HIPAA隐私和安全规则
HIPAA隐私和安全规则是管理可识别健康信息的使用、披露和保护的美国联邦主要标准。根据1996年《健康保险流通与责任法案》发布,隐私规则为受保护健康信息的使用和披露方式设定了国家标准,并赋予个人对其信息的权利,而安全规则则为电子形式持有或传输的信息的保护设定了标准。
Definition
HIPAA隐私规则为涵盖实体及其业务伙伴持有或传输的个人可识别健康信息的保护建立了国家标准,定义了允许的使用、披露和个人权利;HIPAA安全规则为保护电子受保护健康信息的行政、物理和技术保障措施建立了标准。
Scope
本条目解释了这两项规则的结构和核心概念:受保护健康信息的定义、它们所约束的涵盖实体和业务伙伴的类别、允许的使用和披露以及最小必要原则、个人的访问和修改权利,以及电子信息所需的行政、物理和技术保障措施。它将这些规则视为一个参考和教育的监管框架,不为任何特定组织或情况提供合规性判定。
Core questions
- 这些规则适用于哪些组织和信息?
- 在未经个人授权的情况下,允许对受保护健康信息进行哪些使用和披露?
- 个人对其自身的健康信息拥有哪些权利?
- 必须采取哪些保障措施来保护电子受保护健康信息?
- 执法和与违规相关的义务如何强化这些规则?
Key concepts
- 受保护健康信息 (PHI)
- 涵盖实体和业务伙伴
- 允许的使用和披露
- 最小必要标准
- 个人的访问和修改权利
- 行政、物理和技术保障措施
- 安全规则中强制性与可寻址的规范
- 隐私实践通知
Mechanisms
隐私规则通过定义受保护健康信息,然后具体说明何时可以使用或披露来发挥作用:某些用途(例如用于治疗、支付和医疗保健操作)无需授权即可允许,而许多其他用途则需要个人书面授权,并且披露受到最小必要原则的限制。它还赋予个人权利,包括访问其记录和请求修改的能力。安全规则通过要求处理电子受保护健康信息的涵盖实体和业务伙伴进行风险分析并在三个领域实施保障措施来补充这一点:行政(政策、员工培训、访问管理)、物理(设施和设备控制)和技术(访问控制、审计控制、完整性和传输安全)。一些实施规范是强制性的,另一些是可寻址的,从而允许根据组织的规模和风险进行灵活调整。民权办公室负责执行这两项规则(HHS OCR, 2013; Nass et al., 2009)。
Clinical relevance
这些规则塑造了日常护理环境中的信息处理方式:记录如何共享以进行治疗、患者可以访问什么、以及临床工作人员在何种培训和控制下操作。评论员认为,如果应用得当,隐私规则支持而非阻碍了适当的健康信息交换(McDonald, 2009)。本条目是对监管框架的参考描述,并非法律建议或针对任何特定实体的合规性判定。
Evidence & guidelines
权威来源是法规文本本身(45 CFR Parts 160 and 164)以及民权办公室对其的解释性指南(HHS OCR, 2013)。医学研究所审查了隐私规则如何影响健康研究,并建议进行改革以更好地平衡隐私与研究效用(Nass et al., 2009)。由于规则及其指南会定期修订,因此应查阅当前的官方HHS来源以获取具体要求。
History
HIPAA于1996年颁布,主要目的是解决保险可携性和行政简化问题;其隐私和安全条款于21世纪初作为规则发布,隐私规则和安全规则分别于2003年和2005年生效。2009年的HITECH法案将义务直接扩展到业务伙伴,加强了执法,并增加了违规通知要求,2013年的综合规则整合了这些变化。该框架仍然是衡量美国大部分健康信息实践的基准(Nass et al., 2009)。
Debates
- 隐私规则是否恰当地平衡了健康数据的保护和使用?
- 一些人认为该规则不必要地阻碍了护理协调和研究,而另一些人则认为它与适当的健康信息交换兼容;医学研究所建议专门针对研究背景进行有针对性的改革。
Related topics
Seminal works
- nass-2009
- mcdonald-2009
Frequently asked questions
- 谁必须遵守HIPAA隐私和安全规则?
- 这些规则约束涵盖实体(大多数医疗保健提供者、健康计划和医疗保健清算所)以及代表它们创建、接收、维护或传输受保护健康信息的业务伙伴。它们不直接涵盖所有处理健康相关数据的组织。
- 什么是最小必要标准?
- 它是隐私规则的一项原则,即对于大多数使用和披露,涵盖实体必须做出合理努力,将受保护健康信息限制在实现预期目的所需的最小范围内,而不是默认共享整个记录。