HIPAA: s sekretessregel och dess inverkan på forskning


För vem gäller sekretessregeln och vem kommer det att göra Påverka?

Nyckelpunkter:

  • Sekretessregeln gäller endast täckta enheter. Många organisationer som använder, samlar in, får åtkomst och avslöjar individuellt identifierbar hälsoinformation kommer inte att omfattas av enheter, och behöver därför inte följa sekretessregeln.
  • Sekretessregeln gäller inte för forskning; det gäller täckta enheter, vilka forskare kan eller inte kan vara. Regeln kan påverka forskare eftersom den kan påverka deras tillgång till information, men den reglerar inte dem eller forskning i sig.
  • För att få forskningsändamål tillgång till PHI som skapats eller underhålls av täckta enheter, forskaren kan behöva tillhandahålla underlag som den täckta enheten kan förlita sig på för att uppfylla kraven, villkoren och begränsningarna i sekretessregeln.

Sekretessregeln gäller endast för omfattade enheter; det gäller inte alla personer eller institutioner som samlar in individuellt identifierbar hälsoinformation. Det kan dock påverka andra typer av enheter som inte regleras direkt av regeln om de till exempel är beroende av täckta enheter för att tillhandahålla PHI. Det är viktigt att forskare är medvetna om hur regeln kan påverka dem i de olika typer av organisationer där de verkar, och vad de kan behöva göra för att fortsätta sin forskning eller starta nya forskningsinsatser efter och efter efterlevnadsdatum för sekretessregeln.

Täckta enheter

Täckta enheter definieras i HIPAA-reglerna som (1) hälsoplaner, (2) hälsovårdscentraler och (3) vårdgivare som elektroniskt överföra all hälsoinformation i samband med transaktioner för vilka HHS har antagit standarder. Generellt gäller dessa transaktioner fakturering och betalning för tjänster eller försäkringsskydd. Till exempel omfattas sjukhus, akademiska medicinska centra, läkare och andra vårdgivare som elektroniskt överför skadeanmälan direkt eller via en mellanhand till en hälsoplan. Täckta enheter kan vara institutioner, organisationer eller personer.

Forskare omfattas av enheter om de också är vårdgivare som elektroniskt överför hälsoinformation i samband med alla transaktioner som HHS har antagit en standard för. Till exempel måste läkare som genomför kliniska studier eller administrerar experimentell terapi till deltagare under studiens gång följa sekretessregeln om de uppfyller HIPAA-definitionen av en täckt enhet.

Hälsoplan – Med vissa undantag , en individuell eller gruppplan som tillhandahåller eller betalar kostnaden för medicinsk vård (enligt definitionen i avsnitt 2791 (a) (2) i PHS Act, 42 USC 300gg-91 (a) (2)). Lagen innehåller specifikt många typer av organisationer och regeringsprogram som hälsoplaner.
Health Care Clearinghouse – En offentlig eller privat enhet, inklusive en faktureringstjänst, omprissättning av företag, informationssystem för samhällshälsahantering eller samhällshälsoinformation och ”värderad ”Nätverk och växlar som antingen behandlar eller underlättar behandlingen av hälsoinformation som tas emot från en annan enhet i ett icke-standardformat eller som innehåller icke-standardiserat datainnehåll till standarddataelement eller en standardtransaktion, eller tar emot en standardtransaktion från en annan enhet och behandlar eller underlättar behandlingen av hälsoinformation till ett icke-standardformat eller icke-standardiserat datainnehåll för den mottagande enheten.
Hälsovårdsleverantör – En leverantör av tjänster (enligt definitionen i avsnitt 1861 (u) i lagen, 42 USC 1395x (u)), en leverantör av medicinska eller hälso- och sjukvårdstjänster (enligt definitionen i avsnitt 1861 (s) i lagen, 42 USC 1395x (s)) och alla andra personer eller organisationer som tillhandahåller, räknar eller betalar för vård i den normala verksamheten.
Hälso- och sjukvård – Vård, tjänster eller förnödenheter relaterade till en individs hälsa, inklusive (1) förebyggande, diagnostisk, terapeutisk, rehabiliterande, underhåll eller palliativ vård och rådgivning, service, bedömning eller procedur med avseende på det fysiska eller mentala tillståndet eller funktionella status hos en individ som påverkar kroppens struktur eller funktion; och (2) försäljning eller utdelning av ett läkemedel, en enhet, utrustning eller annat föremål i enlighet med ett recept.

Hybridenheter

Enligt sekretessregeln är varje enhet som uppfyller Definitionen av en täckt enhet, oavsett storlek eller komplexitet, kommer i allmänhet att omfattas av sin integritetsregel. Sekretessregeln tillhandahåller dock ett sätt genom vilket många täckta enheter kan undvika global tillämpning av regeln genom bestämmelserna om design av hybridenheter. Denna beteckning kommer att fastställa vilka delar av enheten som måste följa sekretessregeln.

Varje enskild juridisk enhet kan välja att vara en hybrid enhet om den utför både omfattade och icke-täckta funktioner som en del av sin affärsverksamhet. En täckt funktion är vilken funktion som helst som gör utövaren till en hälsoplan, en vårdgivare eller ett vårdcentral. För att bli en hybridenhet måste den täckta enheten utse hälsovårdskomponenterna inom sin organisation. Hälsovårdskomponenter måste innehålla alla komponenter som uppfyller definitionen av omfattad enhet om komponenten var en separat juridisk enhet. En hälso- och sjukvårdskomponent kan också innehålla alla komponenter som utför täckta funktioner (dvs. icke-täckt vårdgivare) eller utför aktiviteter som skulle göra komponenten till en affärsförening för enheten om den var juridiskt separat. Inom en hybridenhet gäller de flesta kraven i sekretessregeln endast för hälso- och sjukvårdskomponenterna, även om den omfattade enheten behåller vissa skyldigheter för tillsyn, efterlevnad och verkställighet.

Till exempel ett universitet kan vara en enda juridisk enhet som inkluderar ett akademiskt medicinskt sjukhus som genomför elektroniska transaktioner för vilka HHS har antagit standarder. Eftersom sjukhuset är en del av den juridiska enheten kommer hela universitetet, inklusive sjukhuset, att vara en täckt enhet. Universitetet kan dock välja att vara en hybridenhet. För att göra det måste det utse sjukhuset som en hälsovårdskomponent. Universitetet har också möjlighet att inkludera andra komponenter som bedriver funktioner eller affärsrelaterade funktioner i beteckningen. De flesta av sekretessregelens krav skulle då endast gälla sjukhusdelen av universitetet och alla andra utsedda komponenter. Sekretessregeln reglerar endast PHI som skapats, mottagits eller underhålls av eller på uppdrag av dessa komponenter. PHI-avslöjanden från sjukhuset till resten av universitetet regleras av sekretessregeln på samma sätt som avslöjanden till enheter utanför universitetet.

Forskningskomponenter i en hybridenhet som fungerar som vårdgivare och uppförande vissa elektroniska standardtransaktioner måste inkluderas i hybridenhetens hälso- och sjukvårdskomponenter och omfattas av sekretessregeln. Forskningskomponenter som fungerar som vårdgivare, men som inte genomför dessa elektroniska transaktioner, kan dock, men är inte skyldiga, att ingå i hälso- och sjukvårdskomponenterna i hybridenheten. Till exempel, om universitetet i exemplet ovan också har ett forskningslaboratorium som fungerar som en vårdgivare men inte deltar i specificerade elektroniska transaktioner, har universitetet som hybridenhet möjlighet att inkludera eller utesluta forskningslaboratoriet från sin hälsa vårdkomponent. Om ett sådant forskningslaboratorium ingår i hybridenhetens hälsovårdskomponent måste de anställda eller medlemmarna i laboratoriet följa sekretessregeln. Men om forskningslaboratoriet utesluts från hybridenhetens hälso- och sjukvårdskomponent är de anställda eller medlemmarna i laboratoriet i praktiken inte underkastade sekretessregeln.

Hybridenheten får dock inte inkludera i sin hälso- och sjukvårdskomponent, en forskningskomponent som inte fungerar som en vårdgivare eller inte bedriver affärsrelaterade funktioner. Exempelvis utför en forskningskomponent som utför enbart registerforskning inte täckta eller affärsrelaterade funktioner och kan därför inte inkluderas i hybridenhetens hälsovårdskomponent.

Hybridenhet – En enda juridisk enhet som är en täckt enhet, bedriver affärsverksamhet som inkluderar både täckta och icke-täckta funktioner och utser dess hälsovårdskomponenter som anges i sekretessregeln. Om en täckt enhet är en hybrid enhet gäller sekretessregeln i allmänhet endast för dess utsedda hälsovårdskomponenter. Icke-hälsovårdskomponenter i en hybridenhet kan dock påverkas eftersom hälsovårdskomponenten är begränsad i hur den kan dela PHI med icke-hälsovårdskomponenten. Den täckta enheten behåller också visst ansvar, efterlevnad och efterlevnad.

Affärsföretag

Sekretessregeln skyddar också individuellt identifierbar hälsoinformation när den skapas eller underhålls av en person eller enhet utför vissa funktioner på uppdrag av en täckt enhet – en affärsförening. En affärsassistent är en person eller enhet som inte är medlem i arbetskraften och utför eller hjälper till att utföra, för eller på uppdrag av en omfattad enhet, en funktion eller aktivitet som regleras av HIPAAs regler för administrativ förenkling, inklusive sekretessregeln, som involverar användning eller avslöjande av individuellt identifierbar hälsoinformation, eller som tillhandahåller vissa tjänster till en täckt enhet som involverar användning av offentliggörande av individuellt identifierbar hälsoinformation.Eftersom HIPAA: s administrativa förenklingsregler inte direkt reglerar forskningsaktiviteter, kräver integritetsregeln inte att en forskare eller en forskningssponsor ska bli en affärsförening för en täckt enhet för forskningsändamål. En täckt enhet kan dock anlita affärsföretag för att hjälpa till med att avidentifiera PHI, för att förbereda begränsade datamängder eller för att utföra dataggregation. Sekretessregeln kräver att en täckt enhet ska ingå ett skriftligt avtal eller ett annat arrangemang som tillåts av regeln om båda parter är myndigheter med sina affärsföretag. Regelens affärsrelaterade bestämmelser finns i avsnitt 164.502 (e) och 164.504 (e). Generellt kan en täckt enhet, för de ändamål som är tillåtna enligt sekretessregeln och som anges i dess skriftliga avtal med sin affärspartner, avslöja PHI för den affärspartnern och låta affärspartnern använda, skapa eller ta emot PHI för dess räkning. Innan den täckta enheten avslöjar PHI till affärsföretaget måste den täckta enheten få tillfredsställande försäkringar, vanligtvis i form av ett kontrakt, om att affärsföretaget på ett lämpligt sätt skyddar informationen. Med några få undantag kan det hända att kontraktet inte tillåter affärsföretaget att använda eller ytterligare avslöja PHI på ett sätt som skulle bryta mot sekretessregeln om det görs direkt av den täckta enheten.

Affärsassistent – En person eller enhet som på uppdrag av en täckt enhet utför eller hjälper till att utföra en funktion eller aktivitet som involverar användning eller avslöjande av individuellt identifierbar hälsoinformation, såsom dataanalys, skadebehandling eller administration, användningsgranskning och kvalitetssäkringsgranskningar, eller någon annan funktion eller aktivitet som regleras av HIPAAs regler för administrativ förenkling, inklusive sekretessregeln. Affärsföretag är också personer eller enheter som utför juridiska, aktuariella, redovisnings-, konsult-, dataaggregerings-, förvaltnings-, administrations-, ackrediterings- eller finansiella tjänster till eller för en täckt enhet där utförandet av dessa tjänster innebär avslöjande av individuellt identifierbar hälsoinformation av den täckta enheten eller en annan affärspartner till den täckta enheten till den personen eller enheten. En medlem av en täckt enhets arbetskraft är inte en av dess affärsföretag. En täckt enhet kan vara en affärsförening till en annan täckt enhet.

Bestämma din status enligt sekretessregeln

Avgörandet om en enskild forskare måste följa sekretessregeln är ett faktum -känsligt, individualiserat beslutsamhet. Svaret på denna fråga kan bero på hur den enhet som en forskare har en relation med är organiserad. Frågor om en forskares status enligt sekretessregeln bör hänvisas till lämpliga representanter inom den organisationen. Varken den federala regeringen eller det här häftet gör eller bör tolkas för att göra detta beslut. HHS har utvecklat en uppsättning verktyg som hjälper en enhet att avgöra om det är en hälsoplan, ett vårdcentral eller en omfattande vårdgivare som omfattas av sekretessregeln. Dessa verktyg finns på följande länk: http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *