Ai phải tuân thủ Quy tắc về Quyền riêng tư và An ninh của HIPAA?

Các quy tắc ràng buộc các thực thể được bảo hiểm (hầu hết các nhà cung cấp dịch vụ chăm sóc sức khỏe, các chương trình bảo hiểm y tế và các trung tâm thanh toán bù trừ chăm sóc sức khỏe) và các đối tác kinh doanh của họ tạo, nhận, duy trì hoặc truyền tải thông tin sức khỏe được bảo vệ thay mặt cho họ. Chúng không trực tiếp bao gồm mọi tổ chức xử lý dữ liệu liên quan đến sức khỏe.

Tiêu chuẩn tối thiểu cần thiết là gì?

Đây là nguyên tắc của Quy tắc về Quyền riêng tư rằng, đối với hầu hết các trường hợp sử dụng và tiết lộ, các thực thể được bảo hiểm phải nỗ lực hợp lý để giới hạn thông tin sức khỏe được bảo vệ ở mức tối thiểu cần thiết để hoàn thành mục đích dự định, thay vì chia sẻ toàn bộ hồ sơ theo mặc định.

Quy tắc về Quyền riêng tư và An ninh của HIPAA

Quy tắc về Quyền riêng tư và An ninh của HIPAA là các tiêu chuẩn liên bang chính của Hoa Kỳ điều chỉnh việc sử dụng, tiết lộ và bảo vệ thông tin sức khỏe có thể nhận dạng. Được ban hành theo Đạo luật về Khả năng Chuyển đổi và Trách nhiệm Bảo hiểm Y tế năm 1996, Quy tắc về Quyền riêng tư đặt ra các tiêu chuẩn quốc gia về cách thông tin sức khỏe được bảo vệ có thể được sử dụng và tiết lộ, đồng thời cấp cho các cá nhân quyền đối với thông tin của họ, trong khi Quy tắc về An ninh đặt ra các tiêu chuẩn để bảo vệ thông tin đó khi nó được lưu giữ hoặc truyền tải điện tử.

Tìm chủ đề với PaperMindSắp ra mắtFind papers & topics

Tools & resources

Tải xuống bản trình chiếu

Learn & explore

VideoSắp ra mắt

Definition

Quy tắc về Quyền riêng tư của HIPAA thiết lập các tiêu chuẩn quốc gia để bảo vệ thông tin sức khỏe có thể nhận dạng cá nhân được nắm giữ hoặc truyền tải bởi các thực thể được bảo hiểm và các đối tác kinh doanh của họ, định nghĩa các trường hợp sử dụng và tiết lộ được phép cũng như quyền của cá nhân; Quy tắc về An ninh của HIPAA thiết lập các tiêu chuẩn cho các biện pháp bảo vệ hành chính, vật lý và kỹ thuật bảo vệ thông tin sức khỏe được bảo vệ điện tử.

Scope

Mục này giải thích cấu trúc và các khái niệm cốt lõi của hai quy tắc: định nghĩa thông tin sức khỏe được bảo vệ, các loại thực thể được bảo hiểm và đối tác kinh doanh mà chúng ràng buộc, các trường hợp sử dụng và tiết lộ được phép và nguyên tắc tối thiểu cần thiết, quyền truy cập và sửa đổi của cá nhân, và các biện pháp bảo vệ hành chính, vật lý và kỹ thuật được yêu cầu đối với thông tin điện tử. Mục này coi các quy tắc như một khuôn khổ pháp lý để tham khảo và giáo dục và không đưa ra các quyết định tuân thủ cho bất kỳ tổ chức hoặc tình huống cụ thể nào.

Core questions

Các tổ chức và thông tin nào áp dụng các quy tắc này?
Những trường hợp sử dụng và tiết lộ thông tin sức khỏe được bảo vệ nào được phép mà không cần sự ủy quyền của cá nhân?
Các cá nhân có những quyền gì đối với thông tin sức khỏe của chính họ?
Những biện pháp bảo vệ nào phải bảo vệ thông tin sức khỏe được bảo vệ điện tử?
Việc thực thi và các nghĩa vụ liên quan đến vi phạm củng cố các quy tắc như thế nào?

Key concepts

Thông tin sức khỏe được bảo vệ (PHI)
Các thực thể được bảo hiểm và đối tác kinh doanh
Các trường hợp sử dụng và tiết lộ được phép
Tiêu chuẩn tối thiểu cần thiết
Quyền truy cập và sửa đổi của cá nhân
Các biện pháp bảo vệ hành chính, vật lý và kỹ thuật
Các thông số kỹ thuật của Quy tắc An ninh bắt buộc so với có thể giải quyết được
Thông báo về các thực hành quyền riêng tư

Mechanisms

Quy tắc về Quyền riêng tư hoạt động bằng cách định nghĩa thông tin sức khỏe được bảo vệ và sau đó chỉ định khi nào thông tin đó có thể được sử dụng hoặc tiết lộ: một số trường hợp sử dụng (chẳng hạn như để điều trị, thanh toán và hoạt động chăm sóc sức khỏe) được phép mà không cần ủy quyền, trong khi nhiều trường hợp khác yêu cầu sự ủy quyền bằng văn bản của cá nhân, và việc tiết lộ bị hạn chế bởi nguyên tắc tối thiểu cần thiết. Quy tắc này cũng trao các quyền cá nhân, bao gồm quyền truy cập vào hồ sơ của một người và khả năng yêu cầu sửa đổi. Quy tắc về An ninh bổ sung điều này bằng cách yêu cầu các thực thể được bảo hiểm và đối tác kinh doanh xử lý thông tin sức khỏe được bảo vệ điện tử phải tiến hành phân tích rủi ro và thực hiện các biện pháp bảo vệ trên ba lĩnh vực: hành chính (chính sách, đào tạo nhân viên, quản lý truy cập), vật lý (kiểm soát cơ sở vật chất và thiết bị), và kỹ thuật (kiểm soát truy cập, kiểm soát kiểm toán, tính toàn vẹn và bảo mật truyền tải). Một số thông số kỹ thuật triển khai là bắt buộc và một số khác có thể giải quyết được, cho phép linh hoạt phù hợp với quy mô và rủi ro của tổ chức. Văn phòng Quyền dân sự thực thi cả hai quy tắc (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

Các quy tắc định hình việc xử lý thông tin hàng ngày trong các cơ sở chăm sóc: cách hồ sơ được chia sẻ để điều trị, những gì bệnh nhân có thể truy cập và những khóa đào tạo và kiểm soát mà nhân viên lâm sàng phải tuân thủ. Các nhà bình luận đã lập luận rằng Quy tắc về Quyền riêng tư hỗ trợ chứ không cản trở việc trao đổi thông tin sức khỏe phù hợp khi được áp dụng đúng cách (McDonald, 2009). Mục này là một mô tả tham khảo về khuôn khổ pháp lý và không phải là lời khuyên pháp lý hoặc quyết định tuân thủ cho bất kỳ thực thể cụ thể nào.

Evidence & guidelines

Nguồn có thẩm quyền là chính văn bản quy định (45 CFR Phần 160 và 164) và hướng dẫn của Văn phòng Quyền dân sự giải thích nó (HHS OCR, 2013). Viện Y học đã xem xét cách Quy tắc về Quyền riêng tư ảnh hưởng đến nghiên cứu sức khỏe và đề xuất các cải cách để cân bằng tốt hơn quyền riêng tư với tiện ích nghiên cứu (Nass et al., 2009). Vì các quy tắc và hướng dẫn của chúng được sửa đổi định kỳ, nên cần tham khảo các nguồn chính thức hiện hành của HHS để biết các yêu cầu cụ thể.

History

HIPAA được ban hành vào năm 1996 chủ yếu để giải quyết vấn đề khả năng chuyển đổi bảo hiểm và đơn giản hóa hành chính; các điều khoản về quyền riêng tư và an ninh của nó được ban hành thành các quy tắc vào đầu những năm 2000, với Quy tắc về Quyền riêng tư và Quy tắc về An ninh có hiệu lực lần lượt vào năm 2003 và 2005. Đạo luật HITECH năm 2009 đã mở rộng nghĩa vụ trực tiếp cho các đối tác kinh doanh, tăng cường thực thi và bổ sung các yêu cầu thông báo vi phạm, và Quy tắc Omnibus năm 2013 đã hợp nhất những thay đổi này. Khuôn khổ này vẫn là cơ sở để đánh giá nhiều hoạt động thông tin sức khỏe của Hoa Kỳ (Nass et al., 2009).

Debates

Liệu Quy tắc về Quyền riêng tư có cân bằng hợp lý giữa việc bảo vệ và sử dụng dữ liệu sức khỏe không?: Một số người cho rằng quy tắc này cản trở một cách không cần thiết việc phối hợp chăm sóc và nghiên cứu, trong khi những người khác bảo vệ nó là tương thích với việc trao đổi thông tin sức khỏe phù hợp; Viện Y học đã khuyến nghị các cải cách có mục tiêu cụ thể cho bối cảnh nghiên cứu.

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

Ai phải tuân thủ Quy tắc về Quyền riêng tư và An ninh của HIPAA?: Các quy tắc ràng buộc các thực thể được bảo hiểm (hầu hết các nhà cung cấp dịch vụ chăm sóc sức khỏe, các chương trình bảo hiểm y tế và các trung tâm thanh toán bù trừ chăm sóc sức khỏe) và các đối tác kinh doanh của họ tạo, nhận, duy trì hoặc truyền tải thông tin sức khỏe được bảo vệ thay mặt cho họ. Chúng không trực tiếp bao gồm mọi tổ chức xử lý dữ liệu liên quan đến sức khỏe.
Tiêu chuẩn tối thiểu cần thiết là gì?: Đây là nguyên tắc của Quy tắc về Quyền riêng tư rằng, đối với hầu hết các trường hợp sử dụng và tiết lộ, các thực thể được bảo hiểm phải nỗ lực hợp lý để giới hạn thông tin sức khỏe được bảo vệ ở mức tối thiểu cần thiết để hoàn thành mục đích dự định, thay vì chia sẻ toàn bộ hồ sơ theo mặc định.