A HIPAA adatvédelmi szabálya és hatása a kutatásra


Kire vonatkozik az adatvédelmi szabály Befolyásolja?

Főbb szempontok:

  • Az adatvédelmi szabály csak a hatálya alá tartozó entitásokra vonatkozik. Számos olyan szervezet, amely egyenként azonosítható egészségügyi információkat használ, gyűjt, hozzáfér és hozzáférhetővé teszi azokat, nem tartozik a hatálya alá tartozó szervezetek közé, így nem kell betartania az adatvédelmi szabályt.
  • Az adatvédelmi szabály nem vonatkozik a kutatásra; a lefedett szervezetekre vonatkozik, amelyek a kutatók lehetnek vagy nem. A szabály hatással lehet a kutatókra, mivel befolyásolhatja az információkhoz való hozzáférésüket, de önmagukban nem szabályozza őket vagy a kutatásokat.
  • Ahhoz, hogy kutatási célból hozzáférést kapjon a lefedett szervezetek által létrehozott vagy fenntartott PHI-hez, a kutató előfordulhat, hogy igazoló dokumentációt kell benyújtania, amelyre az érintett entitás támaszkodhat az adatvédelmi szabály követelményeinek, feltételeinek és korlátozásainak teljesítésében.

Az adatvédelmi szabály csak a hatálya alá tartozó szervezetekre vonatkozik; nem vonatkozik minden olyan személyre vagy intézményre, amely egyénileg azonosítható egészségügyi információkat gyűjt. Hatással lehet azonban más típusú entitásokra, amelyeket a szabályozás nem közvetlenül szabályoz, ha például a lefedett szervezetekre támaszkodnak a PHI nyújtásában. Fontos, hogy a kutatók tisztában legyenek azzal, hogy a szabály hogyan befolyásolhatja őket a különféle típusú szervezetekben, amelyekben működnek, és mit tehetnek a kutatások folytatása vagy új kutatási erőfeszítések megkezdése érdekében a az adatvédelmi szabály.

Érintett szervezetek

A lefedett entitásokat a HIPAA szabályai az alábbiak szerint határozzák meg: (1) egészségügyi tervek, (2) egészségügyi elszámolóházak és (3) azok az egészségügyi szolgáltatók, akik elektronikus úton továbbít minden egészségügyi információt olyan tranzakciókkal kapcsolatban, amelyekre a HHS szabványokat fogadott el. Általában ezek a tranzakciók a számlázásra és a szolgáltatások kifizetésére vagy a biztosítási fedezetre vonatkoznak. Például azok a kórházak, egyetemi orvosi központok, orvosok és más egészségügyi szolgáltatók, amelyek elektronikus úton közvetlenül vagy közvetítőn keresztül továbbítják a kárigényekkel kapcsolatos ügyletekkel kapcsolatos információkat az egészségügyi tervhez, az érintett szervezetek. Az érintett szervezetek lehetnek intézmények, szervezetek vagy személyek.

A kutatók akkor is érintettek, ha egészségügyi szolgáltatók is, akik elektronikus úton továbbítják az egészségügyi információkat minden olyan tranzakció kapcsán, amelyre a HHS szabványt fogadott el. Például azoknak az orvosoknak, akik klinikai vizsgálatokat végeznek, vagy kísérleti terápiákat adnak a résztvevőknek egy vizsgálat során, be kell tartaniuk az adatvédelmi szabályt, ha megfelelnek a fedett entitás HIPAA definíciójának.

Egészségügyi terv – bizonyos kivételekkel , egyéni vagy csoportos terv, amely biztosítja vagy fizeti az orvosi ellátás költségeit (a PHS törvény 2791. cikke a) pontjának 2. alpontjában meghatározottak szerint, 42 USC 300gg-91 (a) (2)). A törvény kifejezetten sokféle szervezetet és kormányzati programot tartalmaz egészségügyi tervként.
Egészségügyi Elszámolóház – állami vagy magánvállalkozás, ideértve a számlázási szolgáltatást, a társaság átárazását, a közösségi egészségirányítási információs rendszert vagy a közösségi egészségügyi információs rendszert, és ”Hálózatok és kapcsolók, amelyek vagy feldolgozzák, vagy megkönnyítik a más entitástól kapott, nem szabványos formában vagy nem szabványos adattartalmat tartalmazó egészségügyi információk feldolgozását szabványos adatelemekké vagy szokásos tranzakcióvá, vagy egy másik tranzakciótól kapnak szabványos tranzakciót, és feldolgozzák vagy megkönnyítik a feldolgozást egészségügyi információk nem szabványos formátumban vagy nem szabványos adattartalomban a fogadó szervezetnél.
Egészségügyi szolgáltató – Szolgáltató (a törvény 1861. szakaszának u) pontjában meghatározottak szerint, 42 USC 1395x (u)), a orvosi vagy egészségügyi szolgáltatások (a törvény 1861 (s) paragrafusában meghatározottak szerint, 42 USC 1395x (s)) és bármely más személy vagy szervezet aki a szokásos üzleti tevékenység során egészségügyi szolgáltatásokat nyújt, számlákat számláz vagy fizet az egészségügyért.
Egészségügy – Az egyén egészségével kapcsolatos ellátás, szolgáltatások vagy ellátás, beleértve (1) megelőző, diagnosztikai, terápiás, rehabilitációs, karbantartás vagy palliatív ellátás, valamint tanácsadás, szolgáltatás, értékelés vagy eljárás az egyén fizikai vagy mentális állapotára vagy funkcionális állapotára vonatkozóan, amely befolyásolja a test szerkezetét vagy működését; és (2) gyógyszer, eszköz, felszerelés vagy más termék eladása vagy kiadása vény szerint.

Hibrid entitások

Az adatvédelmi szabály szerint minden olyan szervezet, amely megfelel a a lefedett entitás meghatározása, méretétől vagy összetettségétől függetlenül, általában teljes egészében az adatvédelmi szabály hatálya alá tartozik. Az adatvédelmi szabály azonban olyan eszközt biztosít, amely révén számos érintett szervezet elkerülheti a szabály globális alkalmazását a hibrid entitásmegjelölési rendelkezések révén. Ez a kijelölés megállapítja, hogy az entitás mely részeinek kell megfelelniük az adatvédelmi szabálynak.

Bármely jogi személy választhat hibrid jogalanynak, ha üzleti tevékenységének részeként lefedett és nem fedett funkciókat is ellát. Fedett funkció minden olyan funkció, amelynek teljesítése az előadót egészségügyi tervvé, egészségügyi szolgáltatóvá vagy egészségügyi elszámolóházgá teszi. Ha hibrid entitássá akar válni, az érintett szervezetnek meg kell jelölnie a szervezetében lévő egészségügyi elemeket. Az egészségügyi ellátás összetevőinek tartalmazniuk kell minden olyan összetevőt, amely megfelelne a hatálya alá tartozó jogalany fogalmának, ha ez az elem külön jogi személy lenne. Az egészségügyi elem magában foglalhat minden olyan elemet is, amely lefedi a lefedett funkciókat (azaz nem fedett egészségügyi szolgáltató), vagy olyan tevékenységeket végez, amelyek az alkotóelemet az egység üzleti társává tennék, ha jogilag elkülönülne. A hibrid entitáson belül az adatvédelmi szabály követelményeinek többsége csak az egészségügyi komponens (ek) re vonatkozik, bár az érintett szervezet fenntart bizonyos felügyeleti, megfelelési és végrehajtási kötelezettségeket.

Például egy egyetem lehet egyetlen jogi személy, amely magában foglal egy egyetemi orvosi központ kórházát, amely elektronikus tranzakciókat folytat, amelyekre a HHS szabványokat fogadott el. Mivel a kórház a jogi személy része, az egész egyetem, beleértve a kórházat is, fedett szervezet lesz. Az egyetem azonban hibrid entitássá válhat. Ehhez meg kell jelölnie a kórházat egészségügyi elemként. Az egyetemnek lehetősége van a megjelölésbe beilleszteni más összetevőket is, amelyek lefedik a feladatokat, vagy üzleti partneri jellegű funkciókat látnak el. Az adatvédelmi szabály követelményeinek nagy része ekkor csak az egyetem kórházi részére és bármely más kijelölt elemre vonatkozna. Az adatvédelmi szabály csak az ezen összetevők által létrehozott, kapott vagy fenntartott PHI-t irányítaná. A kórház által az egyetem többi részének a PHI általi nyilvánosságra hozatalát az adatvédelmi szabályzat ugyanúgy szabályozza, mint az egyetemen kívüli szervezeteknek történő közzétételt. Bizonyos szokásos elektronikus tranzakciókat be kell vonni a hibrid egység egészségügyi elemébe (alkotóelemeibe), és azokra az adatvédelmi szabálynak kell vonatkoznia. Azok a kutatási komponensek azonban, amelyek egészségügyi szolgáltatóként működnek, de nem hajtják végre ezeket az elektronikus tranzakciókat, feltehetők, de nem is kötelezőek, a hibrid szervezet egészségügyi alkotóeleme (i) be. Például, ha a fenti példában szereplő egyetemnek van egy kutatólaboratóriuma, amely egészségügyi szolgáltatóként működik, de nem végez meghatározott elektronikus tranzakciókat, az egyetemnek hibrid egységként lehetősége van a kutatólaboratóriumot bevonni vagy kizárni az egészségéből ápoló komponens. Ha egy ilyen kutatólaboratórium szerepel a hibrid szervezet egészségügyi elemében, akkor a laboratórium alkalmazottainak vagy munkatársainak be kell tartaniuk az adatvédelmi szabályt. De ha a kutatólaboratóriumot kizárják a hibrid egység egészségügyi eleméből, akkor a laboratórium alkalmazottai vagy munkatársai gyakorlatilag nem tartoznak az adatvédelmi szabály hatálya alá.

A hibrid szervezet azonban nem engedélyezheti egészségügyi összetevőjében egy olyan kutatási komponens, amely nem működik egészségügyi szolgáltatóként, vagy nem végez üzleti partneri jellegű feladatokat. Például a pusztán nyilvántartási kutatásokat végző kutatási komponens nem fedezett vagy üzleti munkatárs jellegű feladatokat lát el, ezért nem vehető fel a hibrid szervezet egészségügyi komponensébe.

Hibrid entitás – egyetlen jogi személy amely egy fedett entitás, olyan üzleti tevékenységeket végez, amelyek mind a fedett, mind a nem fedett funkciókat magukban foglalják, és az adatvédelmi szabályban előírtak szerint kijelöli egészségügyi alkatrészeit. Ha a fedett entitás hibrid entitás, az adatvédelmi szabály általában csak a kijelölt egészségügyi összetevőkre vonatkozik. Mindazonáltal a hibrid entitás nem-egészségügyi ellátási összetevői érintettek lehetnek, mivel az egészségügyi komponens korlátozott mértékben osztja meg a PHI-t a nem egészségügyi ellátással. A lefedett entitás bizonyos felügyeleti, megfelelési és végrehajtási felelősségeket is megtart.

Üzleti partnerek

Az adatvédelmi szabály az egyénileg azonosítható egészségügyi információkat is védi, ha azokat egy személy vagy entitás hozza létre vagy tartja fenn. bizonyos funkciók ellátása a fedezett szervezet – üzleti munkatárs nevében. Üzleti munkatárs az a személy vagy szervezet, amely nem tagja a munkaerőnek, és a HIPAA adminisztratív egyszerűsítési szabályai, ideértve az adatvédelmi szabályt is szabályozza, vagy a fedett entitás nevében végez vagy segíti annak végrehajtását, magában foglalja az egyénileg azonosítható egészségügyi információk felhasználását vagy nyilvánosságra hozatalát, vagy amely bizonyos szolgáltatásokat nyújt egy érintett szervezet számára, amely magában foglalja az egyénileg azonosítható egészségügyi információk felhasználását vagy nyilvánosságra hozatalát.Mivel a HIPAA adminisztratív egyszerűsítési szabályai nem szabályozzák közvetlenül a kutatási tevékenységeket, az adatvédelmi szabály nem követeli meg, hogy egy kutató vagy kutatási szponzor kutatási célból egy fedett entitás üzleti társulattá váljon. A fedezett entitás azonban üzleti partnereket is bevonhat a PHI azonosításának megszüntetésébe, korlátozott adatsorok előkészítésébe vagy az adatok összesítésébe. Az adatvédelmi szabály megköveteli, hogy a hatálya alá tartozó szervezet írásbeli szerződést kössön, vagy a szabály által megengedett egyéb megállapodást kössön üzleti partnereivel, ha mindkét fél kormányzati szerv. A szabály üzleti társult rendelkezései a 164.502 (e) és az 164.504 (e) szakaszokban találhatók. Általában a fedezett szervezet az Adatvédelmi Szabályzat által megengedett és az üzleti társával kötött írásbeli megállapodásában meghatározott célokból nyilvánosságra hozhatja a PHI-t az adott üzleti munkatársnak, és engedélyezheti az üzleti társult számára, hogy a nevében PHI-t használjon, létrehozzon vagy fogadjon. Mielőtt a fedezett gazdálkodó nyilvánosságra hozná a PHI-t az üzleti társult számára, a fedezett szervezetnek kielégítő biztosítékokat kell szereznie, általában szerződés formájában, hogy az üzleti társult megfelelően meg fogja védeni az információkat. Néhány korlátozott kivételtől eltekintve a szerződés nem engedélyezheti az üzleti társult számára a PHI használatát vagy további közzétételét olyan módon, amely sérti az adatvédelmi szabályt, ha azt közvetlenül a fedett szervezet végzi.

Üzleti munkatárs – személy vagy olyan szervezet, amely a fedezett entitás nevében olyan funkciót vagy tevékenységet végez vagy segít végrehajtani, amely magában foglalja az egyénileg azonosítható egészségügyi információk felhasználását vagy nyilvánosságra hozatalát, például adatelemzés, állítások feldolgozása vagy adminisztrációja, felhasználási felülvizsgálat és minőségbiztosítási felülvizsgálatok, vagy bármely más funkció vagy tevékenység, amelyet a HIPAA adminisztratív egyszerűsítési szabályok szabályoznak, ideértve az adatvédelmi szabályt is. Az üzleti partnerek olyan személyek vagy szervezetek is, akik jogi, biztosításmatematikai, könyvelési, tanácsadási, adatgyűjtési, kezelési, igazgatási, akkreditációs vagy pénzügyi szolgáltatásokat nyújtanak a fedezett jogalany számára vagy annak érdekében, ha ezeknek a szolgáltatásoknak az elvégzése magában foglalja az egyénileg azonosítható egészségügyi információk nyilvánosságra hozatalát az érintett szervezet által, vagy a fedezett szervezet másik üzleti munkatársa az adott személyhez vagy szervezethez A fedezett gazdálkodó egység tagjai nem tartoznak üzleti partnereik közé. A fedett entitás egy másik érintett entitás üzleti partnere lehet.

Állapotának meghatározása az adatvédelmi szabály alapján

Tény, hogy annak meghatározása, hogy egy kutatónak be kell-e tartania az adatvédelmi szabályt? -érzékeny, individualizált elszántság. A válasz erre a kérdésre attól függ, hogyan szerveződik az az entitás, amellyel a kutató kapcsolatban áll. Az adatvédelmi szabály alapján a kutató státuszával kapcsolatos kérdéseket a szervezet megfelelő képviselőinek kell továbbítani. Sem a szövetségi kormány, sem ez a füzet nem adja meg, és nem is szabad úgy értelmezni ezt az elhatározást. A HHS olyan eszközöket fejlesztett ki, amelyek segítenek egy szervezetet annak eldöntésében, hogy egészségügyi tervre, egészségügyi elszámolóházra vagy fedett egészségügyi szolgáltatóra vonatkozik-e az adatvédelmi szabály. Ezek az eszközök a következő linken érhetők el: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük