Pravidlo ochrany soukromí HIPAA a jeho dopady na výzkum


Na koho se vztahuje pravidlo ochrany soukromí a kdo jej bude Ovlivnit?

Klíčové body:

  • Pravidlo ochrany osobních údajů se vztahuje pouze na kryté subjekty. Mnoho organizací, které používají, shromažďují, přistupují a zveřejňují individuálně identifikovatelné informace o zdraví, nebudou kryty subjekty, a proto nebudou muset dodržovat pravidlo ochrany osobních údajů.
  • Pravidlo ochrany osobních údajů se nevztahuje na výzkum; vztahuje se na kryté subjekty, kterými výzkumníci mohou, ale nemusí být. Pravidlo může ovlivnit výzkumné pracovníky, protože může ovlivnit jejich přístup k informacím, ale nereguluje je ani výzkum jako takový.
  • Chcete-li získat přístup pro výzkumné účely k PHI vytvořeným nebo udržovaným krytými subjekty, výzkumný pracovník možná bude muset poskytnout podpůrnou dokumentaci, na kterou se krytý subjekt může spolehnout při plnění požadavků, podmínek a omezení pravidla ochrany osobních údajů.

Pravidlo ochrany soukromí se vztahuje pouze na subjekty kryté; nevztahuje se na všechny osoby nebo instituce, které shromažďují individuálně identifikovatelné zdravotní informace. Může však ovlivnit jiné typy subjektů, které nejsou přímo regulovány pravidlem, pokud se například při poskytování PHI spoléhají na kryté subjekty. Je důležité, aby si vědci byli vědomi toho, jak by je pravidlo mohlo ovlivnit v různých typech organizací, ve kterých působí, a co možná budou muset udělat, aby mohli pokračovat ve výzkumu nebo zahájit nové výzkumné úsilí v den splnění Pravidlo ochrany osobních údajů.

Subjekty, na které se vztahuje

Subjekty, na které se vztahuje, jsou definovány v pravidlech HIPAA jako (1) zdravotní plány, (2) clearinghouse ve zdravotnictví a (3) poskytovatelé zdravotní péče, kteří elektronicky přenášet jakékoli zdravotní informace v souvislosti s transakcemi, pro které HHS přijala standardy. Obecně se tyto transakce týkají fakturace a plateb za služby nebo pojistného krytí. Kryté subjekty jsou například nemocnice, akademická lékařská centra, lékaři a další poskytovatelé zdravotní péče, kteří elektronicky přenášejí informace o transakcích pohledávek přímo nebo prostřednictvím zprostředkovatele do zdravotního plánu. Kryté subjekty mohou být instituce, organizace nebo osoby.

Výzkumní pracovníci jsou krytými entitami, pokud jsou také poskytovateli zdravotní péče, kteří elektronicky předávají zdravotní informace v souvislosti s jakoukoli transakcí, pro kterou HHS přijala normu. Například lékaři, kteří provádějí klinické studie nebo podávají experimentální léky účastníkům v průběhu studie, musí dodržovat pravidlo ochrany osobních údajů, pokud splňují definici HIPAA zahrnuté entity.

Zdravotní plán – s určitými výjimkami , individuální nebo skupinový plán, který poskytuje nebo hradí náklady na zdravotní péči (jak je definováno v § 2791 (a) (2) zákona PHS, 42 USC 300gg-91 (a) (2)). Zákon konkrétně zahrnuje mnoho typů organizací a vládních programů ve formě zdravotních plánů.
Health Care Clearinghouse – Veřejný nebo soukromý subjekt, včetně fakturační služby, společnosti poskytující nové ceny, informačního systému pro správu zdraví v komunitě nebo komunitního zdravotního informačního systému, a „Sítě a přepínače, které zpracovávají nebo usnadňují zpracování zdravotních informací přijatých od jiné entity v nestandardním formátu nebo obsahujících nestandardní datový obsah do standardních datových prvků nebo standardní transakce, nebo přijímají standardní transakci od jiné entity a zpracovávají nebo usnadňují zpracování zdravotnických informací do nestandardního formátu nebo nestandardního datového obsahu přijímajícího subjektu.
Poskytovatel zdravotní péče – Poskytovatel služeb (jak je definováno v části 1861 (u) zákona, 42 USC 1395x (u)), poskytovatel lékařské nebo zdravotní služby (podle definice v § 1861 (s) zákona, 42 USC 1395x)) a jakákoli jiná osoba nebo organizace kdo poskytuje, fakturuje nebo je placen za zdravotní péči v rámci běžného podnikání.
Zdravotní péče – Péče, služby nebo dodávky související se zdravím jednotlivce, včetně (1) preventivních, diagnostických, terapeutických, rehabilitačních, údržba nebo paliativní péče a poradenství, servis, hodnocení nebo postup týkající se fyzického nebo psychického stavu nebo funkčního stavu jedince, který ovlivňuje strukturu nebo funkci těla; a (2) prodej nebo výdej léku, zařízení, vybavení nebo jiné položky v souladu s lékařským předpisem.

Hybridní subjekty

Podle pravidla ochrany osobních údajů každý subjekt, který splňuje definice pojištěného subjektu, bez ohledu na jeho velikost nebo složitost, bude obecně podléhat jako celek pravidlu ochrany osobních údajů. Pravidlo ochrany soukromí však poskytuje prostředky, kterými se mnoho krytých subjektů může vyhnout globálnímu uplatňování pravidla prostřednictvím ustanovení o označení hybridních subjektů. Toto označení stanoví, které části subjektu musí splňovat pravidlo ochrany osobních údajů.

Jakýkoli právní subjekt se může rozhodnout být hybridním subjektem, pokud v rámci svých obchodních operací vykonává kryté i nekryté funkce. Krytou funkcí je jakákoli funkce, jejíž výkon činí z výkonného pracovníka plán zdraví, poskytovatele zdravotní péče nebo clearinghouse zdravotní péče. Aby se stala hybridní entitou, musí krytá entita určit komponenty zdravotní péče v rámci své organizace. Součásti zdravotní péče musí zahrnovat jakoukoli složku, která by splňovala definici pojištěného subjektu, pokud by touto složkou byl samostatný právní subjekt. Součástí zdravotní péče může být také jakákoli složka, která vykonává kryté funkce (tj. Nezakrytý poskytovatel zdravotní péče) nebo vykonává činnosti, které by z této složky učinily obchodního partnera účetní jednotky, pokud by byla právně oddělená. V rámci hybridního subjektu se většina požadavků pravidla ochrany soukromí vztahuje pouze na složky zdravotní péče, ačkoli krytý subjekt si zachovává určité povinnosti v oblasti dohledu, dodržování předpisů a vymáhání.

Například univerzita může být jediný právní subjekt, který zahrnuje nemocnici akademického zdravotnického centra, která provádí elektronické transakce, pro které HHS přijala standardy. Vzhledem k tomu, že nemocnice je součástí právního subjektu, bude celá univerzita, včetně nemocnice, krytým subjektem. Univerzita se však může rozhodnout, že bude hybridní entitou. K tomu musí určit nemocnici jako součást zdravotní péče. Univerzita má také možnost zahrnout do označení další složky, které vykonávají zastřešené funkce nebo funkce podobné obchodním partnerům. Většina požadavků pravidla ochrany osobních údajů by se pak vztahovala pouze na nemocniční část univerzity a jakékoli další určené součásti. Pravidlo ochrany osobních údajů se bude řídit pouze PHI vytvořeným, přijatým nebo udržovaným těmito komponentami nebo jejich jménem. Zveřejňování údajů PHI ze strany nemocnice zbytku univerzity se řídí pravidlem ochrany osobních údajů stejně jako zveřejňování údajů subjektům mimo univerzitu.

Výzkumné složky hybridního subjektu, které fungují jako poskytovatelé zdravotní péče a chování určité standardní elektronické transakce musí být zahrnuty do složek zdravotní péče hybridního subjektu a musí podléhat pravidlu ochrany osobních údajů. Složky výzkumu, které fungují jako poskytovatelé zdravotní péče, ale neprovádějí tyto elektronické transakce, však mohou, ale nemusí, být zahrnuty do složek zdravotní péče hybridního subjektu. Například pokud univerzita ve výše uvedeném příkladu má také výzkumnou laboratoř, která funguje jako poskytovatel zdravotní péče, ale neprovádí konkrétní elektronické transakce, univerzita jako hybridní entita má možnost zahrnout nebo vyloučit výzkumnou laboratoř ze svého zdraví součást péče. Pokud je taková výzkumná laboratoř zahrnuta do složky zdravotní péče hybridního subjektu, pak zaměstnanci nebo členové pracovní síly laboratoře musí dodržovat pravidlo ochrany osobních údajů. Pokud je však výzkumná laboratoř vyloučena ze složky zdravotní péče hybridní entity, na její zaměstnance nebo členy pracovní síly se pravidlo ochrany osobních údajů skutečně nevztahuje.

Hybridní entita však nesmí zahrnout ve své složce zdravotní péče je složkou výzkumu, která nefunguje jako poskytovatel zdravotní péče nebo nevykonává funkce podobné obchodním partnerům. Například složka výzkumu, která provádí výzkum čistě záznamů, neprovádí zastřešené nebo podobné obchodní funkce, a proto ji nelze zahrnout do složky zdravotní péče hybridní entity.

Hybridní entita – jeden právní subjekt to je krytá entita, vykonává obchodní činnosti, které zahrnují jak kryté, tak i nekryté funkce, a určuje své komponenty zdravotní péče, jak je uvedeno v pravidle ochrany osobních údajů. Pokud je krytou entitou hybridní entita, pravidlo ochrany osobních údajů se obecně vztahuje pouze na její určené složky zdravotní péče. Mohou však být ovlivněny komponenty zdravotní péče hybridní entity, protože složka zdravotní péče je omezena v tom, jak může sdílet PHI s komponentou jiné než zdravotní péče. Krytý subjekt si rovněž ponechává určité povinnosti v oblasti dohledu, dodržování předpisů a vymáhání.

Obchodní spolupracovníci

Pravidlo ochrany osobních údajů také chrání individuálně identifikovatelné informace o zdraví, když je vytvoří nebo udržuje osoba nebo subjekt. vykonávání určitých funkcí jménem krytého subjektu – obchodního partnera. Obchodním partnerem je osoba nebo subjekt, který není členem pracovní síly a vykonává nebo asistuje při provádění funkce nebo činnosti regulované Pravidly zjednodušování administrativy HIPAA, včetně Pravidla ochrany osobních údajů, pro nebo v zastoupení krytého subjektu, zahrnující použití nebo zveřejnění individuálně identifikovatelných zdravotních informací nebo které poskytují určité služby krytému subjektu, které zahrnují použití nebo zveřejnění individuálně identifikovatelných zdravotních informací.Vzhledem k tomu, že pravidla pro zjednodušení administrativy HIPAA přímo neregulují výzkumné činnosti, pravidlo ochrany osobních údajů nevyžaduje, aby se výzkumný pracovník nebo sponzor výzkumu stal obchodním partnerem krytého subjektu pro výzkumné účely. Krytá entita však může zapojit obchodní partnery, aby jim pomohli při identifikaci PHI, při přípravě omezených datových sad nebo při agregaci dat. Pravidlo ochrany osobních údajů vyžaduje, aby krytý subjekt uzavřel písemnou smlouvu nebo jiné ujednání povolené tímto pravidlem, pokud jsou obě strany vládními subjekty, se svými obchodními partnery. Ustanovení obchodních partnerů společnosti Rule lze nalézt v oddílech 164,502 (e) a 164,504 (e). Obecně platí, že krytá entita může pro účely povolené pravidlem ochrany osobních údajů a uvedené v její písemné dohodě se svým obchodním partnerem zveřejnit PHI tomuto obchodnímu partnerovi a umožnit obchodnímu partnerovi používat, vytvářet nebo přijímat PHI jeho jménem. Před tím, než krytý subjekt zveřejní PHI obchodnímu spolupracovníkovi, musí krytý subjekt získat uspokojivé záruky, obvykle ve formě smlouvy, že obchodní partner náležitě zajistí informace. Až na několik omezených výjimek nemusí smlouva oprávnit obchodního partnera k použití nebo dalšímu zveřejnění údajů o ochraně údajů způsobem, který by porušil pravidlo ochrany osobních údajů, pokud by tak učinil přímo subjekt, na nějž se vztahuje.

Obchodní partner – osoba nebo subjekt, který jménem krytého subjektu vykonává nebo pomáhá při výkonu funkce nebo činnosti zahrnující použití nebo zveřejnění individuálně identifikovatelných zdravotních informací, jako je analýza dat, zpracování nebo správa nároků, kontrola využití a kontroly zajištění kvality, nebo jakékoli jiné funkce nebo činnosti regulované pravidly zjednodušení administrativy HIPAA, včetně pravidla ochrany osobních údajů. Obchodní partneři jsou také osoby nebo subjekty poskytující právní, pojistně-matematické, účetní, konzultační služby, agregaci dat, správu, administrativu, akreditaci nebo finanční služby krytému subjektu nebo pro něj, pokud poskytování těchto služeb zahrnuje zveřejnění individuálně identifikovatelných zdravotních informací krytým subjektem nebo jiným obchodním partnerem krytého subjektu s touto osobou nebo subjektem. Člen pracovní síly kryté entity není jedním z jejích obchodních partnerů. Krytá entita může být obchodním partnerem jiné kryté entity.

Zjištění vašeho stavu podle pravidla ochrany osobních údajů

Zjištění, zda musí jednotlivý výzkumný pracovník dodržovat pravidlo ochrany soukromí, je faktem -citlivé, individualizované stanovení. Odpověď na tuto otázku může záviset na tom, jak je organizována entita, se kterou má výzkumný pracovník vztah. Dotazy týkající se stavu výzkumného pracovníka podle pravidla ochrany osobních údajů by měly být postoupeny příslušným zástupcům v dané organizaci. Ani spolková vláda, ani tato brožura toto rozhodnutí nedělají, ani by neměly být vykládány. HHS vyvinula sadu nástrojů, které pomáhají subjektu určit, zda se na pravidlo ochrany osobních údajů bude vztahovat zdravotní plán, clearinghouse zdravotní péče nebo poskytovatel zdravotní péče, na něž se vztahuje. Tyto nástroje jsou k dispozici na následujícím odkazu: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *