HIPAA-Datenschutzregel und ihre Auswirkungen auf die Forschung


Für wen gilt die Datenschutzregel und für wen? Betroffen?

Wichtige Punkte:

  • Die Datenschutzregel gilt nur für abgedeckte Unternehmen. Viele Organisationen, die individuell identifizierbare Gesundheitsinformationen verwenden, sammeln, darauf zugreifen und offenlegen, sind keine erfassten Unternehmen und müssen daher die Datenschutzregel nicht einhalten.
  • Die Datenschutzregel gilt nicht für Forschungszwecke. Dies gilt für abgedeckte Unternehmen, bei denen es sich möglicherweise um Forscher handelt oder nicht. Die Regel kann sich auf Forscher auswirken, da sie ihren Zugang zu Informationen beeinträchtigen kann, regelt sie jedoch nicht oder die Forschung an sich.
  • Um Zugang zu Forschungszwecken zu PHI zu erhalten, die von abgedeckten Stellen erstellt oder verwaltet werden, muss der Forscher Möglicherweise müssen Unterlagen vorgelegt werden, auf die sich das abgedeckte Unternehmen verlassen kann, um die Anforderungen, Bedingungen und Einschränkungen der Datenschutzregel zu erfüllen.

Die Datenschutzregel gilt nur für abgedeckte Unternehmen. Sie gilt nicht für alle Personen oder Institutionen, die individuell identifizierbare Gesundheitsinformationen sammeln. Dies kann jedoch auch andere Arten von Unternehmen betreffen, die nicht direkt durch die Regel geregelt sind, wenn sie sich beispielsweise bei der Bereitstellung von PHI auf abgedeckte Unternehmen stützen. Es ist wichtig, dass die Forscher wissen, wie sich die Regel auf sie in den verschiedenen Arten von Organisationen auswirken kann, in denen sie tätig sind, und was sie möglicherweise tun müssen, um ihre Forschung fortzusetzen oder neue Forschungsbemühungen am und nach dem Konformitätsdatum für zu beginnen die Datenschutzregel.

Abgedeckte Unternehmen

Abgedeckte Unternehmen sind in den HIPAA-Regeln definiert als (1) Gesundheitspläne, (2) Clearingstellen für das Gesundheitswesen und (3) Gesundheitsdienstleister, die elektronische Übermittlung von Gesundheitsinformationen im Zusammenhang mit Transaktionen, für die HHS Standards festgelegt hat. Im Allgemeinen betreffen diese Transaktionen die Abrechnung und Zahlung von Dienstleistungen oder den Versicherungsschutz. Beispielsweise sind Krankenhäuser, akademische medizinische Zentren, Ärzte und andere Gesundheitsdienstleister, die Informationen zu Schadentransaktionen direkt oder über einen Vermittler elektronisch an einen Gesundheitsplan übermitteln, betroffene Einheiten. Abgedeckte Einheiten können Institutionen, Organisationen oder Personen sein.

Forscher sind gedeckte Einheiten, wenn sie auch Gesundheitsdienstleister sind, die Gesundheitsinformationen im Zusammenhang mit Transaktionen, für die HHS einen Standard festgelegt hat, elektronisch übermitteln. Beispielsweise müssen Ärzte, die im Verlauf einer Studie klinische Studien durchführen oder den Teilnehmern experimentelle Therapeutika verabreichen, die Datenschutzregel einhalten, wenn sie die HIPAA-Definition eines abgedeckten Unternehmens erfüllen.

Gesundheitsplan – Mit bestimmten Ausnahmen ein Einzel- oder Gruppenplan, der die Kosten für die medizinische Versorgung erbringt oder bezahlt (wie in Abschnitt 2791 (a) (2) des PHS Act, 42 USC 300gg-91 (a) (2) definiert). Das Gesetz sieht insbesondere viele Arten von Organisationen und Regierungsprogrammen als Gesundheitspläne vor.
Health Care Clearinghouse – Eine öffentliche oder private Einrichtung, einschließlich eines Abrechnungsdienstes, eines Repricing-Unternehmens, eines Informationssystems für das Gesundheitsmanagement oder eines Gesundheitsinformationssystems ”Netzwerke und Switches, die entweder die Verarbeitung von Gesundheitsinformationen verarbeiten oder erleichtern, die von einer anderen Entität in einem nicht standardmäßigen Format empfangen wurden oder nicht standardmäßigen Dateninhalt enthalten, zu Standarddatenelementen oder einer Standardtransaktion, oder eine Standardtransaktion von einer anderen Entität empfangen und die Verarbeitung verarbeiten oder erleichtern von Gesundheitsinformationen in ein nicht standardisiertes Format oder einen nicht standardmäßigen Dateninhalt für die empfangende Stelle.
Gesundheitsdienstleister – Ein Dienstleister (wie in Abschnitt 1861 (u) des Gesetzes definiert, 42 USC 1395x (u)), ein Anbieter von medizinische oder Gesundheitsdienste (wie in Abschnitt 1861 (s) des Gesetzes, 42 USC 1395x (s) definiert) und jede andere Person oder Organisation wer im normalen Geschäftsverlauf für die Gesundheitsversorgung einrichtet, diese in Rechnung stellt oder dafür bezahlt wird.
Gesundheitsversorgung – Pflege, Dienstleistungen oder Lieferungen im Zusammenhang mit der Gesundheit einer Person, einschließlich (1) vorbeugender, diagnostischer, therapeutischer, rehabilitativer, Aufrechterhaltung oder Palliativversorgung sowie Beratung, Service, Bewertung oder Verfahren in Bezug auf den physischen oder psychischen Zustand oder den Funktionsstatus einer Person, die die Struktur oder Funktion des Körpers beeinflusst; und (2) Verkauf oder Abgabe eines Arzneimittels, Geräts, einer Ausrüstung oder eines anderen Gegenstands gemäß einer Verschreibung.

Hybridunternehmen

Gemäß der Datenschutzregel jedes Unternehmen, das die Anforderungen erfüllt Die Definition eines abgedeckten Unternehmens, unabhängig von seiner Größe oder Komplexität, unterliegt im Allgemeinen in seiner Gesamtheit der Datenschutzregel. Die Datenschutzregel bietet jedoch ein Mittel, mit dem viele abgedeckte Unternehmen die weltweite Anwendung der Regel durch die Bestimmungen zur Bezeichnung hybrider Unternehmen vermeiden können. Diese Bezeichnung legt fest, welche Teile des Unternehmens die Datenschutzbestimmungen einhalten müssen.

Jede einzelne juristische Person kann sich für eine hybride Einheit entscheiden, wenn sie im Rahmen ihrer Geschäftstätigkeit sowohl gedeckte als auch nicht gedeckte Funktionen ausübt. Eine abgedeckte Funktion ist jede Funktion, deren Leistung den Ausführenden zu einem Gesundheitsplan, einem Gesundheitsdienstleister oder einer Clearingstelle für das Gesundheitswesen macht. Um eine hybride Einheit zu werden, muss die abgedeckte Einheit die Gesundheitskomponenten innerhalb ihrer Organisation benennen. Komponenten des Gesundheitswesens müssen alle Komponenten enthalten, die der Definition der gedeckten Einheit entsprechen würden, wenn diese Komponente eine separate juristische Person wäre. Eine Gesundheitskomponente kann auch jede Komponente umfassen, die abgedeckte Funktionen ausführt (d. H. Nicht abgedeckte Gesundheitsdienstleister) oder Aktivitäten ausführt, die die Komponente zu einem Geschäftspartner des Unternehmens machen würden, wenn sie rechtlich getrennt wäre. Innerhalb eines hybriden Unternehmens gelten die meisten Anforderungen der Datenschutzregel nur für die Gesundheitskomponente (n), obwohl das abgedeckte Unternehmen bestimmte Aufsichts-, Compliance- und Durchsetzungspflichten behält.

Zum Beispiel eine Universität kann eine einzelne juristische Person sein, zu der das Krankenhaus eines akademischen medizinischen Zentrums gehört, das elektronische Transaktionen durchführt, für die HHS Standards festgelegt hat. Da das Krankenhaus Teil der juristischen Person ist, wird die gesamte Universität, einschließlich des Krankenhauses, eine versicherte Einheit sein. Die Universität kann sich jedoch für eine hybride Einheit entscheiden. Dazu muss das Krankenhaus als Gesundheitskomponente ausgewiesen werden. Die Universität hat auch die Möglichkeit, andere Komponenten, die abgedeckte Funktionen oder geschäftsmitarbeiterähnliche Funktionen ausführen, in die Bezeichnung aufzunehmen. Die meisten Anforderungen der Datenschutzregel gelten dann nur für den Krankenhausbereich der Universität und alle anderen dafür vorgesehenen Komponenten. Die Datenschutzregel gilt nur für die PHI, die von oder im Auftrag dieser Komponenten erstellt, empfangen oder verwaltet wird. PHI-Offenlegungen des Krankenhauses gegenüber dem Rest der Universität werden durch die Datenschutzregel genauso geregelt wie Offenlegungen gegenüber Einrichtungen außerhalb der Universität.

