承保组件的医疗保健提供商的HIPAA政策：政策1、HIPAA基础

---

本政策1是HIPAA政策手册的一部分：BU医疗保健提供商承保组件的受保护健康信息的隐私和安全。

1.1 HIPAA组件

BU覆盖组件

BU是HIPAA下的一个混合实体，这意味着它的一些操作受到HIPAA的保护，但许多操作没有受到HIPAA的保护，HIPAA允许BU指定其哪些组件是受HIPAA保护的组件。

BU卫生保健提供者

以下是BU医疗保健提供商涵盖的组件：

1. 波士顿大学康复服务中心（包括波士顿大学物理治疗中心和波士顿大学神经康复中心），
2. 萨金特选择营养中心，
3. 亨利·m·戈德曼牙科医学院患者治疗中心，包括波士顿大学牙科健康中心，
4. 阿尔伯特和杰西·丹尼森澳门威尼斯人注册网站研究所

波士顿大学还有其他几个医疗保健提供者，但他们不受HIPAA的约束。

事业部健康计划以下由人力资源部管理的事业部健康计划是涵盖的组成部分：

• 波士顿大学健康计划
• 波士顿大学牙科健康计划
• 波士顿大学弹性福利计划

波士顿大学为员工提供了许多其他福利计划，但它们不受HIPAA的约束。

业务伙伴事业部有某些单位向承保实体（在事业部之外）提供涉及受保护健康信息的服务。

以下单位是波士顿大学的商业伙伴：

• 生物统计与流行病学数据分析中心（BEDAC）
• 埃文斯实施与改进科学中心（CIIS）
• 一般临床澳门威尼斯人注册网站研究小组（GCRU）

支持单位

每个涵盖的组件都从许多未涵盖组件的BU单元接收服务。这些被称为支援单位。在向任何受保组件提供服务的过程中使用或披露PHI的BU支持单位员工与受保组件的员工一样负有保护PHI的责任。

BU已将以下单位确定为支持单位，其向保修组件提供的服务通常使用或披露保修组件的PHI：

• 信息服务与技术，包括波士顿大学医学院校园信息技术
• 财务事务，包括内部审计和咨询服务，风险管理，出纳办公室和应付帐款
• 总法律顾问办公室，包括合规服务
• 平等机会办事处
• 人类澳门威尼斯人注册网站研究事务办公室
• 医疗保健遵从性和健康信息隐私办公室

注意：BU保留许多不受HIPAA约束的敏感信息，例如受FERPA保密的学生记录；不进行电子交易的单位的患者记录，使其受到HIPAA的约束，但仍受州法律的约束；受联邦和州法律管辖的人力资源记录，以及受联邦和州法律保护的某些人类受试者澳门威尼斯人注册网站研究数据。波士顿大学认真对待这些法律规定的义务，并相应地保护这些记录。

1.2关键角色

HIPAA隐私和安全官员是您遵守HIPAA的主要资源。您可以通过以下电子邮件地址与他们联系：hipaa@bu.edu。使用该地址询问问题或报告潜在的违规行为。安全事件可通过irt@bu.edu报告，或通过电话617-358-1100报告。

BU HIPAA安全官负责制定和实施政策，以确保符合HIPAA的安全标准。

BU HIPAA隐私官负责制定和实施政策，以确保符合HIPAA隐私标准。

覆盖组件HIPAA联系方式：

每个受保组件必须指定一名人员作为受保组件HIPAA联系人，负责在该受保组件中实施这些HIPAA策略。

BU HIPAA隐私官和BU HIPAA安全官与每个受保组件的HIPAA联系人密切合作，在其单位实施HIPAA合规，并作为关键资源。

担任这些关键角色的人员列于附录A。

1.3什么是PHI？

受保护的健康信息（PHI）是可以链接到特定人员的任何可单独识别的健康信息。它包括在提供医疗保健服务（如诊断或治疗）过程中接收、创建、使用或披露的所有信息。本资料涉及：

• 个人过去、现在或将来的身体或精神健康或状况；
• 向个人提供保健；或者,
• 医疗费：过去、现在或将来为个人提供医疗保健而支付的费用

什么不是PHI？

不能识别个人或不能用于识别个人的健康信息不属于PHI，但需要非常严格地确认数据集中不存在标识符。例如，生命体征数据集本身不构成PHI。但是，如果生命体征数据集包含医疗记录号，则该数据集尚未成功去标识化，必须作为PHI进行保护。

