提交违反HIPAA的行为
介绍
《galaxy银河娱乐场app》(“HIPAA”)是一部消费者保护法,旨在保护与个人身体或精神健康有关的个人可识别信息, 向个人提供保健服务, 或向个人提供医疗保健的费用(“受保护的健康信息”或“PHI”). HIPAA适用于“受保实体”,其中包括医疗服务提供者, 以电子方式进行特定交易的健康计划和医疗保健信息交换中心(“受保实体”或各为“受保实体”). St. galaxy银河娱乐场app既参与涵盖实体的活动,也参与非涵盖实体的活动. HIPAA允许从事承保实体职能和其他非承保实体职能活动的实体将自己指定为“混合实体”,,结果是HIPAA规定不适用于未涵盖的功能.
混合实体状态评估
一个由圣公会代表组成的工作队. galaxy银河娱乐场app行政办公室等信息技术, 健康与人类服务学院, 人力资源, 以及包括法律顾问在内的外部资源,以确定圣. galaxy银河娱乐场app部门从事的活动适用于HIPAA隐私标准. 基于该指南和对HIPAA标准的审查,St. galaxy银河娱乐场app正式将自己指定为HIPAA下的混合实体.
在决定哪些部门包括在St. galaxy银河娱乐场app覆盖实体(以下简称“SACE”),St. galaxy银河娱乐场app一直受到卫生和人类服务部对HIPAA条例的修订的指导. 是否是St ?. galaxy银河娱乐场app的功能或个人活动代表圣. galaxy银河娱乐场app是否包含在SACE中是根据使用和/或披露的数据确定的, 不是基于任何特定的整体部门任务或活动. 下列已定义的数据类别对确定所涵盖的职能和活动至关重要:
- IIHI:个人可识别健康信息是由医疗保健提供者创建或接收的从个人收集的信息, 雇主, 计划或票据交换所,与过去有关, present or future physical or mental health condition of an individual; the provision of health care to an individual; or the part, 为向个人提供医疗保健而支付的当前或未来费用,并确定个人身份, 或者可以合理地用来识别个人.
- PHI:受保护的健康信息,即IIHI,由SACE内的相关功能以任何形式或媒介传输或维护. 这特别排除了教育记录, 哪些受其他隐私法规的保护, 及圣. galaxy银河娱乐场app作为雇主的角色. 这也不包括研究健康信息(见下文定义)。, 哪些受其他监管要求的保护.
- RHI:研究健康信息是St. galaxy银河娱乐场app确定IIHI用于研究目的,而不是PHI, 因此不受HIPAA要求的约束. RHI是与研究活动相关的IIHI而不是与病人护理活动相关的IIHI. 当研究人员不同时充当卫生保健提供者时, 并创建与纯研究活动(不涉及患者护理)相关的IIHI, IIHI不是PHI,不受HIPAA的隐私和安全规则的约束. 如果研究人员也是卫生保健提供者,并且IIHI是根据研究人员的卫生保健提供者活动而创建的, 那么IIHI就是受HIPAA约束的PHI. 根据IRB的批准流程,作为PHI创建并用于研究目的的IIHI可以向研究人员披露(同样是研究人员的个人医疗保健提供者可以向其本人披露PHI), 其中包括适当的患者授权或IRB放弃授权. 在研究环境中适当披露PHI之后, 转移到研究机构的IIHI变成了RHI, 哪些不再受HIPAA要求的约束. In certain cases such as interventional clinical trials it is expected there will be two copies of some IIHI; a copy kept in the patient's medical record which is PHI and subject to HIPAA and a copy of the same data kept in the research record which is RHI and not subject to HIPAA.
- 关键决定因素:决定信息是否属于IIHI而不受隐私规则或PHI保护而受保护的关键因素是:1)提供商或健康计划执行的功能,以及2)实体或工作人员接收信息的目的, 创建或维护医疗信息(治疗), 付款, 操作, 其他). 保存记录的做法并不是决定因素. 例如, 当SAU和供应商以及SACE的一部分对SAU员工进行测试时,适合工作的测试结果为PHI. 当员工授权SAU时, 医疗保健提供者, 把情报交给特殊行动组, 用人单位, 它是雇员雇佣记录的一部分,不再是PHI. 值得注意的是,在大多数情况下(例外情况包括工伤), 疾病或医疗监视),员工必须向SAU医疗保健提供者提供签署的授权,以便向SAU发布信息, 用人单位.
卫生保健处根据《galaxy银河娱乐场app》的以下标准确定其哪些部门是卫生保健组成部分(涵盖单位), 修正案和卫生与公众服务部指南:
- 医疗保健或健康计划的使用或披露:符合“受保实体”定义的组成部分,“如果它是一个独立的法律实体, 必须包括在医疗保健部分吗. 当SAU工作人员使用或披露与医疗保健提供者或健康计划功能有关的个人可识别健康信息(IIHI)时, 个人的健康信息定义为PHI, HIPAA隐私和安全法规适用于这些职能和执行这些职能的员工;
- 支持医疗保健或健康计划的职能:如果承保实体是独立的法人实体,则承保实体的另一个组成部分,其活动将使其成为执行承保职能的组成部分的业务伙伴. 如果这些类似业务伙伴的功能没有被指定为医疗保健组件的一部分, 医疗保健信息的交换可能需要授权,因为所涵盖的实体本身不能有业务伙伴合同. 在商业活动中使用或披露IIHI时, 金融, 代表SAU的医疗保健提供者和健康计划活动的法律或行政职能, 个人信息是PHI, HIPAA隐私和安全法规适用于这些职能和执行这些职能的员工;
- 雇主和教育职能:当SAU以雇主或教育机构的身份使用和披露IIHI时, 这些信息不是PHI,这些功能不受HIPAA的隐私或安全法规的约束, 但是个人健康信息的保密性受到其他州和联邦法律的保护, as well as by SAU policy; and
- IRB功能:PHI仅可在与IRB批准或豁免协议相关并根据豁免或授权的情况下向研究人员披露. 当研究人员请求访问已创建的PHI时, 由SACE接收或维护, 隐私规则要求SACE得到具体保证,一旦将PHI披露给研究人员作为RHI使用,将受到保护, 和SAU必须解释HIPAA法规要求的某些披露. SAU的IRB将作为HIPAA定义的隐私委员会发挥作用.
- 可能提供业务的劳动力成员的示例, 金融, 适用职能部门的法律或其他服务:SAU以下部门的员工可以代表SACE(根据HIPAA的要求使用PHI)和代表SAU的非适用部门(IIHI不符合HIPAA的要求)提供行政职能:
- 金融;
- 信息技术;
- 传播与营销;
- 校友事务;
- 安全;
- 进步;
- 合规办公室;
- IRB和个别SAU研究人员;
- HIPAA委员会/专责小组确定的其他部门.
以下部门被正式指定为符合HIPAA隐私规则和标准所需的医疗保健组件:
- 言语和语言病理学-卫生保健提供者
- 辅助技术实验室-卫生保健提供者
- 学生健康服务——只有在学生健康服务为非学生提供治疗的情况下,医疗保健提供者才受HIPAA隐私标准的约束
- 跨专业健康诊所
覆盖部件和非覆盖部件之间的PHI传递
当向SACE提供服务的员工代表SAU未涵盖的组件执行服务时, 这些未涵盖的功能不属于SACE. 员工不得在未经个人或患者授权的情况下将PHI泄露给未涵盖的SAU组件, 或在为研究目的而披露的情况下放弃IRB的授权, 根据隐私规则的要求.
向SACE提供商和SAU健康计划提供商业和金融服务的员工不得在这些实体之间使用或披露个人隐私信息,除非隐私规则允许此类披露.