La règle de confidentialité HIPAA et ses incidences sur la recherche


À qui sapplique la règle de confidentialité et à qui sapplique-t-elle Affecter?

Points clés:

  • La règle de confidentialité sapplique uniquement aux entités couvertes. De nombreuses organisations qui utilisent, collectent, accèdent et divulguent des informations de santé identifiables individuellement ne seront pas des entités couvertes et nauront donc pas à se conformer à la règle de confidentialité.
  • La règle de confidentialité ne sapplique pas à la recherche; il sapplique aux entités couvertes, que les chercheurs peuvent ou non être. La règle peut affecter les chercheurs, car elle peut affecter leur accès aux informations, mais elle ne les réglemente pas ni ne réglemente la recherche en soi.
  • Pour accéder à des fins de recherche aux RPS créés ou maintenus par des entités couvertes, le chercheur peut devoir fournir des pièces justificatives sur lesquelles lentité couverte peut sappuyer pour satisfaire aux exigences, conditions et limitations de la règle de confidentialité.

La règle de confidentialité sapplique uniquement aux entités couvertes; il ne sapplique pas à toutes les personnes ou institutions qui collectent des informations de santé identifiables individuellement. Cela peut cependant affecter dautres types dentités qui ne sont pas directement réglementées par la Règle si, par exemple, elles comptent sur des entités couvertes pour fournir des PHI. Il est important que les chercheurs sachent comment la règle pourrait les affecter dans les différents types dorganisations dans lesquelles ils opèrent, et ce quils peuvent avoir à faire pour poursuivre leurs recherches ou commencer de nouveaux efforts de recherche à la date de conformité et après celle-ci. la règle de confidentialité.

Entités couvertes

Les entités couvertes sont définies dans les règles HIPAA comme (1) plans de santé, (2) centres déchange de soins de santé et (3) prestataires de soins de santé qui transmettre électroniquement toute information sur la santé en rapport avec des transactions pour lesquelles HHS a adopté des normes. Généralement, ces opérations concernent la facturation et le paiement de services ou de couverture dassurance. Par exemple, les hôpitaux, les centres médicaux universitaires, les médecins et autres prestataires de soins de santé qui transmettent électroniquement des informations sur les transactions de réclamations directement ou par un intermédiaire à un régime de santé sont des entités couvertes. Les entités couvertes peuvent être des institutions, des organisations ou des personnes.

Les chercheurs sont des entités couvertes sils sont également des prestataires de soins de santé qui transmettent par voie électronique des informations de santé dans le cadre de toute transaction pour laquelle HHS a adopté une norme. Par exemple, les médecins qui mènent des études cliniques ou administrent des thérapies expérimentales aux participants au cours dune étude doivent se conformer à la règle de confidentialité sils répondent à la définition HIPAA dune entité couverte.

Plan de santé – avec certaines exceptions , un régime individuel ou collectif qui fournit ou paie le coût des soins médicaux (au sens de larticle 2791 (a) (2) de la PHS Act, 42 USC 300gg-91 (a) (2)). La loi inclut spécifiquement de nombreux types dorganisations et de programmes gouvernementaux en tant que plans de santé.
Health Care Clearinghouse – Une entité publique ou privée, y compris un service de facturation, une entreprise de refixation des prix, un système dinformation sur la gestion de la santé communautaire ou un système dinformation sur la santé communautaire, et « valeur ajoutée « Réseaux et commutateurs qui traitent ou facilitent le traitement des informations sur la santé reçues dune autre entité dans un format non standard ou contenant un contenu de données non standard en éléments de données standard ou dans une transaction standard, ou reçoivent une transaction standard dune autre entité et traitent ou facilitent le traitement des informations de santé dans un format non standard ou un contenu de données non standard pour lentité destinataire.
Fournisseur de soins de santé – Un fournisseur de services (tel que défini dans la section 1861 (u) de la Loi, 42 USC 1395x (u)), un fournisseur de services médicaux ou de santé (tels que définis dans la section 1861 (s) de la loi, 42 USC 1395x (s)), et toute autre personne ou organisation qui fournit, facture ou est payé pour des soins de santé dans le cours normal des affaires.
Soins de santé – Soins, services ou fournitures liés à la santé dune personne, y compris (1) préventifs, diagnostiques, thérapeutiques, de réadaptation, lentretien ou les soins palliatifs et les conseils, les services, lévaluation ou la procédure concernant létat physique ou mental, ou létat fonctionnel, dun individu qui affecte la structure ou la fonction du corps; et (2) la vente ou la distribution dun médicament, dun appareil, dun équipement ou dun autre article conformément à une ordonnance.

Entités hybrides

En vertu de la règle de confidentialité, toute entité qui respecte les La définition dune entité couverte, quelle que soit sa taille ou sa complexité, sera généralement soumise dans son intégralité à la règle de confidentialité. Cependant, la règle de confidentialité fournit un moyen par lequel de nombreuses entités couvertes peuvent éviter une application globale de la règle, par le biais des dispositions sur la désignation dentités hybrides. Cette désignation établira quelles parties de lentité doivent se conformer à la règle de confidentialité.

Toute entité juridique unique peut choisir dêtre une entité hybride si elle remplit à la fois des fonctions couvertes et non couvertes dans le cadre de ses opérations commerciales. Une fonction couverte est toute fonction dont lexécution fait de lartiste un plan de santé, un fournisseur de soins de santé ou un centre déchange dinformations sur les soins de santé. Pour devenir une entité hybride, lentité couverte doit désigner les composantes de soins de santé au sein de son organisation. Les éléments de soins de santé doivent inclure tout élément qui répondrait à la définition dentité couverte si ce composant était une entité juridique distincte. Un élément de soins de santé peut également inclure tout élément qui exerce des fonctions couvertes (cest-à-dire un fournisseur de soins de santé non couvert) ou exécute des activités qui feraient du composant un associé commercial de lentité sil était juridiquement distinct. Au sein dune entité hybride, la plupart des exigences de la règle de confidentialité sappliquent uniquement aux composants de soins de santé, bien que lentité couverte conserve certaines obligations de surveillance, de conformité et dapplication.

Par exemple, une université peut être une entité juridique unique qui comprend lhôpital dun centre médical universitaire qui effectue des transactions électroniques pour lesquelles le HHS a adopté des normes. Étant donné que lhôpital fait partie de lentité juridique, toute luniversité, y compris lhôpital, sera une entité couverte. Cependant, luniversité peut choisir dêtre une entité hybride. Pour ce faire, il doit désigner lhôpital comme une composante des soins de santé. Luniversité a également la possibilité dinclure dans la désignation dautres composants qui exercent des fonctions couvertes ou des fonctions de type associé. La plupart des exigences de la règle de confidentialité sappliqueraient alors uniquement à la partie hospitalière de luniversité et à tout autre élément désigné. La règle de confidentialité régirait uniquement les RPS créés, reçus ou maintenus par ces composants ou au nom de ceux-ci. Les divulgations de PHI par lhôpital au reste de luniversité sont régies par la règle de confidentialité de la même manière que les divulgations à des entités extérieures à luniversité.

Rechercher les composantes dune entité hybride qui fonctionnent comme des prestataires de soins de santé et conduisent certaines transactions électroniques standard doivent être incluses dans le (s) composant (s) de soins de santé de lentité hybride et être soumises à la règle de confidentialité. Cependant, les éléments de recherche qui fonctionnent comme des fournisseurs de soins de santé, mais qui neffectuent pas ces transactions électroniques, peuvent, sans y être tenus, être inclus dans le ou les composants de soins de santé de lentité hybride. Par exemple, si luniversité dans lexemple ci-dessus a également un laboratoire de recherche qui fonctionne comme un fournisseur de soins de santé mais ne sengage pas dans des transactions électroniques spécifiées, luniversité en tant quentité hybride a la possibilité dinclure ou dexclure le laboratoire de recherche de sa santé. composante de soins. Si un tel laboratoire de recherche est inclus dans le volet soins de santé de l’entité hybride, alors les employés ou membres du personnel du laboratoire doivent se conformer à la règle de confidentialité. Mais si le laboratoire de recherche est exclu du volet soins de santé de lentité hybride, les employés ou membres du personnel du laboratoire ne sont effectivement pas soumis à la règle de confidentialité.

Lentité hybride nest toutefois pas autorisée à inclure dans sa composante de soins de santé, une composante de recherche qui ne fonctionne pas comme un fournisseur de soins de santé ou nexerce pas de fonctions de type associé. Par exemple, un composant de recherche qui effectue uniquement des recherches documentaires neffectue pas de fonctions couvertes ou de type associé et, par conséquent, ne peut pas être inclus dans le composant de soins de santé de lentité hybride.

Entité hybride – Une seule entité juridique qui est une entité couverte, exerce des activités commerciales qui incluent à la fois des fonctions couvertes et non couvertes, et désigne ses composantes de soins de santé comme prévu dans la règle de confidentialité. Si une entité couverte est une entité hybride, la règle de confidentialité sapplique généralement uniquement à ses composantes de soins de santé désignées. Cependant, les composantes non sanitaires dune entité hybride peuvent être affectées parce que la composante soins de santé est limitée dans la manière dont elle peut partager les RPS avec la composante non sanitaire. Lentité couverte conserve également certaines responsabilités de surveillance, de conformité et dapplication.

Partenaires commerciaux

La règle de confidentialité protège également les informations de santé identifiables individuellement lorsquelles sont créées ou conservées par une personne ou une entité exercer certaines fonctions pour le compte dune entité couverte – un associé commercial. Un associé commercial est une personne ou une entité qui nest pas membre du personnel et qui exerce ou aide à exécuter, pour ou au nom dune entité couverte, une fonction ou une activité réglementée par les règles de simplification administrative de la HIPAA, y compris la règle de confidentialité, impliquant lutilisation ou la divulgation dinformations de santé identifiables individuellement, ou qui fournit certains services à une entité couverte qui impliquent lutilisation ou la divulgation dinformations de santé individuellement identifiables.Étant donné que les règles de simplification administrative de la HIPAA ne réglementent pas directement les activités de recherche, la règle de confidentialité nexige pas quun chercheur ou un commanditaire de recherche devienne un associé commercial dune entité couverte à des fins de recherche. Cependant, une entité couverte peut engager des associés commerciaux pour aider à dépersonnaliser les PHI, pour préparer des ensembles de données limités ou pour effectuer une agrégation de données. La règle de confidentialité exige quune entité couverte conclue un contrat écrit, ou un autre accord autorisé par la règle si les deux parties sont des entités gouvernementales, avec ses associés commerciaux. Les dispositions relatives aux entreprises associées de la règle se trouvent aux sections 164.502 (e) et 164.504 (e). En règle générale, une entité couverte peut, aux fins autorisées par la règle de confidentialité et spécifiées dans son accord écrit avec son associé commercial, divulguer des PHI à cet associé et autoriser ce dernier à utiliser, créer ou recevoir des PHI en son nom. Avant que lentité couverte ne divulgue le RPS à lassocié commercial, lentité couverte doit obtenir des assurances satisfaisantes, généralement sous la forme dun contrat, que lassocié commercial protégera les informations de manière appropriée. À quelques exceptions près, le contrat ne peut pas autoriser lassocié commercial à utiliser ou à divulguer davantage les renseignements personnels dune manière qui enfreindrait la règle de confidentialité si elle était effectuée directement par lentité couverte.

Associé commercial – Une personne ou entité qui, au nom dune entité couverte, exécute ou aide à lexécution dune fonction ou dune activité impliquant lutilisation ou la divulgation dinformations de santé individuellement identifiables, telles que lanalyse des données, le traitement ou ladministration des demandes de règlement, lexamen de lutilisation et les examens dassurance qualité, ou toute autre fonction ou activité réglementée par les règles de simplification administrative de la HIPAA, y compris la règle de confidentialité. Les associés commerciaux sont également des personnes ou entités qui fournissent des services juridiques, actuariels, comptables, de conseil, dagrégation de données, de gestion, dadministration, daccréditation ou financiers à ou pour une entité couverte lorsque la prestation de ces services implique la divulgation dinformations de santé individuellement identifiables par lentité couverte ou un autre associé commercial de lentité couverte à cette personne ou entité. Un membre du personnel d’une entité couverte ne fait pas partie de ses associés commerciaux. Une entité couverte peut être un associé commercial dune autre entité couverte.

Détermination de votre statut en vertu de la règle de confidentialité

Déterminer si un chercheur individuel doit se conformer à la règle de confidentialité est un fait -Détermination sensible et individualisée. La réponse à cette question peut dépendre de lorganisation de lentité avec laquelle un chercheur entretient une relation. Les questions sur le statut d’un chercheur en vertu de la règle de confidentialité doivent être adressées aux représentants appropriés au sein de cette organisation. Ni le gouvernement fédéral ni ce livret ne prennent, ou ne devraient être interprétés comme faisant, cette détermination. HHS a développé un ensemble doutils pour aider une entité à déterminer sil sagit dun plan de santé, dun centre déchange dinformations sur les soins de santé ou dun fournisseur de soins de santé couvert qui sera soumis à la règle de confidentialité. Ces outils sont disponibles au lien suivant: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *