La normativa sulla privacy HIPAA e i suoi impatti sulla ricerca


A chi si applica la regola sulla privacy e a chi Influenza?

Punti chiave:

  • La regola sulla privacy si applica solo alle entità coperte. Molte organizzazioni che utilizzano, raccolgono, accedono e divulgano informazioni sanitarie identificabili individualmente non saranno entità coperte e, pertanto, non dovranno rispettare la Norma sulla privacy.
  • La Regola sulla privacy non si applica alla ricerca; si applica alle entità coperte, che i ricercatori possono essere o meno. La Regola può influenzare i ricercatori perché può influenzare il loro accesso alle informazioni, ma non li regola o ricerca, di per sé.
  • Per ottenere laccesso per scopi di ricerca a PHI creati o mantenuti da entità coperte, il ricercatore potrebbe dover fornire la documentazione di supporto su cui lentità coperta può fare affidamento per soddisfare i requisiti, le condizioni e le limitazioni della Regola sulla privacy.

La Regola sulla privacy si applica solo alle entità coperte; non si applica a tutte le persone o istituzioni che raccolgono informazioni sanitarie identificabili individualmente. Può, tuttavia, influenzare altri tipi di entità che non sono direttamente regolamentate dalla Regola se, ad esempio, si affidano a entità coperte per fornire PHI. È importante che i ricercatori siano consapevoli di come la Regola potrebbe influenzarli nei vari tipi di organizzazioni in cui operano e cosa potrebbero dover fare per continuare la loro ricerca o iniziare nuovi sforzi di ricerca dopo la data di conformità per la Normativa sulla privacy.

Entità coperte

Le entità coperte sono definite nelle regole HIPAA come (1) piani sanitari, (2) centri di compensazione dellassistenza sanitaria e (3) fornitori di assistenza sanitaria che trasmettere elettronicamente qualsiasi informazione sanitaria in relazione a transazioni per le quali HHS ha adottato standard. Generalmente, queste transazioni riguardano la fatturazione e il pagamento di servizi o coperture assicurative. Ad esempio, ospedali, centri medici accademici, medici e altri fornitori di assistenza sanitaria che trasmettono elettronicamente le informazioni sulle transazioni dei sinistri direttamente o tramite un intermediario a un piano sanitario sono entità coperte. Le entità coperte possono essere istituzioni, organizzazioni o persone.

I ricercatori sono entità coperte se sono anche fornitori di assistenza sanitaria che trasmettono elettronicamente informazioni sanitarie in relazione a qualsiasi transazione per la quale HHS ha adottato uno standard. Ad esempio, i medici che conducono studi clinici o somministrano terapie sperimentali ai partecipanti durante il corso di uno studio devono rispettare la normativa sulla privacy se soddisfano la definizione HIPAA di entità coperta.

Piano sanitario – Con alcune eccezioni , un piano individuale o di gruppo che fornisce o paga il costo delle cure mediche (come definito nella sezione 2791 (a) (2) del PHS Act, 42 USC 300gg-91 (a) (2)). La legge include specificamente molti tipi di organizzazioni e programmi governativi come piani sanitari.
Health Care Clearinghouse – Un ente pubblico o privato, che include un servizio di fatturazione, una società di revisione dei prezzi, un sistema informativo di gestione sanitaria della comunità o un sistema informativo sanitario comunitario e “Reti e switch che elaborano o facilitano lelaborazione di informazioni sanitarie ricevute da unaltra entità in un formato non standard o che contengono contenuti di dati non standard in elementi di dati standard o una transazione standard, oppure ricevono una transazione standard da unaltra entità ed elaborano o facilitano lelaborazione di informazioni sanitarie in un formato non standard o contenuto di dati non standard per lente ricevente.
Health Care Provider – Un fornitore di servizi (come definito nella sezione 1861 (u) della legge, 42 USC 1395x (u)), un fornitore di servizi medici o sanitari (come definiti nella sezione 1861 (s) della legge, 42 USC 1395x (s)) e qualsiasi altra persona o organizzazione che fornisce, fattura o viene pagato per lassistenza sanitaria nel normale svolgimento dellattività.
Assistenza sanitaria – Assistenza, servizi o forniture relativi alla salute di un individuo, inclusi (1) prevenzione, diagnostica, terapia, riabilitazione, mantenimento o cure palliative e consulenza, servizio, valutazione o procedura rispetto alle condizioni fisiche o mentali o allo stato funzionale di un individuo che influisce sulla struttura o sulla funzione del corpo; e (2) vendita o erogazione di un farmaco, dispositivo, attrezzatura o altro articolo in conformità a una prescrizione.

Entità ibride

In base alla Regola sulla privacy, qualsiasi entità che soddisfa le la definizione di entità coperta, indipendentemente dalle dimensioni o complessità, sarà generalmente soggetta nella sua interezza alla Norma sulla Privacy. Tuttavia, la Regola sulla privacy fornisce un mezzo attraverso il quale molte entità coperte possono evitare lapplicazione globale della Regola, attraverso le disposizioni sulla designazione di entità ibride. Questa designazione stabilirà quali parti dellentità devono rispettare la normativa sulla privacy.

Ogni singola persona giuridica può scegliere di essere unentità ibrida se svolge funzioni coperte e non coperte nellambito delle sue operazioni commerciali. Una funzione coperta è qualsiasi funzione la cui prestazione rende il performer un piano sanitario, un fornitore di assistenza sanitaria o un centro di compensazione sanitario. Per diventare unentità ibrida, lentità coperta deve designare i componenti sanitari allinterno della propria organizzazione. I componenti sanitari devono includere qualsiasi componente che soddisferebbe la definizione di entità coperta se tale componente fosse unentità giuridica separata. Una componente sanitaria può anche includere qualsiasi componente che svolge funzioni coperte (cioè, fornitore di assistenza sanitaria non coperto) o svolge attività che renderebbero la componente un socio in affari dellentità se fosse legalmente separata. Allinterno di unentità ibrida, la maggior parte dei requisiti della regola sulla privacy si applica solo ai componenti sanitari, sebbene lentità coperta mantenga determinati obblighi di supervisione, conformità e applicazione.

Ad esempio, ununiversità può essere una singola persona giuridica che include lospedale di un centro medico accademico che conduce transazioni elettroniche per le quali HHS ha adottato standard. Poiché lospedale fa parte dellentità giuridica, lintera università, compreso lospedale, sarà unentità coperta. Tuttavia, luniversità può scegliere di essere unentità ibrida. Per fare ciò, deve designare lospedale come componente sanitario. Luniversità ha anche la possibilità di includere nella designazione altri componenti che svolgono funzioni coperte o funzioni di tipo socio in affari. La maggior parte dei requisiti della normativa sulla privacy si applicherebbe quindi solo alla parte ospedaliera delluniversità e a qualsiasi altro componente designato. La regola sulla privacy disciplinerebbe solo il PHI creato, ricevuto o mantenuto da o per conto di questi componenti. Le divulgazioni di PHI dallospedale al resto delluniversità sono regolate dalla normativa sulla privacy allo stesso modo delle divulgazioni a entità esterne alluniversità.

Componenti di ricerca di unentità ibrida che funge da fornitori di assistenza sanitaria e condotta alcune transazioni elettroniche standard devono essere incluse nei componenti sanitari dellentità ibrida ed essere soggette alla normativa sulla privacy. Tuttavia, i componenti di ricerca che funzionano come fornitori di assistenza sanitaria, ma non conducono queste transazioni elettroniche possono, ma non sono obbligati a, essere inclusi nei componenti sanitari dellentità ibrida. Ad esempio, se luniversità nellesempio sopra ha anche un laboratorio di ricerca che funziona come fornitore di assistenza sanitaria ma non si impegna in transazioni elettroniche specifiche, luniversità come entità ibrida ha la possibilità di includere o escludere il laboratorio di ricerca dalla sua salute componente di cura. Se tale laboratorio di ricerca è incluso nella componente sanitaria dellentità ibrida, i dipendenti o i membri della forza lavoro del laboratorio devono rispettare la Norma sulla privacy. Tuttavia, se il laboratorio di ricerca è escluso dalla componente sanitaria dellentità ibrida, i dipendenti o i membri della forza lavoro del laboratorio non sono effettivamente soggetti alla normativa sulla privacy.

Lentità ibrida non può, tuttavia, includere nella sua componente sanitaria, una componente di ricerca che non funge da fornitore di assistenza sanitaria o non svolge funzioni simili a soci in affari. Ad esempio, un componente di ricerca che conduce esclusivamente ricerche sui record non svolge funzioni coperte o simili a un socio in affari e, pertanto, non può essere incluso nella componente sanitaria dellentità ibrida.

Entità ibrida: una singola persona giuridica che è unentità coperta, svolge attività commerciali che includono funzioni coperte e non coperte e designa i suoi componenti sanitari come previsto nella Norma sulla privacy. Se unentità coperta è unentità ibrida, la Regola sulla privacy si applica generalmente solo ai suoi componenti sanitari designati. Tuttavia, i componenti non sanitari di unentità ibrida possono essere influenzati perché la componente sanitaria è limitata nel modo in cui può condividere le PHI con la componente non sanitaria. Lentità coperta mantiene anche determinate responsabilità di supervisione, conformità e applicazione.

Associati in affari

La regola sulla privacy protegge anche le informazioni sanitarie identificabili individualmente quando vengono create o gestite da una persona o entità svolgere determinate funzioni per conto di unentità coperta: un socio in affari. Un socio in affari è una persona o entità, che non è un membro della forza lavoro e svolge o assiste nellesecuzione, per o per conto di unentità coperta, una funzione o attività regolata dalle regole di semplificazione amministrativa HIPAA, inclusa la regola sulla privacy, che comportano luso o la divulgazione di informazioni sanitarie identificabili individualmente o che fornisce determinati servizi a unentità coperta che implicano luso o la divulgazione di informazioni sanitarie identificabili individualmente.Poiché le regole di semplificazione amministrativa HIPAA non regolano direttamente le attività di ricerca, la regola sulla privacy non richiede che un ricercatore o uno sponsor di ricerca diventi un socio in affari di unentità coperta per scopi di ricerca. Tuttavia, unentità coperta può incaricare soci in affari per aiutare a deidentificare PHI, per preparare set di dati limitati o per eseguire aggregazioni di dati. La Regola sulla privacy richiede che unentità coperta stipuli un contratto scritto o un altro accordo consentito dalla Regola se entrambe le parti sono entità governative, con i suoi soci in affari. Le disposizioni relative ai soci in affari della Regola si trovano nelle sezioni 164.502 (e) e 164.504 (e). In generale, unentità coperta può, per gli scopi consentiti dalla Regola sulla privacy e specificati nel suo accordo scritto con il suo socio in affari, divulgare PHI a tale socio in affari e consentire al socio in affari di utilizzare, creare o ricevere PHI per suo conto. Prima che lentità coperta divulghi il PHI al socio in affari, lentità coperta deve ottenere garanzie soddisfacenti, generalmente sotto forma di contratto, che il socio in affari salvaguarderà adeguatamente le informazioni. Con poche eccezioni limitate, il contratto potrebbe non autorizzare il socio in affari a utilizzare o divulgare ulteriormente il PHI in un modo che violerebbe la Regola sulla privacy se fatto direttamente dallentità coperta.

Socio in affari – Una persona o entità che, per conto di unentità coperta, svolge o assiste nello svolgimento di una funzione o attività che implica luso o la divulgazione di informazioni sanitarie identificabili individualmente, come analisi dei dati, elaborazione o amministrazione delle richieste, riesame dellutilizzo e revisioni di garanzia della qualità, o qualsiasi altra funzione o attività regolata dalle Regole di semplificazione amministrativa HIPAA, inclusa la Norma sulla privacy. I soci in affari sono anche persone o entità che svolgono servizi legali, attuariali, contabili, di consulenza, di aggregazione di dati, di gestione, amministrativi, di accreditamento o finanziari ao per unentità coperta dove lesecuzione di tali servizi comporta la divulgazione di informazioni sanitarie identificabili individualmente da parte dellente coperto o un altro socio in affari dellentità coperta a quella persona o entità. Un membro della forza lavoro di unentità coperta non è uno dei suoi soci in affari. Unentità coperta può essere un socio in affari di unaltra entità coperta.

Determinazione del proprio stato ai sensi della regola sulla privacy

La determinazione del fatto che un singolo ricercatore debba rispettare la regola sulla privacy è un dato di fatto -determinazione sensibile e individualizzata. La risposta a questa domanda può dipendere da come è organizzata lentità con cui un ricercatore ha una relazione. Le domande sullo stato di un ricercatore ai sensi della normativa sulla privacy devono essere indirizzate ai rappresentanti appropriati allinterno di tale organizzazione. Né il governo federale né questo opuscolo fanno, o dovrebbero essere interpretati per fare, questa determinazione. HHS ha sviluppato una serie di strumenti per aiutare unentità a determinare se si tratta di un piano sanitario, un centro di assistenza sanitaria o un fornitore di assistenza sanitaria coperto che sarà soggetto alla Regola sulla privacy. Questi strumenti sono disponibili al seguente link: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *