개인 정보 보호 규칙은 누구에게 적용되고 누가 적용됩니까? 영향?
요점 :
- 개인 정보 보호 규칙은 적용 대상에만 적용됩니다. 개인 식별이 가능한 건강 정보를 사용, 수집, 액세스 및 공개하는 많은 조직은 해당 대상이 아니므로 개인 정보 보호 규칙을 준수 할 필요가 없습니다.
- 개인 정보 보호 규칙은 연구에 적용되지 않습니다. 연구자가있을 수도 있고 아닐 수도있는 대상 대상에 적용됩니다. 이 규칙은 정보에 대한 액세스에 영향을 미칠 수 있기 때문에 연구원에게 영향을 미칠 수 있지만 연구원이나 연구 자체를 규제하지는 않습니다.
- 해당 기관이 생성하거나 유지 관리하는 PHI에 대한 연구 목적으로 액세스 권한을 얻으려면 연구원은 해당 주체가 개인 정보 보호 규칙의 요구 사항, 조건 및 제한 사항을 충족하는 데 의존 할 수있는 지원 문서를 제공해야 할 수 있습니다.
개인 정보 보호 규칙은 해당 주체에만 적용됩니다. 개인 식별이 가능한 건강 정보를 수집하는 모든 개인이나 기관에는 적용되지 않습니다. 그러나 예를 들어 PHI를 제공하기 위해 적용 대상 주체에 의존하는 경우 규칙에 의해 직접 규제되지 않는 다른 유형의 주체에 영향을 미칠 수 있습니다. 연구자들은 그들이 운영하는 다양한 유형의 조직에서 규칙이 그들에게 어떤 영향을 미칠 수 있는지, 그리고 연구를 계속하거나 새로운 연구 노력을 시작하기 위해해야 할 일을 알고 있어야합니다. 개인 정보 보호 규칙.
해당 법인
해당 법인은 HIPAA 규칙에서 (1) 건강 보험, (2) 건강 관리 정보 센터 및 (3) 다음과 같은 건강 관리 제공자로 정의됩니다. HHS가 표준을 채택한 거래와 관련하여 모든 건강 정보를 전자적으로 전송합니다. 일반적으로 이러한 거래는 서비스 또는 보험 적용에 대한 청구 및 지불과 관련됩니다. 예를 들어, 청구 거래 정보를 직접 또는 중개자를 통해 건강 플랜에 전자 방식으로 전송하는 병원, 학술 의료 센터, 의사 및 기타 의료 서비스 제공 업체는 보장 대상입니다. 적용 대상은 기관, 조직 또는 개인 일 수 있습니다.
연구자가 HHS가 표준을 채택한 거래와 관련하여 건강 정보를 전자적으로 전송하는 의료 서비스 제공자 인 경우에도 적용 대상이됩니다. 예를 들어, 임상 연구를 수행하거나 연구 과정에서 참가자에게 실험적 치료제를 투여하는 의사는 해당 대상의 HIPAA 정의를 충족하는 경우 개인 정보 보호 규칙을 준수해야합니다.
건강 계획 – 특정 예외 사항 제외 , 의료 비용을 제공하거나 지불하는 개인 또는 그룹 플랜 (PHS 법, 42 USC 300gg-91 (a) (2)의 섹션 2791 (a) (2)에 정의 됨). 이 법은 특히 건강 보험으로 여러 유형의 조직 및 정부 프로그램을 포함합니다.
Health Care Clearinghouse – 청구 서비스, 가격 재조정 회사, 지역 사회 건강 관리 정보 시스템 또는 지역 사회 건강 정보 시스템 및 “부가가치 ”다른 엔티티로부터 수신 된 건강 정보를 비표준 형식으로 처리하거나 비표준 데이터 콘텐츠를 포함하는 표준 데이터 요소 또는 표준 트랜잭션으로 처리하거나 용이하게하거나, 다른 엔티티로부터 표준 트랜잭션을 수신하고 처리를 용이하게하는 네트워크 및 스위치 의료 정보를 비표준 형식 또는 비표준 데이터 콘텐츠로 변환합니다.
의료 제공자 – 서비스 제공자 (법, 42 USC 1395x (u)의 섹션 1861 (u)에 정의 됨), 의료 또는 건강 서비스 (법 1861 (s), 42 USC 1395x (s)) 및 기타 개인 또는 조직 정상적인 업무 과정에서 의료 서비스를 제공하거나 청구하거나 비용을 지불받는 사람.
건강 관리 – (1) 예방, 진단, 치료, 재활, 치료를 포함하여 개인의 건강과 관련된 의료, 서비스 또는 용품 신체의 구조 또는 기능에 영향을 미치는 개인의 신체적 또는 정신적 상태 또는 기능적 상태와 관련된 유지 관리 또는 완화 치료, 상담, 서비스, 평가 또는 절차; 및 (2) 처방전에 따라 약물, 장치, 장비 또는 기타 품목의 판매 또는 조제.하이브리드 엔티티
개인 정보 보호 규칙에 따라 규모 나 복잡성에 관계없이 적용 대상의 정의는 일반적으로 전체적으로 개인 정보 보호 규칙의 적용을받습니다. 그러나 프라이버시 규칙은 하이브리드 엔티티 지정 조항을 통해 많은 해당 엔티티가 규칙의 글로벌 적용을 피할 수있는 수단을 제공합니다. 이 지정은 법인의 어느 부분이 개인 정보 보호 규칙을 준수해야하는지 결정합니다.
모든 단일 법인은 비즈니스 운영의 일부로 적용되는 기능과 적용되지 않는 기능을 모두 수행하는 경우 하이브리드 법인으로 선택할 수 있습니다. 보장되는 기능은 수행자가 의료 보험, 의료 서비스 제공자 또는 의료 정보 센터가되도록 수행하는 모든 기능입니다. 하이브리드 엔터티가 되려면 해당 엔터티가 조직 내에서 의료 구성 요소를 지정해야합니다. 건강 관리 구성 요소는 해당 구성 요소가 별도의 법인 인 경우 적용 대상의 정의를 충족하는 모든 구성 요소를 포함해야합니다. 건강 관리 구성 요소에는 보장되는 기능 (즉, 보장되지 않는 의료 서비스 제공자)을 수행하거나 법적으로 분리 된 경우 해당 구성 요소를 기업의 비즈니스 동료로 만드는 활동을 수행하는 구성 요소도 포함될 수 있습니다. 하이브리드 법인 내에서 개인 정보 보호 규칙의 대부분의 요구 사항은 건강 관리 구성 요소에만 적용되지만 해당 법인은 특정 감독, 준수 및 집행 의무를 유지합니다.
예 : 대학 HHS가 표준을 채택한 전자 거래를 수행하는 학술 의료 센터의 병원을 포함하는 단일 법인 일 수 있습니다. 병원이 법인의 일부이기 때문에 병원을 포함한 전체 대학이 보험 대상이됩니다. 그러나 대학은 하이브리드 법인으로 선택할 수 있습니다. 그렇게하려면 병원을 건강 관리 요소로 지정해야합니다. 대학은 또한 해당 기능 또는 비즈니스 동료와 같은 기능을 수행하는 다른 구성 요소를 지정에 포함 할 수 있습니다. 그러면 대부분의 개인 정보 보호 규칙 요구 사항은 대학의 병원 부분 및 기타 지정된 구성 요소에만 적용됩니다. 개인 정보 보호 규칙은 이러한 구성 요소에 의해 또는이를 대신하여 생성, 수신 또는 유지되는 PHI에만 적용됩니다. 병원에서 대학의 나머지 부분에 대한 PHI 공개는 대학 외부 기관에 대한 공개와 동일한 방식으로 개인 정보 보호 규칙에 의해 규제됩니다.
의료 제공자 역할을하고 행동을 수행하는 하이브리드 기관의 구성 요소를 조사합니다. 특정 표준 전자 거래는 하이브리드 엔티티의 건강 관리 구성 요소에 포함되어야하며 개인 정보 보호 규칙의 적용을 받아야합니다. 그러나 의료 제공자의 역할을하지만 이러한 전자 거래를 수행하지 않는 연구 구성 요소는 하이브리드 엔티티의 의료 구성 요소에 포함될 수 있지만 반드시 필요한 것은 아닙니다. 예를 들어, 위의 예에서 대학에 의료 서비스 제공자 역할을하지만 특정 전자 거래에 관여하지 않는 연구 실험실이있는 경우 하이브리드 독립 체인 대학은 연구 실험실을 건강에서 포함하거나 제외 할 수 있습니다. 케어 구성 요소. 그러한 연구 실험실이 하이브리드 법인의 건강 관리 구성 요소에 포함되는 경우, 실험실의 직원 또는 직원은 개인 정보 보호 규칙을 준수해야합니다. 그러나 연구실이 하이브리드 엔티티의 건강 관리 구성 요소에서 제외되는 경우 실험실 직원 또는 직원은 사실상 개인 정보 보호 규칙의 적용을받지 않습니다.
그러나 하이브리드 엔티티는 포함 할 수 없습니다. 건강 관리 구성 요소에서 의료 서비스 제공자로 기능하지 않거나 비즈니스 동료와 같은 기능을 수행하지 않는 연구 구성 요소. 예를 들어, 순전히 기록 연구를 수행하는 연구 구성 요소는 보장되거나 비즈니스 동료와 같은 기능을 수행하지 않으므로 하이브리드 개체의 의료 구성 요소에 포함될 수 없습니다.
하이브리드 개체 – 단일 법인 이는 보장 대상이며 보장되는 기능과 보장되지 않는 기능을 모두 포함하는 비즈니스 활동을 수행하고 개인 정보 보호 규칙에 제공된대로 의료 구성 요소를 지정합니다. 적용 대상이 하이브리드 엔터티 인 경우 개인 정보 보호 규칙은 일반적으로 지정된 의료 구성 요소에만 적용됩니다. 그러나, 건강 관리 구성 요소가 PHI를 비 건강 관리 구성 요소와 공유 할 수있는 방법에 제한이 있기 때문에 하이브리드 엔티티의 비 의료 구성 요소가 영향을받을 수 있습니다. 해당 주체는 또한 특정 감독, 규정 준수 및 집행 책임을 유지합니다.
Business Associates
개인 정보 보호 규칙은 개인 또는 주체가 생성하거나 유지 관리 할 때 개별적으로 식별 가능한 건강 정보도 보호합니다. 적용 대상인 비즈니스 동료를 대신하여 특정 기능을 수행합니다. 비즈니스 동료는 인력의 구성원이 아니며 개인 정보 보호 규칙을 포함하여 HIPAA 관리 단순화 규칙에 의해 규제되는 기능 또는 활동을 해당 법인을 위해 또는 대신하여 수행하거나 수행하는 데 도움을주는 개인 또는 법인입니다. 개별적으로 식별 가능한 건강 정보의 사용 또는 공개를 포함하거나, 개별적으로 식별 가능한 건강 정보의 사용 또는 공개와 관련된 특정 서비스를 해당 대상에 제공하는 경우.HIPAA 행정 단순화 규칙은 연구 활동을 직접 규제하지 않기 때문에 개인 정보 보호 규칙은 연구자 또는 연구 후원자가 연구 목적으로 대상 대상의 비즈니스 동료가 될 것을 요구하지 않습니다. 그러나 해당 대상은 비즈니스 동료를 고용하여 PHI를 비 식별 화하거나 제한된 데이터 세트를 준비하거나 데이터 집계를 수행 할 수 있습니다. 개인 정보 보호 규칙은 해당 주체가 서면 계약을 체결하거나 양 당사자가 해당 사업 동료와 함께 정부 기관인 경우 규칙에서 허용하는 다른 계약을 체결하도록 요구합니다. 규칙의 비즈니스 관련 조항은 섹션 164.502 (e) 및 164.504 (e)에서 찾을 수 있습니다. 일반적으로 해당 법인은 개인 정보 보호 규칙에서 허용하고 사업 동료와의 서면 계약에 명시된 목적에 따라 해당 사업 동료에게 PHI를 공개하고 사업 동료가 대신 PHI를 사용, 생성 또는받을 수 있도록 허용 할 수 있습니다. 해당 대상이 PHI를 비즈니스 동료에게 공개하기 전에 해당 대상은 일반적으로 계약 형태로 비즈니스 동료가 정보를 적절하게 보호 할 것이라는 만족스러운 보증을 얻어야합니다. 몇 가지 제한적인 예외를 제외하고 계약은 해당 주체가 직접 수행 할 경우 개인 정보 보호 규칙을 위반하는 방식으로 PHI를 사용하거나 추가로 공개하도록 비즈니스 동료에게 승인하지 않을 수 있습니다.
비즈니스 동료 – 사람 또는 해당 주체를 대신하여 데이터 분석, 청구 처리 또는 관리, 이용 검토 및 품질 보증 검토와 같은 개별적으로 식별 가능한 건강 정보의 사용 또는 공개와 관련된 기능 또는 활동의 수행을 수행하거나 지원하는 주체, 또는 개인 정보 보호 규칙을 포함하여 HIPAA 관리 단순화 규칙에 의해 규제되는 기타 기능 또는 활동. 비즈니스 동료는 또한 해당 서비스를 수행하는 데 해당 대상이 개별적으로 식별 할 수있는 건강 정보를 공개하는 것이 포함되는 경우 해당 대상에 대해 법률, 계리, 회계, 컨설팅, 데이터 집계, 관리, 행정, 인증 또는 금융 서비스를 수행하는 개인 또는 단체입니다. 해당 개인 또는 법인에 대한 해당 법인의 다른 비즈니스 동료. 해당 법인의 인력 구성원은 비즈니스 동료가 아닙니다. 해당 대상은 다른 대상 대상의 비즈니스 동료 일 수 있습니다.
개인 정보 보호 규칙에 따른 귀하의 상태 결정
개별 연구자가 개인 정보 보호 규칙을 준수해야하는지 여부는 사실입니다. -민감하고 개별화 된 결정. 이 질문에 대한 대답은 연구자가 관계를 맺고있는 개체가 어떻게 구성되어 있는지에 따라 달라질 수 있습니다. 개인 정보 보호 규칙에 따른 연구원의 상태에 대한 질문은 해당 조직 내의 해당 담당자에게 문의해야합니다. 연방 정부 나이 책자는이 결정을 내리거나 내 리도록 해석되어서는 안됩니다. HHS는 개인 정보 보호 규칙이 적용되는 건강 보험, 건강 관리 정보 센터 또는 보장되는 건강 관리 제공자인지 여부를 결정하는 데 도움이되는 도구 세트를 개발했습니다. 이러한 도구는 다음 링크에서 사용할 수 있습니다. http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.