Кто должен соблюдать Правила конфиденциальности и безопасности HIPAA?

Правила обязывают охватываемые организации (большинство поставщиков медицинских услуг, медицинских планов и клиринговых палат здравоохранения) и их деловых партнеров, которые создают, получают, поддерживают или передают защищенную медицинскую информацию от их имени. Они не распространяются напрямую на каждую организацию, которая обрабатывает данные, связанные со здоровьем.

Что такое стандарт минимальной необходимости?

Это принцип Правила конфиденциальности, согласно которому для большинства видов использования и раскрытия информации охватываемые организации должны прилагать разумные усилия для ограничения защищенной медицинской информации до минимума, необходимого для достижения предполагаемой цели, а не передавать полные записи по умолчанию.

Правила конфиденциальности и безопасности HIPAA

Правила конфиденциальности и безопасности HIPAA являются основными федеральными стандартами США, регулирующими использование, раскрытие и защиту идентифицируемой медицинской информации. Правило конфиденциальности, выпущенное в соответствии с Законом о переносимости и подотчетности медицинского страхования 1996 года, устанавливает национальные стандарты использования и раскрытия защищенной медицинской информации и предоставляет физическим лицам права на их информацию, в то время как Правило безопасности устанавливает стандарты защиты этой информации при ее хранении или передаче в электронном виде.

Найти тему в PaperMindСкороFind papers & topics

Tools & resources

Скачать слайды

Learn & explore

ВидеоСкоро

Definition

Правило конфиденциальности HIPAA устанавливает национальные стандарты защиты индивидуально идентифицируемой медицинской информации, хранящейся или передаваемой охватываемыми организациями и их деловыми партнерами, определяя допустимые виды использования и раскрытия информации, а также индивидуальные права; Правило безопасности HIPAA устанавливает стандарты для административных, физических и технических мер защиты, которые защищают электронную защищенную медицинскую информацию.

Scope

Эта статья объясняет структуру и основные концепции двух правил: определение защищенной медицинской информации, категории охватываемых организаций и деловых партнеров, которых они обязывают, разрешенные виды использования и раскрытия информации, а также принцип минимальной необходимости, индивидуальные права доступа и внесения изменений, а также административные, физические и технические меры защиты, требуемые для электронной информации. Она рассматривает правила как нормативную базу для справки и обучения и не предоставляет определений соответствия для какой-либо конкретной организации или ситуации.

Core questions

К каким организациям и информации применяются правила?
Какие виды использования и раскрытия защищенной медицинской информации разрешены без индивидуального разрешения?
Какие права имеют физические лица в отношении своей медицинской информации?
Какие меры защиты должны защищать электронную защищенную медицинскую информацию?
Как правоприменение и обязательства, связанные с нарушениями, укрепляют правила?

Key concepts

Защищенная медицинская информация (PHI)
Охватываемые организации и деловые партнеры
Разрешенные виды использования и раскрытия информации
Стандарт минимальной необходимости
Индивидуальные права доступа и внесения изменений
Административные, физические и технические меры защиты
Обязательные и адресуемые спецификации Правила безопасности
Уведомление о практике конфиденциальности

Mechanisms

Правило конфиденциальности работает путем определения защищенной медицинской информации, а затем уточнения, когда она может быть использована или раскрыта: некоторые виды использования (например, для лечения, оплаты и операций в сфере здравоохранения) разрешены без авторизации, в то время как многие другие требуют письменного разрешения физического лица, а раскрытие информации ограничено принципом минимальной необходимости. Оно также предоставляет индивидуальные права, включая доступ к своим записям и возможность запрашивать внесение изменений. Правило безопасности дополняет это, требуя от охватываемых организаций и деловых партнеров, которые обрабатывают электронную защищенную медицинскую информацию, проводить анализ рисков и внедрять меры защиты в трех областях: административной (политики, обучение персонала, управление доступом), физической (контроль объектов и устройств) и технической (контроль доступа, аудиторский контроль, целостность и безопасность передачи). Некоторые спецификации реализации являются обязательными, а другие — адресуемыми, что обеспечивает гибкость, масштабируемую в соответствии с размером и риском организации. Управление по гражданским правам обеспечивает соблюдение обоих правил (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

Правила формируют повседневную обработку информации в медицинских учреждениях: как записи передаются для лечения, к чему пациенты могут получить доступ, и под каким обучением и контролем работает клинический персонал. Комментаторы утверждают, что Правило конфиденциальности скорее поддерживает, чем препятствует надлежащему обмену медицинской информацией при правильном применении (McDonald, 2009). Эта запись является справочным описанием нормативной базы и не является юридической консультацией или определением соответствия для какой-либо конкретной организации.

Evidence & guidelines

Авторитетным источником является сам текст нормативного акта (45 CFR Parts 160 и 164) и руководство Управления по гражданским правам, которое его толкует (HHS OCR, 2013). Институт медицины изучил, как Правило конфиденциальности влияет на исследования в области здравоохранения, и рекомендовал реформы для лучшего баланса конфиденциальности и полезности исследований (Nass et al., 2009). Поскольку правила и их руководства периодически изменяются, для конкретных требований следует обращаться к текущим официальным источникам HHS.

History

HIPAA был принят в 1996 году в первую очередь для решения вопросов переносимости страхования и административного упрощения; его положения о конфиденциальности и безопасности были выпущены в качестве правил в начале 2000-х годов, при этом Правило конфиденциальности и Правило безопасности вступили в силу в 2003 и 2005 годах соответственно. Закон HITECH 2009 года распространил обязательства непосредственно на деловых партнеров, усилил правоприменение и добавил требования об уведомлении о нарушениях, а Сводное правило 2013 года объединило эти изменения. Эта структура остается основой, по которой оценивается большая часть практики в области медицинской информации в США (Nass et al., 2009).

Debates

Соответствующим ли образом Правило конфиденциальности балансирует защиту и использование медицинских данных?: Некоторые утверждают, что правило излишне препятствует координации ухода и исследованиям, в то время как другие защищают его как совместимое с надлежащим обменом медицинской информацией; Институт медицины рекомендовал целенаправленные реформы специально для контекста исследований.

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

Кто должен соблюдать Правила конфиденциальности и безопасности HIPAA?: Правила обязывают охватываемые организации (большинство поставщиков медицинских услуг, медицинских планов и клиринговых палат здравоохранения) и их деловых партнеров, которые создают, получают, поддерживают или передают защищенную медицинскую информацию от их имени. Они не распространяются напрямую на каждую организацию, которая обрабатывает данные, связанные со здоровьем.
Что такое стандарт минимальной необходимости?: Это принцип Правила конфиденциальности, согласно которому для большинства видов использования и раскрытия информации охватываемые организации должны прилагать разумные усилия для ограничения защищенной медицинской информации до минимума, необходимого для достижения предполагаемой цели, а не передавать полные записи по умолчанию.