本政策1是HIPAA政策BU健康计划手册的一部分- BU健康计划的受保护健康信息的隐私和安全。
1.1 HIPAA BU健康计划
BU健康计划以下是受HIPAA和这些BU健康计划策略约束的覆盖实体的BU健康计划:
- 波士顿大学健康计划,第502号计划;
- 波士顿大学牙科健康计划,计划编号703;和
- 波士顿大学弹性福利计划。
支持单位每个事业部健康计划都从多个非事业部健康计划的事业部单位(“支持单位”)获得服务。在向任何BU健康计划提供服务的过程中使用或披露PHI的支持单位的BU员工与BU健康计划的澳门威尼斯人注册有同样的责任来保护PHI。
BU已确定以下单位为支持单位,其向BU健康计划提供的服务通常使用或披露BU健康计划的PHI:
- 信息服务与技术,包括波士顿大学医学院校园信息技术;
- 金融事务,
- 总法律顾问办公室,
- 内部审计及谘询服务;
- 风险管理,
- 合规服务,以及
- 人力资源。
注意:BU保留许多不受HIPAA约束的敏感信息,例如受FERPA保密的学生记录;不进行电子交易但仍受州法律保护的单位的患者记录;受联邦和州法律管辖的人力资源记录;大多数澳门威尼斯人注册网站研究数据。波士顿大学认真对待这些法律规定的义务,并相应地保护这些记录。
1.2关键角色
HIPAA隐私和安全官员是您遵守HIPAA的主要资源。您可以通过以下电子邮件地址与他们联系:hipaa@bu.edu。使用该地址询问问题或报告潜在的违规行为。安全事件可通过irt@bu.edu报告,或通过电话617-358-1100报告。
BU HIPAA安全官负责制定和实施政策,以确保符合HIPAA的安全标准。
BU HIPAA隐私官负责制定和实施政策,以确保符合HIPAA隐私标准。
BU健康计划HIPAA联系人BU健康计划HIPAA联系人负责在BU健康计划中实施这些HIPAA政策。
BU HIPAA隐私官和BU HIPAA安全官与每个BU健康计划的HIPAA联系人密切合作,在其单位实施HIPAA合规性,并作为关键资源。
支持单位HIPAA联系人:每个支持单位指定一名人员作为支持单位HIPAA联系人,负责在该支持单位实施隐私和安全政策。这些联系人将与BU HIPAA隐私官和BU HIPAA安全官密切合作,在其单位实施HIPAA合规。
附录A中列出了这些关键角色的人员。
1.3什么是PHI?
受保护的健康信息(PHI)是可以链接到特定人员的任何可单独识别的健康信息。它包括在提供医疗保健服务(如诊断或治疗)过程中创建、使用或披露的所有信息。本资料涉及:
- 个人过去、现在或将来的身体或精神健康或状况;
- 向个人提供卫生保健,或
- 过去、现在或将来为个人提供医疗保健的支付,包括波士顿大学健康计划登记数据。
什么不是PHI?不能识别个人或不能用于识别个人的健康信息不属于PHI,但需要非常严格地确认数据集中不存在标识符。例如,生命体征数据集本身并不构成PHI。但是,如果生命体征数据集包含医疗记录号,则该数据集尚未成功去标识化,必须作为PHI进行保护。
某些类型的健康信息不受HIPAA的约束,即使它们清楚地识别了个人:
- 识别个人的澳门威尼斯人注册网站研究数据;
- FERPA涵盖的教育记录资料;
- 由非HIPAA承保实体的BU维护的保险信息,例如人寿保险和伤残保险计划;
- 死亡50年以上的医疗记录中的健康信息;
- BU人力资源雇佣记录中的信息(员工福利记录除外);和
- 去标识的数据,如下所述。
上述信息类型不受本政策的约束,但必须按照大学数据保护标准的规定加以保护。
1.4去识别PHI
如果以下述方式去除PHI标识,则所得数据不再是PHI,其使用和披露将不受HIPAA的约束。因此,不需要个人授权就可以使用去标识化的数据。去标识化有两种方法。
删除标识符方法删除个人及其亲属、雇主或家庭成员的所有以下标识符:
- 名称;
- 所有小于一个州的地理分区,包括街道地址、市、县、选区、邮政编码及其相应的地理编码,但邮政编码的前三位数字除外,如果:
- 将所有邮政编码与相同的三个首字母数字组合而成的地理单元包含了20,000多人;和
- 所有包含20,000或更少人口的地理单元的邮政编码的前三位数字将更改为000。
- 与个人有直接关系的日期的所有日期要素(年除外),包括出生日期、入院日期、出院日期、死亡日期;以及所有超过89岁的年龄和指示该年龄的日期(包括年份)的所有要素,但这些年龄和要素可以汇总为90岁或以上的单一类别;
- 电话号码;
- 传真号;
- 电子邮件地址;
- 社会安全号码;
- 医疗记录号;
- 健康计划受益人人数;
- 账号;
- 证书/许可证号码;
- 车辆识别码和序列号,包括车牌号码;
- 设备标识符和序列号;
- Web通用资源定位器(url);
- 互联网协议(IP)地址;
- 生物识别识别,包括指纹和声纹;
- 全脸照片及任何可比较的照片;和
- 任何其他唯一标识数字、特征或代码。
在极少数情况下,即使PHI被去识别,个体仍然可以被识别。这种情况通常发生在患者的病情和/或情况非常罕见且已被公开的情况下。因此,即使删除了18个标识符,BU健康计划也需要确认没有合理的依据可以相信这些信息可用于识别个人。
BU HIPAA隐私和安全官员可以确认信息已被充分地去识别,或协助以另一种形式获取数据。
专家意见方法如果Workforce成员认为他/她希望使用的数据不能与个人相关联,但它不符合“去识别”的标准(例如,包括治疗日期),则Workforce成员应联系BU HIPAA隐私官。作为删除18个标识符的去标识化替代方案,如果专家认为信息与个人关联的风险非常小,则可以认为数据已充分去标识化。在使用这种方法时,HIPAA有特定的要求需要遵守,HIPAA隐私官可以确保遵守这些规定。
重新识别未识别PHI BU健康计划可自行决定解码或翻译未识别PHI,以便重新识别与特定个人相关的信息。必须满足以下要求:
- 重新识别过程必须以安全的方式进行;
- 用于重新识别的代码、算法、表格或其他工具不得向任何第三方披露,也不得用于除BU健康计划重新识别之外的任何目的;和
- 所使用的重新识别过程必须不能被第三方翻译或解码以识别患者(例如,代码不能是患者姓名的衍生品)。
1.5 BU健康计划的指定记录集
指定记录集包括由BU健康计划全部或部分使用的个人记录,以作出有关个人的决定。所有用于对个人作出决定的文件都包含在计划的指定记录集中。指定记录集的各个部分可以保存在BU健康计划内的多个位置,并且可以包括ePHI、纸质PHI和其他有形PHI。
1.6 BU健康计划的计划文档和防火墙
防火墙BU运行状况计划将确保:
- 计划文件根据HIPAA隐私和安全条例限制BU使用和披露PHI;
- 制定了防止BU不当使用和披露PHI的程序;
- 实施了管理、物理和技术保障措施,合理和适当地保护BU代表BU健康计划创建、接收、维护或传输的ePHI的机密性、完整性和可用性;和
- 可访问BU健康计划PHI的BU员工可按姓名或工作职能进行标识(请参阅附录B, BU健康计划HIPAA防火墙清单)。
在防火墙内指定BU健康计划澳门威尼斯人注册在BU HIPAA隐私官的指导下,BU健康计划的HIPAA联系人负责指定和记录防火墙内BU健康计划的HIPAA澳门威尼斯人注册,并根据需要不断更新指定。
1.7访问PHI
访问级别在BU HIPAA隐私官和HIPAA安全官的指导下,BU健康计划HIPAA联系人负责确定向每位员工提供的PHI访问级别,并记录和监控该访问级别。访问必须基于角色;换句话说,授予每个人的访问级别取决于劳动力成员履行其职责所需的PHI类型。
终止访问BU健康计划HIPAA联系人还负责确保,当某人因终止雇佣、重新分配到BU健康计划以外的BU职位、影响访问PHI需求的职责变化、退休或任何其他原因而不再是劳动力成员时,终止访问PHI。此外,HIPAA联系人需要确保离职员工没有在设备上或以任何其他形式保留任何BU健康计划PHI或其他机密BU健康计划数据。
这包括立即:
- 要求归还钥匙和徽章,以禁止进入处所;
- 终止以电子方式访问应用程序、系统或设施;和
- 确保离职的员工在离职时从未随BU健康计划离开的任何设备中删除他们在员工队伍中可能收到的任何ePHI。
文档和本地审核BU运行状况计划HIPAA联系人负责创建程序,定义如何授权、维护和撤销对ePHI的访问。
当员工成员的角色和PHI访问权限发生变化时,BU Health Plans HIPAA联系人必须创建一个可审计流程,用于初始授予访问权限和对访问权限的更改,并且他们必须每季度进行一次自我审计。
参见8.2.3.2帐户和授权的配置和取消配置以及大学的身份和访问管理政策。
1.8 HIPAA培训
每个BU BU健康计划的所有员工都必须按照BU HIPAA隐私官和BU HIPAA安全官的指定完成波士顿大学HIPAA培训。本次培训将解释HIPAA的隐私和安全条款,以及提供BU的HIPAA隐私和安全政策的概述。此后,每位员工应每年完成更新的HIPAA培训。
BU健康计划员工队伍的新成员应在获得任何PHI之前完成培训。
BU健康计划HIPAA联系人必须确保按照本政策的要求完成培训,并且必须跟踪并记录每位员工的培训完成情况。如果由BU学习管理系统提供跟踪和文件,HIPAA联系人应每季度审核该系统的记录。
澳门威尼斯人注册本政策的其他资源
相关的BU政策和程序
部网站