Forschungskomponenten einer hybriden Einrichtung, die als Gesundheitsdienstleister und -verhalten fungieren Bestimmte elektronische Standardtransaktionen müssen in den Gesundheitskomponenten des Hybridunternehmens enthalten sein und der Datenschutzregel unterliegen. Forschungskomponenten, die als Gesundheitsdienstleister fungieren, diese elektronischen Transaktionen jedoch nicht durchführen, können, müssen aber nicht in die Gesundheitskomponente (n) des hybriden Unternehmens aufgenommen werden. Wenn die Universität im obigen Beispiel beispielsweise auch über ein Forschungslabor verfügt, das als Gesundheitsdienstleister fungiert, jedoch keine bestimmten elektronischen Transaktionen durchführt, hat die Universität als hybride Einheit die Möglichkeit, das Forschungslabor von seiner Gesundheit einzuschließen oder auszuschließen Pflegekomponente. Wenn ein solches Forschungslabor in der Gesundheitskomponente des Hybridunternehmens enthalten ist, müssen die Mitarbeiter oder Mitarbeiter des Labors die Datenschutzbestimmungen einhalten. Wenn das Forschungslabor jedoch von der Gesundheitskomponente des Hybridunternehmens ausgeschlossen ist, unterliegen die Mitarbeiter oder Mitarbeiter des Labors praktisch nicht der Datenschutzregel.

Das Hybridunternehmen darf jedoch nicht einbeziehen in seiner Gesundheitskomponente eine Forschungskomponente, die nicht als Gesundheitsdienstleister fungiert oder keine geschäftsmitarbeiterähnlichen Funktionen ausübt. Beispielsweise führt eine Forschungskomponente, die reine Aufzeichnungen recherchiert, keine abgedeckten oder geschäftsmitarbeiterähnlichen Funktionen aus und kann daher nicht in die Gesundheitskomponente des Hybridunternehmens aufgenommen werden.

Hybridunternehmen – Eine einzelne juristische Person Das ist ein gedecktes Unternehmen, führt Geschäftsaktivitäten aus, die sowohl gedeckte als auch nicht gedeckte Funktionen umfassen, und bezeichnet seine Gesundheitskomponenten gemäß den Datenschutzbestimmungen. Wenn ein gedecktes Unternehmen ein hybrides Unternehmen ist, gilt die Datenschutzregel im Allgemeinen nur für die von ihm bezeichneten Gesundheitskomponenten. Nicht-Gesundheitskomponenten einer hybriden Einheit können jedoch betroffen sein, da die Gesundheitskomponente nur begrenzt PHI mit der Nicht-Gesundheitskomponente teilen kann. Das abgedeckte Unternehmen behält auch bestimmte Aufsichts-, Compliance- und Durchsetzungsverantwortlichkeiten.

Geschäftspartner

Die Datenschutzregel schützt auch individuell identifizierbare Gesundheitsinformationen, wenn diese von einer Person oder Organisation erstellt oder verwaltet werden Ausübung bestimmter Funktionen im Namen eines abgedeckten Unternehmens – eines Geschäftspartners. Ein Geschäftspartner ist eine Person oder Organisation, die kein Mitglied der Belegschaft ist und für oder im Auftrag eines abgedeckten Unternehmens eine Funktion oder Aktivität ausführt oder unterstützt, die in den HIPAA-Regeln zur Vereinfachung der Verwaltung, einschließlich der Datenschutzregel, geregelt ist. die Verwendung oder Offenlegung von individuell identifizierbaren Gesundheitsinformationen oder die Erbringung bestimmter Dienstleistungen für ein gedecktes Unternehmen, die die Offenlegung oder Offenlegung von individuell identifizierbaren Gesundheitsinformationen beinhalten.Da die administrativen Vereinfachungsregeln der HIPAA die Forschungsaktivitäten nicht direkt regeln, verlangt die Datenschutzregel nicht, dass ein Forscher oder ein Forschungssponsor zu Forschungszwecken ein Geschäftspartner eines abgedeckten Unternehmens wird. Ein gedecktes Unternehmen kann jedoch Geschäftspartner damit beauftragen, die Identifizierung von PHI zu unterstützen, begrenzte Datensätze vorzubereiten oder eine Datenaggregation durchzuführen. Nach der Datenschutzregel muss ein gedecktes Unternehmen mit seinen Geschäftspartnern einen schriftlichen Vertrag oder eine andere nach der Regel zulässige Vereinbarung abschließen, wenn beide Parteien staatliche Stellen sind. Die Bestimmungen für Geschäftspartner der Regel sind in den Abschnitten 164.502 (e) und 164.504 (e) enthalten. Im Allgemeinen kann ein gedecktes Unternehmen für die durch die Datenschutzregel zugelassenen und in seiner schriftlichen Vereinbarung mit seinem Geschäftspartner festgelegten Zwecke diesem Geschäftspartner PHI offenlegen und dem Geschäftspartner gestatten, PHI in seinem Namen zu verwenden, zu erstellen oder zu empfangen. Bevor das abgedeckte Unternehmen dem Geschäftspartner den PHI offenlegt, muss das abgedeckte Unternehmen im Allgemeinen in Form eines Vertrags zufriedenstellende Zusicherungen erhalten, dass der Geschäftspartner die Informationen angemessen schützt. Mit wenigen begrenzten Ausnahmen darf der Vertrag den Geschäftspartner nicht dazu berechtigen, das PHI in einer Weise zu verwenden oder weiter offenzulegen, die gegen die Datenschutzregel verstößt, wenn dies direkt vom betroffenen Unternehmen durchgeführt wird.

Geschäftspartner – Eine Person oder ein Unternehmen, das im Auftrag eines abgedeckten Unternehmens eine Funktion oder Aktivität ausführt oder unterstützt, die die Verwendung oder Offenlegung individuell identifizierbarer Gesundheitsinformationen umfasst, wie z. B. Datenanalyse, Bearbeitung oder Verwaltung von Ansprüchen, Überprüfung der Nutzung und Überprüfung der Qualitätssicherung; oder jede andere Funktion oder Aktivität, die durch die administrativen Vereinfachungsregeln der HIPAA geregelt ist, einschließlich der Datenschutzregel. Geschäftspartner sind auch Personen oder Organisationen, die rechtliche, versicherungsmathematische, buchhalterische, beratende, Datenaggregations-, Management-, Verwaltungs-, Akkreditierungs- oder Finanzdienstleistungen für oder für ein gedecktes Unternehmen erbringen, wenn die Erbringung dieser Dienstleistungen die Offenlegung individuell identifizierbarer Gesundheitsinformationen durch das versicherte Unternehmen oder ein anderer Geschäftspartner des gedeckten Unternehmens mit dieser Person oder Organisation. Ein Mitglied der Belegschaft eines abgedeckten Unternehmens ist keiner seiner Geschäftspartner. Ein gedecktes Unternehmen kann ein Geschäftspartner eines anderen gedeckten Unternehmens sein.

Festlegen Ihres Status gemäß der Datenschutzregel

Die Feststellung, ob ein einzelner Forscher die Datenschutzregel einhalten muss, ist eine Tatsache -sensitive, individualisierte Bestimmung. Die Antwort auf diese Frage kann davon abhängen, wie die Entität organisiert ist, zu der ein Forscher eine Beziehung hat. Fragen zum Status eines Forschers gemäß der Datenschutzregel sollten an die entsprechenden Vertreter innerhalb dieser Organisation weitergeleitet werden. Weder die Bundesregierung noch diese Broschüre treffen diese Entscheidung oder sollten so ausgelegt werden. HHS hat eine Reihe von Tools entwickelt, mit denen ein Unternehmen feststellen kann, ob es sich um einen Gesundheitsplan, eine Clearingstelle für das Gesundheitswesen oder einen versicherten Gesundheitsdienstleister handelt, der der Datenschutzregel unterliegt. Diese Tools sind unter folgendem Link verfügbar: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.