Siapa yang harus mengikuti Aturan Privasi dan Keamanan HIPAA?

Aturan-aturan ini mengikat entitas yang tercakup (sebagian besar penyedia layanan kesehatan, rencana kesehatan, dan pusat kliring layanan kesehatan) serta rekan bisnis mereka yang membuat, menerima, memelihara, atau mengirimkan informasi kesehatan yang dilindungi atas nama mereka. Aturan-aturan ini tidak secara langsung mencakup setiap organisasi yang menangani data terkait kesehatan.

Apa itu standar minimum yang diperlukan?

Ini adalah prinsip Aturan Privasi bahwa, untuk sebagian besar penggunaan dan pengungkapan, entitas yang tercakup harus melakukan upaya yang wajar untuk membatasi informasi kesehatan yang dilindungi seminimal mungkin yang diperlukan untuk mencapai tujuan yang dimaksud, daripada membagikan seluruh catatan secara default.

Aturan Privasi dan Keamanan HIPAA

Aturan Privasi dan Keamanan HIPAA adalah standar federal utama Amerika Serikat yang mengatur penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang dapat diidentifikasi. Diterbitkan di bawah Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996, Aturan Privasi menetapkan standar nasional tentang bagaimana informasi kesehatan yang dilindungi dapat digunakan dan diungkapkan serta memberikan hak kepada individu atas informasi mereka, sementara Aturan Keamanan menetapkan standar untuk menjaga informasi tersebut ketika disimpan atau ditransmisikan secara elektronik.

Temukan Topik dengan PaperMindSegeraFind papers & topics

Tools & resources

Unduh salindia

Learn & explore

VideoSegera

Definition

Aturan Privasi HIPAA menetapkan standar nasional untuk perlindungan informasi kesehatan yang dapat diidentifikasi secara individual yang disimpan atau ditransmisikan oleh entitas yang tercakup dan rekan bisnis mereka, mendefinisikan penggunaan dan pengungkapan yang diizinkan serta hak individu; Aturan Keamanan HIPAA menetapkan standar untuk perlindungan administratif, fisik, dan teknis yang melindungi informasi kesehatan elektronik yang dilindungi.

Scope

Entri ini menjelaskan struktur dan konsep inti dari kedua aturan: definisi informasi kesehatan yang dilindungi, kategori entitas yang tercakup dan rekan bisnis yang terikat olehnya, penggunaan dan pengungkapan yang diizinkan serta prinsip minimum-yang-diperlukan, hak individu untuk mengakses dan mengubah, serta perlindungan administratif, fisik, dan teknis yang diperlukan untuk informasi elektronik. Entri ini memperlakukan aturan sebagai kerangka peraturan untuk referensi dan pendidikan dan tidak memberikan penentuan kepatuhan untuk organisasi atau situasi tertentu.

Core questions

Organisasi dan informasi apa yang berlaku untuk aturan ini?
Penggunaan dan pengungkapan informasi kesehatan yang dilindungi apa yang diizinkan tanpa otorisasi individu?
Hak apa yang dimiliki individu atas informasi kesehatan mereka sendiri?
Perlindungan apa yang harus melindungi informasi kesehatan elektronik yang dilindungi?
Bagaimana penegakan hukum dan kewajiban terkait pelanggaran memperkuat aturan?

Key concepts

Informasi kesehatan yang dilindungi (PHI)
Entitas yang tercakup dan rekan bisnis
Penggunaan dan pengungkapan yang diizinkan
Standar minimum yang diperlukan
Hak individu untuk mengakses dan mengubah
Perlindungan administratif, fisik, dan teknis
Spesifikasi Aturan Keamanan yang diwajibkan versus yang dapat diatasi
Pemberitahuan praktik privasi

Mechanisms

Aturan Privasi bekerja dengan mendefinisikan informasi kesehatan yang dilindungi dan kemudian menentukan kapan informasi tersebut dapat digunakan atau diungkapkan: beberapa penggunaan (seperti untuk perawatan, pembayaran, dan operasi layanan kesehatan) diizinkan tanpa otorisasi, sementara banyak lainnya memerlukan otorisasi tertulis dari individu, dan pengungkapan dibatasi oleh prinsip minimum-yang-diperlukan. Aturan ini juga memberikan hak individu, termasuk akses ke catatan seseorang dan kemampuan untuk meminta perubahan. Aturan Keamanan melengkapi ini dengan mewajibkan entitas yang tercakup dan rekan bisnis yang menangani informasi kesehatan elektronik yang dilindungi untuk melakukan analisis risiko dan menerapkan perlindungan di tiga domain: administratif (kebijakan, pelatihan tenaga kerja, manajemen akses), fisik (kontrol fasilitas dan perangkat), dan teknis (kontrol akses, kontrol audit, integritas, dan keamanan transmisi). Beberapa spesifikasi implementasi diwajibkan dan yang lainnya dapat diatasi, memungkinkan fleksibilitas yang disesuaikan dengan ukuran dan risiko organisasi. Kantor Hak Sipil menegakkan kedua aturan (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

Aturan-aturan ini membentuk penanganan informasi sehari-hari dalam pengaturan perawatan: bagaimana catatan dibagikan untuk perawatan, apa yang dapat diakses pasien, dan pelatihan serta kontrol apa yang diterapkan oleh staf klinis. Para komentator telah berpendapat bahwa Aturan Privasi mendukung daripada menghalangi pertukaran informasi kesehatan yang tepat jika diterapkan dengan benar (McDonald, 2009). Entri ini adalah deskripsi referensi dari kerangka peraturan dan bukan nasihat hukum atau penentuan kepatuhan untuk entitas tertentu.

Evidence & guidelines

Sumber otoritatif adalah teks peraturan itu sendiri (45 CFR Bagian 160 dan 164) dan panduan Kantor Hak Sipil yang menafsirkannya (HHS OCR, 2013). Institute of Medicine meneliti bagaimana Aturan Privasi memengaruhi penelitian kesehatan dan merekomendasikan reformasi untuk menyeimbangkan privasi dengan kegunaan penelitian dengan lebih baik (Nass et al., 2009). Karena aturan dan panduannya secara berkala diamandemen, sumber resmi HHS saat ini harus dikonsultasikan untuk persyaratan spesifik.

History

HIPAA diberlakukan pada tahun 1996 terutama untuk mengatasi portabilitas asuransi dan penyederhanaan administratif; ketentuan privasi dan keamanannya diterbitkan sebagai aturan pada awal tahun 2000-an, dengan Aturan Privasi dan Aturan Keamanan mulai berlaku masing-masing pada tahun 2003 dan 2005. Undang-Undang HITECH tahun 2009 memperluas kewajiban secara langsung kepada rekan bisnis, memperkuat penegakan hukum, dan menambahkan persyaratan pemberitahuan pelanggaran, dan Aturan Omnibus 2013 mengkonsolidasikan perubahan ini. Kerangka kerja ini tetap menjadi dasar di mana sebagian besar praktik informasi kesehatan AS diukur (Nass et al., 2009).

Debates

Apakah Aturan Privasi menyeimbangkan perlindungan dan penggunaan data kesehatan dengan tepat?: Beberapa berpendapat bahwa aturan tersebut secara tidak perlu menghambat koordinasi perawatan dan penelitian, sementara yang lain mempertahankannya sebagai kompatibel dengan pertukaran informasi kesehatan yang tepat; Institute of Medicine merekomendasikan reformasi yang ditargetkan khusus untuk konteks penelitian.

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

Siapa yang harus mengikuti Aturan Privasi dan Keamanan HIPAA?: Aturan-aturan ini mengikat entitas yang tercakup (sebagian besar penyedia layanan kesehatan, rencana kesehatan, dan pusat kliring layanan kesehatan) serta rekan bisnis mereka yang membuat, menerima, memelihara, atau mengirimkan informasi kesehatan yang dilindungi atas nama mereka. Aturan-aturan ini tidak secara langsung mencakup setiap organisasi yang menangani data terkait kesehatan.
Apa itu standar minimum yang diperlukan?: Ini adalah prinsip Aturan Privasi bahwa, untuk sebagian besar penggunaan dan pengungkapan, entitas yang tercakup harus melakukan upaya yang wajar untuk membatasi informasi kesehatan yang dilindungi seminimal mungkin yang diperlukan untuk mencapai tujuan yang dimaksud, daripada membagikan seluruh catatan secara default.