HIPAA
St. 竞技宝app下载安装在HIPAA(健康保险流通与责任法案)下被指定为混合实体的声明
Introduction
《竞技宝app下载》(“HIPAA”)是一部消费者保护法,旨在保护与个人身体或精神健康有关的个人可识别信息, the provision of health care to the individual, 或向个人提供医疗保健的费用(“受保护的健康信息”或“PHI”). HIPAA applies to "Covered Entities," which include health care providers, 以电子方式进行特定交易的健康计划和医疗保健信息交换中心("受保实体"或各为"受保实体"). St. 竞技宝app下载安装既参与涵盖实体的活动,也参与非涵盖实体的活动. HIPAA允许从事承保实体职能和其他非承保实体职能活动的实体将自己指定为“混合实体”,,结果是HIPAA规定不适用于未涵盖的功能.
Assessment of Hybrid Entity Status
一个由圣公会代表组成的工作队. 竞技宝app下载安装行政办公室等信息技术, College of Health and Human Services, Human Resources, 以及包括法律顾问在内的外部资源,以确定圣. 竞技宝app下载安装部门从事的活动适用于HIPAA隐私标准. 基于该指南和对HIPAA标准的审查,St. 竞技宝app下载安装正式将自己指定为HIPAA下的混合实体.
在决定哪些部门包括在St. 竞技宝app下载安装覆盖实体(以下简称“SACE”),St. 竞技宝app下载安装一直受到卫生和人类服务部对HIPAA条例的修订的指导. Whether a St. 竞技宝app下载安装的功能或个人活动代表圣. 竞技宝app下载安装是否包含在SACE中是根据使用和/或披露的数据确定的, 不是基于任何特定的整体部门任务或活动. 下列已定义的数据类别对确定所涵盖的职能和活动至关重要:
1. IIHI:个人可识别健康信息是由医疗保健提供者创建或接收的从个人收集的信息, employer, plan or clearinghouse and relates to the past, present or future physical or mental health condition of an individual; the provision of health care to an individual; or the part, 为向个人提供医疗保健而支付的当前或未来费用,并确定个人身份, 或者可以合理地用来识别个人.
2. PHI:受保护的健康信息,即IIHI,由SACE内的相关功能以任何形式或媒介传输或维护. This specifically excludes education records, 哪些受其他隐私法规的保护, and employment records held by St. Ambrose in its role as the employer. 这也不包括研究健康信息(见下文定义)。, 哪些受其他监管要求的保护.
3. RHI:研究健康信息是St. 竞技宝app下载安装确定IIHI用于研究目的,而不是PHI, 因此不受HIPAA要求的约束. RHI是与研究活动相关的IIHI而不是与病人护理活动相关的IIHI. 当研究人员不同时充当卫生保健提供者时, 并创建与纯研究活动(不涉及患者护理)相关的IIHI, IIHI不是PHI,不受HIPAA的隐私和安全规则的约束. 如果研究人员也是卫生保健提供者,并且IIHI是根据研究人员的卫生保健提供者活动而创建的, then the IIHI is PHI subject to HIPAA. 根据IRB的批准流程,作为PHI创建并用于研究目的的IIHI可以向研究人员披露(同样是研究人员的个人医疗保健提供者可以向其本人披露PHI), 其中包括适当的患者授权或IRB放弃授权. 在研究环境中适当披露PHI之后, 转移到研究机构的IIHI变成了RHI, 哪些不再受HIPAA要求的约束. In certain cases such as interventional clinical trials it is expected there will be two copies of some IIHI; a copy kept in the patient's medical record which is PHI and subject to HIPAA and a copy of the same data kept in the research record which is RHI and not subject to HIPAA.
4. 关键决定因素:决定信息是否属于IIHI而不受隐私规则或PHI保护而受保护的关键因素是:1)提供商或健康计划执行的功能,以及2)实体或工作人员接收信息的目的, 创建或维护医疗信息(治疗), payment, operations, other). 保存记录的做法并不是决定因素. For example, 当SAU和供应商以及SACE的一部分对SAU员工进行测试时,适合工作的测试结果为PHI. When the employee authorizes SAU, the health care provider, to turn over the information to SAU, the employer, 它是雇员雇佣记录的一部分,不再是PHI. 值得注意的是,在大多数情况下(例外情况包括工伤), 疾病或医疗监视),员工必须向SAU医疗保健提供者提供签署的授权,以便向SAU发布信息, the employer.
卫生保健处根据《竞技宝app下载》的以下标准确定其哪些部门是卫生保健组成部分(涵盖单位), amendments and HHS guidance:
1. 医疗保健或健康计划的使用或披露:符合“受保实体”定义的组成部分," if it were a separate legal entity, must be included in the health care component. 当SAU工作人员使用或披露与医疗保健提供者或健康计划功能有关的个人可识别健康信息(IIHI)时, 个人的健康信息定义为PHI, HIPAA隐私和安全法规适用于这些职能和执行这些职能的员工;
2. 支持医疗保健或健康计划的职能:如果承保实体是独立的法人实体,则承保实体的另一个组成部分,其活动将使其成为执行承保职能的组成部分的业务伙伴. 如果这些类似业务伙伴的功能没有被指定为医疗保健组件的一部分, 医疗保健信息的交换可能需要授权,因为所涵盖的实体本身不能有业务伙伴合同. 在商业活动中使用或披露IIHI时, financial, 代表SAU的医疗保健提供者和健康计划活动的法律或行政职能, 个人信息是PHI, HIPAA隐私和安全法规适用于这些职能和执行这些职能的员工;
3. 雇主和教育职能:当SAU以雇主或教育机构的身份使用和披露IIHI时, 这些信息不是PHI,这些功能不受HIPAA的隐私或安全法规的约束, 但是个人健康信息的保密性受到其他州和联邦法律的保护, as well as by SAU policy; and
4. IRB功能:PHI仅可在与IRB批准或豁免协议相关并根据豁免或授权的情况下向研究人员披露. 当研究人员请求访问已创建的PHI时, received or maintained by the SACE, 隐私规则要求SACE得到具体保证,一旦将PHI披露给研究人员作为RHI使用,将受到保护, 和SAU必须解释HIPAA法规要求的某些披露. SAU的IRB将作为HIPAA定义的隐私委员会发挥作用.
5. 可能提供业务的劳动力成员的示例, finance, 适用职能部门的法律或其他服务:SAU以下部门的员工可以代表SACE(根据HIPAA的要求使用PHI)和代表SAU的非适用部门(IIHI不符合HIPAA的要求)提供行政职能:
a. Finance;
b. Information Technology;
c. Communication and Marketing;
d. Alumni Affairs;
e. Security;
f. Advancement;
g. Compliance Office;
h. IRB and individual SAU researchers;
i. HIPAA委员会/专责小组确定的其他部门.
以下部门被正式指定为符合HIPAA隐私规则和标准所需的医疗保健组件:
- 言语和语言病理学-卫生保健提供者
- Assistive Technology Lab - health care provider
- 学生健康服务——只有在学生健康服务为非学生提供治疗的情况下,医疗保健提供者才受HIPAA隐私标准的约束
- Interprofessional Health Clinic
承保组件和非承保组件之间PHI的转移
当向SACE提供服务的员工代表SAU未涵盖的组件执行服务时, 这些未涵盖的功能不属于SACE. 员工不得在未经个人或患者授权的情况下将PHI泄露给未涵盖的SAU组件, 或在为研究目的而披露的情况下放弃IRB的授权, as required by the Privacy rule.
向SACE提供商和SAU健康计划提供商业和金融服务的员工不得在这些实体之间使用或披露个人隐私信息,除非隐私规则允许此类披露.