Regula de confidențialitate HIPAA și impactul acesteia asupra cercetării


Cui i se aplică regula de confidențialitate și cui o va face Afectează?

Puncte cheie:

  • Regula de confidențialitate se aplică numai entităților acoperite. Multe organizații care utilizează, colectează, accesează și dezvăluie informații de sănătate identificabile individual nu vor fi entități acoperite și, prin urmare, nu vor trebui să respecte regula de confidențialitate.
  • Regula de confidențialitate nu se aplică cercetării; se aplică entităților acoperite, care pot fi sau nu cercetătorii. Regula poate afecta cercetătorii, deoarece le poate afecta accesul la informații, dar nu le reglementează sau cercetează, în sine.
  • Pentru a obține acces în scopuri de cercetare la PHI create sau menținute de entități acoperite, cercetătorul poate fi necesar să furnizeze documentație justificativă pe care se poate baza entitatea acoperită pentru a îndeplini cerințele, condițiile și limitările regulii de confidențialitate.

Regula de confidențialitate se aplică numai entităților acoperite; nu se aplică tuturor persoanelor sau instituțiilor care colectează informații de sănătate identificabile individual. Cu toate acestea, poate afecta alte tipuri de entități care nu sunt reglementate direct de regulă dacă, de exemplu, se bazează pe entități acoperite pentru a furniza PHI. Este important ca cercetătorii să fie conștienți de modul în care regula le-ar putea afecta în diferitele tipuri de organizații în care își desfășoară activitatea și ce ar trebui să facă pentru a-și continua cercetarea sau a începe noi eforturi de cercetare la și după data conformității pentru regula de confidențialitate.

Entități acoperite

Entitățile acoperite sunt definite în regulile HIPAA ca (1) planuri de sănătate, (2) centre de îngrijire a sănătății și (3) furnizori de servicii medicale care transmite electronic orice informație de sănătate în legătură cu tranzacțiile pentru care HHS a adoptat standarde. În general, aceste tranzacții se referă la facturare și plată pentru servicii sau acoperire de asigurare. De exemplu, spitalele, centrele medicale academice, medicii și alți furnizori de servicii medicale care transmit în mod electronic informații despre tranzacțiile de daune direct sau printr-un intermediar către un plan de sănătate sunt entități acoperite. Entitățile acoperite pot fi instituții, organizații sau persoane.

Cercetătorii sunt entități acoperite dacă sunt și furnizori de servicii medicale care transmit informații electronice despre sănătate în legătură cu orice tranzacție pentru care HHS a adoptat un standard. De exemplu, medicii care efectuează studii clinice sau administrează terapii experimentale participanților pe parcursul desfășurării unui studiu trebuie să respecte regula de confidențialitate dacă îndeplinesc definiția HIPAA a unei entități acoperite.

Planul de sănătate – Cu anumite excepții , un plan individual sau de grup care asigură sau plătește costul asistenței medicale (așa cum este definit în secțiunea 2791 (a) (2) din PHS Act, 42 USC 300gg-91 (a) (2)). Legea include în mod specific multe tipuri de organizații și programe guvernamentale ca planuri de sănătate.
Health Care Clearinghouse – O entitate publică sau privată, inclusiv un serviciu de facturare, o companie de reevaluare a prețurilor, un sistem de informații comunitare de gestionare a sănătății sau un sistem de informații comunitare de sănătate și „valueadded ”Rețele și comutatoare care fie procesează sau facilitează prelucrarea informațiilor de sănătate primite de la o altă entitate într-un format non-standard sau care conțin conținut de date non-standard în elemente de date standard sau într-o tranzacție standard, sau primesc o tranzacție standard de la o altă entitate și procesează sau facilitează prelucrarea de informații despre sănătate într-un format non-standard sau conținut de date non-standard pentru entitatea destinatară.
Furnizor de servicii medicale – Un furnizor de servicii (așa cum este definit în secțiunea 1861 (u) din lege, 42 USC 1395x (u)), un furnizor de servicii medicale sau de sănătate (așa cum sunt definite în secțiunea 1861 (s) din lege, 42 USC 1395x (s)) și orice altă persoană sau organizație cine furnizează, facturează sau este plătit pentru asistență medicală în cursul normal al activității.
Asistență medicală – Îngrijire, servicii sau consumabile legate de sănătatea unei persoane, inclusiv (1) preventiv, diagnostic, terapeutic, reabilitator, întreținerea sau îngrijirea paliativă și consilierea, serviciul, evaluarea sau procedura în ceea ce privește starea fizică sau mentală sau starea funcțională a unei persoane care afectează structura sau funcția corpului; și (2) vânzarea sau distribuirea unui medicament, dispozitiv, echipament sau alt articol în conformitate cu o rețetă.

Entități hibride

Conform regulii de confidențialitate, orice entitate care îndeplinește definiția unei entități acoperite, indiferent de dimensiune sau complexitate, va fi, în general, supusă în totalitate Regulii de confidențialitate. Cu toate acestea, regula privind confidențialitatea oferă un mijloc prin care multe entități acoperite pot evita aplicarea globală a regulii, prin dispozițiile privind desemnarea entității hibride. Această desemnare va stabili ce părți ale entității trebuie să respecte regula de confidențialitate.

Orice persoană juridică poate alege să fie o entitate hibridă dacă îndeplinește atât funcții acoperite, cât și funcții neacoperite ca parte a operațiunilor sale comerciale. O funcție acoperită este orice funcție a cărei performanță face ca executantul să fie un plan de sănătate, un furnizor de servicii medicale sau un centru de asistență medicală. Pentru a deveni o entitate hibridă, entitatea acoperită trebuie să desemneze componentele de îngrijire a sănătății din cadrul organizației sale. Componentele din domeniul sănătății trebuie să includă orice componentă care ar îndeplini definiția entității acoperite dacă acea componentă ar fi o entitate juridică separată. O componentă de îngrijire a sănătății poate include, de asemenea, orice componentă care desfășoară funcții acoperite (adică furnizor de servicii medicale neacoperite) sau care desfășoară activități care ar face componenta un asociat comercial al entității dacă ar fi separată din punct de vedere legal. În cadrul unei entități hibride, majoritatea cerințelor din regula de confidențialitate se aplică numai componentelor de îngrijire a sănătății, deși entitatea acoperită își păstrează anumite obligații de supraveghere, conformitate și executare.

De exemplu, o universitate poate fi o singură entitate juridică care include spitalul unui centru medical academic care efectuează tranzacții electronice pentru care HHS a adoptat standarde. Deoarece spitalul face parte din entitatea juridică, întreaga universitate, inclusiv spitalul, va fi o entitate acoperită. Cu toate acestea, universitatea poate alege să fie o entitate hibridă. Pentru a face acest lucru, trebuie să desemneze spitalul ca o componentă de îngrijire a sănătății. Universitatea are, de asemenea, opțiunea de a include în desemnare alte componente care desfășoară funcții acoperite sau funcții similare asociaților de afaceri. Majoritatea cerințelor Regulii de confidențialitate s-ar aplica atunci numai porțiunii spitalului universității și oricăror alte componente desemnate. Regula de confidențialitate va reglementa numai PHI-ul creat, primit sau întreținut de sau în numele acestor componente. Divulgările PHI de către spital către restul universității sunt reglementate de regula de confidențialitate, în același mod ca și divulgările către entități din afara universității.

Componente de cercetare ale unei entități hibride care funcționează ca furnizori de servicii medicale și conduită anumite tranzacții electronice standard trebuie să fie incluse în componenta (componentele) de îngrijire a sănătății entității hibride și să fie supuse regulii de confidențialitate. Cu toate acestea, componentele de cercetare care funcționează ca furnizori de asistență medicală, dar care nu efectuează aceste tranzacții electronice pot fi, dar nu sunt obligate, să fie incluse în componentele de asistență medicală ale entității hibride. De exemplu, dacă universitatea din exemplul de mai sus are și un laborator de cercetare care funcționează ca furnizor de asistență medicală, dar nu se angajează în tranzacții electronice specificate, universitatea ca entitate hibridă are opțiunea de a include sau exclude laboratorul de cercetare din sănătatea sa componentă de îngrijire. Dacă un astfel de laborator de cercetare este inclus în componenta de asistență medicală a entității hibride, atunci angajații sau membrii forței de muncă din laborator trebuie să respecte regula de confidențialitate. Dar dacă laboratorul de cercetare este exclus din componenta de îngrijire a sănătății entității hibride, angajații sau membrii forței de muncă din laborator nu sunt efectiv supuși regulii de confidențialitate.

Cu toate acestea, entitatea hibridă nu are voie să includă în componenta sa de îngrijire a sănătății, o componentă de cercetare care nu funcționează ca furnizor de asistență medicală sau nu desfășoară funcții asociative. De exemplu, o componentă de cercetare care efectuează cercetări de evidență pură nu efectuează funcții acoperite sau similare unui asociat comercial și, prin urmare, nu poate fi inclusă în componenta de asistență medicală a entității hibride.

Entitate hibridă – O singură entitate juridică care este o entitate acoperită, desfășoară activități comerciale care includ atât funcții acoperite, cât și funcții neacoperite și desemnează componentele sale de îngrijire a sănătății, așa cum este prevăzut în regula de confidențialitate. Dacă o entitate acoperită este o entitate hibridă, regula de confidențialitate se aplică în general numai componentelor sale de îngrijire a sănătății desemnate. Cu toate acestea, componentele de îngrijire nesănătoasă ale unei entități hibride pot fi afectate deoarece componenta de îngrijire a sănătății este limitată în ceea ce privește modul în care poate partaja PHI cu componenta non-îngrijire a sănătății. Entitatea acoperită își păstrează, de asemenea, anumite responsabilități de supraveghere, conformitate și executare.

Business Associates

Regula de confidențialitate protejează, de asemenea, informațiile de sănătate identificabile individual atunci când sunt create sau întreținute de o persoană sau entitate desfășurarea anumitor funcții în numele unei entități acoperite – un asociat de afaceri. Un asociat de afaceri este o persoană sau entitate care nu este membru al forței de muncă și îndeplinește sau ajută la îndeplinirea, pentru sau în numele unei entități acoperite, a unei funcții sau activități reglementate de regulile de simplificare administrativă HIPAA, inclusiv regula de confidențialitate, care implică utilizarea sau divulgarea informațiilor medicale identificabile individual sau care furnizează anumite servicii unei entități acoperite care implică utilizarea sau divulgarea informațiilor medicale identificabile individual.Deoarece Regulile HIPAA de simplificare administrativă nu reglementează în mod direct activitățile de cercetare, Regula de confidențialitate nu impune ca un cercetător sau un sponsor de cercetare să devină un asociat de afaceri al unei entități acoperite în scopuri de cercetare. Cu toate acestea, o entitate acoperită poate angaja asociați de afaceri pentru a ajuta la dezidentificarea PHI, pentru a pregăti seturi limitate de date sau pentru a efectua agregarea datelor. Regula de confidențialitate impune unei entități acoperite să încheie un contract scris sau un alt acord permis de regulă dacă ambele părți sunt entități guvernamentale, cu asociații săi de afaceri. Dispozițiile asociate de afaceri ale regulii pot fi găsite în secțiunile 164.502 (e) și 164.504 (e). În general, o entitate acoperită poate, în scopurile permise de regula de confidențialitate și specificate în acordul său scris cu asociatul său de afaceri, să dezvăluie PHI acelui asociat de afaceri și să permită asociatului de afaceri să utilizeze, să creeze sau să primească PHI în numele său. Înainte ca entitatea acoperită să dezvăluie PHI către asociatul comercial, entitatea acoperită trebuie să obțină asigurări satisfăcătoare, în general sub forma unui contract, că asociatul comercial va proteja în mod corespunzător informațiile. Cu câteva excepții limitate, contractul nu poate autoriza asociatul comercial să utilizeze sau să dezvăluie în continuare PHI într-un mod care ar încălca regula de confidențialitate dacă ar fi făcut direct de entitatea acoperită.

Asociat comercial – O persoană sau entitate care, în numele unei entități acoperite, îndeplinește sau asistă la îndeplinirea unei funcții sau activități care implică utilizarea sau divulgarea informațiilor de sănătate identificabile individual, cum ar fi analiza datelor, procesarea sau administrarea daunelor, revizuirea utilizării și revizuirea asigurării calității, sau orice altă funcție sau activitate reglementată de Regulile de simplificare administrativă HIPAA, inclusiv Regula de confidențialitate. Asociații de afaceri sunt, de asemenea, persoane sau entități care efectuează servicii juridice, actuariale, contabile, de consultanță, de agregare a datelor, de gestionare, administrative, de acreditare sau servicii financiare către sau pentru o entitate acoperită, în cazul în care efectuarea acestor servicii implică divulgarea de informații de sănătate identificabile individual de către entitatea acoperită un alt asociat comercial al entității acoperite de persoana sau entitatea respectivă. Un membru al forței de muncă a unei entități acoperite nu este unul dintre asociații săi de afaceri. O entitate acoperită poate fi asociată unei alte entități acoperite.

Determinarea statutului dvs. în conformitate cu regula de confidențialitate

Determinarea dacă un cercetător individual trebuie să respecte regula de confidențialitate este un fapt -determinare sensibilă, individualizată. Răspunsul la această întrebare poate depinde de modul în care este organizată entitatea cu care un cercetător are o relație. Întrebările referitoare la statutul unui cercetător conform regulii de confidențialitate ar trebui trimise reprezentanților corespunzători din cadrul organizației respective. Nici Guvernul federal, nici această broșură nu fac, sau nu ar trebui interpretate ca făcând, această determinare. HHS a dezvoltat un set de instrumente pentru a ajuta o entitate să stabilească dacă este un plan de sănătate, un centru de informare medicală sau un furnizor de servicii medicale acoperit care va fi supus regulii de confidențialitate. Aceste instrumente sunt disponibile la următorul link: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *