HIPAAs personvernregel og dens innvirkning på forskning


Hvem gjelder personvernregelen og hvem vil det Påvirker?

Nøkkelpoeng:

  • Personvernregelen gjelder bare for dekkede enheter. Mange organisasjoner som bruker, samler inn, får tilgang til og avslører individuelt identifiserbar helseinformasjon, vil ikke være omfattet av enheter, og vil derfor ikke måtte overholde personvernregelen.
  • Personvernregelen gjelder ikke for forskning; det gjelder dekkede enheter, som forskere kan eller ikke kan være. Regelen kan påvirke forskere fordi den kan påvirke deres tilgang til informasjon, men den regulerer ikke dem eller forskning i seg selv.
  • For å få tilgang til forskningsformål til PHI opprettet eller vedlikeholdt av omfattede enheter, forskeren kan ha behov for å gi dokumentasjon som dekket enhet kan stole på når de oppfyller kravene, vilkårene og begrensningene i personvernregelen.

Personvernregelen gjelder bare for omfattede enheter; det gjelder ikke alle personer eller institusjoner som samler individuelt identifiserbar helseinformasjon. Det kan imidlertid påvirke andre typer enheter som ikke er direkte regulert av regelen hvis de for eksempel stoler på dekket enheter for å gi PHI. Det er viktig at forskere er klar over hvordan regelen kan påvirke dem i de forskjellige organisasjonstypene de opererer i, og hva de måtte gjøre for å fortsette forskningen eller starte ny forskningsinnsats på og etter overholdelsesdatoen for personvernregelen.

Dekkeenheter

Dekkeenheter er definert i HIPAA-reglene som (1) helseplaner, (2) helsevesenet og (3) helsepersonell som overføre helseinformasjon elektronisk i forbindelse med transaksjoner som HHS har vedtatt standarder for. Generelt gjelder disse transaksjonene fakturering og betaling for tjenester eller forsikringsdekning. For eksempel er sykehus, akademiske medisinske sentre, leger og andre helsepersonell som elektronisk overfører informasjon om erstatningstransaksjoner direkte eller gjennom en mellommann til en helseplan, omfattede enheter. Omfattede enheter kan være institusjoner, organisasjoner eller personer.

Forskere er omfattede enheter hvis de også er helsepersonell som elektronisk overfører helseinformasjon i forbindelse med en transaksjon som HHS har vedtatt en standard for. For eksempel må leger som gjennomfører kliniske studier eller administrerer eksperimentell terapi til deltakerne i løpet av en studie, overholde personvernregelen hvis de oppfyller HIPAA-definisjonen av en dekket enhet.

Helseplan – Med visse unntak , en individuell plan eller en gruppeplan som gir eller betaler kostnadene for medisinsk behandling (som definert i seksjon 2791 (a) (2) i PHS Act, 42 USC 300gg-91 (a) (2)). Loven inkluderer spesifikt mange typer organisasjoner og offentlige programmer som helseplaner.
Health Care Clearinghouse – En offentlig eller privat enhet, inkludert en faktureringstjeneste, en omprisingsfirma, et helseadministrasjonsinformasjonssystem eller et helseinformasjonssystem for samfunnet og «verdifullt ”Nettverk og brytere som enten behandler eller forenkler behandlingen av helseinformasjon mottatt fra en annen enhet i et ikke-standardformat eller som inneholder ikke-standard datainnhold til standard dataelementer eller en standard transaksjon, eller mottar en standard transaksjon fra en annen enhet og behandler eller forenkler behandlingen av helseinformasjon i et ikke-standardformat eller ikke-standard datainnhold for den mottakende enheten.
Health Care Provider – En leverandør av tjenester (som definert i seksjon 1861 (u) i loven, 42 USC 1395x (u)), en leverandør av medisinske tjenester eller helsetjenester (som definert i seksjon 1861 (e) i loven, 42 USC 1395x (er)), og enhver annen person eller organisasjon som leverer, regner eller blir betalt for helsehjelp i normal virksomhet.
Helsehjelp – Omsorg, tjenester eller forsyninger relatert til helsen til et individ, inkludert (1) forebyggende, diagnostisk, terapeutisk, rehabiliterende, vedlikehold, eller lindrende behandling, og rådgivning, service, vurdering eller prosedyre med hensyn til den fysiske eller mentale tilstanden eller funksjonelle statusen til et individ som påvirker kroppens struktur eller funksjon; og (2) salg eller utlevering av et medikament, utstyr, utstyr eller annen gjenstand i henhold til resept.

Hybrid enheter

I henhold til personvernregelen, enhver enhet som oppfyller definisjon av en dekket enhet, uavhengig av størrelse eller kompleksitet, vil generelt være underlagt sin helhet personvernregelen. Imidlertid gir personvernregelen et middel som mange dekkede enheter kan unngå global anvendelse av regelen gjennom bestemmelsene om betegnelse på hybridenheter. Denne betegnelsen vil fastslå hvilke deler av enheten som må overholde personvernregelen.

Enhver juridisk enhet kan velge å være en hybrid enhet hvis den utfører både dekket og ikke-dekket funksjoner som en del av sin virksomhet. En dekket funksjon er en hvilken som helst funksjon som utøveren gjør en helseplan, en helsepersonell eller et helsearbeid. For å bli en hybrid enhet, må den omfattede enheten utpeke helsevesenets komponenter i organisasjonen. Helsekomponenter må omfatte alle komponenter som oppfyller definisjonen av dekket enhet hvis komponenten var en egen juridisk enhet. En helsekomponent kan også omfatte en hvilken som helst komponent som utfører dekket funksjoner (dvs. ikke-dekket helsepersonell) eller utfører aktiviteter som vil gjøre komponenten til en forretningsforbindelse til enheten hvis den var juridisk atskilt. Innenfor en hybrid enhet, gjelder de fleste kravene i personvernregelen bare helsekomponent (er), selv om den omfattede enheten beholder visse forpliktelser om tilsyn, overholdelse og håndhevelse.

For eksempel et universitet kan være en juridisk enhet som inkluderer et akademisk medisinsk senter sykehus som gjennomfører elektroniske transaksjoner som HHS har vedtatt standarder for. Siden sykehuset er en del av den juridiske enheten, vil hele universitetet, inkludert sykehuset, være en dekket enhet. Universitetet kan imidlertid velge å være en hybrid enhet. For å gjøre dette må det utpeke sykehuset som en helsekomponent. Universitetet har også muligheten til å inkludere andre komponenter som utfører dekket funksjoner eller forretningsforbindelseslignende funksjoner i betegnelsen. De fleste av personvernregelens krav vil da bare gjelde sykehusdelen av universitetet og andre utpekte komponenter. Personvernregelen regulerer bare PHI opprettet, mottatt eller vedlikeholdt av eller på vegne av disse komponentene. PHI-avsløringer fra sykehuset til resten av universitetet er regulert av personvernregelen på samme måte som avsløringer til enheter utenfor universitetet.

Forskningskomponenter i en hybrid enhet som fungerer som helsepersonell og oppfører seg visse standard elektroniske transaksjoner må inkluderes i hybridenhetens (e) helsekomponent (er) og være underlagt personvernregelen. Forskningskomponenter som fungerer som helsepersonell, men som ikke gjennomfører disse elektroniske transaksjonene, kan imidlertid, men er ikke pålagt, inngå i helsekomponenten (e) til hybridenheten. For eksempel, hvis universitetet i eksemplet ovenfor også har et forskningslaboratorium som fungerer som helsepersonell, men ikke deltar i spesifiserte elektroniske transaksjoner, har universitetet som en hybrid enhet muligheten til å inkludere eller ekskludere forskningslaboratoriet fra dets helse pleiekomponent. Hvis et slikt forskningslaboratorium er inkludert i hybridenhetens helsevesenskomponent, må de ansatte eller medlemmene i laboratoriet overholde personvernregelen. Men hvis forskningslaboratoriet er ekskludert fra hybridenhetens helsevesenskomponent, er ansatte eller arbeidsstyrkemedlemmer i laboratoriet faktisk ikke underlagt personvernregelen.

Hybridenheten er imidlertid ikke tillatt å inkludere i sin helsevesenskomponent, en forskningskomponent som ikke fungerer som helsepersonell eller ikke utfører forretningspersonellignende funksjoner. For eksempel utfører en forskningskomponent som utfører rent registrering forskning ikke omfattede eller forretningsforbindelseslignende funksjoner, og kan derfor ikke inkluderes i hybrid enhetens helsevesenskomponent.

Hybrid enhet – En enkelt juridisk enhet som er en dekket enhet, utfører forretningsaktiviteter som inkluderer både dekkede og ikke-dekkede funksjoner, og utpeker helsekomponenter som gitt i personvernregelen. Hvis en omfattet enhet er en hybrid enhet, gjelder personvernregelen vanligvis bare de angitte helsevesenskomponentene. Imidlertid kan ikke-helsevesenets komponenter i en hybrid enhet påvirkes fordi helsevesenets komponent er begrenset i hvordan den kan dele PHI med ikke-helsevesenet. Den omfattede enheten beholder også et visst ansvar for tilsyn, overholdelse og håndhevelse.

Business Associates

Personvernregelen beskytter også individuelt identifiserbar helseinformasjon når den opprettes eller vedlikeholdes av en person eller enhet å utføre visse funksjoner på vegne av en dekket enhet – en forretningsforbindelse. En forretningsforbindelse er en person eller enhet som ikke er medlem av arbeidsstyrken og utfører eller bistår i å utføre, for eller på vegne av en dekket enhet, en funksjon eller aktivitet regulert av HIPAAs administrative forenklingsregler, inkludert personvernregelen, som involverer bruk eller utlevering av individuelt identifiserbar helseinformasjon, eller som gir visse tjenester til en dekket enhet som involverer bruken av offentliggjøring av individuelt identifiserbar helseinformasjon.Fordi HIPAAs administrative forenklingsregler ikke regulerer forskningsaktiviteter direkte, krever ikke personvernregelen at en forsker eller en forskningssponsor skal bli en forretningsforbindelse til en dekket enhet for forskningsformål. Imidlertid kan en omfattet enhet engasjere forretningsforbindelser for å hjelpe til med å avidentifisere PHI, for å utarbeide begrensede datasett eller for å utføre dataaggregering. Personvernregelen krever at en dekket enhet inngår en skriftlig kontrakt, eller en annen ordning tillatt av regelen hvis begge parter er offentlige enheter, med sine forretningsforbindelser. Regelens forretningsforbindelser finner du i avsnitt 164.502 (e) og 164.504 (e). Generelt kan en omfattet enhet, for de formål som er tillatt i personvernregelen og spesifisert i sin skriftlige avtale med sin forretningsforbindelse, avsløre PHI til den forretningsforbindelsen og la forretningsforbindelsen bruke, opprette eller motta PHI på dens vegne. Før dekket enhet avslører PHI til forretningsforetaket, må dekket enhet oppnå tilfredsstillende forsikringer, vanligvis i form av en kontrakt, om at forretningsforbindelsen vil beskytte informasjonen på riktig måte. Med noen få unntak kan det hende at kontrakten ikke tillater forretningsforbindelsen å bruke eller videre avsløre PHI på en måte som bryter med personvernregelen hvis den gjøres direkte av den omfattede enheten.

Forretningsassistent – En person eller enhet som på vegne av en omfattet enhet utfører eller bistår med utførelsen av en funksjon eller aktivitet som involverer bruk eller avsløring av individuelt identifiserbar helseinformasjon, for eksempel dataanalyse, behandling eller administrasjon av krav, gjennomgang av bruken og kvalitetssikring, eller andre funksjoner eller aktiviteter som er regulert av HIPAAs administrative forenklingsregler, inkludert personvernregelen. Virksomhetsforbindelser er også personer eller enheter som utfører juridiske, aktuarmessige, regnskapsmessige, konsulentbaserte, dataaggregerings-, ledelses-, administrasjons-, akkrediterings- eller finansielle tjenester til eller for en dekket enhet der utførelsen av disse tjenestene innebærer offentliggjøring av individuelt identifiserbar helseinformasjon av dekket enhet eller en annen forretningsforbindelse til dekket enhet til den personen eller enheten. Et medlem av en dekket virksomhets arbeidsstyrke er ikke en av forretningsforetakene. En dekket enhet kan være en forretningsforbindelse til en annen dekket enhet.

Bestemme statusen din under personvernregelen

Avgjørelsen om en enkelt forsker må overholde personvernregelen er et faktum -følsom, individualisert bestemmelse. Svaret på dette spørsmålet kan avhenge av hvordan enheten som en forsker har et forhold til er organisert. Spørsmål om en forskers status under personvernregelen skal henvises til de aktuelle representantene i den organisasjonen. Verken den føderale regjeringen eller dette heftet gjør eller bør tolkes som å ta denne beslutningen. HHS har utviklet et sett med verktøy som hjelper en enhet å avgjøre om det er en helseplan, en helsevesenet eller en dekket helsepersonell som vil være underlagt personvernregelen. Disse verktøyene er tilgjengelige på følgende lenke: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *