Вам может нравиться думать, что вы единственный, кто имеет доступ к вашим личным медицинским записям, но это не так; на самом деле, многие разные стороны могут просматривать ваши записи, информацию о вашем финансовом счете и информацию о страховании.
Закон № (HIPAA) от 1996 года устанавливает национальные стандарты в США в отношении того, как обрабатывается и передается личная медицинская информация. В соответствии с HIPAA у вас есть определенные права, когда речь идет о вашей личной медицинской информации; у вас есть право на получение копии вашей медицинской информации, право исправлять любые ошибки или вносить изменения в вашу информацию, право ограничивать определенные виды использования вашей информации и право знать, кто, кроме вас, видел вашу информацию. Помните, что не только вы и ваш врач можете видеть (и видели), что содержится в этом файле. Менеджер по работе с клиентами, использующий компьютер для электронной проверки вашего права на страхование, например, имеет доступ к вашей медицинской информации, но в соответствии с правилами HIPAA, медицинская информация, которая позволяет установить личность - мы скоро доберемся до того, что это значит - и скрыта от любого, кто просто хочет заглянуть в ваш файл.
Стороны, имеющие законный доступ к вашим медицинским записям, называютсяпокрываемыми организациями и должны соблюдать правила HIPAA; К покрываемым организациям относятся поставщики медицинских услуг (врачи, медсестры, стоматологи, больницы, клиники, аптеки и т. д.), практикующие электронные транзакции в области здравоохранения, планы медицинского страхования (включая такие стороны, как компании медицинского страхования, ОПЗ, Medicare и Medicaid), медицинские услуги. расчетные палаты и сторонние деловые партнеры (включая такие стороны, как обработчики претензий, биллинговые компании или ИТ-специалисты).
Соответствие HIPAA означает, что организации, на которые распространяется действие закона, несут определенные обязанности, когда речь идет о сохранении конфиденциальности и безопасности ваших данных.
Хранение данных и обмен данными: зашифровано и безопасно
В соответствии с правилом о конфиденциальности HIPAA, которое вступило в силу в 2003 году Управлением по гражданским правам США, (некоторая часть) вашей идентифицируемой медицинской информации должна быть защищена от раскрытия или доступа без вашего разрешения. Ваши идентифицируемые медицинские данные, называемые Защищенной медицинской информацией (PHI), включают все, что ваш врач или другой поставщик медицинских услуг вносит в вашу медицинскую карту, а также любые разговоры, которые ваш поставщик ведет с другими врачами, медсестрами и другими медицинскими работниками. Он также включает любую вашу платежную информацию, а также любую идентифицирующую информацию о вас, которую ваш план медицинского страхования хранит в своих компьютерных системах.
В соответствии с правилом безопасности HIPAA способы хранения, совместного использования и доступа к вашей личной информации в электронном виде защищены. Приемлемые электронные транзакции включают в себя: информацию о претензиях и встречах, рекомендации по платежам и денежным переводам, статус претензий, право на участие, статус регистрации, направления и разрешения, согласование льгот и выплат страховых взносов. Застрахованные лица по закону обязаны соблюдать правила транзакций, подпадающих под действие HIPAA. Они и те, с кем они заключают договор на ведение бизнеса, должны подписать юридический договор, согласно которому они должны защищать вашу информацию, прежде чем делиться ею или получать к ней доступ - будь то онлайн-транзакция, доступ к вашим записям на планшете или другая электронная административная транзакция. Подпадающие под действие организации и их деловые партнеры также несут ответственность за наличие не только административных мер безопасности, таких как документированные политики и обучение сотрудников защите электронных медицинских данных, но также технических и физических мер безопасности, таких как резервное копирование данных, шифрование данных и системы безопасности. Они также несут ответственность за раскрытие информации о том, почему необходимо получить доступ к вашей медицинской информации и какова предполагаемая цель - каждый раз.
Кроме организаций, на которые распространяется страховое покрытие, закон HIPAA не применяется. Это означает, что ни ваш работодатель, ни поставщики компенсаций работникам, поставщики страхования жизни, школьные округа, государственные учреждения (например, службы защиты детей), правоохранительные органы и другие муниципальные учреждения не должны беспокоиться о сохранении конфиденциальности ваших медицинских данных. Менеджер по работе с клиентами, который использует компьютер для электронной проверки вашего права на страхование, участвует в действии, защищенном HIPAA, и должен соблюдать правила конфиденциальности HIPPA, но HIPAA применяется только тогда, когда транзакция осуществляется в электронном виде; если менеджер по работе с клиентами использовал телефон, чтобы устно подтвердить ваше право на страхование, правила HIPAA не будут применяться к обмену PHI.
Нарушение информации о здоровье - «Стена позора»
Управление гражданских прав Министерства здравоохранения и социальных служб США держит «стену позора» за утечку медицинской информации, которая раскрывает или затрагивает защищенные данные более 500 человек (за каждый инцидент) - и из-заHITECHAct (Информационные технологии здравоохранения для экономического и клинического здоровья) в соответствии с HIPAA, вы можете найти этот список зарегистрированных нарушений в их Инструменте взлома.
Ограниченные наборы данных
При некоторых обстоятельствах HIPAA допускает передачу части вашей защищенной медицинской информации без вашего разрешения. Ваша PHI может быть передана без вашего разрешения в чрезвычайной ситуации, включая неотложную медицинскую помощь, а также в случае биотерроризма или любой угрозы общественному здоровью. Исключения из HIPAA также включают такие случаи, как надзор за общественным здравоохранением (например, сбор информации для местных сообщений о гриппе), расследования (например, центр неотложной медицинской помощи сообщает о огнестрельном ранении) и исследования - даже в некоторых медицинских ситуациях, таких как вмешательства. Эта информация собирается в так называемый «ограниченный набор данных» (LDS); ограниченные наборы данных включают ограниченную, но личную информацию о вас: ваш возраст (в годах, месяцах, днях или часах), соответствующие даты (включая дату вашего рождения и дату смерти, а также даты поступления и выписки, если применимо) и ваш основной географические данные (почтовый индекс или город и штат проживания).
Список информации, которая не допускается в ограниченном наборе данных, намного больше. В соответствии с Правилами конфиденциальности HIPAA следующие 16 идентифицируемых элементов информации не могут быть включены в LDS: имена, номера социального страхования, физические адреса (уличные адреса) и номера телефонов (включая номера факсов), адреса электронной почты, URL-адреса и Номера IP-адресов, идентификаторы транспортных средств (включая серийные номера и номерные знаки), а также фотографии анфас (или любые сопоставимые изображения) и биометрические идентификаторы (например, ваши отпечатки пальцев). Кроме того, в ограниченный набор данных не могут быть включены номера счетов, номера медицинских карт, номера бенефициаров планов медицинского страхования, номера лицензий сертификатов или любые идентификаторы устройств (включая серийные номера).
Несмотря на эти правила HIPAA, действующие в отношении наших медицинских карт, 83 процента американцев по-прежнему обеспокоены конфиденциальностью и безопасностью своих медицинских карт, и почти 70 процентов не хотят, чтобы их медицинская информация оцифровывалась., период. Так что же происходит, когда эти опасения подтверждаются - что происходит, когда происходит взлом?
Если или когда происходит нарушение PHI, что часто является результатом кражи компьютера, в соответствии с правилом уведомления о нарушении, пострадавший пациент (или пациенты) должен быть уведомлен, а об инциденте доложено секретарю Министерство здравоохранения и социальных служб США (HHS). Точно так же, если физическое лицо хочет сообщить о нарушении конфиденциальности, оно может сообщить о нарушении либо ответственной организации (или деловому партнеру), либо HHS, либо обоим. В зависимости от обстоятельств нарушения HIPAA могут привести к гражданско-правовым санкциям, таким как штрафы (называемые гражданско-правовыми денежными штрафами), или к уголовным санкциям, которые включают не только штрафы, но и тюремное заключение.
Часто задаваемые вопросы
Как вы обеспечиваете соответствие HIPAA?
Существует несколько способов обеспечить соответствие HIPAA. Один из способов - четко понимать правила конфиденциальности и безопасности HIPAA. Другой способ - разработать политики и процедуры, обеспечивающие соблюдение правил конфиденциальности и безопасности HIPAA. Наконец, важно обучить сотрудников политикам и процедурам, разработанным для обеспечения соблюдения правил конфиденциальности и безопасности HIPAA.
Что такое соответствие HIPAA?
Закон о переносимости и подотчетности медицинского страхования (HIPAA) - это закон США, который требует от организаций, на которые распространяется действие страховки, соблюдения конфиденциальности и безопасности защищенной медицинской информации (PHI). К покрываемым организациям относятся планы медицинского страхования, расчетные центры по вопросам здравоохранения и некоторые поставщики медицинских услуг.
Примечание автора. Как соответствие HIPAA влияет на обмен данными?
Сохранение вашей медицинской информации в безопасности подобно сохранению вашего номера социального страхования: в чужих руках это может привести к краже личных данных или, когда дело доходит до лечения того, что вас беспокоит, к неправильному лечению из-за того, что кто-то другой похитил ваш файл. Так что в следующий раз, когда вы пойдете к врачу (или в больницу, или в аптеку), не просто отложите в сторону брошюру HIPAA, которую вы получили во время визита; этот документ содержит важную информацию о том, как хранятся ваши медицинские записи.