某些类型的健康信息不受HIPAA的约束，即使它们清楚地识别了个人：

• 在不受HIPAA约束的实体进行的澳门威尼斯人注册网站研究中识别个人的澳门威尼斯人注册网站研究数据；
• FERPA涵盖的治疗和教育记录信息；
• 未被指定为受保组成部分的BU医疗保健提供者单位保留的治疗记录中的信息；
• 死亡超过50年的医疗记录中的健康信息；
• BU人力资源雇佣记录中的信息，以及
• 去标识数据，如下文第1.4节：去标识PHI所述。

上述信息类型不受本政策的约束，但必须按照大学数据保护标准的规定加以保护。

1.4去识别PHI

如果以下述方式去除PHI标识，则所得数据不再是PHI，其使用和披露将不受HIPAA的约束。因此，不需要个人授权就可以使用去标识化的数据。

去标识化有两种方法。

在极少数情况下，即使PHI被去识别，个体也可以被识别。通常，这种情况发生在患者的病情和/或情况非常罕见和/或可能已经公开的情况下。因此，即使删除了18个标识符，Covered Component也需要确认没有合理的依据可以相信这些信息可以用来识别个人。

BU HIPAA隐私和安全官员可以确认信息已被充分地去识别，或协助以另一种形式获取数据。

专家意见法

1.5承保组件的指定记录集

指定记录集包括个人的全部或部分医疗记录，这些记录由受保组成部分用于对个人作出决定。通常包括提供者对个人的评估和护理，包括诊断、诊断澳门威尼斯人注册网站研究和测试、治疗、结果、转诊和处置。指定记录集还包括所有帐单记录。

指定记录集对于实现个人在HIPAA下的权利很重要。例如，当个人要求查阅或复制他/她的记录时，提供的是指定记录集。

受保组件HIPAA联系人在BU HIPAA隐私官的指导下负责确定和记录受保组件的指定记录集。指定记录集的不同部分可以保存在涵盖组件内的多个位置，可能包括纸质PHI、电子PHI和其他有形PHI，如X射线、缩微胶卷、照片和录音。

1.6承保组件的HIPAA员工

HIPAA员工队伍由所有澳门威尼斯人注册网站、雇员、志愿者、医疗保健提供者、受训人员（参加治疗的学生）和其他工作在HIPAA承保组件控制下的人员组成，无论他们是否由HIPAA承保组件直接支付报酬，他们的工作需要访问、使用、披露或创建该承保组件的PHI。

注意：不参与提供护理的学生和跟随护理提供者的人不是劳动力成员。参见第5.6节：PHI对学生和观察员的披露。

在BU HIPAA隐私官的指导下，受保组件的HIPAA联系人负责指定和记录受保组件的HIPAA劳动力，并根据需要不断更新该指定。

受保组件劳动力的指定应由每个受保组件记录在BU HIPAA SharePoint网站上，包括每个人的姓名、头衔、对PHI的访问级别、分配的培训和培训完成情况。

1.7访问PHI

访问级别

受保组件HIPAA联系人负责确定向每个员工成员提供的PHI访问级别，并在BU HIPAA隐私官和HIPAA安全官的指导下记录和监控该访问级别。访问必须基于角色；换句话说，授予每个人的访问级别取决于劳动力成员履行其职责所需的PHI类型。卫生保健提供者应该不受限制地查阅他们的病人记录。

终止访问

受保组件HIPAA联系人还负责确保，当某人因终止雇佣关系、重新分配到受保组件以外的BU职位、影响访问PHI需求的职责变化、退休、延长休假（超过2个月）或任何其他原因而不再是劳动力成员时，终止对PHI的访问。此外，HIPAA联系人需要确保离职员工没有在设备上或以任何其他形式保留任何BU PHI或其他机密BU数据。

这包括立即：

• 通过要求归还钥匙和徽章来禁止进入该场所，
• 终止对应用程序、系统或设施的电子访问
• 确保离职员工在BU留下任何有形的PHI，并将他们在离职时未随受保组件一起离开的任何设备上可能收到的任何ePHI移除。

文档和本地审核

受保组件HIPAA联系人负责创建程序，定义如何授权、维护和撤销对ePHI的访问。通常，这将包含一个矩阵，列出所有Workforce成员及其访问权限。

参见访问管理策略8。

1.8 HIPAA培训

根据波士顿大学HIPAA隐私官和波士顿大学HIPAA安全官的规定，每个承保组件的所有员工和支持组件的支持单位员工以及可能访问PHI的员工都必须完成波士顿大学HIPAA培训。本次培训将解释HIPAA的隐私和安全条款，以及提供BU的HIPAA隐私和安全政策的概述。受保组件员工或支持单位的新成员应在获得任何PHI之前完成培训，此后所有成员均应每年完成更新的HIPAA培训。

所涵盖组件的职责

受保组件HIPAA联系人必须确保按照本政策的要求完成培训，并必须跟踪和记录每个劳动力成员的培训完成情况。

---