---

本政策3是HIPAA政策BU健康计划手册的一部分- BU健康计划的受保护健康信息的隐私和安全。

3.1日常使用和披露概述

接下来的政策描述了常规和非常规的信息披露。例行披露是指定期和频繁披露的信息。BU HIPAA隐私官可在非常规情况下提供指导和/或批准。披露政策还指出，在没有书面和签署的授权的情况下，何时可以或必须进行披露（常规和非常规）。

3.2最小必要规则

在大多数情况下，当使用或披露PHI或向其他HIPAA覆盖实体/组件请求PHI时，BU健康计划必须将使用或披露限制在实现使用、披露或请求信息的预期目的所必需的范围内。

最低必要规则的例外情况

• 根据授权使用或披露，因为披露应遵循参与者在授权中的指示；
• 向卫生与公众服务部部长披露的信息，将由BU HIPAA隐私和/或安全官员做出；和
• 例如，法律要求的使用或披露，
  • 强制报告虐待、忽视或家庭暴力，
  • 政府监督活动的使用和披露，或
  • 为司法和行政程序以及根据传票或法院命令而进行的披露。

在所有其他情况下，遵循最小必要规则。

3.3有限数据集中的PHI

波士顿大学健康计划仅可出于澳门威尼斯人注册网站研究、公共卫生或医疗保健业务的目的使用或披露有限数据集（见下文），且仅在与接收方签订有限数据使用协议之后。这种情况在BU健康计划中很少发生。如果出现对有限数据集的需求，波士顿大学健康计划将遵循波士顿大学HIPAA医疗保健提供者政策中的指导，并在波士顿大学HIPAA隐私官的指导下进行。

3.4在未经授权的情况下，将PHI的常规使用和披露给BU作为计划发起人

BU健康计划向BU披露的PHI符合最低必要规则。

BU健康计划在隐私实践通知中包含了一份单独的声明，通知个人PHI可能会向BU披露。

如果BU作为计划发起人出于以下目的要求提供摘要健康信息，那么BU健康计划（或与BU健康计划相关的索赔管理员）可以向BU作为计划发起人披露摘要健康信息，而不考虑计划文档是否已修改：

• 从健康计划中获取使用数据，以便在BU健康计划下提供保险，或者
• 评估、修改、修改或终止BU健康计划。

向作为计划管理员的BU披露的信息：BU健康计划的计划文件：

• 描述BU允许的PHI使用和披露。
• 指定只有在BU收到计划文件已按照HIPAA要求修改的书面证明后才允许披露。
• 提供足够的物理和技术防火墙，以识别在BU控制下的员工、员工类别或其他可以访问PHI和ePHI的人员。
• 确保通过合理和适当的安全措施支持BU健康计划和BU之间的分离。
• 要求业务部门向业务部门运行状况计划报告其发现的任何安全事件。
• 提供一个有效的机制来解决BU员工或有权使用PHI的员工的任何不合规问题。

BU对计划文件已如此修改的证明见附录C。

BU健康计划（或索赔管理人）可以向BU作为计划发起人披露个人是否参加任何或所有BU健康计划，或是否参加或已退出BU健康计划的信息，而不考虑计划文件是否已修改。

向BU作为计划发起人披露PHI的所有其他信息必须得到个人的书面授权。

3.5未经患者授权，为治疗目的常规使用和披露PHI

治疗目的包括提供、协调或管理患者的卫生保健服务。

3.6未经患者授权常规使用PHI用于治疗目的

付款目的的披露包括旨在获得医疗保健服务报销的所有活动，例如：

• 核实个人的保险范围；
• 创建索赔，
• 向病人及/或病人的保险公司发出申索书；
• 与患者的保险公司进行互动以获得付款；
• 处理付款,
• 收款活动，或
• 评估个人获得经济援助的资格。

最小必要规则适用：当为支付目的使用和披露PHI时，只应使用和披露最小必要信息。

3.7未经患者授权，为计划操作目的常规使用和披露PHI

BU健康计划的运营披露BU健康计划的运营包括适当管理BU健康计划所需的所有活动，例如：

• 质量评估和改进活动（但不包括广义澳门威尼斯人注册网站研究）；
• 合规、风险管理、审计和法律服务；
• 调查可能存在的欺诈和滥用行为；
• 业务发展和规划，或
• 业务部门健康计划运行所需的其他业务和管理活动。

最小必要规则适用：当为运营使用和披露PHI时，只应访问、使用或披露最小必要信息。

3.8向供应商和其他健康计划例行披露PHI

出于支付目的，医疗保健提供者和医疗保健计划可以共享双方共有的患者/参与者的信息。

适用最小必要规则。

HIPAA允许BU健康计划就其他承保实体/组件的运营向其他承保实体/组件披露PHI，但仅在以下三种情况均适用的情况下：

• 每个承保实体/组件与PHI将被共享的参与者存在或曾经存在关系；和
• PHI属于这种关系；和
• 披露是为了下列其中一个目的：
  • 开展质量评估和改进活动，包括结果评估和制定临床指南（但不包括澳门威尼斯人注册网站研究）；与改善健康或降低保健费用有关的以人口为基础的活动；协议的发展;病例管理和护理协调；联系卫生保健提供者和患者，提供有关治疗方案的信息；或
  • 审查卫生保健专业人员的能力或资格；评估从业人员和提供者的绩效；审查健康计划的执行情况；开展培训项目，让卫生保健领域的学生、学员或从业人员在监督下学习，以实践或提高他们作为卫生保健提供者的技能；培训非保健专业人员；认证;认证;许可或认证活动；或为了调查医疗欺诈和滥用。

最小必要规则适用。这种情况并不经常发生，鼓励BU健康计划与BU HIPAA隐私官联系以获得指导。

3.9向业务伙伴披露PHI

BU健康计划可以聘请或BU可以代表BU健康计划聘请BU以外的实体来执行各种服务。当服务涉及外部实体访问、使用、创建或披露由任何BU健康计划持有的PHI时，这些实体可能是BU健康计划的业务伙伴。在商业伙伴协议完全执行之前，大学，包括其BU健康计划，不会向商业伙伴透露任何PHI。

业务合作伙伴协议业务合作伙伴协议必须包含某些元素，这些元素要求业务合作伙伴维护其收到的PHI的机密性，通常仅为提供信息的目的使用和披露此类信息，并遵守与BU健康计划相同的HIPAA要求。

总法律顾问办公室在与BU HIPAA隐私官协商后，将：

• 批准标准格式的业务伙伴协议，并将其提供给事业部健康计划和支持单位；和
• 批准商业伙伴协议的任何变更。

BU HIPAA隐私官将：

• 就服务提供者是否为业务伙伴向事业部健康计划和支持单位提供建议；和
• 定期审计业务部门健康计划和支持单位维护的业务伙伴日志和协议。

波士顿大学健康计划负责：

• 确定其保留的BU外部的任何服务提供商是否为业务伙伴，如果是，则确保在披露任何PHI之前，BU HIPAA隐私官批准的业务伙伴协议得到充分执行；
• 联系BU HIPAA隐私官，以批准对经批准的标准业务伙伴协议条款的任何更改；和
• 维护所有业务合作伙伴的日志以及该BU健康计划的所有业务合作伙伴协议的副本。

保留业务伙伴服务的支持单位有责任确定该服务提供商是否为业务伙伴，如果是，则在披露任何PHI之前签订业务伙伴协议。BU健康计划HIPAA联系人将作为检查，并在了解到支持单位保留的业务伙伴后，将验证业务伙伴协议是否已完全执行。

谁是业务伙伴？HIPAA将业务伙伴定义为：

• 不是波士顿健康计划澳门威尼斯人注册的成员；
• 代表BU健康计划提供服务、执行功能或协助执行功能或活动；和
• 在履行其对BU健康计划的职责时，可以访问、使用、创建或披露PHI。

HIPAA没有定义哪些实体或服务属于业务伙伴类别；必须根据上述定义逐案确定。

业务合作协议的执行如果BU健康计划发现任何重大违反业务合作协议的行为，则必须通知BU HIPAA隐私官，以评估是否有必要采取措施纠正违约行为或在可行的情况下终止基础服务合同。

标准表格商业伙伴协议应使用经批准的BU标准表格。

如果认为自己是业务合作伙伴的外部组织或个人发送了自己的业务合作协议格式供签署，请通知业务合作伙伴，PHI属于BU及其患者/参与者，BU通过使用自己的格式对其进行保护。如果业务伙伴坚持使用其表单或要求修改BU模板，请联系BU HIPAA隐私官。

如果波士顿大学的任何办公室或部门向外部HIPAA覆盖实体提供服务，使得外部实体要求波士顿大学签署业务合作协议，请联系波士顿大学HIPAA隐私官，他将决定是否需要业务合作协议，如果需要，可以批准。

---