¿A quién se aplica la regla de privacidad y a quién se aplica? ¿Afectar?
Puntos clave:
- La regla de privacidad se aplica solo a las entidades cubiertas. Muchas organizaciones que usan, recopilan, acceden y divulgan información de salud identificable individualmente no serán entidades cubiertas y, por lo tanto, no tendrán que cumplir con la Regla de privacidad.
- La Regla de privacidad no se aplica a la investigación; se aplica a las entidades cubiertas, que los investigadores pueden o no serlo. La Regla puede afectar a los investigadores porque puede afectar su acceso a la información, pero no los regula a ellos ni a la investigación per se.
- Para obtener acceso con fines de investigación a la PHI creada o mantenida por entidades cubiertas, el investigador puede tener que proporcionar documentación de respaldo en la que la entidad cubierta puede confiar para cumplir con los requisitos, condiciones y limitaciones de la Regla de privacidad.
La Regla de privacidad se aplica solo a las entidades cubiertas; no se aplica a todas las personas o instituciones que recopilan información médica identificable individualmente. Sin embargo, puede afectar a otros tipos de entidades que no están directamente reguladas por la Regla si, por ejemplo, dependen de entidades cubiertas para proporcionar PHI. Es importante que los investigadores sean conscientes de cómo la Regla podría afectarlos en los diversos tipos de organizaciones en las que operan, y lo que pueden tener que hacer para continuar su investigación o comenzar nuevos esfuerzos de investigación en y después de la fecha de cumplimiento para la Regla de privacidad.
Entidades cubiertas
Las entidades cubiertas se definen en las reglas de HIPAA como (1) planes de salud, (2) centros de compensación de atención médica y (3) proveedores de atención médica que transmitir electrónicamente cualquier información médica en relación con transacciones para las cuales el HHS ha adoptado estándares. Generalmente, estas transacciones se refieren a la facturación y al pago de servicios o cobertura de seguro. Por ejemplo, los hospitales, los centros médicos académicos, los médicos y otros proveedores de atención médica que transmiten electrónicamente información sobre transacciones de reclamos directamente oa través de un intermediario a un plan de salud son entidades cubiertas. Las entidades cubiertas pueden ser instituciones, organizaciones o personas.
Los investigadores son entidades cubiertas si también son proveedores de atención médica que transmiten electrónicamente información médica en relación con cualquier transacción para la cual el HHS ha adoptado un estándar. Por ejemplo, los médicos que realizan estudios clínicos o administran terapias experimentales a los participantes durante el curso de un estudio deben cumplir con la Regla de privacidad si cumplen con la definición de HIPAA de una entidad cubierta.
Plan de salud: con ciertas excepciones , un plan individual o grupal que proporciona o paga el costo de la atención médica (como se define en la sección 2791 (a) (2) de la Ley PHS, 42 USC 300gg-91 (a) (2)). La ley incluye específicamente muchos tipos de organizaciones y programas gubernamentales como planes de salud.
Health Care Clearinghouse: una entidad pública o privada, que incluye un servicio de facturación, una empresa de revisión de precios, un sistema de información de gestión de la salud comunitaria o un sistema de información de salud comunitaria, y «valueadded ”Redes y conmutadores que procesan o facilitan el procesamiento de información médica recibida de otra entidad en un formato no estándar o que contienen contenido de datos no estándar en elementos de datos estándar o una transacción estándar, o reciben una transacción estándar de otra entidad y procesan o facilitan el procesamiento. de información médica en un formato no estándar o contenido de datos no estándar para la entidad receptora.
Proveedor de atención médica: un proveedor de servicios (como se define en la sección 1861 (u) de la Ley, 42 USC 1395x (u)), un proveedor de servicios médicos o de salud (como se define en la sección 1861 (s) de la Ley, 42 USC 1395x (s)), y cualquier otra persona u organización que proporciona, factura o se le paga por la atención médica en el curso normal de las actividades comerciales.
Atención médica: atención, servicios o suministros relacionados con la salud de una persona, incluidos (1) preventivos, de diagnóstico, terapéuticos, de rehabilitación, mantenimiento o cuidados paliativos, y asesoramiento, servicio, evaluación o procedimiento con respecto a la condición física o mental, o el estado funcional, de un individuo que afecta la estructura o función del cuerpo; y (2) venta o dispensación de un medicamento, dispositivo, equipo u otro artículo de acuerdo con una receta.Entidades híbridas
Según la Regla de privacidad, cualquier entidad que cumpla con la La definición de una entidad cubierta, independientemente de su tamaño o complejidad, generalmente estará sujeta en su totalidad a la Regla de Privacidad. Sin embargo, la Regla de Privacidad proporciona un medio por el cual muchas entidades cubiertas pueden evitar la aplicación global de la Regla, a través de las disposiciones de designación de entidades híbridas. Esta designación establecerá qué partes de la entidad deben cumplir con la Regla de Privacidad.
Cualquier entidad legal individual puede elegir ser una entidad híbrida si realiza funciones cubiertas y no cubiertas como parte de sus operaciones comerciales. Una función cubierta es cualquier función cuyo desempeño convierte al ejecutante en un plan de salud, un proveedor de atención médica o una cámara de compensación de atención médica. Para convertirse en una entidad híbrida, la entidad cubierta debe designar los componentes de atención médica dentro de su organización. Los componentes de atención médica deben incluir cualquier componente que cumpla con la definición de entidad cubierta si ese componente fuera una entidad legal separada. Un componente de atención médica también puede incluir cualquier componente que lleve a cabo funciones cubiertas (es decir, un proveedor de atención médica no cubierto) o realice actividades que convertirían al componente en un socio comercial de la entidad si estuviera legalmente separado. Dentro de una entidad híbrida, la mayoría de los requisitos de la Regla de privacidad se aplican solo a los componentes de atención médica, aunque la entidad cubierta retiene ciertas obligaciones de supervisión, cumplimiento y ejecución.
Por ejemplo, una universidad puede ser una entidad legal única que incluye el hospital de un centro médico académico que realiza transacciones electrónicas para las cuales el HHS ha adoptado estándares. Debido a que el hospital es parte de la entidad legal, toda la universidad, incluido el hospital, será una entidad cubierta. Sin embargo, la universidad puede optar por ser una entidad híbrida. Para ello, debe designar al hospital como componente sanitario. La universidad también tiene la opción de incluir en la designación otros componentes que realizan funciones cubiertas o funciones similares a las de un socio comercial. La mayoría de los requisitos de la Regla de privacidad solo se aplicarían a la parte del hospital de la universidad y a cualquier otro componente designado. La Regla de Privacidad regirá solo la PHI creada, recibida o mantenida por, o en nombre de, estos componentes. Las divulgaciones de PHI por parte del hospital al resto de la universidad están reguladas por la Regla de Privacidad de la misma manera que las divulgaciones a entidades fuera de la universidad.
Componentes de investigación de una entidad híbrida que funcionan como proveedores de atención médica y conducen ciertas transacciones electrónicas estándar deben incluirse en los componentes de atención médica de la entidad híbrida y estar sujetas a la Regla de Privacidad. Sin embargo, los componentes de investigación que funcionan como proveedores de atención médica, pero que no realizan estas transacciones electrónicas, pueden incluirse, pero no están obligados a hacerlo, en los componentes de atención médica de la entidad híbrida. Por ejemplo, si la universidad en el ejemplo anterior también tiene un laboratorio de investigación que funciona como un proveedor de atención médica pero no participa en transacciones electrónicas específicas, la universidad como entidad híbrida tiene la opción de incluir o excluir el laboratorio de investigación de su salud. componente de cuidado. Si dicho laboratorio de investigación está incluido en el componente de atención médica de la entidad híbrida, los empleados o los miembros de la fuerza laboral del laboratorio deben cumplir con la Regla de privacidad. Pero si el laboratorio de investigación está excluido del componente de atención médica de la entidad híbrida, los empleados o los miembros de la fuerza laboral del laboratorio no están efectivamente sujetos a la Regla de privacidad.
Sin embargo, la entidad híbrida no puede incluir en su componente de atención médica, un componente de investigación que no funciona como proveedor de atención médica o no realiza funciones similares a las de un socio comercial. Por ejemplo, un componente de investigación que lleva a cabo únicamente una investigación de registros no está realizando funciones cubiertas o similares a las de un socio comercial y, por lo tanto, no puede incluirse en el componente de atención médica de la entidad híbrida.
Entidad híbrida: una entidad legal única que es una entidad cubierta, realiza actividades comerciales que incluyen funciones cubiertas y no cubiertas, y designa sus componentes de atención médica según lo dispuesto en la Regla de privacidad. Si una entidad cubierta es una entidad híbrida, la Regla de privacidad generalmente se aplica solo a sus componentes de atención médica designados. Sin embargo, los componentes que no son de atención médica de una entidad híbrida pueden verse afectados porque el componente de atención médica tiene limitaciones en cuanto a cómo puede compartir la PHI con el componente que no es de atención médica. La entidad cubierta también retiene ciertas responsabilidades de supervisión, cumplimiento y ejecución.
Asociados comerciales
La Regla de privacidad también protege la información médica identificable individualmente cuando es creada o mantenida por una persona o entidad llevar a cabo determinadas funciones en nombre de una entidad cubierta: un socio comercial. Un socio comercial es una persona o entidad, que no es miembro de la fuerza laboral y realiza o ayuda a realizar, para o en nombre de una entidad cubierta, una función o actividad regulada por las Reglas de Simplificación Administrativa de HIPAA, incluida la Regla de Privacidad, que involucre el uso o divulgación de información médica identificable individualmente, o que brinde ciertos servicios a una entidad cubierta que involucre el uso o divulgación de información médica identificable individualmente.Debido a que las Reglas de Simplificación Administrativa de HIPAA no regulan directamente las actividades de investigación, la Regla de Privacidad no requiere que un investigador o un patrocinador de investigación se convierta en socio comercial de una entidad cubierta con fines de investigación. Sin embargo, una entidad cubierta puede contratar asociados comerciales para ayudar a desidentificar la PHI, preparar conjuntos de datos limitados o realizar la agregación de datos. La Regla de Privacidad requiere que una entidad cubierta celebre un contrato escrito u otro arreglo permitido por la Regla si ambas partes son entidades gubernamentales, con sus socios comerciales. Las disposiciones sobre socios comerciales de la Regla se pueden encontrar en las Secciones 164.502 (e) y 164.504 (e). Generalmente, una entidad cubierta puede, para los propósitos permitidos por la Regla de Privacidad y especificados en su acuerdo escrito con su socio comercial, divulgar PHI a ese socio comercial y permitir que el socio comercial use, cree o reciba PHI en su nombre. Antes de que la entidad cubierta divulgue la PHI al socio comercial, la entidad cubierta debe obtener garantías satisfactorias, generalmente en forma de contrato, de que el socio comercial protegerá adecuadamente la información. Con algunas excepciones limitadas, es posible que el contrato no autorice al socio comercial a utilizar o divulgar más la PHI de una manera que infrinja la Regla de privacidad si lo hace directamente la entidad cubierta.
Socio comercial: una persona o entidad que, en nombre de una entidad cubierta, realiza o ayuda en el desempeño de una función o actividad que involucra el uso o divulgación de información médica identificable individualmente, como análisis de datos, procesamiento o administración de reclamos, revisión de utilización y revisiones de aseguramiento de la calidad, o cualquier otra función o actividad regulada por las Reglas de Simplificación Administrativa de HIPAA, incluida la Regla de Privacidad. Los socios comerciales también son personas o entidades que prestan servicios legales, actuariales, contables, de consultoría, de agregación de datos, de gestión, administrativos, de acreditación o financieros a una entidad cubierta o para ella cuando la prestación de esos servicios implica la divulgación de información médica identificable individualmente por la entidad cubierta o otro socio comercial de la entidad cubierta a esa persona o entidad. Un miembro de la fuerza laboral de una entidad cubierta no es uno de sus socios comerciales. Una entidad cubierta puede ser un socio comercial de otra entidad cubierta.
Determinación de su estado según la regla de privacidad
La determinación de si un investigador individual debe cumplir con la regla de privacidad es un hecho -determinación sensible e individualizada. La respuesta a esta pregunta puede depender de cómo esté organizada la entidad con la que un investigador tiene relación. Las preguntas sobre el estado de un investigador según la Regla de privacidad deben remitirse a los representantes apropiados dentro de esa organización. Ni el Gobierno Federal ni este folleto hacen, ni deben interpretarse que hacen, esta determinación. El HHS ha desarrollado un conjunto de herramientas para ayudar a una entidad a determinar si se trata de un plan de salud, una cámara de compensación de atención médica o un proveedor de atención médica cubierto que estará sujeto a la Regla de privacidad. Estas herramientas están disponibles en el siguiente enlace: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.