Health Insurance Portability and Accountability Act of 1996 (HIPAA) to prawo federalne, które wymagało stworzenia krajowych standardów ochrony poufnych informacji zdrowotnych pacjenta przed ujawnieniem bez jego zgody lub wiedzy. Amerykański Departament Zdrowia i Usług Społecznych (HHS) wydał zasadę HIPAA Privacy Rule, aby wdrożyć wymagania HIPAA. HIPAA Security Rule chroni podzbiór informacji objętych Privacy Rule.
HIPAA Privacy Rule
Standardy Privacy Rule dotyczą wykorzystywania i ujawniania informacji zdrowotnych osób fizycznych (znanych jako „chronione informacje zdrowotne”) przez podmioty podlegające Privacy Rule. Te osoby i organizacje nazywane są „podmiotami objętymi ochroną”. Reguła Prywatności zawiera również standardy dotyczące praw osób fizycznych do zrozumienia i kontroli sposobu wykorzystywania ich informacji zdrowotnych. Głównym celem Reguły Prywatności jest zapewnienie, że informacje zdrowotne osób fizycznych są właściwie chronione przy jednoczesnym umożliwieniu przepływu informacji zdrowotnych potrzebnych do zapewnienia i promowania wysokiej jakości opieki zdrowotnej oraz ochrony zdrowia publicznego i dobrego samopoczucia. Reguła Prywatności zachowuje równowagę, która pozwala na ważne wykorzystanie informacji przy jednoczesnej ochronie prywatności osób poszukujących opieki i leczenia.
Objęte podmioty
Następujące rodzaje osób i organizacji podlegają Regule Prywatności i są uważane za podmioty objęte przepisami:
- Podmioty świadczące usługi opieki zdrowotnej: Każdy podmiot świadczący usługi opieki zdrowotnej, niezależnie od wielkości praktyki, który przekazuje drogą elektroniczną informacje zdrowotne w związku z określonymi transakcjami. Transakcje te obejmują roszczenia, zapytania dotyczące kwalifikowalności świadczeń, prośby o autoryzację skierowania i inne transakcje, dla których HHS ustanowił standardy na mocy HIPAA Transactions Rule.
- Plany zdrowotne: Podmioty, które zapewniają lub pokrywają koszty opieki medycznej. Plany zdrowotne obejmują ubezpieczycieli zdrowotnych, dentystycznych, wizjonerskich i ubezpieczycieli leków na receptę; organizacje utrzymania zdrowotnego (HMO); ubezpieczycieli Medicare, Medicaid, Medicare+Choice i ubezpieczycieli suplementów Medicare; oraz ubezpieczycieli opieki długoterminowej (z wyłączeniem polis stałego odszkodowania dla domów opieki). Plany zdrowotne obejmują również grupowe plany zdrowotne sponsorowane przez pracodawcę, plany zdrowotne sponsorowane przez rząd i kościół oraz wielozakładowe plany zdrowotne.
- Wyjątek: Grupowy plan zdrowotny z mniej niż 50 uczestnikami, który jest zarządzany wyłącznie przez pracodawcę, który ustanowił i utrzymuje ten plan, nie jest podmiotem objętym ubezpieczeniem.
- Centra rozliczeniowe opieki zdrowotnej: Podmioty, które przetwarzają niestandardowe informacje otrzymane od innego podmiotu na standardowe (tj. o standardowym formacie lub zawartości danych) lub odwrotnie. W większości przypadków centra rozliczeniowe opieki zdrowotnej otrzymują informacje zdrowotne umożliwiające identyfikację osób tylko wtedy, gdy świadczą usługi przetwarzania na rzecz planu zdrowotnego lub dostawcy usług opieki zdrowotnej jako partner biznesowy: Osoba lub organizacja (inna niż członek personelu podmiotu objętego obowiązkiem ubezpieczenia) wykorzystująca lub ujawniająca informacje zdrowotne identyfikowalne indywidualnie w celu wykonywania lub świadczenia funkcji, działań lub usług na rzecz podmiotu objętego obowiązkiem ubezpieczenia. Te funkcje, działania lub usługi obejmują przetwarzanie roszczeń, analizę danych, przegląd wykorzystania i rozliczenia.
Dozwolone zastosowania i ujawnienia
Podmiot objęty obowiązkiem ubezpieczenia jest uprawniony, lecz nie zobowiązany, do wykorzystywania i ujawniania chronionych informacji zdrowotnych, bez zezwolenia osoby fizycznej, w następujących celach lub sytuacjach:
- Ujawnienie informacji osobie fizycznej (jeżeli informacja jest wymagana w celu uzyskania dostępu lub rozliczenia ujawnień, podmiot MUSI ujawnić ją osobie fizycznej)
- Traktowanie, płatności i działania w zakresie opieki zdrowotnej
- Możliwość wyrażenia zgody lub sprzeciwu wobec ujawnienia PHI (Nieformalną zgodę można uzyskać poprzez jawne zapytanie osoby fizycznej, lub w okolicznościach, które wyraźnie dają osobie fizycznej możliwość wyrażenia zgody, przyzwolenia lub sprzeciwu)
- Przypadek innego dozwolonego użycia i ujawnienia
- Działania w interesie publicznym i dla dobra ogółu – Reguła Prywatności zezwala na użycie i ujawnienie chronionych informacji zdrowotnych, bez zezwolenia lub zgody osoby fizycznej, dla 12 priorytetowych celów narodowych:
- Gdy jest to wymagane przez prawo
- Działalność w zakresie zdrowia publicznego
- Ofiary nadużyć lub zaniedbań lub przemocy domowej
- Działalność w zakresie nadzoru nad zdrowiem
- Postępowania sądowe i administracyjne
- Wykonywanie prawa
- Funkcje (takie jak identyfikacja) dotyczące osób zmarłych
- Dawstwo narządów, oddawanie organów, oczu lub tkanek
- Badania naukowe, pod pewnymi warunkami
- Do zapobiegania lub zmniejszania poważnego zagrożenia dla zdrowia lub bezpieczeństwa
- Podstawowe funkcje rządowe
- Odszkodowania pracownicze
- Limitowany zbiór danych do celów badań, zdrowia publicznego, lub operacji opieki zdrowotnej
Zasady bezpieczeństwa HIPAA
Podczas gdy Zasady ochrony prywatności HIPAA zabezpieczają chronione informacje zdrowotne (PHI), Zasady bezpieczeństwa chronią podzbiór informacji objętych Zasadami ochrony prywatności. Podzbiór ten to wszystkie informacje zdrowotne umożliwiające indywidualną identyfikację, które podmiot objęty ochroną tworzy, otrzymuje, utrzymuje lub przekazuje w formie elektronicznej. Informacje te nazywane są „elektronicznymi chronionymi informacjami zdrowotnymi” (e-PHI). Przepisów bezpieczeństwa nie stosuje się do PHI przekazywanych ustnie lub pisemnie.
Aby zachować zgodność z przepisami HIPAA Security Rule, wszystkie podmioty objęte obowiązkiem zachowania bezpieczeństwa muszą wykonać następujące czynności:
- Zapewnić poufność, integralność i dostępność wszystkich elektronicznych chronionych informacji zdrowotnych
- Wykryć i zabezpieczyć się przed przewidywanymi zagrożeniami dla bezpieczeństwa informacji
- Zabezpieczyć się przed przewidywanymi niedopuszczalnymi sposobami wykorzystania lub ujawnienia
- Zapewnić zgodność z przepisami przez swoich pracowników
Podmioty objęte obowiązkiem ochrony powinny polegać na etyce zawodowej i najlepszym osądzie przy rozpatrywaniu wniosków o te dozwolone sposoby wykorzystania i ujawnienia. Biuro Praw Obywatelskich HHS egzekwuje zasady HIPAA, a wszystkie skargi powinny być zgłaszane do tego biura. Naruszenia przepisów HIPAA mogą skutkować nałożeniem cywilnych kar pieniężnych lub karnych.
Więcej informacji można znaleźć na stronie internetowej Departamentu Zdrowia i Usług Społecznych HIPAA – ikona zewnętrzna.
Wykonanie przepisów HIPAA – ikona zewnętrzna. US Department of Health and Human Services (Departament Zdrowia i Usług Społecznych USA)