HIPAA: prywatność i bezpieczeństwo chronionych informacji zdrowotnych (PHI)

No comments

Nasz zespół prawny HIPAA doradza klientom w zakresie prawa federalnego i stanowego w zakresie poufności, Prywatności i bezpieczeństwa potrzeb opieki zdrowotnej. Nasze Usługi prawne obejmują:

  • dostosowywanie zasad i procedur HIPAA dla Twojej praktyki lub przedsiębiorstwa
  • Określanie, czy HIPAA ma zastosowanie do Twojej praktyki
  • opracowywanie zasad i procedur HIPAA dla aplikacji mobilnych lub telemedycyny
  • przygotowywanie umów biznesowych
  • odpowiadanie na skargi HIPAA
  • przegląd uzgodnień dotyczących naruszeń HIPAA

skontaktuj się z naszymi prawnikami HIPAA w przypadku pytań dotyczących zobowiązań dotyczących prywatności i bezpieczeństwa, lub w celu omówienia zgodności w przypadku naruszenia HIPAA, które może skutkować egzekwowaniem przepisów federalnych i stanowych oraz znaczne kary. Lub dowiedz się więcej o szkoleniu online HIPAA compliance.

nasi prawnicy HIPAA doradzają klientom, aby aktualizowali swoje wysiłki w zakresie zgodności z przepisami HIPAA — w tym aktualizowali i wdrażali politykę prywatności i bezpieczeństwa, procedury i formularze — zarówno w celu zapobiegania, jak i łagodzenia skutków nieprzewidzianego naruszenia danych.

Ostatnio nasi prawnicy doradzali dwóm klientom, z których każdy tworzy mobilną aplikację medyczną, w kwestiach Prywatności i bezpieczeństwa HIPAA. Reprezentowanie tych klientów wiązało się z opracowaniem niestandardowych rozwiązań w celu zapewnienia, że klient był chroniony przed nieuzasadnioną odpowiedzialnością w swojej pozycji jako portal internetowy dla lekarza. W każdym przypadku opracowaliśmy warunki użytkowania i Politykę prywatności firmy, a także jej umowy z praktykami, zgodnie z HIPAA, a także przepisami prawa stanowego dotyczącymi prywatności i poufności oraz powiązanymi przepisami regulującymi praktyki telemedyczne.

daj nam znać, gdy pojawią się problemy z HIPAA, niezależnie od tego, czy jesteś technologią startupową (i ewentualnym współpracownikiem biznesowym w ramach HIPAA), uznaną grupą medyczną lub praktyką, czy konsultantem lub dostawcą zaangażowanym w telemedycynę lub aplikację mobilną, za pośrednictwem której przesyłane są chronione informacje zdrowotne (PHI).

HIPPA i HITECH

zgodnie z Prawem Federalnym ustawa Health Insurance Portability and Accountability Act („HIPAA”) reguluje elektroniczną wymianę danych dotyczących opieki zdrowotnej. Tytuł i HIPAA chroni ubezpieczenie zdrowotne pracowników i ich rodzin w przypadku zmiany lub utraty pracy. Tytuł II HIPAA, znany jako przepisy upraszczające procedury administracyjne (AS), wymaga ustanowienia krajowych standardów dotyczących elektronicznych transakcji medycznych oraz krajowych identyfikatorów dla świadczeniodawców, planów ubezpieczenia zdrowotnego i pracodawców. Przepisy upraszczające administrację dotyczą również bezpieczeństwa i prywatności danych dotyczących zdrowia.

zgodnie z tytułem II HIPAA, HHS ogłosił pięć zestawów przepisów wykonawczych, które są różnie znane jako reguła Prywatności; reguła bezpieczeństwa; reguła unikalnych identyfikatorów (Krajowa Identyfikacja dostawcy („NPI”)); reguła transakcji i zestawów kodów; oraz reguła egzekwowania. Ale nasi klienci są przede wszystkim zainteresowani zasadą Prywatności i zasadą bezpieczeństwa, które dotyczą ochrony poufności i prywatności informacji zdrowotnych pacjentów.

części HIPAA zostały zmienione przez późniejszą ustawę federalną, Health Information Technology for Economic and Clinical Health („HITECH”) Act, uchwaloną jako część amerykańskiej Ustawy o odzyskiwaniu i reinwestycji z 2009 roku.

HIPAA ustanawia cywilne kary pieniężne i kary karne za naruszenia. HHS egzekwuje przepisy dotyczące cywilnych kar pieniężnych, podczas gdy Departament Sprawiedliwości USA egzekwuje sankcje karne. HIPPA ’ s civil money penalty provide zezwala na karę cywilną w wysokości do $100 za naruszenie, do $ 25,000 rocznie. HIPAA zezwala na sankcje karne w zależności od poziomu winy, do 1,5 miliona dolarów.

stanowe przepisy dotyczące prywatności i poufności

stany mają również własne przepisy dotyczące prywatności i poufności, których części obowiązują niezależnie od przepisów HIPAA dotyczących pierwokupu. Ponadto dostawcy, którzy nie są objęci HIPAA, będą jednak związani przepisami ustawowymi i wykonawczymi.

na przykład w Kalifornii:

kalifornijskie standardy prywatności są zawarte w ustawie o poufności informacji medycznych („CMIA”).

  • Zdrowie & ) regulują dostęp pacjentów do dokumentacji medycznej. (Między innymi szczególne względy dotyczą notatek psychoterapeutycznych i dokumentacji zdrowia psychicznego).
  • prawo kalifornijskie ustanawia również Stanowy Urząd integralności informacji zdrowotnych, poświęcony informowaniu o prawach i obowiązkach związanych z informacjami zdrowotnymi, a także roli elektronicznej wymiany informacji zdrowotnych („HIEs”) w przekazywaniu informacji o zdrowiu pacjentów.
  • Kalifornijski Departament opieki zdrowotnej ma również biuro ochrony prywatności, które mieści się w biurze Departamentu zgodności HIPAA i działa w celu ochrony PHI, w tym badania naruszeń prywatności i skarg dotyczących nieautoryzowanego dostępu lub ujawnienia PHI.
  • Kalifornia posiada również biuro ochrony prywatności, które dostarcza informacji na temat prywatności dla osób fizycznych i konsumentów.

wymogi HIPAA

HIPAA dotyczy „podmiotów objętych ubezpieczeniem” i ich „partnerów biznesowych.”

podmioty objęte ubezpieczeniem obejmują:

(1) plany zdrowotne, w tym firmy ubezpieczeniowe, HMO, plany zdrowotne firmy i niektóre programy rządowe, które płacą za opiekę zdrowotną, takie jak Medicare i Medicaid.

(2) Większość świadczeniodawców-którzy przekazują wszelkie informacje dotyczące opieki zdrowotnej w formie elektronicznej do zakładów ubezpieczeń zdrowotnych. Tacy dostawcy opieki zdrowotnej mogą obejmować lekarzy, kliniki, szpitale, psychologów, kręgarzy, domy opieki, apteki i dentystów lub każdą inną osobę lub organizację, która dostarcza, rachunki lub jest opłacana za opiekę zdrowotną w normalnym toku działalności.

(3) ośrodki opieki zdrowotnej — podmioty przetwarzające niestandardowe informacje zdrowotne, które otrzymują od innego podmiotu w standardowy (tj. standardowy format elektroniczny lub treść danych) lub odwrotnie.

Współpracownik Biznesowy to osoba, która nie pracuje w jednostce objętej ubezpieczeniem, która korzysta z indywidualnie identyfikowalnych informacji zdrowotnych przetwarzanie roszczeń lub administracja; analiza danych, Przetwarzanie lub administracja.

amerykański Departament Zdrowia usług ludzkich (HHS) podsumowuje główne procedury administracyjne, które podmiot objęty ochroną musi mieć w ramach HIPAA, w następujący sposób:

  • polityka i procedury Prywatności. Podmiot objęty ubezpieczeniem musi opracować i wdrożyć pisemne polityki i procedury ochrony prywatności, które są zgodne z HIPAA.
  • personel ochrony prywatności. Podmiot objęty ochroną musi wyznaczyć urzędnika ds. prywatności odpowiedzialnego za opracowywanie i wdrażanie swoich polityk i procedur ochrony prywatności oraz osobę kontaktową lub biuro kontaktowe odpowiedzialne za przyjmowanie skarg i dostarczanie osobom fizycznym informacji na temat praktyk ochrony prywatności podmiotu objętego ochroną.
  • szkolenia i zarządzanie pracownikami. Do pracowników należą pracownicy, wolontariusze, stażyści, a także inne osoby, których zachowanie znajduje się pod bezpośrednią kontrolą podmiotu (niezależnie od tego, czy są one opłacane przez podmiot). Podmiot objęty ubezpieczeniem musi szkolić wszystkich członków workforce w zakresie swoich polityk i procedur ochrony prywatności, jeśli jest to konieczne i właściwe, aby mogli wykonywać swoje funkcje; oraz musi stosować odpowiednie sankcje wobec członków workforce, którzy naruszają jej politykę i procedury ochrony prywatności lub HIPAA.
  • Łagodzenie. Podmiot objęty ochroną musi złagodzić, w możliwym zakresie, wszelkie szkodliwe skutki, o których dowiaduje się, spowodowane wykorzystaniem lub ujawnieniem chronionych informacji zdrowotnych przez swoich pracowników lub współpracowników biznesowych z naruszeniem swoich polityk i procedur prywatności lub HIPAA.
  • zabezpieczenia danych. Podmiot objęty ochroną musi utrzymywać rozsądne i odpowiednie zabezpieczenia administracyjne, techniczne i fizyczne, aby zapobiec celowemu lub niezamierzonemu użyciu lub ujawnieniu chronionych informacji zdrowotnych z naruszeniem zasady prywatności oraz ograniczyć jego przypadkowe wykorzystanie i ujawnienie zgodnie z innym dozwolonym lub wymaganym użyciem lub ujawnieniem. Na przykład takie zabezpieczenia mogą obejmować niszczenie dokumentów zawierających chronione informacje zdrowotne przed ich odrzuceniem, zabezpieczanie dokumentacji medycznej za pomocą zamka i klucza lub kodu dostępu oraz ograniczanie dostępu do kluczy lub kodów dostępu.
  • skargi. Podmiot objęty ochroną musi posiadać procedury, w których osoby fizyczne mogą składać skargi na zgodność z polityką i procedurami ochrony prywatności oraz regułą ochrony prywatności. Podmiot objęty postępowaniem musi wyjaśnić te procedury w swojej informacji o praktykach dotyczących prywatności. Między innymi podmiot objęty ubezpieczeniem musi określić, do kogo osoby fizyczne mogą składać skargi w podmiocie objętym ubezpieczeniem i doradzić, że skargi mogą być również składane do Sekretarza HHS.
  • brak odwetu i zrzeczenia się. Podmiot objęty ochroną nie może się zemścić na osobie za korzystanie z praw przewidzianych w regule prywatności, za pomoc w dochodzeniu prowadzonym przez HHS lub inny właściwy organ ani za sprzeciw wobec aktu lub praktyki, które osoba wierzy w dobrą wiarę narusza zasadę Prywatności. Podmiot objęty ochroną nie może wymagać od osoby odstąpienia od jakichkolwiek praw wynikających z reguły Prywatności jako warunku uzyskania leczenia, płatności, rejestracji lub uprawnień do świadczeń.
  • dokumentacja i przechowywanie rekordów. Podmiot objęty gwarancją musi utrzymywać, przez okres sześciu lat od daty jego utworzenia lub ostatniej daty wejścia w życie, swoje polityki i procedury dotyczące prywatności, swoje powiadomienia dotyczące praktyk w zakresie prywatności, rozpatrywanie skarg oraz inne działania, działania i oznaczenia, których dokumentowanie wymaga reguły Prywatności.

skontaktuj się z naszym zespołem prawnym HIPAA, aby uzyskać porady prawne dotyczące prywatności, poufności i bezpieczeństwa danych pacjentów.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *