HIPAA: PRIVACY en beveiliging van beschermde gezondheidsinformatie (PHI)

Geen reacties

ons HIPAA juridisch Team adviseert cliënten over federale en staatsrechtelijke vertrouwelijkheid, privacy en veiligheid van de gezondheidszorg. Onze juridische diensten omvatten:

  • aanpassen van HIPAA-beleid en-Procedures voor uw praktijk of onderneming
  • bepalen of HIPAA van toepassing is op uw praktijk
  • ontwikkelen van HIPAA-beleid en-Procedures voor Mobiele Apps of telegeneeskunde
  • opstellen van Business Associate Agreements
  • reageren op HIPAA-klachten
  • regelingen voor HIPAA-schendingen herzien

neem contact op met onze HIPAA-advocaten voor vragen over uw HIPAA privacy-en beveiligingsverplichtingen, of om naleving te bespreken in het geval van een HIPAA-inbreuk die kan leiden tot federale en staatshandhaving en aanzienlijke straffen. Of ontdek meer over online HIPAA compliance training.

onze HIPAA advocaten hebben expertise om klanten te adviseren om hun HIPAA compliance inspanningen bij te werken — inclusief het bijwerken en implementeren van privacy — en beveiligingsbeleid, procedures en formulieren-zowel in een preventieve hoedanigheid, als Om te beperken na een onverwachte datalek.

onlangs adviseerden onze advocaten twee cliënten, die elk een mobiele medische applicatie ontwikkelen, over HIPAA privacy en veiligheidsproblemen. Het vertegenwoordigen van deze cliënten betrof het ontwikkelen van maatwerkoplossingen om ervoor te zorgen dat de cliënt werd beschermd tegen ongerechtvaardigde aansprakelijkheid in zijn positie als webportaal voor een zorgverlener. In elk geval hebben we de gebruiksvoorwaarden en het Privacybeleid van het bedrijf, evenals het contract met beoefenaars, ontworpen om te voldoen aan de HIPAA en de staatswetgeving privacy-en vertrouwelijkheidsregels, en gerelateerde wetten met betrekking tot telegeneeskunde praktijken.

laat ons weten wanneer er HIPAA-problemen ontstaan, of u een opstarttechnologie bent (en mogelijk een zakenpartner onder HIPAA), een gevestigde medische groep of praktijk, of een consultant of leverancier die betrokken is bij telegeneeskunde of een mobiele applicatie via welke beschermde gezondheidsinformatie (PHI) wordt verzonden.HIPPA en HITECH

volgens de federale wetgeving regelt de Health Insurance Portability and Accountability Act (“HIPAA”) de elektronische uitwisseling van informatie over de gezondheidszorg. Titel I van de HIPAA beschermt de ziektekostenverzekering voor werknemers en hun gezinnen wanneer ze veranderen of hun baan verliezen. Titel II van HIPAA, bekend als de administratieve vereenvoudiging (AS) bepalingen, vereist de vaststelling van nationale normen voor elektronische zorgtransacties en nationale identificatiemiddelen voor aanbieders, ziekteverzekeringsplannen en werkgevers. De bepalingen inzake administratieve vereenvoudiging hebben ook betrekking op de veiligheid en de privacy van gezondheidsgegevens.

onder Titel II van HIPAA heeft HHS vijf sets uitvoeringsverordeningen afgekondigd, die op verschillende manieren bekend staan als de privacyregel, de beveiligingsregel, de unieke Identificatieregel (National Provider Identification (“NPi”)), de regel voor transacties en Codeverzamelingen en de Handhavingsregel. Maar onze klanten houden zich vooral bezig met de privacyregel en de beveiligingsregel, die beide betrekking hebben op de bescherming van de vertrouwelijkheid en privacy van patiënten’ zorginformatie.Delen van HIPAA zijn gewijzigd door een federaal statuut, de Health Information Technology for Economic and Clinical Health (“HITECH”) Act, uitgevaardigd als onderdeel van de American Recovery and Reinvestment Act van 2009.

HIPAA stelt civielrechtelijke sancties en strafrechtelijke sancties voor overtredingen vast. HHS handhaaft de civielrechtelijke strafbepaling, terwijl het Amerikaanse Ministerie van Justitie de strafrechtelijke sancties handhaaft. HIPPA ‘ s burgerlijke geld strafbepaling machtigt een civiele straf van maximaal $100 per overtreding, tot $ 25.000 per jaar. HIPAA machtigt strafrechtelijke sancties op basis van het niveau van schuld, tot $1,5 miljoen.

staatswetten inzake Privacy en vertrouwelijkheid

Staten hebben ook hun eigen wetten inzake privacy en vertrouwelijkheid, waarvan sommige van toepassing zijn ondanks de bepalingen van HIPAA inzake voorrang. Bovendien zullen aanbieders die niet onder HIPAA vallen niettemin gebonden zijn aan de wet-en regelgeving van de staat.

bijvoorbeeld in Californië:

privacystandaarden in Californië zijn opgenomen in de Vertrouwelijkheidswet voor medische informatie (“CMIA”).

  • De Gezondheidscode & veiligheidscode (secties 123100 E. V.) de toegang van de patiënt tot de medische dossiers regelen. (Onder andere zijn speciale overwegingen van toepassing op psychotherapienota ‘ s en geestelijke gezondheidsdossiers).
  • de Californische wet stelt ook een State Office of Health Information Integrity in, dat zich toelegt op het informeren over rechten en verantwoordelijkheden die relevant zijn voor gezondheidsinformatie, evenals de rol van elektronische uitwisseling van gezondheidsinformatie (“Hies”) bij het doorgeven van gezondheidsinformatie van patiënten.
  • California ‘ s Department of Health Care Services heeft ook een Privacy Office, dat deel uitmaakt van het Office of HIPAA Compliance van de afdeling, en werkt aan de bescherming van PHI, waaronder het onderzoeken van privacyschendingen en klachten met betrekking tot onbevoegde toegang of openbaarmaking van PHI.
  • Californië heeft verder een Office of Privacy Protection dat informatie verstrekt over privacyonderwerpen voor particulieren en consumenten.

HIPAA-vereisten

HIPAA is van toepassing op “gedekte entiteiten” en op hun “zakenpartners”.”

gedekte entiteiten omvatten:

(1) gezondheidsplannen, met inbegrip van zorgverzekeraars, HMO ‘s, bedrijfs gezondheidsplannen, en bepaalde overheidsprogramma’ s die voor gezondheidszorg betalen, zoals Medicare en Medicaid.

(2) De meeste zorgverleners — die alle informatie over de gezondheidszorg in elektronische vorm doorgeven aan zorgverzekeraars. Dergelijke zorgverleners kunnen artsen, klinieken, ziekenhuizen, psychologen, chiropractors, verpleeghuizen, apotheken, en tandartsen, of een andere persoon of organisatie die levert, rekeningen, of wordt betaald voor de gezondheidszorg in de normale gang van zaken.

(3) Clearinghouses voor gezondheidszorg — entiteiten die niet-standaardgezondheidsinformatie verwerken die zij van een andere entiteit ontvangen in een standaard (d.w.z. standaard elektronisch formaat of gegevensinhoud), of vice versa.

een zakenpartner is een persoon die geen werknemer is van een gedekte entiteit en die gebruik maakt van individueel identificeerbare claimsverwerking of-administratie met betrekking tot gezondheidsinformatie; gegevensanalyse, – verwerking of-administratie.

Het U. S. Department of Health of Human Services (HHS) vat de belangrijkste administratieve procedures samen die een gedekte entiteit onder HIPAA moet hebben, als volgt::

  • Privacybeleid en-Procedures. Een gedekte entiteit moet schriftelijk Privacybeleid en-procedures ontwikkelen en implementeren die in overeenstemming zijn met HIPAA.
  • Privacy personeel. Een gedekte entiteit moet een Privacyfunctionaris aanwijzen die verantwoordelijk is voor de ontwikkeling en uitvoering van haar privacybeleid en-procedures, en een contactpersoon of contactbureau die verantwoordelijk is voor het ontvangen van klachten en het verstrekken van informatie aan personen over de privacypraktijken van de gedekte entiteit.
  • opleiding en Management van het personeel. Werknemers omvatten werknemers, vrijwilligers, stagiairs, en kunnen ook andere personen omvatten wier gedrag onder de directe controle van de entiteit valt (ongeacht of zij door de entiteit worden betaald). Een gedekte entiteit moet alle werknemers opleiden over haar privacybeleid en-procedures, indien nodig en passend voor hen om hun functies uit te voeren; en moet passende sancties hebben en toepassen tegen werknemers die haar privacybeleid en-procedures of HIPAA schenden.
  • mitigatie. Een Covered Entity moet, voor zover mogelijk, schadelijke effecten beperken die zijn veroorzaakt door het gebruik of de openbaarmaking van beschermde gezondheidsinformatie door haar werknemers of zakenpartners in strijd met haar privacybeleid en-procedures of HIPAA.
  • gegevensbeveiliging. Een gedekte entiteit moet redelijke en passende administratieve, technische en fysieke waarborgen handhaven om opzettelijk of onopzettelijk gebruik of openbaarmaking van beschermde gezondheidsinformatie te voorkomen in strijd met de privacyregel en om incidenteel gebruik en openbaarmaking ervan te beperken op grond van anderszins toegestaan of vereist gebruik of openbaarmaking. Dergelijke waarborgen kunnen bijvoorbeeld bestaan uit het versnipperen van documenten met beschermde gezondheidsinformatie voordat deze worden weggegooid, het beveiligen van medische dossiers met slot en sleutel of toegangscode, en het beperken van de toegang tot sleutels of toegangscodes.
  • klachten. Een gedekte entiteit moet procedures hebben voor individuen om te klagen over de naleving van haar privacybeleid en-procedures en de privacyregel. De gedekte entiteit moet deze procedures toelichten in haar Privacyverklaring. De Covered Entity moet onder meer aangeven bij wie personen klachten kunnen indienen bij de Covered Entity en adviseren dat klachten ook kunnen worden ingediend bij de Secretary of HHS.
  • geen vergelding en ontheffing. Een gedekte entiteit mag geen vergeldingsmaatregelen nemen tegen een persoon voor het uitoefenen van rechten waarin de privacyregel voorziet, voor het assisteren bij een onderzoek door HHS of een andere bevoegde autoriteit, of voor het verzetten tegen een handeling of praktijk waarvan de persoon te goeder trouw gelooft dat deze de privacyregel schendt. Een gedekte entiteit mag van een individu niet verlangen dat hij afstand doet van enig recht op grond van de privacyregel als voorwaarde voor het verkrijgen van behandeling, betaling en inschrijving of het in aanmerking komen voor uitkeringen.
  • documentatie en Registratiebehoud. Een gedekte entiteit moet tot zes jaar na de datum van oprichting of laatste ingangsdatum haar privacybeleid en-procedures, haar privacypraktijken kennisgevingen, dispositie van klachten en andere acties, activiteiten en aanduidingen handhaven die volgens de privacyregel moeten worden gedocumenteerd.

neem contact op met ons HIPAA juridisch Team voor juridisch advies met betrekking tot de privacy van patiënten, vertrouwelijkheid en gegevensbeveiliging.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *