HIPAA गोपनीयता और सुरक्षा नियम
HIPAA गोपनीयता और सुरक्षा नियम संयुक्त राज्य अमेरिका के प्रमुख संघीय मानक हैं जो पहचान योग्य स्वास्थ्य जानकारी के उपयोग, प्रकटीकरण और संरक्षण को नियंत्रित करते हैं। 1996 के स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम के तहत जारी, गोपनीयता नियम यह निर्धारित करता है कि संरक्षित स्वास्थ्य जानकारी का उपयोग और खुलासा कैसे किया जा सकता है और व्यक्तियों को उनकी जानकारी पर अधिकार प्रदान करता है, जबकि सुरक्षा नियम उस जानकारी की सुरक्षा के लिए मानक निर्धारित करता है जब इसे इलेक्ट्रॉनिक रूप से रखा या प्रसारित किया जाता है।
Definition
HIPAA गोपनीयता नियम कवर की गई संस्थाओं और उनके व्यावसायिक सहयोगियों द्वारा रखी या प्रसारित की जाने वाली व्यक्तिगत रूप से पहचान योग्य स्वास्थ्य जानकारी के संरक्षण के लिए राष्ट्रीय मानक स्थापित करता है, जिसमें अनुमेय उपयोग और प्रकटीकरण और व्यक्तिगत अधिकारों को परिभाषित किया गया है; HIPAA सुरक्षा नियम प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपायों के लिए मानक स्थापित करता है जो इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी की रक्षा करते हैं।
Scope
यह प्रविष्टि दोनों नियमों की संरचना और मुख्य अवधारणाओं की व्याख्या करती है: संरक्षित स्वास्थ्य जानकारी की परिभाषा, कवर की गई संस्थाओं और व्यावसायिक सहयोगियों की श्रेणियां जिन्हें वे बाध्य करते हैं, अनुमत उपयोग और प्रकटीकरण और न्यूनतम-आवश्यक सिद्धांत, पहुंच और संशोधन के व्यक्तिगत अधिकार, और इलेक्ट्रॉनिक जानकारी के लिए आवश्यक प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपाय। यह नियमों को संदर्भ और शिक्षा के लिए एक नियामक ढांचे के रूप में मानता है और किसी विशिष्ट संगठन या स्थिति के लिए अनुपालन निर्धारण प्रदान नहीं करता है।
Core questions
- नियम किन संगठनों और जानकारी पर लागू होते हैं?
- संरक्षित स्वास्थ्य जानकारी के कौन से उपयोग और प्रकटीकरण व्यक्तिगत प्राधिकरण के बिना अनुमत हैं?
- व्यक्तियों को अपनी स्वास्थ्य जानकारी पर क्या अधिकार हैं?
- इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी को कौन से सुरक्षा उपाय सुरक्षित रखने चाहिए?
- प्रवर्तन और उल्लंघन-संबंधी दायित्व नियमों को कैसे सुदृढ़ करते हैं?
Key concepts
- संरक्षित स्वास्थ्य जानकारी (PHI)
- कवर की गई संस्थाएं और व्यावसायिक सहयोगी
- अनुमत उपयोग और प्रकटीकरण
- न्यूनतम आवश्यक मानक
- पहुंच और संशोधन के व्यक्तिगत अधिकार
- प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपाय
- आवश्यक बनाम संबोधित करने योग्य सुरक्षा नियम विनिर्देश
- गोपनीयता प्रथाओं की सूचना
Mechanisms
गोपनीयता नियम संरक्षित स्वास्थ्य जानकारी को परिभाषित करके और फिर यह निर्दिष्ट करके काम करता है कि इसका उपयोग या खुलासा कब किया जा सकता है: कुछ उपयोगों (जैसे उपचार, भुगतान और स्वास्थ्य-देखभाल संचालन के लिए) को प्राधिकरण के बिना अनुमति दी जाती है, जबकि कई अन्य को व्यक्ति के लिखित प्राधिकरण की आवश्यकता होती है, और प्रकटीकरण न्यूनतम-आवश्यक सिद्धांत द्वारा प्रतिबंधित होते हैं। यह व्यक्तिगत अधिकार भी प्रदान करता है, जिसमें किसी के रिकॉर्ड तक पहुंच और संशोधन का अनुरोध करने की क्षमता शामिल है। सुरक्षा नियम इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी को संभालने वाली कवर की गई संस्थाओं और व्यावसायिक सहयोगियों को जोखिम विश्लेषण करने और तीन डोमेन में सुरक्षा उपायों को लागू करने की आवश्यकता करके इसे पूरक करता है: प्रशासनिक (नीतियां, कार्यबल प्रशिक्षण, पहुंच प्रबंधन), भौतिक (सुविधा और उपकरण नियंत्रण), और तकनीकी (पहुंच नियंत्रण, ऑडिट नियंत्रण, अखंडता और प्रसारण सुरक्षा)। कुछ कार्यान्वयन विनिर्देश आवश्यक हैं और अन्य संबोधित करने योग्य हैं, जो किसी संगठन के आकार और जोखिम के अनुसार लचीलेपन की अनुमति देते हैं। नागरिक अधिकार कार्यालय दोनों नियमों को लागू करता है (HHS OCR, 2013; Nass et al., 2009)।
Clinical relevance
नियम देखभाल सेटिंग्स में दिन-प्रतिदिन की जानकारी के प्रबंधन को आकार देते हैं: उपचार के लिए रिकॉर्ड कैसे साझा किए जाते हैं, रोगी क्या पहुंच सकते हैं, और नैदानिक कर्मचारी किस प्रशिक्षण और नियंत्रण के तहत काम करते हैं। टिप्पणीकारों ने तर्क दिया है कि गोपनीयता नियम उचित रूप से लागू होने पर उचित स्वास्थ्य सूचना विनिमय को बाधित करने के बजाय उसका समर्थन करता है (McDonald, 2009)। यह प्रविष्टि नियामक ढांचे का एक संदर्भ विवरण है और किसी विशिष्ट इकाई के लिए कानूनी सलाह या अनुपालन निर्धारण नहीं है।
Evidence & guidelines
आधिकारिक स्रोत नियामक पाठ स्वयं (45 CFR भाग 160 और 164) और नागरिक अधिकार कार्यालय का मार्गदर्शन है जो इसकी व्याख्या करता है (HHS OCR, 2013)। इंस्टीट्यूट ऑफ मेडिसिन ने जांच की कि गोपनीयता नियम स्वास्थ्य अनुसंधान को कैसे प्रभावित करता है और गोपनीयता को अनुसंधान उपयोगिता के साथ बेहतर ढंग से संतुलित करने के लिए सुधारों की सिफारिश की (Nass et al., 2009)। चूंकि नियम और उनके मार्गदर्शन को समय-समय पर संशोधित किया जाता है, इसलिए विशिष्ट आवश्यकताओं के लिए वर्तमान आधिकारिक HHS स्रोतों से परामर्श किया जाना चाहिए।
History
HIPAA को मुख्य रूप से बीमा पोर्टेबिलिटी और प्रशासनिक सरलीकरण को संबोधित करने के लिए 1996 में अधिनियमित किया गया था; इसके गोपनीयता और सुरक्षा प्रावधानों को 2000 के दशक की शुरुआत में नियमों के रूप में जारी किया गया था, जिसमें गोपनीयता नियम और सुरक्षा नियम क्रमशः 2003 और 2005 में प्रभावी हुए थे। 2009 के HITECH अधिनियम ने सीधे व्यावसायिक सहयोगियों तक दायित्वों का विस्तार किया, प्रवर्तन को मजबूत किया, और उल्लंघन-अधिसूचना आवश्यकताओं को जोड़ा, और 2013 के सर्वग्राही नियम ने इन परिवर्तनों को समेकित किया। यह ढांचा वह आधार रेखा बना हुआ है जिसके विरुद्ध अधिकांश अमेरिकी स्वास्थ्य-सूचना अभ्यास को मापा जाता है (Nass et al., 2009)।
Debates
- क्या गोपनीयता नियम स्वास्थ्य डेटा के संरक्षण और उपयोग को उचित रूप से संतुलित करता है?
- कुछ का तर्क है कि यह नियम अनावश्यक रूप से देखभाल समन्वय और अनुसंधान में बाधा डालता है, जबकि अन्य इसे उचित स्वास्थ्य सूचना विनिमय के साथ संगत बताते हुए इसका बचाव करते हैं; इंस्टीट्यूट ऑफ मेडिसिन ने विशेष रूप से अनुसंधान संदर्भ के लिए लक्षित सुधारों की सिफारिश की।
Related topics
Seminal works
- nass-2009
- mcdonald-2009
Frequently asked questions
- HIPAA गोपनीयता और सुरक्षा नियमों का पालन किसे करना होगा?
- ये नियम कवर की गई संस्थाओं (अधिकांश स्वास्थ्य-देखभाल प्रदाता, स्वास्थ्य योजनाएं और स्वास्थ्य-देखभाल क्लियरिंगहाउस) और उनके व्यावसायिक सहयोगियों को बाध्य करते हैं जो उनकी ओर से संरक्षित स्वास्थ्य जानकारी बनाते, प्राप्त करते, बनाए रखते या प्रसारित करते हैं। वे सीधे हर उस संगठन को कवर नहीं करते हैं जो स्वास्थ्य-संबंधी डेटा को संभालता है।
- न्यूनतम आवश्यक मानक क्या है?
- यह गोपनीयता नियम का सिद्धांत है कि, अधिकांश उपयोगों और प्रकटीकरणों के लिए, कवर की गई संस्थाओं को इच्छित उद्देश्य को पूरा करने के लिए आवश्यक न्यूनतम तक संरक्षित स्वास्थ्य जानकारी को सीमित करने के लिए उचित प्रयास करने चाहिए, बजाय इसके कि डिफ़ॉल्ट रूप से पूरे रिकॉर्ड साझा किए जाएं।