Hvem gælder fortrolighedsreglen, og hvem vil det Påvirker?
Nøglepunkter:
- Privatlivsreglen gælder kun for omfattede enheder. Mange organisationer, der bruger, indsamler, får adgang til og videregiver individuelt identificerbare sundhedsoplysninger, vil ikke være omfattede enheder og er derfor ikke nødt til at overholde fortrolighedsreglen.
- Fortrolighedsreglen gælder ikke for forskning; det gælder for omfattede enheder, som forskere måske eller måske ikke er. Reglen kan påvirke forskere, fordi den kan påvirke deres adgang til information, men den regulerer ikke dem eller forskning i sig selv.
- At få adgang til forskningsformål til PHI oprettet eller vedligeholdt af omfattede enheder, forskeren kan være nødt til at levere understøttende dokumentation, som den dækkede enhed kan stole på for at opfylde kravene, betingelserne og begrænsningerne i fortrolighedsreglen.
Fortrolighedsreglen gælder kun for omfattede enheder; det gælder ikke for alle personer eller institutioner, der indsamler individuelt identificerbare sundhedsoplysninger. Det kan dog påvirke andre typer enheder, der ikke er direkte reguleret af reglen, hvis de f.eks. Er afhængige af dækkede enheder til at levere PHI. Det er vigtigt, at forskere er opmærksomme på, hvordan reglen kan påvirke dem i de forskellige typer organisationer, hvor de opererer, og hvad de muligvis skal gøre for at fortsætte deres forskning eller begynde nye forskningsindsatser på og efter overholdelsesdatoen for privatlivsreglen.
Dækkede enheder
Dækkede enheder defineres i HIPAA-reglerne som (1) sundhedsplaner, (2) sundhedscentre og (3) sundhedsudbydere, der elektronisk overføre alle sundhedsoplysninger i forbindelse med transaktioner, som HHS har vedtaget standarder for. Generelt vedrører disse transaktioner fakturering og betaling for tjenester eller forsikringsdækning. F.eks. Er hospitaler, akademiske medicinske centre, læger og andre sundhedsudbydere, der elektronisk transmitterer oplysninger om transaktionskrav direkte eller gennem en mellemmand til en sundhedsplan, omfattede enheder. Dækkede enheder kan være institutioner, organisationer eller personer.
Forskere er omfattede enheder, hvis de også er sundhedsudbydere, der elektronisk overfører sundhedsoplysninger i forbindelse med enhver transaktion, som HHS har vedtaget en standard for. For eksempel skal læger, der udfører kliniske studier eller administrerer eksperimentel terapi til deltagerne i løbet af en undersøgelse, overholde fortrolighedsreglen, hvis de opfylder HIPAA-definitionen af en omfattet enhed.
Sundhedsplan – med visse undtagelser , en individuel plan eller en gruppeplan, der leverer eller betaler udgifterne til lægebehandling (som defineret i afsnit 2791 (a) (2) i PHS Act, 42 USC 300gg-91 (a) (2)). Loven inkluderer specifikt mange typer af organisationer og offentlige programmer som sundhedsplaner.
Clearinghouse for sundhedspleje – En offentlig eller privat enhed, herunder en faktureringstjeneste, en prisfastsættelsesvirksomhed, samfundets sundhedsstyringsinformationssystem eller et sundhedsinformationssystem for samfundet og “værdiansat” ”Netværk og switche, der enten behandler eller letter behandlingen af sundhedsoplysninger, der modtages fra en anden enhed i et ikke-standardformat eller indeholder ikke-standardiseret dataindhold, til standarddataelementer eller en standardtransaktion eller modtager en standardtransaktion fra en anden enhed og behandler eller letter behandlingen af sundhedsoplysninger i et ikke-standardformat eller ikke-standardiseret dataindhold til den modtagende enhed.
Health Care Provider – En udbyder af tjenester (som defineret i afsnit 1861 (u) i loven, 42 USC 1395x (u)), en udbyder af læge- eller sundhedstjenester (som defineret i afsnit 1861 (er) i loven, 42 USC 1395x (er)) og enhver anden person eller organisation der leverer, regner eller betales for sundhedspleje i den normale forretning.
Sundhedspleje – Pleje, tjenester eller forsyninger relateret til en persons helbred, herunder (1) forebyggende, diagnostisk, terapeutisk, rehabiliterende, vedligeholdelse eller palliativ pleje og rådgivning, service, vurdering eller procedure med hensyn til den fysiske eller mentale tilstand eller funktionelle status for et individ, der påvirker kroppens struktur eller funktion; og (2) salg eller udlevering af et lægemiddel, udstyr, udstyr eller anden genstand i overensstemmelse med en recept.Hybrid enheder
I henhold til fortrolighedsreglen er enhver enhed, der opfylder definition af en omfattet enhed, uanset størrelse eller kompleksitet, vil generelt være underlagt hele sin privatlivsregel. Imidlertid giver privatlivsreglen et middel, hvormed mange omfattede enheder kan undgå global anvendelse af reglen gennem bestemmelserne om udpegning af hybridenheder. Denne betegnelse fastslår, hvilke dele af enheden der skal overholde fortrolighedsreglen.
