Do kogo ma zastosowanie zasada prywatności i kogo chce Ma to wpływ?
Kluczowe punkty:
- Reguła prywatności dotyczy tylko podmiotów objętych ochroną. Wiele organizacji, które wykorzystują, gromadzą, uzyskują dostęp i ujawniają informacje o stanie zdrowia umożliwiające indywidualną identyfikację, nie będą objęte ubezpieczeniem, a tym samym nie będą musiały przestrzegać zasady prywatności.
- Reguła prywatności nie ma zastosowania do badań; dotyczy to podmiotów objętych badaniem, którymi mogą być badacze lub nie. Reguła może mieć wpływ na naukowców, ponieważ może wpływać na ich dostęp do informacji, ale nie reguluje ich ani badań per se.
- Aby uzyskać dostęp do celów badawczych do PIZ utworzonych lub utrzymywanych przez podmioty objęte, badacz może być konieczne dostarczenie dokumentacji uzupełniającej, na której podmiot objęty może polegać przy spełnianiu wymagań, warunków i ograniczeń Reguły prywatności.
Zasada prywatności ma zastosowanie tylko do podmiotów objętych ochroną; nie dotyczy wszystkich osób lub instytucji, które zbierają informacje o stanie zdrowia umożliwiające indywidualną identyfikację. Może to jednak wpłynąć na inne rodzaje podmiotów, które nie są bezpośrednio regulowane przez Regułę, jeśli na przykład polegają na podmiotach objętych ochroną w zakresie dostarczania PHI. Ważne jest, aby badacze byli świadomi tego, w jaki sposób Reguła może wpłynąć na nich w różnych typach organizacji, w których działają, i co mogą zrobić, aby kontynuować swoje badania lub rozpocząć nowe wysiłki badawcze w dniu i po dacie zgodności zasady prywatności.
Podmioty objęte ubezpieczeniem
Podmioty objęte ubezpieczeniem są zdefiniowane w przepisach HIPAA jako (1) plany zdrowotne, (2) biura informacyjne opieki zdrowotnej oraz (3) świadczeniodawcy, którzy przesyłać drogą elektroniczną wszelkie informacje zdrowotne w związku z transakcjami, dla których HHS przyjęło standardy. Ogólnie rzecz biorąc, transakcje te dotyczą fakturowania i płatności za usługi lub ubezpieczenia. Na przykład szpitale, akademickie centra medyczne, lekarze i inni dostawcy usług zdrowotnych, którzy elektronicznie przekazują informacje o transakcjach dotyczących roszczeń bezpośrednio lub za pośrednictwem pośrednika do planu zdrowotnego, są podmiotami objętymi ubezpieczeniem. Podmioty objęte mogą być instytucjami, organizacjami lub osobami.
Naukowcy są podmiotami objętymi ubezpieczeniem, jeśli są jednocześnie dostawcami opieki zdrowotnej, którzy przekazują drogą elektroniczną informacje zdrowotne w związku z każdą transakcją, dla której HHS przyjęła standard. Na przykład lekarze, którzy prowadzą badania kliniczne lub podają uczestnikom terapie eksperymentalne w trakcie badania, muszą przestrzegać zasady prywatności, jeśli spełniają definicję podmiotu objętego ustawą HIPAA.
Plan opieki zdrowotnej – z pewnymi wyjątkami , indywidualny lub grupowy plan, który zapewnia lub pokrywa koszty opieki medycznej (zgodnie z definicją w sekcji 2791 (a) (2) ustawy PHS, 42 USC 300gg-91 (a) (2)). Prawo obejmuje w szczególności wiele typów organizacji i programów rządowych jako plany zdrowotne.
Health Care Clearinghouse – podmiot publiczny lub prywatny, w tym usługa fakturowania, firma wyceny, system informacji o zarządzaniu zdrowiem społeczności lub system informacji o zdrowiu społeczności oraz „valueadded ”Sieci i przełączniki, które przetwarzają lub ułatwiają przetwarzanie informacji zdrowotnych otrzymanych od innego podmiotu w niestandardowym formacie lub zawierają niestandardową zawartość danych w standardowe elementy danych lub standardową transakcję, lub odbierają standardową transakcję od innego podmiotu i przetwarzają lub ułatwiają przetwarzanie informacji zdrowotnych w niestandardowym formacie lub niestandardowej zawartości danych dla podmiotu otrzymującego.
Usługodawca opieki zdrowotnej – dostawca usług (zgodnie z definicją w sekcji 1861 (u) ustawy, 42 USC 1395x (u)), dostawca usług usługi medyczne lub zdrowotne (zgodnie z definicją w sekcji 1861 (s) Ustawy, 42 USC 1395x (s)) oraz wszelkie inne osoby lub organizacje kto dostarcza, wystawia rachunki lub jest opłacany za opiekę zdrowotną w ramach normalnej działalności.
Opieka zdrowotna – Opieka, usługi lub zaopatrzenie związane ze zdrowiem jednostki, w tym (1) profilaktyczne, diagnostyczne, terapeutyczne, rehabilitacyjne, utrzymanie lub opieka paliatywna oraz doradztwo, usługi, ocena lub procedury dotyczące stanu fizycznego lub psychicznego lub stanu funkcjonalnego osoby, które mają wpływ na strukturę lub funkcję organizmu; oraz (2) sprzedaż lub wydawanie leku, urządzenia, sprzętu lub innego przedmiotu na podstawie recepty.Podmioty hybrydowe
Zgodnie z zasadą prywatności każdy podmiot, który spełnia definicja podmiotu objętego ubezpieczeniem, niezależnie od wielkości lub złożoności, będzie zasadniczo w całości podlegać zasadzie prywatności. Jednak zasada prywatności zapewnia środki, za pomocą których wiele podmiotów objętych nią może uniknąć globalnego stosowania zasady, poprzez przepisy dotyczące wyznaczania podmiotów hybrydowych. To wyznaczenie określi, które części podmiotu muszą przestrzegać zasady prywatności.
Każdy podmiot prawny może zdecydować się na bycie podmiotem hybrydowym, jeśli w ramach swojej działalności gospodarczej wykonuje zarówno funkcje objęte, jak i nieobjęte ochroną. Funkcja objęta ochroną to dowolna funkcja, której wykonywanie sprawia, że wykonawca jest planem zdrowotnym, dostawcą opieki zdrowotnej lub biurem informacji o opiece zdrowotnej. Aby stać się podmiotem hybrydowym, podmiot objęty ubezpieczeniem musi wyznaczyć elementy opieki zdrowotnej w ramach swojej organizacji. Składniki opieki zdrowotnej muszą obejmować każdy element, który spełniałby definicję podmiotu objętego ubezpieczeniem, gdyby był on odrębnym podmiotem prawnym. Składnik opieki zdrowotnej może również obejmować dowolny składnik, który wykonuje funkcje objęte ubezpieczeniem (tj. Podmiot świadczący opiekę zdrowotną nieobjętą ochroną) lub wykonuje czynności, które uczyniłyby ten element podmiotem stowarzyszonym podmiotu, gdyby był prawnie oddzielny. W ramach podmiotu hybrydowego większość wymagań zasady prywatności ma zastosowanie tylko do elementu (ów) opieki zdrowotnej, chociaż podmiot objęty ochroną zachowuje pewne obowiązki w zakresie nadzoru, zgodności i egzekwowania prawa.
Na przykład uniwersytet może być pojedynczym podmiotem prawnym obejmującym szpital akademickiego ośrodka medycznego, który przeprowadza transakcje elektroniczne, dla których HHS przyjęło standardy. Ponieważ szpital jest częścią osoby prawnej, cały uniwersytet, w tym szpital, będzie podmiotem objętym ubezpieczeniem. Jednak uniwersytet może zdecydować się na podmiot hybrydowy. W tym celu musi wyznaczyć szpital jako składnik opieki zdrowotnej. Uczelnia ma również możliwość włączenia do oznaczenia innych komponentów, które pełnią objęte funkcje lub funkcje podobne do współpracowników biznesowych. Większość wymagań Zasady prywatności miałaby wówczas zastosowanie tylko do szpitalnej części uniwersytetu i wszelkich innych wyznaczonych elementów. Reguła prywatności dotyczyłaby wyłącznie PHI utworzonych, otrzymanych lub utrzymywanych przez te składniki lub w ich imieniu. Ujawnianie PHI przez szpital reszcie uniwersytetu jest regulowane przez zasadę prywatności w taki sam sposób, jak ujawnianie informacji podmiotom spoza uniwersytetu.
Elementy badawcze podmiotu hybrydowego, które funkcjonują jako świadczeniodawcy i prowadzą niektóre standardowe transakcje elektroniczne muszą być zawarte w komponencie (elementach) opieki zdrowotnej podmiotu hybrydowego i podlegać zasadzie prywatności. Jednak komponenty badawcze, które działają jako świadczeniodawcy opieki zdrowotnej, ale nie wykonują takich transakcji elektronicznych, mogą, ale nie muszą, być włączone do komponentu (elementów) opieki zdrowotnej podmiotu hybrydowego. Na przykład, jeśli uniwersytet w powyższym przykładzie posiada również laboratorium badawcze, które działa jako świadczeniodawca opieki zdrowotnej, ale nie przeprowadza określonych transakcji elektronicznych, uniwersytet jako podmiot hybrydowy ma możliwość włączenia lub wyłączenia laboratorium badawczego ze swojego zdrowia składnik pielęgnacyjny. Jeśli takie laboratorium badawcze jest częścią składowej opieki zdrowotnej podmiotu hybrydowego, wówczas pracownicy lub członkowie personelu laboratorium muszą przestrzegać zasady prywatności. Jeśli jednak laboratorium badawcze zostanie wyłączone z komponentu opieki zdrowotnej podmiotu hybrydowego, pracownicy lub członkowie personelu laboratorium w rzeczywistości nie podlegają zasadzie prywatności.
Podmiot hybrydowy nie może jednak uwzględniać w komponencie opieki zdrowotnej, komponent badawczy, który nie funkcjonuje jako świadczeniodawca opieki zdrowotnej lub nie pełni funkcji podobnych do współpracowników biznesowych. Na przykład komponent badawczy, który prowadzi wyłącznie badania dokumentacji, nie wykonuje funkcji objętych ubezpieczeniem ani funkcji podobnych do współpracowników biznesowych, a zatem nie może być włączony do komponentu opieki zdrowotnej podmiotu hybrydowego.
Podmiot hybrydowy – pojedynczy podmiot prawny czyli podmiot objęty ubezpieczeniem, prowadzi działalność gospodarczą, która obejmuje zarówno funkcje objęte, jak i nieobjęte, oraz wyznacza elementy składowe opieki zdrowotnej zgodnie z Zasadami zachowania poufności. Jeśli podmiot objęty ubezpieczeniem jest podmiotem hybrydowym, zasada prywatności zasadniczo ma zastosowanie tylko do wyznaczonych elementów opieki zdrowotnej. Jednak może to mieć wpływ na inne niż zdrowotne komponenty podmiotu hybrydowego, ponieważ składnik opieki zdrowotnej ma ograniczony sposób, w jaki może współdzielić PHI z elementem nie związanym z opieką zdrowotną. Podmiot objęty ochroną zachowuje również pewne obowiązki w zakresie nadzoru, zgodności i egzekwowania prawa.
Współpracownicy biznesowi
Zasada prywatności chroni również informacje zdrowotne, które można zidentyfikować, gdy są tworzone lub utrzymywane przez osobę lub podmiot wykonywanie określonych funkcji w imieniu podmiotu objętego ubezpieczeniem – wspólnika biznesowego. Partner biznesowy to osoba lub podmiot, który nie jest członkiem siły roboczej i wykonuje lub pomaga w wykonywaniu, na rzecz lub w imieniu podmiotu objętego ubezpieczeniem, funkcji lub działalności regulowanej przez HIPAA Administrative Simplification Rules, w tym zasadę prywatności, polegających na wykorzystaniu lub ujawnieniu informacji zdrowotnych, które można zidentyfikować, lub świadczeniu określonych usług podmiotowi objętemu ubezpieczeniem, które obejmują wykorzystanie lub ujawnienie informacji zdrowotnych, które można zidentyfikować.Ponieważ przepisy HIPAA dotyczące uproszczeń administracyjnych nie regulują bezpośrednio działalności badawczej, zasada prywatności nie wymaga od badacza ani sponsora badania, aby został partnerem biznesowym podmiotu objętego ubezpieczeniem w celach badawczych. Jednakże podmiot objęty ochroną może zaangażować współpracowników biznesowych do pomocy w usuwaniu identyfikacji PHI, w przygotowaniu ograniczonych zestawów danych lub w przeprowadzaniu agregacji danych. Zasada prywatności wymaga, aby podmiot objęty ubezpieczeniem zawarł pisemną umowę lub inne porozumienie dozwolone przez Regułę, jeśli obie strony są podmiotami rządowymi ze swoimi partnerami biznesowymi. Postanowienia Reguły dotyczące partnerów biznesowych można znaleźć w sekcjach 164.502 (e) i 164.504 (e). Zasadniczo podmiot objęty ochroną może, w celach dozwolonych przez zasadę prywatności i określonych w jego pisemnej umowie ze swoim partnerem biznesowym, ujawniać PIZ temu wspólnikowi biznesowemu i zezwalać wspólnikowi biznesowemu na używanie, tworzenie lub otrzymywanie PIZ w jego imieniu. Zanim podmiot objęty ubezpieczeniem ujawni PIZ wspólnikowi biznesowemu, podmiot objęty ubezpieczeniem musi uzyskać satysfakcjonujące zapewnienie, zazwyczaj w formie umowy, że partner biznesowy odpowiednio zabezpieczy te informacje. Z kilkoma ograniczonymi wyjątkami umowa nie może upoważniać współpracownika biznesowego do wykorzystywania lub dalszego ujawniania ChIZ w sposób, który naruszałby zasadę prywatności, gdyby zostało to zrobione bezpośrednio przez podmiot objęty umową.
Współpracownik biznesowy – osoba lub podmiot, który w imieniu podmiotu objętego ubezpieczeniem wykonuje lub pomaga w wykonywaniu funkcji lub czynności polegającej na wykorzystywaniu lub ujawnianiu informacji zdrowotnych, które można indywidualnie zidentyfikować, takich jak analiza danych, przetwarzanie roszczeń lub administracja, przegląd wykorzystania i kontrole zapewnienia jakości, lub jakąkolwiek inną funkcję lub działalność regulowaną przez administracyjne zasady uproszczenia ustawy HIPAA, w tym zasadę prywatności. Współpracownicy biznesowi to również osoby lub podmioty wykonujące usługi prawne, aktuarialne, księgowe, konsultingowe, agregację danych, zarządzanie, administracyjne, akredytacyjne lub finansowe na rzecz lub na rzecz podmiotu objętego ubezpieczeniem, w przypadku gdy świadczenie tych usług wiąże się z ujawnieniem przez podmiot objęty indywidualnymi informacjami o stanie zdrowia, lub innego partnera biznesowego podmiotu objętego ubezpieczeniem na tę osobę lub podmiot. Członek personelu podmiotu objętego ubezpieczeniem nie jest jednym z jego wspólników biznesowych. Podmiot objęty ubezpieczeniem może być współpracownikiem biznesowym innego podmiotu objętego ubezpieczeniem.
Określanie swojego statusu zgodnie z zasadą prywatności
Ustalenie, czy indywidualny badacz musi przestrzegać reguły prywatności, jest faktem -czuła, zindywidualizowana determinacja. Odpowiedź na to pytanie może zależeć od tego, jak zorganizowany jest podmiot, z którym badacz ma związek. Pytania dotyczące statusu badacza zgodnie z zasadą prywatności należy kierować do odpowiednich przedstawicieli w tej organizacji. Ani rząd federalny, ani niniejsza broszura nie podejmują ani nie powinny być interpretowane w taki sposób. HHS opracowało zestaw narzędzi pomagających jednostce w ustaleniu, czy jest to plan zdrowotny, biuro informacyjne opieki zdrowotnej lub ubezpieczony dostawca opieki zdrowotnej, który będzie podlegał zasadzie prywatności. Narzędzia te są dostępne pod następującym linkiem: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.