Op wie is de privacyregel van toepassing en op wie zal deze van toepassing zijn Beïnvloed?
Kernpunten:
- De privacyregel is alleen van toepassing op gedekte entiteiten. Veel organisaties die individueel identificeerbare gezondheidsinformatie gebruiken, verzamelen, openen en openbaar maken, vallen niet onder de gedekte entiteiten en hoeven dus niet te voldoen aan de privacyregel.
- De privacyregel is niet van toepassing op onderzoek; het is van toepassing op onder de overeenkomst vallende entiteiten, die onderzoekers al dan niet zijn. De Regel kan van invloed zijn op onderzoekers omdat het hun toegang tot informatie kan beïnvloeden, maar het reguleert hen of onderzoek niet per se.
- Om voor onderzoeksdoeleinden toegang te krijgen tot PHI die is gemaakt of onderhouden door gedekte entiteiten, moet de onderzoeker moet mogelijk ondersteunende documentatie verstrekken waarop de gedekte entiteit kan vertrouwen om te voldoen aan de vereisten, voorwaarden en beperkingen van de privacyregel.
De privacyregel is alleen van toepassing op gedekte entiteiten; het is niet van toepassing op alle personen of instellingen die individueel identificeerbare gezondheidsinformatie verzamelen. Het kan echter van invloed zijn op andere soorten entiteiten die niet rechtstreeks door de regel worden gereguleerd als ze bijvoorbeeld afhankelijk zijn van gedekte entiteiten om PHI te verstrekken. Het is belangrijk dat onderzoekers weten welke invloed de Regel op hen kan hebben in de verschillende soorten organisaties waarin ze actief zijn, en wat ze mogelijk moeten doen om hun onderzoek voort te zetten of nieuwe onderzoeksinspanningen te beginnen op en na de nalevingsdatum voor de privacyregel.
Gedekte entiteiten
Gedekte entiteiten worden in de HIPAA-regels gedefinieerd als (1) gezondheidsplannen, (2) uitwisselingscentra voor gezondheidszorg en (3) zorgverleners die elektronisch alle gezondheidsinformatie verzenden in verband met transacties waarvoor HHS normen heeft aangenomen. Over het algemeen hebben deze transacties betrekking op facturering en betaling voor diensten of verzekeringsdekking. Ziekenhuizen, academische medische centra, artsen en andere zorgverleners die elektronisch claimtransactie-informatie rechtstreeks of via een tussenpersoon naar een gezondheidsplan verzenden, zijn bijvoorbeeld gedekte entiteiten. Gedekte entiteiten kunnen instellingen, organisaties of personen zijn.
Onderzoekers zijn gedekte entiteiten als ze ook zorgverleners zijn die elektronisch gezondheidsinformatie verzenden in verband met een transactie waarvoor HHS een standaard heeft aangenomen. Artsen die bijvoorbeeld klinische onderzoeken uitvoeren of experimentele therapieën toedienen aan deelnemers tijdens de loop van een onderzoek, moeten voldoen aan de privacyregel als ze voldoen aan de HIPAA-definitie van een gedekte entiteit.
Gezondheidsplan – met bepaalde uitzonderingen , een individueel of groepsplan dat de kosten van medische zorg verschaft of betaalt (zoals gedefinieerd in sectie 2791 (a) (2) van de PHS Act, 42 USC 300gg-91 (a) (2)). De wet omvat specifiek vele soorten organisaties en overheidsprogrammas als gezondheidsplannen.
Health Care Clearinghouse – Een openbare of particuliere entiteit, waaronder een factureringsdienst, een prijsbepalingsbedrijf, een informatiesysteem voor gezondheidsbeheer of een informatiesysteem voor de volksgezondheid, en valueadded Netwerken en switches die de verwerking van gezondheidsinformatie die van een andere entiteit is ontvangen in een niet-standaard formaat of die niet-standaard data-inhoud bevatten, verwerken of vergemakkelijken in standaard data-elementen of een standaardtransactie, of die een standaardtransactie ontvangen van een andere entiteit en de verwerking verwerken of vergemakkelijken van gezondheidsinformatie in een niet-standaard formaat of niet-standaard gegevensinhoud voor de ontvangende entiteit.
Zorgverlener – Een aanbieder van diensten (zoals gedefinieerd in sectie 1861 (u) van de wet, 42 USC 1395x (u)), een aanbieder van medische of gezondheidsdiensten (zoals gedefinieerd in sectie 1861 (s) van de wet, 42 USC 1395x (s)), en elke andere persoon of organisatie die gezondheidszorg verstrekt, factureert of wordt betaald voor gezondheidszorg in de normale gang van zaken.
Gezondheidszorg – Zorg, diensten of benodigdheden die verband houden met de gezondheid van een persoon, inclusief (1) preventieve, diagnostische, therapeutische, revalidatie-, onderhoud of palliatieve zorg, en advisering, dienstverlening, beoordeling of procedure met betrekking tot de fysieke of mentale toestand of functionele status van een persoon die de structuur of functie van het lichaam beïnvloedt; en (2) verkoop of verstrekking van een medicijn, apparaat, uitrusting of ander item in overeenstemming met een recept.Hybride entiteiten
Volgens de privacyregel kan elke entiteit die voldoet aan de de definitie van een gedekte entiteit, ongeacht de omvang of complexiteit, zal over het algemeen in zijn geheel onderworpen zijn aan de privacyregel. De privacyregel biedt echter een middel waarmee veel gedekte entiteiten de wereldwijde toepassing van de regel kunnen vermijden door middel van de bepalingen voor de aanwijzing van hybride entiteiten. Deze aanwijzing zal bepalen welke onderdelen van de entiteit moeten voldoen aan de privacyregel.
Elke enkele juridische entiteit kan ervoor kiezen om een hybride entiteit te zijn als ze zowel gedekte als niet-gedekte functies vervult als onderdeel van haar bedrijfsactiviteiten. Een overdekte functie is elke functie waarvan de uitvoering de uitvoerder een gezondheidsplan, een zorgverlener of een uitwisselingscentrum voor gezondheidszorg maakt. Om een hybride entiteit te worden, moet de gedekte entiteit de zorgcomponenten binnen haar organisatie aanwijzen. Gezondheidszorgcomponenten moeten elk onderdeel bevatten dat zou voldoen aan de definitie van gedekte entiteit als dat onderdeel een afzonderlijke juridische entiteit zou zijn. Een zorgcomponent kan ook elk onderdeel omvatten dat gedekte functies vervult (d.w.z. niet-gedekte zorgverlener) of activiteiten uitvoert die het onderdeel tot een zakenpartner van de entiteit zouden maken indien het juridisch gescheiden zou zijn. Binnen een hybride entiteit zijn de meeste vereisten van de privacyregel alleen van toepassing op de gezondheidszorgcomponent (en), hoewel de gedekte entiteit bepaalde toezichts-, nalevings- en handhavingsverplichtingen behoudt.
Bijvoorbeeld een universiteit kan een enkele juridische entiteit zijn die een ziekenhuis van een academisch medisch centrum omvat dat elektronische transacties uitvoert waarvoor HHS normen heeft aangenomen. Omdat het ziekenhuis deel uitmaakt van de juridische entiteit, zal de hele universiteit, inclusief het ziekenhuis, een gedekte entiteit zijn. De universiteit kan er echter voor kiezen om een hybride entiteit te zijn. Hiervoor moet het ziekenhuis als zorgcomponent worden aangewezen. De universiteit heeft ook de mogelijkheid om in de aanwijzing andere componenten op te nemen die gedekte functies of zakenpartnerachtige functies uitoefenen. De meeste vereisten van de privacyregel zouden dan alleen van toepassing zijn op het ziekenhuisgedeelte van de universiteit en alle andere aangewezen onderdelen. De privacyregel is alleen van toepassing op de PHI die is gemaakt, ontvangen of onderhouden door of namens deze componenten. PHI-openbaarmakingen door het ziekenhuis aan de rest van de universiteit worden op dezelfde manier gereguleerd door de privacyregel als openbaarmakingen aan entiteiten buiten de universiteit.
Onderzoekscomponenten van een hybride entiteit die functioneren als zorgverleners en gedrag bepaalde standaard elektronische transacties moeten worden opgenomen in de gezondheidszorgcomponent (en) van de hybride entiteit en vallen onder de privacyregel. Onderzoekscomponenten die functioneren als zorgaanbieder, maar deze elektronische transacties niet uitvoeren, kunnen echter, maar zijn niet verplicht, worden opgenomen in de zorgcomponent (en) van de hybride entiteit. Als de universiteit in het bovenstaande voorbeeld bijvoorbeeld ook een onderzoekslaboratorium heeft dat fungeert als zorgverlener, maar geen specifieke elektronische transacties verricht, heeft de universiteit als hybride entiteit de mogelijkheid om het onderzoekslaboratorium op te nemen of uit te sluiten van haar gezondheid. zorg component. Als een dergelijk onderzoekslaboratorium is opgenomen in de gezondheidszorgcomponent van de hybride entiteit, dan moeten de werknemers of personeelsleden van het laboratorium de privacyregel naleven. Maar als het onderzoekslaboratorium is uitgesloten van de gezondheidszorgcomponent van de hybride entiteit, zijn de werknemers of personeelsleden van het laboratorium in feite niet onderworpen aan de privacyregel.
De hybride entiteit mag echter niet opnemen in zijn zorgcomponent een onderzoekscomponent die niet als zorgverlener functioneert of geen zakenrelatie-achtige functies vervult. Een onderzoekscomponent die puur archiefonderzoek uitvoert, voert bijvoorbeeld geen gedekte of zakenpartnerachtige functies uit en kan daarom niet worden opgenomen in de gezondheidszorgcomponent van de hybride entiteit.
Hybride entiteit – Een enkele juridische entiteit dat een gedekte entiteit is, zakelijke activiteiten uitvoert die zowel gedekte als niet-gedekte functies omvatten, en zijn gezondheidszorgcomponenten aanduidt zoals bepaald in de privacyregel. Als een gedekte entiteit een hybride entiteit is, is de privacyregel over het algemeen alleen van toepassing op de door haar aangewezen gezondheidszorgcomponenten. Niet-gezondheidszorgcomponenten van een hybride entiteit kunnen echter worden beïnvloed omdat de gezondheidszorgcomponent beperkt is in de manier waarop deze PHI kan delen met de niet-gezondheidszorgcomponent. De gedekte entiteit behoudt ook bepaalde verantwoordelijkheden voor toezicht, naleving en handhaving.
Zakenpartners
De privacyregel beschermt ook individueel identificeerbare gezondheidsinformatie wanneer deze wordt gemaakt of onderhouden door een persoon of entiteit het uitvoeren van bepaalde functies namens een gedekte entiteit – een zakenpartner. Een zakenpartner is een persoon of entiteit die geen lid is van het personeelsbestand en die, voor of namens een gedekte entiteit, een functie of activiteit uitvoert of helpt bij het uitvoeren van een functie of activiteit die wordt gereguleerd door de HIPAA Administratieve Vereenvoudigingsregels, inclusief de Privacyregel, waarbij sprake is van het gebruik of de openbaarmaking van individueel identificeerbare gezondheidsinformatie, of die bepaalde diensten verleent aan een gedekte entiteit die het gebruik of openbaarmaking van individueel identificeerbare gezondheidsinformatie omvat.Omdat de HIPAA Administratieve Vereenvoudigingsregels onderzoeksactiviteiten niet rechtstreeks reguleren, vereist de Privacyregel niet dat een onderzoeker of een onderzoekssponsor een zakenpartner wordt van een gedekte entiteit voor onderzoeksdoeleinden. Een gedekte entiteit kan echter zakenpartners inschakelen om te helpen bij het de-identificeren van PHI, om beperkte gegevenssets voor te bereiden of om gegevensaggregatie uit te voeren. De privacyregel vereist dat een gedekte entiteit een schriftelijk contract of een andere regeling die door de regel is toegestaan, als beide partijen overheidsentiteiten zijn, aangaat met haar zakenpartners. De bepalingen van de Regel voor zakenpartners zijn te vinden in artikel 164.502 (e) en 164.504 (e). In het algemeen kan een gedekte entiteit, voor de doeleinden die zijn toegestaan door de Privacyregel en gespecificeerd in haar schriftelijke overeenkomst met haar zakenpartner, PHI bekendmaken aan die zakenpartner en de zakenpartner toestaan om namens haar PHI te gebruiken, creëren of ontvangen. Voordat de gedekte entiteit de PHI aan de zakenpartner bekendmaakt, moet de gedekte entiteit voldoende garanties krijgen, doorgaans in de vorm van een contract, dat de zakenpartner de informatie op passende wijze zal beschermen. Met een paar beperkte uitzonderingen, mag het contract de zakenpartner niet machtigen om de PHI te gebruiken of verder bekend te maken op een manier die de privacyregel zou schenden als deze rechtstreeks door de gedekte entiteit zou worden gedaan.
Zakenpartner – Een persoon of entiteit die, namens een gedekte entiteit, een functie of activiteit uitvoert of helpt bij de uitvoering van het gebruik of de openbaarmaking van individueel identificeerbare gezondheidsinformatie, zoals gegevensanalyse, verwerking of administratie van claims, gebruikscontrole en kwaliteitsbeoordelingen, of enige andere functie of activiteit die wordt gereguleerd door de HIPAA Administratieve Vereenvoudigingsregels, inclusief de Privacyregel. Zakenpartners zijn ook personen of entiteiten die juridische, actuariële, boekhoudkundige, consulting-, gegevensaggregatie-, management-, administratieve, accreditatie- of financiële diensten verlenen aan of voor een gedekte entiteit, waarbij het uitvoeren van die diensten de openbaarmaking van individueel identificeerbare gezondheidsinformatie door de gedekte entiteit of een andere zakenpartner van de onder de overeenkomst vallende entiteit aan die persoon of entiteit. Een lid van het personeelsbestand van een gedekte entiteit is niet een van zijn zakenpartners. Een gedekte entiteit kan een zakenpartner zijn van een andere gedekte entiteit.
Uw status bepalen volgens de privacyregel
Het is een feit of een individuele onderzoeker zich moet houden aan de privacyregel. -gevoelige, geïndividualiseerde bepaling. Het antwoord op deze vraag kan afhangen van hoe de entiteit waarmee een onderzoeker een relatie heeft, is georganiseerd. Vragen over de status van een onderzoeker onder de privacyregel moeten worden doorverwezen naar de juiste vertegenwoordigers binnen die organisatie. Noch de federale regering, noch dit boekje maakt deze beslissing, of moet zo worden opgevat. HHS heeft een reeks hulpmiddelen ontwikkeld om een entiteit te helpen bepalen of het een gezondheidsplan, een uitwisselingscentrum voor gezondheidszorg of een gedekte zorgverlener is die onderhevig zal zijn aan de privacyregel. Deze tools zijn beschikbaar via de volgende link: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.