vårt HIPAA juridiska Team råder kunder om federal och statlig lag konfidentialitet, integritet och säkerhet vårdbehov. Våra juridiska tjänster inkluderar:
- anpassa HIPAA-policyer och procedurer för din praxis eller ditt företag
- bestämma om HIPAA gäller för din praxis
- utveckla HIPAA-policyer och procedurer för mobilappar eller telemedicin
- utarbeta Affärsassistentavtal
- svara på HIPAA-klagomål
- granska arrangemang för HIPAA-överträdelser
kontakta våra HIPAA-advokater för frågor angående dina HIPAA-Integritets-och säkerhetsförpliktelser, eller för att diskutera efterlevnad i HIPAA: s händelse av ett HIPAA-brott som kan leda till federal och statlig verkställighet och betydande påföljder. Eller ta reda på mer om online HIPAA compliance training.
våra HIPAA-advokater har expertråd för att uppdatera sina HIPAA-efterlevnadsinsatser-inklusive uppdatering och implementering av sekretess — och säkerhetspolicyer, procedurer och formulär-både i förebyggande kapacitet och för att mildra efter ett oväntat dataintrång.
nyligen rådde våra advokater två kunder, som var och en utvecklar en mobil medicinsk applikation, om HIPAA-Integritets-och säkerhetsfrågor. Att representera dessa kunder involverade att utveckla skräddarsydda lösningar för att säkerställa att kunden skyddades från obefogat ansvar i sin position som en webbportal till en vårdgivare. I varje fall utformade vi företagets användarvillkor och Sekretesspolicy, liksom dess kontrakt med utövare, för att följa HIPAA samt statlig lag sekretess och sekretessregler och relaterade lagar som reglerar telemedicinpraxis.
Låt oss veta när HIPAA-problem uppstår, oavsett om du är en startteknik (och eventuellt en affärspartner under HIPAA), en etablerad medicinsk grupp eller praxis, eller en konsult eller leverantör som är involverad i telemedicin eller en mobilapplikation genom vilken skyddad hälsoinformation (PHI) överförs.
HIPPA och HITECH
enligt federal lag reglerar Health Insurance Portability and Accountability Act (”HIPAA”) elektroniskt datautbyte av hälsovårdsinformation. Avdelning I i HIPAA skyddar sjukförsäkring för arbetstagare och deras familjer när de byter eller förlorar sina jobb. Avdelning II i HIPAA, känd som administrativ förenkling (as) bestämmelser, kräver att nationella standarder fastställs för elektroniska hälsovårdstransaktioner och nationella identifierare för leverantörer, sjukförsäkringsplaner och arbetsgivare. Bestämmelserna om förenkling av administrationen behandlar också säkerheten och integriteten för hälsouppgifter.
under Avdelning II i HIPAA har HHS utfärdat fem uppsättningar genomförandebestämmelser, som olika kallas sekretessregeln; säkerhetsregeln; den unika Identifieringsregeln (National Provider Identification (”NPI”)); transaktions-och Koduppsättningsregeln; och Verkställighetsregeln. Men våra kunder handlar främst om Integritetsregeln och säkerhetsregeln, som båda handlar om att skydda konfidentialiteten och integriteten hos patienternas hälsovårdsinformation.delar av HIPAA har ändrats genom en efterföljande federal stadga, Health Information Technology for Economic and Clinical Health (”HITECH”) Act, antagen som en del av American Recovery and Reinvestment Act från 2009.
HIPAA fastställer civilrättsliga påföljder och straffrättsliga påföljder för överträdelser. HHS verkställer bestämmelsen om civilpengar, medan det amerikanska justitiedepartementet verkställer straffrättsliga påföljder. HIPPAS civila pengarstraff tillåter en civil straff på upp till $100 per överträdelse, upp till $25,000 per år. HIPAA godkänner straffrättsliga påföljder enligt skuldnivån, upp till 1,5 miljoner dollar.
Statliga sekretess-och sekretesslagar
stater har också sina egna Integritets-och sekretesslagar, varav delar gäller trots HIPAA: s förebyggande bestämmelser. Dessutom kommer leverantörer som inte omfattas av HIPAA ändå att vara bundna av statliga lagar och förordningar.
till exempel i Kalifornien:
California privacy standards finns i lagen om sekretess för medicinsk Information (”CMIA”).
- hälsa& säkerhetskod (avsnitt 123100 FF.) styr patientens tillgång till patientjournaler. (Bland annat gäller särskilda överväganden för psykoterapianteckningar och psykiska journaler).Kalifornien lag etablerar också ett statligt kontor för Hälsoinformationsintegritet, tillägnad att informera om rättigheter och skyldigheter som är relevanta för hälsoinformation, liksom rollen för elektroniska hälsoinformationsutbyten (”HIEs”) vid överföring av patienters hälsoinformation.Kaliforniens Department of Health Care Services har också ett integritetskontor, som sitter inom avdelningens Kontor för HIPAA-efterlevnad, och arbetar för att skydda PHI, inklusive utredning av integritetsbrott och klagomål som involverar obehörig åtkomst eller avslöjande av PHI.
- Kalifornien har vidare ett kontor för integritetsskydd som ger information om integritetsämnen för individer och konsumenter.
HIPAA-krav
HIPAA gäller ”täckta enheter” och deras ”affärspartners.”
täckta enheter inkluderar:
(1) hälsoplaner, inklusive sjukförsäkringsbolag, hmo, företagshälsoplaner och vissa statliga program som betalar för hälsovård, såsom Medicare och Medicaid.
(2) de flesta vårdgivare — som överför all hälsovårdsinformation i elektronisk form till sjukförsäkringsbolag. Sådana vårdgivare kan inkludera läkare, kliniker, sjukhus, psykologer, kiropraktorer, vårdhem, apotek och tandläkare eller någon annan person eller organisation som tillhandahåller, räkningar eller betalas för vård i normal verksamhet.
(3) Health Care Clearinghouses — enheter som behandlar icke-standard hälsoinformation som de får från en annan enhet till en standard (dvs. standard elektroniskt format eller datainnehåll) eller vice versa.
en affärspartner är en person som inte är i arbetskraften hos en täckt enhet, som använder individuellt identifierbar hälsoinformationsbehandling eller administration; dataanalys, bearbetning eller administration.
U. S. Department of Health of Human Services (HHS) sammanfattar de stora administrativa förfaranden som en täckt enhet måste ha enligt HIPAA, enligt följande:
- Sekretesspolicy och procedurer. En täckt enhet måste utveckla och genomföra skriftliga sekretesspolicyer och förfaranden som överensstämmer med HIPAA.
- Privacy personal. En täckt enhet måste utse en integritetsansvarig som ansvarar för att utveckla och genomföra sina sekretesspolicyer och förfaranden, och en kontaktperson eller kontaktkontor som ansvarar för att ta emot klagomål och ge individer information om den täckta enhetens sekretesspraxis.
- arbetskraftsutbildning och ledning. Arbetskraftsmedlemmar inkluderar anställda, volontärer, praktikanter och kan också inkludera andra personer vars beteende är under direkt kontroll av enheten (oavsett om de betalas av enheten eller inte). En täckt enhet måste utbilda alla anställda i sina sekretesspolicyer och förfaranden, vid behov och lämpligt för att de ska kunna utföra sina uppgifter; och måste ha och tillämpa lämpliga sanktioner mot anställda som bryter mot dess sekretesspolicy och förfaranden eller HIPAA.
- begränsning. En täckt enhet måste, i den utsträckning det är praktiskt möjligt, mildra eventuella skadliga effekter som den lär sig orsakades av användning eller avslöjande av skyddad hälsoinformation av dess personal eller dess affärspartners i strid med dess sekretesspolicy och förfaranden eller HIPAA.
- dataskydd. En täckt enhet måste upprätthålla rimliga och lämpliga administrativa, tekniska och fysiska skyddsåtgärder för att förhindra avsiktlig eller oavsiktlig användning eller avslöjande av skyddad hälsoinformation i strid med sekretessregeln och för att begränsa dess tillfälliga användning och avslöjande i enlighet med annars tillåten eller nödvändig användning eller avslöjande. Sådana skyddsåtgärder kan till exempel omfatta strimling av dokument som innehåller skyddad hälsoinformation innan de kasseras, säkra journaler med lås och nyckel eller lösenkod och begränsa åtkomsten till nycklar eller lösenkoder.
- klagomål. En täckt enhet måste ha förfaranden för individer att klaga på att den överensstämmer med dess sekretesspolicy och förfaranden och sekretessregeln. Den täckta enheten måste förklara dessa förfaranden i sitt meddelande om integritetspraxis. Bland annat måste den täckta enheten identifiera vem individer kan lämna in klagomål till den täckta enheten och meddela att klagomål också kan lämnas till sekreteraren för HHS.
- ingen vedergällning och avstående. En täckt enhet får inte vedergälla en person för att utöva rättigheter som tillhandahålls av sekretessregeln, för att hjälpa till i en utredning av HHS eller annan lämplig myndighet, eller för att motsätta sig en handling eller praxis som personen tror i god tro bryter mot sekretessregeln. En täckt enhet får inte kräva att en person avstår från någon rätt enligt sekretessregeln som ett villkor för att få behandling, betalning och registrering eller förmåner.
- dokumentation och registrering. En täckt enhet måste, fram till sex år efter det senare datumet för deras skapande eller sista ikraftträdandedatum, behålla sina sekretesspolicyer och förfaranden, meddelanden om sekretesspraxis, disposition av klagomål och andra åtgärder, aktiviteter och beteckningar som sekretessregeln kräver ska dokumenteras.
kontakta vårt HIPAA juridiska Team för juridisk rådgivning relaterad till patientens integritet, konfidentialitet och datasäkerhet.
California law has HIPAA-like privacy provisions for personal information
HIPAA Privacy Compliance and Enforcement website
Physician obligation regarding medical records
See also our full series of articles:
HIPAA Omnibus Rule: Part 1 (Overview)
HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)
HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)
HIPAA Omnibus Rule: Part 4 (Security Rule Changes)
HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)
HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)
HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)
HIPAA Omnibus Rule: Part 8 (Breach Analysis)
Or find out more about online HIPAA compliance training.