) planuri de sănătate, inclusiv companiile de asigurări de sănătate, HMO, planurile de sănătate ale companiei și anumite programe guvernamentale care plătesc pentru îngrijirea sănătății, cum ar fi Medicare și Medicaid.(2) majoritatea furnizorilor de servicii medicale — care transmit orice informație medicală în formă electronică companiilor de asigurări de sănătate. Astfel de furnizori de servicii medicale pot include medici, clinici, spitale, psihologi, chiropracticieni, case de îngrijire medicală, farmacii și stomatologi sau orice altă persoană sau organizație care furnizează, facturează sau este plătită pentru îngrijirea sănătății în cursul normal al afacerii.

(3) centre de compensare a sănătății — entități care procesează informații de sănătate nestandard pe care le primesc de la o altă entitate într-un standard (adică format electronic standard sau conținut de date) sau invers.

un asociat de afaceri este o persoană care nu se află în forța de muncă a unei entități acoperite, care utilizează prelucrarea sau administrarea cererilor de informații de sănătate identificabile individual; analiza, prelucrarea sau administrarea datelor.Departamentul de sănătate al Serviciilor Umane (HHS) al SUA rezumă procedurile administrative majore pe care o entitate acoperită trebuie să le aibă în cadrul HIPAA, după cum urmează:

  • politici și proceduri de Confidențialitate. O entitate acoperită trebuie să dezvolte și să implementeze politici și proceduri de confidențialitate scrise care sunt în concordanță cu HIPAA.
  • personal de Confidențialitate. O entitate acoperită trebuie să desemneze un funcționar responsabil cu protecția vieții private responsabil cu elaborarea și implementarea politicilor și procedurilor sale de confidențialitate și o persoană de contact sau un birou de contact responsabil cu primirea plângerilor și furnizarea de informații persoanelor fizice cu privire la practicile de confidențialitate ale entității acoperite.
  • formarea și managementul forței de muncă. Membrii forței de muncă includ angajați, voluntari, stagiari și pot include și alte persoane a căror conduită se află sub controlul direct al entității (indiferent dacă sunt sau nu plătite de entitate). O entitate acoperită trebuie să instruiască toți membrii forței de muncă cu privire la politicile și procedurile sale de Confidențialitate, după cum este necesar și adecvat pentru ca aceștia să își îndeplinească funcțiile; și trebuie să aibă și să aplice sancțiuni adecvate împotriva membrilor forței de muncă care încalcă politicile și procedurile sale de confidențialitate sau HIPAA.
  • atenuare. O entitate acoperită trebuie să atenueze, în măsura în care este posibil, orice efect dăunător pe care îl află a fost cauzat de utilizarea sau divulgarea informațiilor de sănătate protejate de către forța de muncă sau asociații săi de afaceri, încălcând politicile și procedurile sale de confidențialitate sau HIPAA.
  • protecția datelor. O entitate acoperită trebuie să mențină garanții administrative, tehnice și fizice rezonabile și adecvate pentru a preveni utilizarea sau divulgarea intenționată sau neintenționată a informațiilor de sănătate protejate cu încălcarea regulii de confidențialitate și pentru a limita utilizarea și divulgarea incidentală a acestora în conformitate cu utilizarea sau divulgarea permisă sau necesară în alt mod. De exemplu, astfel de garanții ar putea include mărunțirea documentelor care conțin informații de sănătate protejate înainte de a le arunca, securizarea dosarelor medicale cu blocare și cheie sau cod de acces și limitarea accesului la chei sau coduri de acces.
  • plângeri. O entitate acoperită trebuie să aibă proceduri pentru ca persoanele fizice să se plângă de respectarea politicilor și procedurilor sale de confidențialitate și a regulii de Confidențialitate. Entitatea vizată trebuie să explice aceste proceduri în notificarea privind practicile de confidențialitate. Printre altele, entitatea acoperită trebuie să identifice la care persoanele fizice pot depune plângeri la entitatea acoperită și să consilieze că plângerile pot fi, de asemenea, depuse la Secretarul HHS.
  • fără represalii și Renunțare. O entitate acoperită nu poate riposta împotriva unei persoane pentru exercitarea drepturilor prevăzute de regula privind confidențialitatea, pentru asistență în cadrul unei investigații efectuate de HHS sau de o altă autoritate competentă sau pentru opoziția față de un act sau o practică despre care persoana consideră cu bună credință că încalcă regula privind confidențialitatea. O entitate acoperită nu poate solicita unei persoane să renunțe la niciun drept în temeiul regulii de Confidențialitate ca o condiție pentru obținerea tratamentului, a plății și a eligibilității înscrierii sau a beneficiilor.
  • documentația și păstrarea înregistrărilor. O entitate acoperită trebuie să mențină, până la șase ani de la data creării sau ultimei date efective, politicile și procedurile sale de confidențialitate, notificările privind practicile sale de confidențialitate, dispunerea plângerilor și alte acțiuni, activități și denumiri pe care regula de Confidențialitate le impune să fie documentate.

contactați echipa noastră juridică HIPAA pentru consultanță juridică legată de confidențialitatea, confidențialitatea și securitatea datelor pacientului.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *