Regra de privacidade da HIPAA e seus impactos na pesquisa


A quem se aplica a regra de privacidade e a quem ela irá Afeta?

Pontos principais:

  • A regra de privacidade se aplica apenas às entidades cobertas. Muitas organizações que usam, coletam, acessam e divulgam informações de saúde individualmente identificáveis não serão entidades cobertas e, portanto, não terão que cumprir a Regra de Privacidade.
  • A Regra de Privacidade não se aplica à pesquisa; aplica-se a entidades abrangidas, podendo os investigadores ser ou não. A regra pode afetar pesquisadores porque pode afetar seu acesso à informação, mas não os regulamenta ou a pesquisa, por si só.
  • Para obter acesso para fins de pesquisa às PHI criadas ou mantidas por entidades cobertas, o pesquisador pode ter que fornecer documentação de suporte na qual a entidade coberta pode contar para atender aos requisitos, condições e limitações da Regra de Privacidade.

A Regra de Privacidade se aplica apenas a entidades cobertas; não se aplica a todas as pessoas ou instituições que coletam informações de saúde individualmente identificáveis. No entanto, pode afetar outros tipos de entidades que não são diretamente regulamentadas pela Regra se, por exemplo, dependerem de entidades cobertas para fornecer PHI. É importante que os pesquisadores estejam cientes de como a Regra pode afetá-los nos vários tipos de organizações em que operam e o que eles podem ter que fazer para continuar suas pesquisas ou iniciar novos esforços de pesquisa na data de conformidade para a regra de privacidade.

Entidades cobertas

As entidades cobertas são definidas nas regras da HIPAA como (1) planos de saúde, (2) câmaras de compensação de cuidados de saúde e (3) prestadores de cuidados de saúde que transmitir eletronicamente qualquer informação de saúde em conexão com transações para as quais o HHS tenha adotado padrões. Geralmente, essas transações dizem respeito ao faturamento e pagamento de serviços ou cobertura de seguro. Por exemplo, hospitais, centros médicos acadêmicos, médicos e outros prestadores de cuidados de saúde que transmitem eletronicamente informações sobre transações de sinistros diretamente ou por meio de um intermediário de um plano de saúde são entidades cobertas. As entidades cobertas podem ser instituições, organizações ou pessoas.

Os pesquisadores são entidades cobertas se também forem prestadores de serviços de saúde que transmitam eletronicamente informações de saúde em relação a qualquer transação para a qual o HHS tenha adotado um padrão. Por exemplo, os médicos que conduzem estudos clínicos ou administram terapias experimentais aos participantes durante o curso de um estudo devem cumprir a Regra de Privacidade se atenderem à definição HIPAA de entidade coberta.

Plano de saúde – com certas exceções , um plano individual ou de grupo que fornece ou paga o custo de cuidados médicos (conforme definido na seção 2791 (a) (2) da Lei PHS, 42 USC 300gg-91 (a) (2)). A lei inclui especificamente muitos tipos de organizações e programas governamentais como planos de saúde.
Health Care Clearinghouse – Uma entidade pública ou privada, incluindo um serviço de cobrança, empresa de reavaliação, sistema de informação de gestão de saúde comunitária ou sistema de informação de saúde comunitária e “valor agregado ”Redes e interruptores que processam ou facilitam o processamento de informações de saúde recebidas de outra entidade em um formato não padrão ou contendo conteúdo de dados não padrão em elementos de dados padrão ou uma transação padrão, ou recebem uma transação padrão de outra entidade e processam ou facilitam o processamento de informações de saúde em um formato não padrão ou conteúdo de dados não padrão para a entidade receptora.
Provedor de cuidados de saúde – Um provedor de serviços (conforme definido na seção 1861 (u) da Lei, 42 USC 1395x (u)), um provedor de serviços médicos ou de saúde (conforme definido na seção 1861 (s) da Lei, 42 USC 1395x (s)) e qualquer outra pessoa ou organização quem fornece, fatura ou é pago por cuidados de saúde no curso normal dos negócios.
Cuidados de saúde – cuidados, serviços ou materiais relacionados com a saúde de um indivíduo, incluindo (1) prevenção, diagnóstico, terapêutica, reabilitação, manutenção ou cuidados paliativos e aconselhamento, serviço, avaliação ou procedimento com relação à condição física ou mental, ou estado funcional, de um indivíduo que afeta a estrutura ou função do corpo; e (2) venda ou dispensação de um medicamento, dispositivo, equipamento ou outro item de acordo com uma receita.

Entidades híbridas

De acordo com a regra de privacidade, qualquer entidade que atenda às A definição de uma entidade coberta, independentemente de tamanho ou complexidade, geralmente estará sujeita em sua totalidade à Regra de Privacidade. No entanto, a Regra de Privacidade fornece um meio pelo qual muitas entidades cobertas podem evitar a aplicação global da Regra, por meio das disposições de designação de entidade híbrida. Esta designação estabelecerá quais partes da entidade devem cumprir a Regra de Privacidade.

Qualquer entidade legal pode optar por ser uma entidade híbrida se desempenhar funções cobertas e não cobertas como parte de suas operações comerciais. Uma função coberta é qualquer função cujo desempenho torna o executor um plano de saúde, um provedor de saúde ou uma câmara de compensação de saúde. Para se tornar uma entidade híbrida, a entidade coberta deve designar os componentes de saúde dentro de sua organização. Os componentes de assistência médica devem incluir qualquer componente que atenderia à definição de entidade coberta se esse componente fosse uma entidade legal separada. Um componente de saúde também pode incluir qualquer componente que conduza funções cobertas (ou seja, provedor de saúde não coberto) ou executa atividades que tornariam o componente um associado comercial da entidade se fosse legalmente separado. Em uma entidade híbrida, a maioria dos requisitos da Regra de Privacidade se aplica apenas ao (s) componente (s) de saúde, embora a entidade coberta mantenha certas obrigações de supervisão, conformidade e aplicação.

Por exemplo, uma universidade pode ser uma única entidade legal que inclua um hospital de centro médico acadêmico que conduz transações eletrônicas para as quais o HHS tenha adotado padrões. Como o hospital faz parte da pessoa jurídica, toda a universidade, inclusive o hospital, será uma entidade coberta. No entanto, a universidade pode optar por ser uma entidade híbrida. Para tanto, deve designar o hospital como componente de saúde. A universidade também tem a opção de incluir na designação outros componentes que realizam as funções cobertas ou funções semelhantes a um parceiro de negócios. A maioria dos requisitos da Regra de Privacidade, então, se aplicaria apenas à parte do hospital da universidade e quaisquer outros componentes designados. A regra de privacidade rege apenas as PHI criadas, recebidas ou mantidas por, ou em nome de, esses componentes. As divulgações de PHI pelo hospital para o resto da universidade são reguladas pela Regra de Privacidade da mesma forma que as divulgações para entidades fora da universidade.

Pesquise os componentes de uma entidade híbrida que funcionam como prestadores de cuidados de saúde e conduta certas transações eletrônicas padrão devem ser incluídas no (s) componente (s) de saúde da entidade híbrida e estar sujeitas à Regra de Privacidade. No entanto, os componentes de pesquisa que funcionam como prestadores de cuidados de saúde, mas não conduzem essas transações eletrônicas, podem, mas não são obrigados a, ser incluídos no (s) componente (s) de cuidados de saúde da entidade híbrida. Por exemplo, se a universidade no exemplo acima também tem um laboratório de pesquisa que funciona como provedor de saúde, mas não se envolve em transações eletrônicas especificadas, a universidade como uma entidade híbrida tem a opção de incluir ou excluir o laboratório de pesquisa de sua saúde componente de cuidados. Se tal laboratório de pesquisa for incluído no componente de saúde da entidade híbrida, os funcionários ou membros da força de trabalho do laboratório devem cumprir a Regra de Privacidade. Mas se o laboratório de pesquisa for excluído do componente de saúde da entidade híbrida, os funcionários ou membros da força de trabalho do laboratório não estão efetivamente sujeitos à Regra de Privacidade.

A entidade híbrida não tem permissão, no entanto, de incluir em seu componente de assistência médica, um componente de pesquisa que não funciona como provedor de assistência médica ou não conduz funções semelhantes às de associado de negócios. Por exemplo, um componente de pesquisa que conduz apenas pesquisas de registros não está desempenhando funções cobertas ou de associado comercial e, portanto, não pode ser incluído no componente de saúde da entidade híbrida.

Entidade híbrida – uma única entidade legal que é uma entidade coberta, executa atividades de negócios que incluem funções cobertas e não cobertas e designa seus componentes de saúde conforme estabelecido na Regra de Privacidade. Se uma entidade coberta for uma entidade híbrida, a Regra de Privacidade geralmente se aplica apenas aos componentes de saúde designados. No entanto, componentes não relacionados à saúde de uma entidade híbrida podem ser afetados porque o componente de saúde é limitado em como pode compartilhar PHI com o componente não relacionado à saúde. A entidade coberta também mantém certas responsabilidades de supervisão, conformidade e aplicação.

Parceiros comerciais

A regra de privacidade também protege informações de saúde individualmente identificáveis quando são criadas ou mantidas por uma pessoa ou entidade realizar certas funções em nome de uma entidade coberta – um parceiro comercial. Um parceiro de negócios é uma pessoa ou entidade que não é membro da força de trabalho e executa ou auxilia no desempenho, para ou em nome de uma entidade coberta, uma função ou atividade regulamentada pelas Regras de Simplificação Administrativa da HIPAA, incluindo a Regra de Privacidade, envolvendo o uso ou divulgação de informações de saúde individualmente identificáveis, ou que forneça certos serviços a uma entidade coberta que envolvam o uso ou divulgação de informações de saúde individualmente identificáveis.Como as Regras de Simplificação Administrativa da HIPAA não regulam diretamente as atividades de pesquisa, a Regra de Privacidade não exige que um pesquisador ou um patrocinador de pesquisa se torne um associado comercial de uma entidade coberta para fins de pesquisa. No entanto, uma entidade coberta pode envolver parceiros de negócios para auxiliar na desidentificação de PHI, para preparar conjuntos de dados limitados ou para realizar agregação de dados. A Regra de Privacidade exige que uma entidade coberta celebre um contrato por escrito ou outro acordo permitido pela Regra se ambas as partes forem entidades governamentais, com seus associados comerciais. As disposições de parceiro de negócios da Regra podem ser encontradas nas Seções 164.502 (e) e 164.504 (e). Geralmente, uma entidade coberta pode, para os fins permitidos pela Regra de Privacidade e especificados em seu contrato por escrito com seu parceiro comercial, divulgar PHI para esse parceiro comercial e permitir que o parceiro comercial use, crie ou receba PHI em seu nome. Antes que a entidade coberta divulgue a PHI para o associado comercial, a entidade coberta deve obter garantias satisfatórias, geralmente na forma de um contrato, de que o associado comercial salvaguardará as informações de forma adequada. Com algumas exceções limitadas, o contrato não pode autorizar o parceiro comercial a usar ou divulgar as PHI de uma maneira que violaria a Regra de privacidade se feita diretamente pela entidade coberta.

Associado comercial – uma pessoa ou entidade que, em nome de uma entidade coberta, desempenha ou auxilia no desempenho de uma função ou atividade envolvendo o uso ou divulgação de informações de saúde individualmente identificáveis, como análise de dados, processamento ou administração de reivindicações, análise de utilização e análises de garantia de qualidade, ou qualquer outra função ou atividade regulada pelas Regras de Simplificação Administrativa da HIPAA, incluindo a Regra de Privacidade. Associados de negócios também são pessoas ou entidades que executam serviços jurídicos, atuariais, contábeis, de consultoria, agregação de dados, gestão, administração, credenciamento ou financeiros para ou para uma entidade coberta onde a execução desses serviços envolve a divulgação de informações de saúde individualmente identificáveis pela entidade coberta ou outro parceiro comercial da entidade coberta a essa pessoa ou entidade. Um membro da força de trabalho de uma entidade coberta não é um de seus associados de negócios. Uma entidade coberta pode ser um parceiro comercial de outra entidade coberta.

Determinando seu status sob a regra de privacidade

A determinação se um pesquisador individual deve cumprir a regra de privacidade é um fato -determinação sensível e individualizada. A resposta a essa pergunta pode depender de como está organizada a entidade com a qual o pesquisador se relaciona. Perguntas sobre o status de um pesquisador sob a Regra de Privacidade devem ser encaminhadas aos representantes apropriados dentro dessa organização. Nem o Governo Federal nem este livreto fazem, ou deveriam ser interpretados como fazendo, essa determinação. O HHS desenvolveu um conjunto de ferramentas para ajudar uma entidade a determinar se é um plano de saúde, uma câmara de compensação de saúde ou um provedor de saúde coberto que estará sujeito à regra de privacidade. Essas ferramentas estão disponíveis no seguinte link: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *