Медицинское страхование Портативность и Акт об ответственности - Health Insurance Portability and Accountability Act
Другие короткие названия | Закон Кассебаума – Кеннеди, Закон Кеннеди – Кассебаума |
---|---|
Длинное название | Закон о внесении поправок в Налоговый кодекс 1996 года для улучшения переносимости и непрерывности медицинского страхования на групповых и индивидуальных рынках, для борьбы с расточительностью, мошенничеством и злоупотреблениями в области медицинского страхования и оказания медицинской помощи, для содействия использованию медицинских сберегательных счетов. , чтобы улучшить доступ к услугам и страховке по долгосрочному уходу, упростить администрирование медицинского страхования и для других целей. |
Акронимы (разговорный) | HIPAA (произносится /ˈчасɪпə/, Хип-эээ) |
Принят | то 104-й Конгресс США |
Цитаты | |
Публичное право | Pub.L. 104–191 (текст) (pdf) |
Устав в целом | 110 Стат. 1936 |
Законодательная история | |
|
В Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA или Кеннеди –Kassebaum Действовать[1][2]) является федеральным законом США, принятым 104-й Конгресс США и подписан президентом Билл Клинтон 21 августа 1996 г. Он был создан в первую очередь для модернизации потока медицинской информации, оговаривая, как личная информация должны быть защищены от мошенничества и краж, а также должны быть устранены ограничения на медицинское страхование.[3]
Акт состоит из пяти названий. Раздел I HIPAA защищает медицинская страховка страхование работников и их семей, когда они меняют работу или теряют ее.[4] Раздел II HIPAA, известный как положения об административном упрощении (AS), требует установления национальных стандартов для электронное здравоохранение транзакции и национальные идентификаторы поставщиков, планов медицинского страхования и работодателей.[5] Раздел III устанавливает правила для счетов медицинских расходов до налогообложения, Раздел IV устанавливает правила для групповых планов медицинского страхования, а Раздел V регулирует полисы страхования жизни, принадлежащие компании.
Титулы
Закон состоит из пяти разделов, известных как заголовки.
Раздел I: Доступ к медицинскому обслуживанию, переносимость и возможность возобновления
Раздел I HIPAA регулирует доступность и широту групповых планов медицинского страхования и определенных индивидуальных полисов медицинского страхования. Он внес поправки в Закон о гарантиях пенсионного дохода сотрудников, Закон о государственной службе здравоохранения и Налоговый кодекс.
Раздел I требует покрытия, а также ограничивает ограничения, которые групповой план медицинского страхования может наложить на льготы при ранее существовавших заболеваниях. Групповые планы медицинского страхования могут отказать в предоставлении льгот в связи с ранее существовавшими условиями либо в течение 12 месяцев после регистрации в плане, либо в течение 18 месяцев в случае поздней регистрации.[6] Раздел I позволяет частным лицам сокращать период исключения на время, в течение которого они имели «заслуживающее доверия покрытие» до регистрации в плане и после любых «значительных перерывов» в страховании.[7] «Кредитоспособное покрытие» определяется довольно широко и включает почти все групповые и индивидуальные планы медицинского страхования, Medicare и Medicaid.[8] «Значительный перерыв» в покрытии определяется как любой 63-дневный период без какого-либо заслуживающего доверия покрытия.[9] Наряду с исключением, позволяющим работодателям связывать страховые взносы или сооплаты с употреблением табака или индексом массы тела.
Название I[10] также требует, чтобы страховщики выдавали полисы без исключения тем, кто покидает групповые планы медицинского страхования с кредитным покрытием (см. выше) на срок более 18 месяцев, и[11] продлевать индивидуальные полисы, пока они предлагаются, или предоставлять альтернативу прекращенным планам, пока страховщик без исключения остается на рынке, независимо от состояния здоровья.
Некоторые планы медицинского обслуживания освобождены от требований Раздела I, например, долгосрочные планы медицинского страхования и планы ограниченного объема, такие как планы стоматологического или офтальмологического обслуживания, предлагаемые отдельно от общего плана медицинского обслуживания. Однако, если такие льготы являются частью общего плана медицинского страхования, то HIPAA по-прежнему применяется к таким льготам. Например, если новый план предлагает стоматологические льготы, то он должен засчитывать надежное непрерывное покрытие по старому плану медицинского обслуживания в любой из периодов исключения из него для стоматологических льгот.
Альтернативный метод расчета заслуживающего доверия непрерывного покрытия доступен для плана медицинского обслуживания в соответствии с разделом I. То есть, 5 категорий медицинского страхования можно рассматривать отдельно, включая стоматологическое страхование и покрытие зрения. Все, что не входит в эти 5 категорий, должно использовать общий расчет (например, бенефициар может рассчитывать на 18 месяцев общего покрытия, но только на 6 месяцев стоматологического покрытия, потому что у получателя не было общего плана медицинского страхования, покрывающего стоматологические услуги до 6 месяцев. до даты подачи заявки). Поскольку планы с ограниченным покрытием освобождены от требований HIPAA, существует странный случай, когда заявитель общего группового плана медицинского обслуживания не может получить сертификаты надежного непрерывного покрытия для независимых планов ограниченного объема, таких как стоматологические, для подачи заявления на периоды исключения из нового плана. план, который действительно включает эти покрытия.
Скрытые периоды исключения недействительны в соответствии с Разделом I (например, «Несчастный случай, подлежащий страхованию, должен был произойти, когда бенефициар был застрахован по точно такому же договору медицинского страхования»). План медицинского страхования не должен действовать в соответствии с такими положениями. Кроме того, они должны быть переписаны, чтобы соответствовать требованиям HIPAA. [12]
Раздел II: Предотвращение мошенничества и злоупотреблений в сфере здравоохранения; Административное упрощение; Реформа медицинской ответственности
Эта секция нужны дополнительные цитаты для проверка.Апрель 2010 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Раздел II HIPAA устанавливает политику и процедуры для обеспечения конфиденциальности и безопасности индивидуально идентифицируемой информации о здоровье, описывает многочисленные правонарушения, связанные со здравоохранением, и устанавливает гражданские и уголовные наказания за нарушения. Он также создает несколько программ по борьбе с мошенничеством и злоупотреблениями в системе здравоохранения.[13][14][15][16] Однако наиболее важными положениями Раздела II являются правила административного упрощения. Раздел II требует Департамент здравоохранения и социальных служб (HHS) для повышения эффективности системы здравоохранения путем создания стандартов использования и распространения медицинской информации.[16]
Эти правила применяются к «защищенным организациям», как это определено HIPAA и HHS. Охватываемые организации включают планы медицинского страхования, информационные центры здравоохранения (например, службы выставления счетов и системы общественной информации о здоровье) и поставщиков медицинских услуг, которые передают данные о медицинском обслуживании способом, регулируемым HIPAA.[17][18]
В соответствии с требованиями Раздела II HHS обнародовал пять правил, касающихся административного упрощения: правило конфиденциальности, правило транзакций и кодовых наборов, правило безопасности, правило уникальных идентификаторов и правило принудительного исполнения.
Правило конфиденциальности
Правило конфиденциальности HIPAA состоит из национальных правил использования и раскрытия защищенной медицинской информации (PHI) при лечении, оплате и операциях застрахованными организациями.
Датой вступления в силу Правила конфиденциальности было 14 апреля 2003 г. с продлением на один год для некоторых «небольших планов». Правило конфиденциальности HIPAA регулирует использование и раскрытие защищенная медицинская информация (PHI), принадлежащая «застрахованным организациям» (как правило, информационным центрам здравоохранения, спонсируемым работодателем планам медицинского страхования, медицинским страховщикам и поставщикам медицинских услуг, которые участвуют в определенных транзакциях).[19] Постановлением HHS распространил правило конфиденциальности HIPAA на независимых подрядчиков покрываемых организаций, подпадающих под определение «деловых партнеров».[20] PHI - это любая информация, которая хранится у застрахованного лица относительно состояния здоровья, оказания медицинской помощи или оплаты медицинских услуг, которая может быть связана с любым лицом.[17] Это толкуется довольно широко и включает в себя любую часть индивидуального медицинская карта или историю платежей. Охватываемые организации должны раскрыть PHI физическому лицу в течение 30 дней по запросу.[21] Кроме того, они должны раскрывать PHI, когда это требуется по закону, например, сообщать о подозреваемых жестокое обращение с ребенком государственным учреждениям по защите детей.[22]
Субъекты, на которые распространяется защита, могут раскрывать защищенную медицинскую информацию сотрудникам правоохранительных органов в правоохранительных целях в соответствии с требованиями закона (включая постановления суда, постановления суда, повестки в суд) и административные запросы; или для установления личности или местонахождения подозреваемого, беглеца, важного свидетеля или пропавшего без вести.[23]
Застрахованная организация может раскрывать PHI определенным сторонам для облегчения лечения, оплаты или оказания медицинской помощи без явного письменного разрешения пациента.[24] Любое другое раскрытие PHI требует, чтобы покрываемая организация получила письменное разрешение от лица на раскрытие информации.[25] В любом случае, когда застрахованная организация раскрывает какую-либо PHI, она должна приложить разумные усилия для раскрытия только минимально необходимой информации, необходимой для достижения ее цели.[26]
Правило конфиденциальности дает людям право требовать от покрываемого юридического лица исправления любой неточной закрытой медицинской информации.[27] Кроме того, он требует, чтобы субъекты, на которые распространяется действие страховки, предпринимали разумные шаги для обеспечения конфиденциальности общения с физическими лицами.[28] Например, человек может попросить, чтобы ему позвонили по его рабочему номеру, а не по домашнему или мобильному телефону.
Правило конфиденциальности требует, чтобы организации, на которые распространяется действие страховки, уведомляли физических лиц об использовании их PHI.[29] Охватываемые организации также должны отслеживать раскрытие PHI и документировать политику и процедуры конфиденциальности.[30] Они должны назначить официального представителя по вопросам конфиденциальности и контактного лица.[31] отвечает за прием жалоб и обучение всех сотрудников процедурам, касающимся PHI.[32]
Лицо, которое считает, что Правило конфиденциальности не соблюдается, может подать жалобу в Управление гражданских прав Министерства здравоохранения и социальных служб (OCR).[33][34] Однако, согласно Wall Street Journal, OCR имеет большое отставание и игнорирует большинство жалоб. «Жалобы на нарушение конфиденциальности накапливаются в Министерстве здравоохранения и социальных служб. В период с апреля 2003 года по ноябрь 2006 года агентство направило 23 886 жалоб, касающихся правил медицинской конфиденциальности, но пока не приняло никаких принудительных мер против больниц. врачей, страховщиков или кого-либо еще за нарушение правил. Представитель агентства говорит, что оно закрыло три четверти жалоб, как правило, потому, что не обнаружило нарушений или после того, как оно предоставило неофициальные указания сторонам ».[35] Однако в июле 2011 года Калифорнийский университет в Лос-Анджелесе согласился выплатить 865 500 долларов в счет урегулирования возможных нарушений HIPAA. Расследование Управления по гражданским правам HHS показало, что с 2005 по 2008 годы неуполномоченные сотрудники неоднократно и без уважительной причины просматривали защищенную электронным способом медицинскую информацию о многочисленных пациентах UCLAHS.[36]
Окончательное обновление правил омнибуса 2013 г.
В январе 2013 года HIPAA был обновлен с помощью окончательного универсального правила.[37] Обновления включали изменения в правилах безопасности и уведомлениях о нарушениях закона HITECH. Наиболее существенные изменения связаны с расширением требований для включения деловых партнеров, когда только зарегистрированные организации первоначально поддерживали эти разделы закона.[38]
Кроме того, было обновлено определение «значительного ущерба», нанесенного физическому лицу при анализе нарушения, чтобы обеспечить более тщательное изучение защищаемых организаций с целью выявления нарушений, о которых ранее не сообщалось. Раньше организация нуждалась в доказательствах причинения вреда, а теперь организации должны доказать, что вреда не было.
Защита PHI была изменена с бессрочной на 50 лет после смерти. Также были утверждены более суровые наказания за нарушение требований конфиденциальности PHI.[39]
Правило конфиденциальности HIPAA может быть отменено во время стихийного бедствия. Так было с ураганом Харви в 2017 году.[40]
Закон HITECH: требования конфиденциальности
Увидеть Раздел конфиденциальности из Закон о медицинских информационных технологиях для экономического и клинического здоровья (Закон HITECH ).
Право на доступ к вашей PHI
Правило конфиденциальности требует, чтобы поставщики медицинских услуг предоставляли людям доступ к их ЗМИ.[41] После того, как физическое лицо запрашивает информацию в письменной форме (обычно с использованием формы поставщика для этой цели), поставщик имеет до 30 дней, чтобы предоставить копию информации человеку. Физическое лицо может запросить информацию в электронной форме или на бумажном носителе, а провайдер обязан попытаться соответствовать запрошенному формату. Для поставщиков, использующих электронную медицинскую карту (EHR ), которая сертифицирована с использованием критериев CEHRT (Certified Electronic Health Record Technology), людям должно быть разрешено получать PHI в электронной форме. Провайдерам рекомендуется оперативно предоставлять информацию, особенно в случае запросов электронной записи.
Люди имеют право на доступ ко всей информации, связанной со здоровьем, включая состояние здоровья, план лечения, заметки, изображения, результаты лабораторных исследований и информацию для выставления счетов. Явно исключаются личные записи врача о психотерапии и информация, собранная поставщиком для защиты от судебного иска.[нужна цитата ]
Поставщики могут взимать разумную сумму, которая связана с их стоимостью предоставления копии, однако при предоставлении данных в электронном виде с сертифицированного EHR с помощью функции «просмотр, загрузка и передача», которая требуется для сертификации. При доставке физическому лицу в электронной форме, физическое лицо может разрешить доставку с использованием зашифрованной или незашифрованной электронной почты, доставку с использованием носителя (USB-накопитель, компакт-диск и т. Д., Что может потребовать оплаты), прямого обмена сообщениями (технология безопасной электронной почты в обычное использование в сфере здравоохранения) или, возможно, другие методы. При использовании незашифрованной электронной почты человек должен понимать и принимать риски для конфиденциальности, связанные с использованием этой технологии (информация может быть перехвачена и изучена другими). Независимо от технологии доставки, провайдер должен продолжать полностью защищать PHI, находясь в своей системе, и может отказать в использовании метода доставки, если он представляет дополнительный риск для PHI, находясь в их системе.[нужна цитата ]
Физическое лицо также может запросить (в письменной форме), чтобы его PHI была предоставлена назначенной третьей стороне, например поставщику услуг по уходу за семьей.
Физическое лицо также может запросить (в письменной форме), чтобы поставщик отправил PHI в назначенную службу, используемую для сбора или управления его записями, например, в приложение для ведения личной медицинской карты. Например, пациентка может запросить в письменной форме, чтобы ее акушер-гинеколог передавал в цифровом виде записи о ее последнем дородовом посещении в приложение для ухода за беременными, которое у нее есть на мобильном телефоне.
Раскрытие родственникам
Согласно их интерпретации HIPAA, больницы не будут раскрывать информацию по телефону родственникам госпитализированных пациентов. В некоторых случаях это препятствовало обнаружению пропавших без вести. После Рейс 214 авиакомпании Asiana Airlines После авиакатастрофы в Сан-Франциско, некоторые больницы не хотели раскрывать личности пассажиров, которых лечили, что затруднило для Asiana и родственников их поиск.[42] В одном случае мужчина в штате Вашингтон не смог получить информацию о своей раненой матери.[43]
Джанлори Голдман, директор правозащитной группы Health Privacy Project, заявил, что некоторые больницы «чрезмерно осторожны» и неправильно применяют закон, сообщает Times. Пригородная больница в Бетесде, штат Мэриленд, интерпретировала федеральное постановление, которое требует, чтобы больницы разрешали пациентам отказаться от включения в справочник больниц, как означающий, что пациенты хотят, чтобы их не добавляли в справочник, если они специально не заявили иное. В результате, если пациент находится без сознания или по другим причинам не может выбрать включение в справочник, родственники и друзья могут не найти его, сказал Голдман.[44]
Правило транзакций и кодовых наборов
HIPAA был призван сделать систему здравоохранения в Соединенных Штатах более эффективной за счет стандартизации операций в сфере здравоохранения. HIPAA добавила новую часть C под названием «Упрощение административных процедур» в раздел XI Закона о социальном обеспечении. [45] Предполагается, что это упростит транзакции в сфере здравоохранения, требуя, чтобы все планы медицинского страхования участвовали в транзакциях в области здравоохранения стандартизированным способом.
HIPAA / EDI (обмен электронными данными ) положение должно было вступить в силу с 16 октября 2003 г. с продлением на один год для некоторых «небольших планов». Однако из-за широко распространенной путаницы и трудностей с внедрением правила CMS предоставила всем сторонам продление на один год.[нужна цитата ] 1 января 2012 г. более новые версии, ASC X12 005010 и NCPDP D.0 вступают в силу, заменяя предыдущие требования ASC X12 004010 и NCPDP 5.1.[46] Версия ASC X12 005010 предоставляет механизм, позволяющий использовать МКБ-10-СМ а также другие улучшения.
После 1 июля 2005 г. большинству поставщиков медицинских услуг, которые подают документы в электронном виде, приходилось подавать свои заявки в электронном виде, используя стандарты HIPAA, чтобы получить оплату.[47]
В соответствии с HIPAA страховые планы, покрываемые HIPAA, теперь должны использовать стандартизированные электронные транзакции HIPAA. См. 42 USC § 1320d-2 и 45 CFR Part 162. Информацию об этом можно найти в окончательном правиле для стандартов электронных транзакций HIPAA (74 Fed. Reg. 3296, опубликовано в Федеральном реестре 16 января 2009 г.) и на сайте CMS.[48]
Ключ EDI (X12) транзакции, используемые для соответствия HIPAA:[нужна цитата ]
Набор транзакций по заявкам на медицинское обслуживание EDI (837) используется для отправки информации о счетах за медицинское обслуживание, информации о встречах или и того, и другого, за исключением заявлений в розничных аптеках (см. Транзакция по заявкам в розничных аптеках EDI). Он может быть отправлен от поставщиков медицинских услуг плательщикам напрямую или через посредников и расчетные палаты. Его также можно использовать для передачи заявлений о медицинском обслуживании и информации о платежах по счетам между плательщиками с разными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для мониторинга оказания, выставления счетов и / или оплаты медицинских услуг в рамках определенного сегмент индустрии здравоохранения / страхования.
Например, государственное агентство по охране психического здоровья может обязать все заявки на медицинское обслуживание, поставщики медицинских услуг и планы медицинского страхования, торгующие профессиональными (медицинскими) заявками на медицинское обслуживание в электронном виде, должны использовать стандарт 837 Health Care Claim: Professional для отправки требований. Поскольку существует множество различных бизнес-приложений для заявления о здравоохранении, могут быть небольшие производные для покрытия требований, касающихся уникальных требований, таких как для учреждений, специалистов, мануальных терапевтов, стоматологов и т. Д.
Сделка по претензии в розничной аптеке EDI (NCPDP Стандарт связи версии 5.1) используется для подачи претензий в розничных аптеках плательщикам специалистами в области здравоохранения, которые отпускают лекарства напрямую или через посредников и клиринговые палаты. Его также можно использовать для передачи заявок на розничные аптечные услуги и информации об оплате счетов между плательщиками с разными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для мониторинга предоставления, выставления счетов и / или оплаты розничных аптечных услуг в рамках сегмент фармацевтической отрасли здравоохранения / страхования.
Набор транзакций по оплате / консультациям EDI Health Care (835) можно использовать для совершения платежа, отправки объяснения льгот (EOB), отправки объяснения платежей (EOP) уведомление о переводе, либо произвести платеж и отправить уведомление о переводе EOP только от страховой компании поставщику медицинских услуг напрямую или через финансовое учреждение.
Набор для регистрации и обслуживания льгот EDI (834) могут использоваться работодателями, союзами, государственными учреждениями, ассоциациями или страховыми агентствами для включения членов в список плательщиков. Плательщиком является медицинская организация, которая оплачивает страховые выплаты, осуществляет страхование, льготы или продукты. Примеры плательщиков включают страховую компанию, медицинского работника (HMO), организацию предпочтительного поставщика (PPO), государственное учреждение (Medicaid, Medicare и т. Д.) Или любую организацию, с которой может заключить контракт одна из этих бывших групп.
EDI Payroll Deduced и другая группа премиальных выплат за страховые продукты (820) - это транзакция, предназначенная для уплаты премии за страховые продукты. Его можно использовать, чтобы приказать финансовому учреждению произвести платеж получателю.
EDI Health Care Eligibility / Benefit Inquiry (270) используется, чтобы узнать о льготах и праве на медицинское обслуживание, связанных с подписчиком или иждивенцем.
EDI Health Care Право на участие / ответ на льготы (271) используется для ответа на запрос о льготах и праве на медицинское обслуживание, связанных с подписчиком или иждивенцем.
Запрос о статусе заявления на получение медицинского обслуживания EDI (276) Этот набор транзакций может использоваться поставщиком, получателем продуктов или услуг здравоохранения или их уполномоченным агентом для запроса статуса заявки на медицинское обслуживание.
Уведомление о статусе заявки на получение медицинского обслуживания EDI (277) Этот набор транзакций может использоваться плательщиком медицинских услуг или уполномоченным агентом для уведомления поставщика, получателя или уполномоченного агента о статусе заявления или обращения о медицинском обслуживании или для запроса у поставщика дополнительной информации о заявлении или обращении за медицинской помощью. Этот набор транзакций не предназначен для замены набора транзакций по оплате / консультациям по медицинскому страхованию (835) и, следовательно, не используется для проводки платежей по счету. Уведомление находится на уровне сводки или детализации строки обслуживания. Уведомление может быть запрошенным или незапрашиваемым.
Информация об обзоре службы здравоохранения EDI (278) Этот набор транзакций может использоваться для передачи информации об услугах здравоохранения, например данных об абонентах, пациентах, демографических данных, диагнозах или лечении, с целью запроса на рассмотрение, сертификации, уведомления или отчета о результатах проверки услуг здравоохранения.
Набор транзакций функционального подтверждения EDI (997) этот набор транзакций может использоваться для определения структур управления для набора подтверждений, чтобы указать результаты синтаксического анализа документов, закодированных в электронном виде. Хотя это специально не указано в законодательстве или окончательном правиле HIPAA, оно необходимо для обработки набора транзакций X12. Закодированные документы - это наборы транзакций, которые сгруппированы в функциональные группы, используемые при определении транзакций для обмена бизнес-данными. Этот стандарт не охватывает семантическое значение информации, закодированной в наборах транзакций.
Краткая сводка по обновлению правил транзакций и кодовых наборов 5010
- Набор транзакций (997) будет заменен «отчетом подтверждения» набора транзакций (999).
- Размер многих полей {элементов сегмента} будет увеличен, что вызовет необходимость для всех ИТ-провайдеров расширить соответствующие поля, элемент, файлы, графический интерфейс, бумажные носители и базы данных.
- Некоторые сегменты были удалены из существующих наборов транзакций.
- Многие сегменты были добавлены к существующим наборам транзакций, что позволяет лучше отслеживать и составлять отчеты о затратах и обращениях с пациентами.
- Добавлена возможность использовать обе версии 9 (МКБ-9) и 10 (МКБ-10-CM) «Международной классификации болезней».[49][50]
Правило безопасности
Окончательное постановление о стандартах безопасности было опубликовано 20 февраля 2003 г. Оно вступило в силу 21 апреля 2003 г. с датой соответствия 21 апреля 2005 г. для большинства организаций, на которые распространяется действие страхового покрытия, и 21 апреля 2006 г. для «небольших планов».[нужна цитата ]Правило безопасности дополняет Правило конфиденциальности. В то время как Правило конфиденциальности относится ко всей защищенной медицинской информации (PHI), включая бумажную и электронную, Правило безопасности касается конкретно электронной защищенной медицинской информации (EPHI). В нем изложены три типа мер безопасности, необходимых для соответствия: административные, физические и технические.[51] Для каждого из этих типов Правило определяет различные стандарты безопасности, а для каждого стандарта оно называет как требуемые, так и адресуемые спецификации реализации. Требуемые спецификации должны приниматься и применяться в соответствии с Правилами. Адресные спецификации более гибкие. Отдельные защищенные объекты могут оценить свою ситуацию и определить лучший способ реализации адресных спецификаций. Некоторые защитники конфиденциальности утверждали, что такая «гибкость» может предоставлять слишком большую свободу действий для защищенных организаций.[52] Программные инструменты были разработаны, чтобы помочь охватываемым организациям в анализе рисков и отслеживании исправлений. Стандарты и спецификации следующие:
- Административные меры предосторожности - политики и процедуры, разработанные, чтобы четко показать, как организация будет соблюдать закон.
- Охватываемые организации (организации, которые должны соответствовать требованиям HIPAA) должны принять письменный набор процедур конфиденциальности и назначить сотрудника по конфиденциальности, который будет отвечать за разработку и внедрение всех необходимых политик и процедур.
- Политики и процедуры должны ссылаться на надзор со стороны руководства и участие организации в соблюдении задокументированных мер безопасности.
- Процедуры должны четко идентифицировать сотрудников или классы сотрудников, которые имеют доступ к защищенной электронной медицинской информации (EPHI). Доступ к EPHI должен быть ограничен только теми сотрудниками, которым он нужен для выполнения своих служебных обязанностей.
- Процедуры должны касаться авторизации доступа, установления, модификации и прекращения.
- Организации должны показать, что соответствующая программа непрерывного обучения работе с PHI предоставляется сотрудникам, выполняющим административные функции плана медицинского страхования.
- Охватываемые организации, которые передают часть своих бизнес-процессов третьей стороне, должны убедиться, что у их поставщиков также есть структура, соответствующая требованиям HIPAA. Компании обычно получают эту гарантию с помощью пунктов контрактов, в которых говорится, что поставщик будет выполнять те же требования к защите данных, которые применяются к застрахованному лицу. Необходимо позаботиться о том, чтобы определить, передает ли поставщик какие-либо функции обработки данных другим поставщикам, и контролировать наличие соответствующих контрактов и средств контроля.
- Должен иметься план действий в чрезвычайных ситуациях. Защищенные организации несут ответственность за резервное копирование своих данных и наличие процедур аварийного восстановления. План должен документировать приоритет данных и анализ отказов, действия по тестированию и процедуры контроля изменений.
- Внутренний аудит играет ключевую роль в соблюдении требований HIPAA, проверяя операции с целью выявления потенциальных нарушений безопасности. В политиках и процедурах следует конкретно документировать объем, частоту и процедуры аудитов. Аудиты должны быть как рутинными, так и событийными.
- В процедурах должны быть задокументированы инструкции по устранению и реагированию на нарушения безопасности, выявленные либо во время аудита, либо в ходе обычной работы.
- Physical Safeguards - контроль физического доступа для защиты от несанкционированного доступа к защищенным данным
- Средства управления должны регулировать введение и удаление оборудования и программного обеспечения из сети. (Когда оборудование выводится из эксплуатации, оно должно быть утилизировано надлежащим образом, чтобы гарантировать, что PHI не будет скомпрометирована.)
- Доступ к оборудованию, содержащему медицинскую информацию, следует тщательно контролировать и контролировать.
- Доступ к аппаратному и программному обеспечению должен быть ограничен надлежащим образом уполномоченными лицами.
- Обязательные средства контроля доступа включают планы обеспечения безопасности объекта, записи о техническом обслуживании, а также регистрацию посетителей и сопровождение.
- Политики необходимы для правильного использования рабочей станции. Рабочие станции должны быть удалены из зон с высокой проходимостью, а экраны мониторов не должны находиться в непосредственной близости от публики.
- Если застрахованные организации используют подрядчиков или агентов, они также должны быть полностью обучены своим обязанностям по физическому доступу.
- Технические меры защиты - контроль доступа к компьютерным системам и предоставление защищенным организациям возможности защищать сообщения, содержащие PHI, передаваемые в электронном виде по открытым сетям, от перехвата кем-либо, кроме предполагаемого получателя.
- Информационные системы, содержащие PHI, должны быть защищены от вторжения. Когда информация передается по открытым сетям, необходимо использовать некоторую форму шифрования. Если используются закрытые системы / сети, существующие средства контроля доступа считаются достаточными, а шифрование не является обязательным.
- Каждая защищенная организация несет ответственность за то, чтобы данные в ее системах не были изменены или стерты несанкционированным образом.
- Подтверждение данных, включая использование контрольной суммы, двойного ключа, аутентификации сообщения и цифровой подписи, может использоваться для обеспечения целостности данных.
- Защищенные объекты должны также аутентифицировать объекты, с которыми они общаются. Аутентификация заключается в подтверждении того, что объект является тем, кем он себя называет. Примеры подтверждения включают системы паролей, двух- или трехстороннее рукопожатие, обратный вызов по телефону и системы токенов.
- Субъекты, на которые распространяется действие страховки, должны предоставить правительству документацию о своей практике HIPAA для определения соответствия.
- Помимо политик, процедур и записей доступа, документация по информационным технологиям должна также включать письменные записи всех параметров конфигурации компонентов сети, поскольку эти компоненты являются сложными, настраиваемыми и постоянно меняющимися.
- Требуются документированные программы анализа рисков и управления рисками. Субъекты, на которые распространяется действие страхового покрытия, должны тщательно учитывать риски своей деятельности при внедрении систем, соответствующих закону. (Требование анализа рисков и управления рисками подразумевает, что требования к безопасности данного закона являются минимальным стандартом и возлагают на покрываемые организации ответственность за принятие всех разумных мер предосторожности, необходимых для предотвращения использования PHI в целях, не связанных со здоровьем.)
Правило уникальных идентификаторов (национальный идентификатор поставщика)
Организации, покрываемые HIPAA, такие как поставщики, выполняющие электронные транзакции, клиринговые центры здравоохранения и крупные планы медицинского страхования, должны использовать только национальный идентификатор поставщика (NPI) для идентификации покрываемых поставщиков медицинских услуг в стандартных транзакциях до 23 мая 2007 г. Небольшие планы медицинского обслуживания должны использовать только NPI по 23 мая 2008 г. Начиная с мая 2006 г. (май 2007 г. для небольших планов медицинского страхования), все покрываемые организации, использующие электронные средства связи (например, врачи, больницы, медицинские страховые компании и т. Д.), Должны использовать единую новую NPI. NPI заменяет все другие идентификаторы, используемые страховыми планами, Medicare, Medicaid и другими государственными программами.[53] Однако NPI не заменяет номер DEA провайдера, номер государственной лицензии или идентификационный налоговый номер. NPI состоит из 10 цифр (может быть буквенно-цифровым), причем последняя цифра является контрольной суммой. NPI не может содержать какой-либо встроенный интеллект; другими словами, NPI - это просто число, которое само по себе не имеет никакого дополнительного значения. NPI является уникальным и национальным, никогда не используется повторно, и, за исключением учреждений, поставщик обычно может иметь только один. Учреждение может получить несколько NPI для разных «частей», таких как отдельно стоящий онкологический центр или реабилитационное учреждение.
Правило исполнения
16 февраля 2006 г. HHS издал Окончательное постановление о применении HIPAA. Он вступил в силу 16 марта 2006 года. Правило исполнения устанавливает гражданские денежные штрафы за нарушение правил HIPAA и устанавливает процедуры расследования и слушания нарушений HIPAA. На протяжении многих лет преследований за нарушения было немного.[54]
Это могло измениться с наложением штрафа в размере 50 000 долларов на хоспис Северного Айдахо (HONI), который первым был оштрафован за потенциальное нарушение правил безопасности HIPAA, затронувшее менее 500 человек. Рэйчел Сигер, пресс-секретарь HHS, заявила: «HONI не проводила точного и тщательного анализа рисков конфиденциальности ePHI [защищенной электронной информации о здоровье] в рамках процесса управления безопасностью с 2005 по 17 января 2012 года». Это расследование было начато с кражи из служебного автомобиля незашифрованного ноутбука, содержащего 441 историю болезни.[55]
По состоянию на март 2013 года Департамент здравоохранения и социальных служб США (HHS) расследовал более 19 306 дел, которые были разрешены путем внесения изменений в политику конфиденциальности или принятия корректирующих мер. Если несоответствие установлено HHS, организации должны применить корректирующие меры. Жалобы были расследованы против многих различных типов предприятий, таких как национальные аптечные сети, крупные медицинские центры, страховые группы, сети больниц и других мелких поставщиков. В 9 146 случаях расследование HHS показало, что HIPAA соблюдается правильно. Было 44 118 дел, по которым HHS не нашло подходящей причины для принудительного исполнения; например, нарушение, начавшееся до начала HIPAA; дела, отозванные преследователем; или действия, которые фактически не нарушают Правила. Согласно веб-сайту HHS,[56] Ниже перечислены проблемы, о которых сообщалось, по частоте:
- Неправильное использование и разглашение PHI
- Нет защиты вместо информации о здоровье
- Пациент не может получить доступ к своей медицинской информации
- Использование или раскрытие более чем минимально необходимой защищенной медицинской информации
- Нет гарантий защиты информации о здоровье в электронном виде.
Наиболее распространенные организации, которым необходимо предпринять корректирующие действия для добровольного соблюдения требований HHS, перечислены по частоте:[56]
- Частная практика
- Больницы
- Амбулаторные учреждения
- Групповые планы, такие как страховые группы
- Аптеки
Раздел III стандартизирует сумму, которую можно сэкономить на человека в медицинский сберегательный счет до уплаты налогов. Начиная с 1997 года, медицинские сберегательные счета («MSA») доступны для сотрудников, охваченных спонсируемым работодателем планом с высокими франшизами для мелких работодателей и самозанятых лиц.
Раздел IV: Применение и обеспечение выполнения требований группового медицинского страхования
Раздел IV определяет условия для групповых планов медицинского страхования в отношении охвата лиц с уже существующими заболеваниями и изменяет требования к продолжению охвата. Он также разъясняет требования к продолжению покрытия и включает КОБРА разъяснение.
Раздел V: Зачет доходов, регулирующий налоговые вычеты для работодателей
Раздел V включает положения, касающиеся корпоративного страхования жизни для работодателей, предоставляющих корпоративные страховые взносы, запрещающие вычет из налога процентов по кредитам на страхование жизни, пожертвованиям компаний или контрактам, связанным с компанией. Он также отменяет правило финансового учреждения для правил распределения процентов. Наконец, он вносит поправки в положения закона, касающиеся люди, которые отказываются от гражданства США или ПМЖ, расширяя налог на экспатриацию подлежат оценке в отношении тех, кто, как считается, отказывается от своего статуса в США по налоговым причинам и делает имена бывших граждан частью публичная запись через создание Ежеквартальная публикация сведений о лицах, решивших эмигрировать.[57]
Влияние на исследования и клиническую помощь
Введение в действие правил конфиденциальности и безопасности привело к серьезным изменениям в методах работы врачей и медицинских центров. Сложные юридические аспекты и потенциально жесткие штрафы, связанные с HIPAA, а также увеличение количества документов и затрат на его реализацию вызвали обеспокоенность у врачей и медицинских центров. Статья в журнале за август 2006 г. Анналы внутренней медицины подробно описал некоторые из таких опасений по поводу реализации и последствий HIPAA.[58]
Влияние на исследования
Ограничения HIPAA для исследователей повлияли на их способность проводить ретроспективные исследования на основе диаграмм, а также на их способность проспективно оценивать пациентов, связываясь с ними для последующего наблюдения. Исследование из университет Мичигана продемонстрировали, что внедрение правила конфиденциальности HIPAA привело к снижению с 96% до 34% доли последующих опросов, выполненных пациентами исследования, за которыми наблюдали после острое сердечно-сосудистое заболевание.[59] Другое исследование, подробно описывающее влияние HIPAA на набор для исследования по профилактике рака, продемонстрировало, что изменения, требуемые HIPAA, привели к снижению набора пациентов на 73%, увеличению времени, затрачиваемого на набор пациентов, и утроению средних затрат на набор.[60]
К тому же, информированное согласие Теперь требуется, чтобы формы для исследовательских исследований включали подробные сведения о том, как защищенная медицинская информация участника будет храниться в тайне. Хотя такая информация важна, добавление длинного законнического раздела о конфиденциальности может сделать эти и без того сложные документы еще менее удобными для пациентов, которых просят прочитать и подписать их.
Эти данные позволяют предположить, что правило конфиденциальности HIPAA, действующее в настоящее время, может оказывать негативное влияние на стоимость и качество медицинские исследования. Д-р Ким Игл, профессор медицина внутренних органов в Мичиганском университете, цитируется в Анналы В статье говорится: «Конфиденциальность важна, но исследования также важны для улучшения ухода. Мы надеемся, что мы разберемся с этим и сделаем все правильно».[58]
Влияние на клиническую помощь
Сложность HIPAA в сочетании с потенциально жесткими наказаниями для нарушителей может привести к тому, что врачи и медицинские центры будут скрывать информацию от тех, кто может иметь на нее право. Обзор выполнения Правил конфиденциальности HIPAA, проведенный Счетной службой США, показал, что поставщики медицинских услуг «не уверены в своих юридических обязанностях по обеспечению конфиденциальности и часто реагируют чрезмерно осторожным подходом к раскрытию информации ... чем это необходимо для обеспечения соблюдения Правило конфиденциальности ».[58] Сообщения об этой неопределенности продолжаются.[61]
Затраты на внедрение
В период, непосредственно предшествовавший вступлению в силу законов о конфиденциальности и безопасности HIPAA, медицинские центры и медицинские учреждения были обвинены в «соблюдении требований». Сделав упор на потенциально суровых наказаниях, связанных с нарушением, многие практики и центры обратились к частным коммерческим «консультантам HIPAA», которые были хорошо знакомы с деталями законодательства и предлагали свои услуги, чтобы гарантировать, что врачи и медицинские центры будут полностью «в соответствии». Помимо затрат на разработку и обновление систем и практик, увеличение количества документов и рабочего времени персонала, необходимого для выполнения юридических требований HIPAA, может повлиять на финансы медицинских центров и практик в то время, когда страховые компании и возмещение расходов по программе Medicare также сокращаются. .[нужна цитата ]
Образование и обучение
Обучение и подготовка медицинских работников имеют первостепенное значение для правильного выполнения законов HIPAA о конфиденциальности и безопасности. Эффективное обучение должно описывать законодательную и нормативную базу и цель HIPAA, а также общее резюме принципов и ключевых положений Правила конфиденциальности.[нужна цитата ]Хотя каждый учебный курс HIPAA должен быть адаптирован к ролям сотрудников, посещающих курс, необходимо включить некоторые важные элементы:[62]
- Что такое HIPAA?
- Почему HIPAA важен?
- Определения HIPAA
- Права пациента
- Правило конфиденциальности HIPAA
- Раскрытие PHI
- Уведомления о нарушениях
- BA соглашения
- Правило безопасности HIPAA
- Защита ePHI
- Возможные нарушения
- Санкции в отношении сотрудников
HIPAA акроним
Хотя HIPAA соответствует публичному закону 104-191 1996 г., Медицинское страхование Портативность и Акт об ответственности, ссылки на Правило конфиденциальности Раздела II часто ошибочно называют «Законом о конфиденциальности и переносимости медицинской информации (HIPPA)"[63] Федеральным правительством США,[64] штат,[65] округа и других государственных секторов. Некоторые правительственные агентства выпустили корректирующие последующие меры в отношении HIPPA и HIPAA.[66]
Нарушения
По данным Управления гражданских прав Министерства здравоохранения и социальных служб США, в период с апреля 2003 г. по январь 2013 г. было получено 91 000 жалоб на нарушения HIPAA, из которых 22 000 привели к принудительным мерам различного рода (от урегулирования до штрафов), а 521 - к направления в Министерство юстиции США как уголовные.[67] Примеры серьезных нарушений защищенной информации и других нарушений HIPAA включают:
- Самая большая потеря данных, от которой пострадали 4,9 миллиона человек со стороны Tricare Management of Virginia в 2011 году[68]
- Крупнейшие штрафы в размере 5,5 миллионов долларов, наложенные на Memorial Healthcare Systems в 2017 году за доступ к конфиденциальной информации 115 143 пациентов[69] и 4,3 миллиона долларов, наложенных на Cignet Health of Maryland в 2010 году за игнорирование запросов пациентов на получение копий их собственных записей и неоднократное игнорирование запросов федеральных властей.[70]
- Первое уголовное обвинение было предъявлено в 2011 году врачу из Вирджинии, который поделился информацией с работодателем пациента «под ложным предлогом того, что пациент представляет серьезную и неминуемую угрозу безопасности общества, хотя на самом деле он знал, что пациент не был такая угроза ".[71]
По данным Koczkodaj et al., 2018,[72] общее количество пострадавших с октября 2009 года составляет 173 398 820 человек.
Различия между гражданскими и уголовными санкциями резюмируются в следующей таблице:
Тип нарушения | ГРАЖДАНСКИЙ штраф (мин) | ГРАЖДАНСКИЙ Штраф (макс.) |
---|---|---|
Человек не знал (и, проявив разумную осмотрительность, не узнал бы), что он / она нарушил HIPAA | 100 долларов США за нарушение, максимум 25 000 долларов США в год за повторные нарушения | 50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год. |
Нарушение HIPAA по уважительной причине, а не из-за умышленного пренебрежения | 1000 долларов за нарушение, максимум 100000 долларов в год за повторные нарушения | 50 000 долларов США за нарушение, максимальная годовая сумма составляет 1,5 миллиона долларов США. |
Нарушение HIPAA из-за умышленного пренебрежения, но нарушение устраняется в установленный срок | 10 000 долларов США за нарушение, максимальный годовой максимум 250 000 долларов США за повторные нарушения | 50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год. |
Нарушение HIPAA связано с умышленным пренебрежением и не исправляется | 50 000 долларов США за нарушение, максимум 1 000 000 долларов в год. | 50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год. |
Тип нарушения | УГОЛОВНОЕ наказание | |
Охватываемые организации и определенные лица, которые «сознательно» получают или раскрывают индивидуально идентифицируемую медицинскую информацию | Штраф до 50 000 долларов США. Тюремное заключение до 1 года | |
Преступления, совершенные под ложным предлогом | Штраф до 100 000 долларов США. Тюремное заключение до 5 лет | |
Правонарушения, совершенные с намерением продать, передать или использовать индивидуально идентифицируемую медицинскую информацию в коммерческих целях, личной выгоды или злонамеренного вреда | Штраф до 250 000 долларов США. Тюремное заключение до 10 лет |
Законодательная информация
- Pub.L. 104–191 (текст) (pdf), 110 Стат. 1936
- H.R. 3103; H. Rept. 104-469, часть 1; H. Rept. 104-736
- С. 1028; С. 1698 г.; S. Rept. 104-156
- HHS Стандарты безопасности, 45 C.F.R. 160, 45 C.F.R. 162, и 45 C.F.R. 164
- Стандарты HHS в отношении конфиденциальности индивидуально идентифицируемой медицинской информации, 45 C.F.R. 160 и 45 C.F.R. 164
использованная литература
- ^ Атчинсон, Брайан К .; Фокс, Дэниел М. (май – июнь 1997 г.). "Политика Закона о переносимости и подотчетности медицинского страхования" (PDF). По вопросам здравоохранения. 16 (3): 146–150. Дои:10.1377 / hlthaff.16.3.146. PMID 9141331. Архивировано из оригинал (PDF) на 2014-01-16. Получено 2014-01-16.
- ^ "104-й Конгресс, 1-я сессия, S.1028" (PDF). В архиве (PDF) из оригинала от 16.06.2012.
- ^ «HIPAA для чайников».
- ^ «Планы медицинского страхования и льготы: переносимость медицинского страхования». Министерство труда США. 2015-12-09. В архиве из оригинала на 20.12.2016. Получено 2016-11-05.
- ^ "Обзор". www.cms.gov. 2016-09-13. В архиве из оригинала от 02.11.2016. Получено 2016-11-05.
- ^
- ^
- ^
- ^
- ^ (Подп. B, раздел 110)
- ^ (Подпункт B, раздел 111)
- ^ «HIPAA для медицинских работников: правило конфиденциальности». 2014. Дои:10.4135/9781529727890. Цитировать журнал требует
| журнал =
(Помогите) - ^ 42 U.S.C. § 1320a-7c
- ^ 42 U.S.C. § 1395ddd
- ^ 42 U.S.C. § 1395b-5
- ^ а б «42 Кодекс США, § 1395ddd - Программа обеспечения добросовестности Medicare». LII / Институт правовой информации. В архиве из оригинала от 21.03.2018. Получено 2018-03-21.
- ^ а б 45 C.F.R. 160.103
- ^ «Каково определение организации, на которую распространяется действие HIPAA? - NetSec.News». 9 октября 2017. В архиве из оригинала от 6 мая 2018 г.
- ^ Терри, Кен «Конфиденциальность пациентов - новые угрозы» В архиве 2015-11-20 на Wayback Machine Практика врачей журнал, том 19, номер 3, 2009 г., дата обращения 2 июля 2009 г.
- ^ Увидеть 45 CFR, разделы 160.102 и 160.103 В архиве 2012-01-12 в Wayback Machine.
- ^ 45 C.F.R. 164.524
- ^ 45 C.F.R. 164.512
- ^ (OCR), Управление по гражданским правам (7 мая 2008 г.). «Краткое изложение правила конфиденциальности HIPAA». В архиве из оригинала от 6 декабря 2015 г.
- ^ 45 C.F.R. 164.524
- ^ 45 C.F.R. 164.502
- ^ 45 C.F.R. 164.502
- ^ 45 C.F.R. 164.526
- ^ 45 C.F.R. 164.522
- ^ Роу, Линда (2005). «Что судебные должностные лица должны знать о правиле конфиденциальности HIPAA». Журнал НАСПА. 42 (4): 498–512. Дои:10.2202/0027-6014.1537. ProQuest 62084860.
- ^ 45 C.F.R. 164.528
- ^ 45 C.F.R. 164.530
- ^ 45 C.F.R. 164.530
- ^ «Как подать жалобу о нарушении конфиденциальности медицинской информации в Управление по гражданским правам» (PDF). Архивировано из оригинал (PDF) на 2016-12-21. Получено 2017-10-07.
- ^ 45 C.F.R. 160.306
- ^ «Распространение записей вызывает опасения по поводу эрозии конфиденциальности» В архиве 2017-07-10 в Wayback Machine, 23 декабря 2006 г., Тео Фрэнсис, Журнал "Уолл Стрит
- ^ «Калифорнийский университет урегулировал дело HIPAA о конфиденциальности и безопасности, касающееся учреждений системы здравоохранения UCLA». Департамент здравоохранения и социальных служб. В архиве из оригинала от 12.10.2017.
- ^ (OCR), Управление по гражданским правам (30 октября 2015 г.). «Omnibus HIPAA Rulemaking».
- ^ «В чем разница между бизнес-партнером HIPAA и юридическим лицом, на которое распространяется действие HIPAA». Журнал HIPAA. 2017-10-06. В архиве из оригинала на 2018-02-18. Получено 2017-10-12.
- ^ Информация о здоровье умерших людей В архиве 2017-10-19 в Wayback Machine 2013
- ^ «В связи с ураганом Харви отменены санкции за нарушение правил HIPAA - netsec.news». netsec.news. 2017-08-28. В архиве из оригинала 2018-05-06. Получено 2017-10-28.
- ^ (OCR), Отдел конфиденциальности медицинской информации, Управление по гражданским правам (2016-01-05). «Право лиц в соответствии с HIPAA на доступ к информации о своем здоровье». HHS.gov. В архиве с оригинала на 2017-12-02. Получено 2017-12-10.
- ^ Алерс, Майк М. «Asiana оштрафована на 500 000 долларов за отказ помочь семьям - CNN». CNN. В архиве из оригинала от 27.02.2014.
- ^ «Архивная копия». В архиве из оригинала на 2016-06-05. Получено 2016-04-19.CS1 maint: заархивированная копия как заголовок (ссылка на сайт)
- ^ «New York Times изучает« непредвиденные последствия »правила конфиденциальности HIPAA». 3 июня 2003 г. В архиве из оригинала от 6 мая 2016 г.
- ^ Администрация социального обеспечения США. «РАЗДЕЛ XI - Общие положения, экспертная оценка и административное упрощение». www.ssa.gov. Получено 2020-07-18.
- ^ "Обзор". www.cms.gov. 26 июля 2017. В архиве из оригинала 18 октября 2017 г.
- ^ «Что такое правила административного упрощения HIPAA?». 20 октября 2017. В архиве из оригинала от 19 февраля 2018 г.
- ^ "Обзор". www.cms.gov. 28 марта 2016. В архиве из оригинала 12 февраля 2012 г.
- ^ CSM.gov «Medicare и Medicaid Services» «Стандарты для электронных транзакций - новые версии, новый стандарт и новый набор кодов - окончательные правила»
- ^ «Надвигающаяся проблема в сфере здравоохранения EDI: переход на МКБ-10 и HIPAA 5010» 10 октября 2009 г. - Шахид Н. Шах
- ^ «Правила безопасности HIPAA и анализ рисков». Американская медицинская ассоциация.
- ^ Вафа, Тим (лето 2010 г.). «Как отсутствие предписывающей технической детализации в HIPAA поставило под угрозу конфиденциальность пациентов». Обзор права Университета Северного Иллинойса. 30 (3). SSRN 1547425.
- ^ Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA). В архиве 2014-01-08 в Wayback Machine Стив Андерсон: HealthInsurance.org.
- ^ Закон о медицинской конфиденциальности не предусматривает штрафов. В архиве 2017-10-13 на Wayback Machine Роб Штайн: Вашингтон Пост.
- ^ «Архивная копия». В архиве из оригинала от 09.01.2013. Получено 2013-01-09.CS1 maint: заархивированная копия как заголовок (ссылка на сайт) Федералы усиливают соблюдение HIPAA с помощью хосписов
- ^ а б Информация о правоприменении В архиве 2017-08-21 в Wayback Machine 2017
- ^ Кирш, Майкл С. (2004). «Альтернативные санкции и федеральный налоговый закон: символы, позор и управление социальными нормами как замена эффективной налоговой политики». Обзор закона Айовы. 89 (863). SSRN 552730.
- ^ а б c Уилсон Дж (2006). «Правило о конфиденциальности Закона о переносимости и подотчетности медицинского страхования вызывает постоянную озабоченность среди врачей и исследователей». Энн Интерн Мед. 145 (4): 313–6. Дои:10.7326/0003-4819-145-4-200608150-00019. PMID 16908928.
- ^ Армстронг Д., Клайн-Роджерс Э., Яни С., Гольдман Э, Фанг Дж., Мукерджи Д., Налламоту Б., Игл К. (2005). «Возможное влияние правила конфиденциальности HIPAA на сбор данных в реестре пациентов с острым коронарным синдромом». Arch Intern Med. 165 (10): 1125–9. Дои:10.1001 / archinte.165.10.1125. PMID 15911725.
- ^ Вольф М., Беннет С. (2006). «Местный взгляд на влияние правила конфиденциальности HIPAA на исследования». Рак. 106 (2): 474–9. Дои:10.1002 / cncr.21599. PMID 16342254.
- ^ Гросс, Джейн (3 июля 2007 г.). "Хранение личных данных пациентов даже от родственников". Нью-Йорк Таймс. В архиве с оригинала 12 августа 2017 г.. Получено 11 августа, 2019.
- ^ «Требования к обучению HIPAA».
- ^ "Окружной суд США" (PDF). 16 сентября 2010 г.
нарушение Закона о конфиденциальности и переносимости медицинской информации. («HIPPA»)
- ^ С.Э. Росс (2003). «Влияние расширения доступа пациентов к медицинской документации: обзор». Журнал Американской ассоциации медицинской информатики. 10 (2): 129–138. Дои:10.1197 / jamia.M1147. ЧВК 150366. PMID 12595402.
Закон о конфиденциальности и мобильности медицинского страхования (HIPPA) предусматривает, что ...
- ^ «Форма информированного согласия DHS-8505» (PDF). 19 мая 2017 года.
защищен в соответствии с информацией о здоровье. Закон о конфиденциальности и мобильности (HIPPA).
- ^ «Политика плана обслуживания HCBS, ориентированного на человека».
Закон о конфиденциальности и мобильности медицинского страхования (HIPPA) должен быть заменен Законом о переносимости и подотчетности медицинского страхования (HIPAA).
- ^ "Основные моменты правоприменения". Главная страница OCR, Конфиденциальность информации о здоровье, Правоприменительные меры и результаты, Основные положения о правоприменении. Министерство здравоохранения и социальных служб США. В архиве из оригинала 5 марта 2014 г.. Получено 3 марта 2014.
- ^ «Нарушения, затрагивающие 500 или более человек». OCR Home, Конфиденциальность медицинской информации, Закон и правила об административном упрощении HIPAA, Правило уведомления о нарушениях. Министерство здравоохранения и социальных служб США. В архиве из оригинала 15 марта 2015 г.. Получено 3 марта 2014.
- ^ «Объявлено рекордное мировое соглашение HIPAA: компания Memorial Healthcare Systems выплатила 5,5 миллионов долларов». Журнал HIPAA. 17 февраля 2017 года.
- ^ «Гражданская денежная пеня». Официальный сайт HHS. Министерство здравоохранения и социальных служб США. Октябрь 2010 г. В архиве из оригинала 8 октября 2017 г.. Получено 8 октября 2017.
- ^ «Жалоба на нарушение конфиденциальности HIPAA впервые была возбуждена федеральным уголовным преследованием». Журнал HIPAA. Июль 2011 г. В архиве из оригинала 17 февраля 2018 г.. Получено 10 октября 2017.
- ^ Koczkodaj, Waldemar W .; Мазурек, Мирослав; Стшалка, Доминик; Вольны-Доминик, Алисия; Вудбери-Смит, Марк (2018). Исследование социальных показателей, https://link.springer.com/article/10.1007/s11205-018-1837-z Нарушения электронных медицинских карт как социальные индикаторы.
внешние ссылки
- Калифорнийский офис по реализации HIPAA (CalOHI)
- «HIPAA», Центры услуг Medicare и Medicaid
- Исследовательская служба Конгресса (CRS) сообщает о HIPAA, Библиотеки Университета Северного Техаса
- Полный текст Закона о переносимости и подотчетности медицинского страхования (PDF / TXT) Типография правительства США
- Страница Управления по гражданским правам на HIPAA