กฎความเป็นส่วนตัวและความปลอดภัยของ HIPAA
กฎความเป็นส่วนตัวและความปลอดภัยของ HIPAA เป็นมาตรฐานหลักของรัฐบาลกลางสหรัฐอเมริกาที่ควบคุมการใช้ การเปิดเผย และการปกป้องข้อมูลสุขภาพที่สามารถระบุตัวตนได้ กฎความเป็นส่วนตัวซึ่งออกภายใต้พระราชบัญญัติการส่งผ่านและความรับผิดชอบของการประกันสุขภาพ พ.ศ. 2539 (Health Insurance Portability and Accountability Act of 1996) กำหนดมาตรฐานระดับชาติว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองจะถูกใช้และเปิดเผยได้อย่างไร และให้สิทธิ์แก่บุคคลในการควบคุมข้อมูลของตนเอง ในขณะที่กฎความปลอดภัยกำหนดมาตรฐานสำหรับการปกป้องข้อมูลดังกล่าวเมื่อมีการจัดเก็บหรือส่งผ่านทางอิเล็กทรอนิกส์
Definition
กฎความเป็นส่วนตัวของ HIPAA กำหนดมาตรฐานระดับชาติสำหรับการปกป้องข้อมูลสุขภาพที่สามารถระบุตัวตนได้ซึ่งจัดเก็บหรือส่งผ่านโดยหน่วยงานที่อยู่ภายใต้การควบคุมและผู้ร่วมธุรกิจของพวกเขา โดยกำหนดการใช้งานและการเปิดเผยที่ได้รับอนุญาตและสิทธิ์ของบุคคล ในขณะที่กฎความปลอดภัยของ HIPAA กำหนดมาตรฐานสำหรับมาตรการป้องกันด้านการบริหารจัดการ กายภาพ และทางเทคนิคที่ปกป้องข้อมูลสุขภาพอิเล็กทรอนิกส์ที่ได้รับการคุ้มครอง
Scope
บทความนี้อธิบายโครงสร้างและแนวคิดหลักของกฎทั้งสอง: คำจำกัดความของข้อมูลสุขภาพที่ได้รับการคุ้มครอง ประเภทของหน่วยงานที่อยู่ภายใต้การควบคุมและผู้ร่วมธุรกิจที่ผูกพัน การใช้งานและการเปิดเผยที่ได้รับอนุญาตและหลักการขั้นต่ำที่จำเป็น สิทธิ์ของบุคคลในการเข้าถึงและแก้ไข และมาตรการป้องกันด้านการบริหารจัดการ กายภาพ และทางเทคนิคที่จำเป็นสำหรับข้อมูลอิเล็กทรอนิกส์ บทความนี้ถือว่ากฎเหล่านี้เป็นกรอบการกำกับดูแลสำหรับการอ้างอิงและการศึกษา และไม่ได้ให้การพิจารณาการปฏิบัติตามสำหรับองค์กรหรือสถานการณ์ใดโดยเฉพาะ
Core questions
- กฎเหล่านี้ใช้กับองค์กรและข้อมูลใดบ้าง?
- การใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองใดบ้างที่ได้รับอนุญาตโดยไม่ต้องได้รับอนุญาตจากบุคคล?
- บุคคลมีสิทธิ์อะไรบ้างเกี่ยวกับข้อมูลสุขภาพของตนเอง?
- มาตรการป้องกันใดบ้างที่ต้องปกป้องข้อมูลสุขภาพอิเล็กทรอนิกส์ที่ได้รับการคุ้มครอง?
- การบังคับใช้และภาระผูกพันที่เกี่ยวข้องกับการละเมิดเสริมสร้างกฎเหล่านี้อย่างไร?
Key concepts
- ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI)
- หน่วยงานที่อยู่ภายใต้การควบคุมและผู้ร่วมธุรกิจ
- การใช้งานและการเปิดเผยที่ได้รับอนุญาต
- มาตรฐานขั้นต่ำที่จำเป็น
- สิทธิ์ของบุคคลในการเข้าถึงและแก้ไข
- มาตรการป้องกันด้านการบริหารจัดการ กายภาพ และทางเทคนิค
- ข้อกำหนดของกฎความปลอดภัยที่จำเป็นเทียบกับที่สามารถปรับเปลี่ยนได้
- ประกาศแนวปฏิบัติความเป็นส่วนตัว
Mechanisms
กฎความเป็นส่วนตัวทำงานโดยการกำหนดข้อมูลสุขภาพที่ได้รับการคุ้มครอง จากนั้นระบุว่าเมื่อใดที่สามารถใช้หรือเปิดเผยได้: การใช้งานบางอย่าง (เช่น เพื่อการรักษา การชำระเงิน และการดำเนินงานด้านการดูแลสุขภาพ) ได้รับอนุญาตโดยไม่ต้องมีการอนุมัติ ในขณะที่การใช้งานอื่น ๆ อีกมากมายต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากบุคคล และการเปิดเผยถูกจำกัดด้วยหลักการขั้นต่ำที่จำเป็น นอกจากนี้ยังให้สิทธิ์แก่บุคคล รวมถึงการเข้าถึงบันทึกของตนเองและความสามารถในการร้องขอการแก้ไข กฎความปลอดภัยเสริมสิ่งนี้โดยกำหนดให้หน่วยงานที่อยู่ภายใต้การควบคุมและผู้ร่วมธุรกิจที่จัดการข้อมูลสุขภาพอิเล็กทรอนิกส์ที่ได้รับการคุ้มครองต้องทำการวิเคราะห์ความเสี่ยงและใช้มาตรการป้องกันในสามด้าน: การบริหารจัดการ (นโยบาย การฝึกอบรมบุคลากร การจัดการการเข้าถึง) กายภาพ (การควบคุมสถานที่และอุปกรณ์) และทางเทคนิค (การควบคุมการเข้าถึง การควบคุมการตรวจสอบ ความสมบูรณ์ และความปลอดภัยในการส่งผ่าน) ข้อกำหนดการใช้งานบางอย่างเป็นข้อบังคับและบางอย่างสามารถปรับเปลี่ยนได้ ซึ่งช่วยให้มีความยืดหยุ่นที่ปรับขนาดตามขนาดและความเสี่ยงขององค์กร สำนักงานสิทธิพลเมือง (Office for Civil Rights) บังคับใช้กฎทั้งสอง (HHS OCR, 2013; Nass et al., 2009)
Clinical relevance
กฎเหล่านี้กำหนดการจัดการข้อมูลในแต่ละวันในสถานพยาบาล: วิธีการแบ่งปันบันทึกเพื่อการรักษา สิ่งที่ผู้ป่วยสามารถเข้าถึงได้ และการฝึกอบรมและการควบคุมที่บุคลากรทางการแพทย์ดำเนินการภายใต้ ผู้แสดงความคิดเห็นได้โต้แย้งว่ากฎความเป็นส่วนตัวสนับสนุนมากกว่าที่จะขัดขวางการแลกเปลี่ยนข้อมูลสุขภาพที่เหมาะสมเมื่อนำไปใช้อย่างถูกต้อง (McDonald, 2009) บทความนี้เป็นคำอธิบายอ้างอิงของกรอบการกำกับดูแลและไม่ใช่คำแนะนำทางกฎหมายหรือการพิจารณาการปฏิบัติตามสำหรับหน่วยงานใดโดยเฉพาะ
Evidence & guidelines
แหล่งข้อมูลที่เชื่อถือได้คือข้อความกำกับดูแลเอง (45 CFR Parts 160 and 164) และแนวทางของสำนักงานสิทธิพลเมืองที่ตีความ (HHS OCR, 2013) สถาบันการแพทย์ (Institute of Medicine) ได้ตรวจสอบว่ากฎความเป็นส่วนตัวส่งผลต่อการวิจัยสุขภาพอย่างไร และแนะนำการปฏิรูปเพื่อสร้างสมดุลที่ดีขึ้นระหว่างความเป็นส่วนตัวกับประโยชน์ของการวิจัย (Nass et al., 2009) เนื่องจากกฎและแนวทางของกฎมีการแก้ไขเป็นระยะ ควรปรึกษาแหล่งข้อมูลอย่างเป็นทางการของ HHS เพื่อดูข้อกำหนดเฉพาะ
History
HIPAA ได้รับการตราขึ้นในปี 1996 โดยหลักเพื่อแก้ไขปัญหาการส่งผ่านการประกันภัยและการทำให้การบริหารจัดการง่ายขึ้น บทบัญญัติเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยได้ถูกออกเป็นกฎในช่วงต้นทศวรรษ 2000 โดยกฎความเป็นส่วนตัวและกฎความปลอดภัยมีผลบังคับใช้ในปี 2003 และ 2005 ตามลำดับ พระราชบัญญัติ HITECH ปี 2009 ได้ขยายภาระผูกพันโดยตรงไปยังผู้ร่วมธุรกิจ เสริมสร้างการบังคับใช้ และเพิ่มข้อกำหนดการแจ้งเตือนการละเมิด และกฎ Omnibus ปี 2013 ได้รวมการเปลี่ยนแปลงเหล่านี้เข้าด้วยกัน กรอบการทำงานยังคงเป็นพื้นฐานที่ใช้ในการวัดแนวปฏิบัติข้อมูลสุขภาพของสหรัฐอเมริกาเป็นส่วนใหญ่ (Nass et al., 2009)
Debates
- กฎความเป็นส่วนตัวสร้างสมดุลที่เหมาะสมระหว่างการปกป้องและการใช้ข้อมูลสุขภาพหรือไม่?
- บางคนโต้แย้งว่ากฎขัดขวางการประสานงานการดูแลและการวิจัยโดยไม่จำเป็น ในขณะที่คนอื่น ๆ ปกป้องว่ากฎเข้ากันได้กับการแลกเปลี่ยนข้อมูลสุขภาพที่เหมาะสม สถาบันการแพทย์ได้แนะนำการปฏิรูปที่มุ่งเป้าไปที่บริบทการวิจัยโดยเฉพาะ
Related topics
Seminal works
- nass-2009
- mcdonald-2009
Frequently asked questions
- ใครบ้างที่ต้องปฏิบัติตามกฎความเป็นส่วนตัวและความปลอดภัยของ HIPAA?
- กฎเหล่านี้ผูกพันหน่วยงานที่อยู่ภายใต้การควบคุม (ผู้ให้บริการด้านสุขภาพส่วนใหญ่ แผนประกันสุขภาพ และสำนักหักบัญชีด้านสุขภาพ) และผู้ร่วมธุรกิจของพวกเขาที่สร้าง รับ จัดเก็บ หรือส่งผ่านข้อมูลสุขภาพที่ได้รับการคุ้มครองในนามของพวกเขา กฎเหล่านี้ไม่ได้ครอบคลุมโดยตรงทุกองค์กรที่จัดการข้อมูลที่เกี่ยวข้องกับสุขภาพ
- มาตรฐานขั้นต่ำที่จำเป็นคืออะไร?
- เป็นหลักการของกฎความเป็นส่วนตัวที่ว่า สำหรับการใช้งานและการเปิดเผยส่วนใหญ่ หน่วยงานที่อยู่ภายใต้การควบคุมต้องใช้ความพยายามอย่างสมเหตุสมผลเพื่อจำกัดข้อมูลสุขภาพที่ได้รับการคุ้มครองให้เหลือน้อยที่สุดเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งใจไว้ แทนที่จะแบ่งปันบันทึกทั้งหมดโดยค่าเริ่มต้น