Enhver juridisk enhed kan vælge at være en hybrid enhed, hvis den udfører både omfattede og ikke-dækkede funktioner som en del af sin forretningsdrift. En dækket funktion er en hvilken som helst funktion, hvis udførelse gør den udøvende kunstner til en sundhedsplan, en sundhedsudbyder eller et clearingcenter for sundhedsvæsenet. For at blive en hybrid enhed skal den omfattede enhed udpege sundhedskomponenterne i sin organisation. Komponenter i sundhedsvæsenet skal omfatte alle komponenter, der opfylder definitionen af omfattet enhed, hvis komponenten var en separat juridisk enhed. En sundhedskomponent kan også omfatte enhver komponent, der udfører dækkede funktioner (dvs. ikke-dækket sundhedsudbyder) eller udfører aktiviteter, der ville gøre komponenten til en forretningsforbindelse til enheden, hvis den var juridisk adskilt. Inden for en hybrid enhed gælder de fleste af kravene i fortrolighedsreglen kun for sundhedskomponenterne, selvom den omfattede enhed har visse forpligtelser til tilsyn, overholdelse og håndhævelse.
For eksempel et universitet kan være en enkelt juridisk enhed, der inkluderer et akademisk medicinsk centrets hospital, der gennemfører elektroniske transaktioner, som HHS har vedtaget standarder for. Fordi hospitalet er en del af den juridiske enhed, vil hele universitetet, inklusive hospitalet, være en omfattet enhed. Universitetet kan dog vælge at være en hybrid enhed. For at gøre dette skal det udpege hospitalet som en sundhedskomponent. Universitetet har også mulighed for at inkludere i betegnelsen andre komponenter, der udfører dækkede funktioner eller forretningsforbindelseslignende funktioner. De fleste af fortrolighedsregelens krav gælder så kun for hospitalets del af universitetet og andre udpegede komponenter. Privatlivsreglen regulerer kun PHI oprettet, modtaget eller vedligeholdt af eller på vegne af disse komponenter. PHI-afsløringer fra hospitalet til resten af universitetet reguleres af privatlivsreglen på samme måde som videregivelser til enheder uden for universitetet.
Forskningskomponenter i en hybrid enhed, der fungerer som sundhedsudbydere og adfærd visse elektroniske standardtransaktioner skal inkluderes i hybrid enhedens sundhedspleje-komponent (er) og være underlagt privatlivsreglen. Forskningskomponenter, der fungerer som udbydere af sundhedspleje, men som ikke foretager disse elektroniske transaktioner, kan dog være, men er ikke forpligtet til, at blive inkluderet i hybridenhedens eller sundhedskomponenterne. For eksempel, hvis universitetet i eksemplet ovenfor også har et forskningslaboratorium, der fungerer som en sundhedsudbyder, men ikke deltager i specificerede elektroniske transaktioner, har universitetet som en hybrid enhed mulighed for at inkludere eller ekskludere forskningslaboratoriet fra dets helbred plejekomponent. Hvis et sådant forskningslaboratorium er inkluderet i hybridenhedens sundhedskomponent, skal medarbejderne eller medlemmerne af arbejdsstyrken i laboratoriet overholde fortrolighedsreglen. Men hvis forskningslaboratoriet er udelukket fra hybridenhedens sundhedskomponent, er medarbejderne eller arbejdsstyrkens medlemmer af laboratoriet faktisk ikke underlagt fortrolighedsreglen.
Hybridenheden er dog ikke tilladt at medtage i sin sundhedskomponent, en forskningskomponent, der ikke fungerer som en sundhedsudbyder eller ikke udfører forretningsforbindelseslignende funktioner. For eksempel udfører en forskningskomponent, der udfører rent registrering af forskning, ikke omfattede eller forretningsforbindelseslignende funktioner og kan derfor ikke medtages i hybrid enhedens sundhedspleje komponent.
Hybrid enhed – En enkelt juridisk enhed der er en omfattet enhed, udfører forretningsaktiviteter, der inkluderer både omfattede og ikke-dækkede funktioner, og udpeger dens sundhedspleiekomponenter som angivet i fortrolighedsreglen. Hvis en omfattet enhed er en hybrid enhed, gælder fortrolighedsreglen generelt kun for dens udpegede sundhedspleiekomponenter. Imidlertid kan ikke-sundhedspleje-komponenter i en hybrid enhed blive påvirket, fordi sundhedsplejekomponenten er begrænset i, hvordan den kan dele PHI med den ikke-sundhedsplejekomponent. Den omfattede enhed bevarer også et visst ansvar for tilsyn, overholdelse og håndhævelse.
Business Associates
Privacy Regel beskytter også individuelt identificerbare sundhedsoplysninger, når de oprettes eller vedligeholdes af en person eller enhed udføre bestemte funktioner på vegne af en omfattet enhed – en forretningsforbindelse. En forretningsforbindelse er en person eller enhed, der ikke er medlem af arbejdsstyrken og udfører eller hjælper med at udføre, for eller på vegne af en omfattet enhed, en funktion eller aktivitet, der er reguleret af HIPAAs administrative forenklingsregler, herunder fortrolighedsreglen, involverer brug eller videregivelse af individuelt identificerbare sundhedsoplysninger, eller som leverer visse tjenester til en omfattet enhed, der involverer brugen af offentliggørelse af individuelt identificerbare sundhedsoplysninger.Da HIPAAs administrative forenklingsregler ikke direkte regulerer forskningsaktiviteter, kræver privatlivsreglen ikke, at en forsker eller en forskningssponsor bliver forretningspartner til en omfattet enhed til forskningsformål. En omfattet enhed kan dog engagere forretningsforbindelser til at hjælpe med at identificere PHI, til at udarbejde begrænsede datasæt eller til at udføre datasamling. Privatlivsreglen kræver, at en omfattet enhed indgår en skriftlig kontrakt eller et andet arrangement, der er tilladt af reglen, hvis begge parter er offentlige enheder med dens forretningsforbindelser. Regelens forretningsforbindelser kan findes i afsnit 164.502 (e) og 164.504 (e). Generelt kan en omfattet enhed til de formål, der er tilladt i henhold til fortrolighedsreglen og specificeret i dens skriftlige aftale med sin forretningsforbindelse, videregive PHI til den pågældende forretningsforbindelse og tillade forretningsforbindelsen at bruge, oprette eller modtage PHI på dens vegne. Inden den dækkede enhed afslører PHI til forretningsforbindelsen, skal den dækkede enhed opnå tilfredsstillende forsikringer, generelt i form af en kontrakt, om at forretningsforbindelsen på passende vis vil beskytte oplysningerne. Med nogle få begrænsede undtagelser bemyndiger kontrakten muligvis ikke forretningspartneren til at bruge eller yderligere afsløre PHI på en måde, der ville være i strid med fortrolighedsreglen, hvis det gøres direkte af den omfattede enhed.
Forretningsassistent – En person eller enhed, der på vegne af en omfattet enhed udfører eller bistår med udførelsen af en funktion eller aktivitet, der involverer brug eller videregivelse af individuelt identificerbare sundhedsoplysninger såsom dataanalyse, behandling eller administration af krav, gennemgang af anvendelse og kvalitetssikring eller enhver anden funktion eller aktivitet, der er reguleret af HIPAAs administrative forenklingsregler, herunder privatlivsreglen. Virksomhedsforbindelser er også personer eller enheder, der udfører juridiske, aktuarmæssige, regnskabsmæssige, konsulentmæssige, dataaggregerede, ledelsesmæssige, administrative, akkrediterende eller finansielle tjenester til eller for en omfattet enhed, hvor udførelsen af disse tjenester indebærer offentliggørelse af individuelt identificerbare sundhedsoplysninger af den omfattede enhed en anden forretningsforbindelse med den omfattede enhed til den pågældende person eller enhed. Et medlem af en omfattet enheds arbejdsstyrke er ikke en af dens forretningsforbindelser. En omfattet enhed kan være en forretningspartner til en anden omfattet enhed.
Bestemmelse af din status under privatlivsreglen
Bestemmelsen af, om en individuel forsker skal overholde fortrolighedsreglen, er en kendsgerning -følsom, individualiseret beslutsomhed. Svaret på dette spørgsmål kan afhænge af, hvordan den enhed, som en forsker har et forhold til, er organiseret. Spørgsmål om en forskers status under fortrolighedsreglen skal henvises til de relevante repræsentanter inden for den organisation. Hverken forbundsregeringen eller denne pjece foretager eller skal fortolkes til at træffe denne beslutning. HHS har udviklet et sæt værktøjer til at hjælpe en enhed med at afgøre, om det er en sundhedsplan, et clearingcenter for sundhedspleje eller en omfattet sundhedsudbyder, der er underlagt privatlivsreglen. Disse værktøjer er tilgængelige på følgende link: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.