下载
有效日期:2017年4月10日
策略
信息管理,隐私和安全

针对BU健康计划的HIPAA政策:政策5,授权

负责办公室 澳门威尼斯人注册网站研究合规

本政策5是HIPAA BU健康计划政策手册的一部分- BU健康计划的受保护健康信息的隐私和安全。

5.1授权通则

PHI的使用和披露授权对于PHI的使用和披露,除HIPAA隐私法规和本政策中规定的允许使用和披露目的外,还需要授权。

员工防火墙内的员工在使用或披露PHI信息用于上述常规或非常规使用和披露目的以外的任何目的之前,应获得个人的许可

当员工防火墙内的员工收到要求发布PHI的适当授权请求时,他/她将遵守授权的条款。防火墙内的员工将记录并保留任何已签署的授权。

注意:

  • 签署授权书是自愿的,个人可以拒绝签署;
  • 个人可随时以书面形式撤销授权;
  • 如果授权已被撤销或已过期,则不应对授权中授予的权限采取澳门威尼斯人注册行动;和
  • 授权将在创建或过期后保留六年,以日期较晚者为准。

工作场所防火墙内的员工不需要从个人那里获得授权即可:

  • 向医疗保健提供者披露PHI以进行个人治疗;
  • 向另一个承保实体或医疗保健提供者披露有关该实体付款活动的PHI;或
  • 如果另一个受保实体与被要求提供PHI信息的个人有或有关系,且PHI信息属于当前或以前的关系,则就该实体的医疗保健业务向该受保实体披露PHI信息,并且披露的目的是:
    • HIPAA隐私要求规定不需要授权的医疗保健运营活动;
    • 发现医疗欺诈和滥用或遵守医疗欺诈和滥用法律;和/或
    • 根据例外情况,在HIPAA隐私法规特别允许的情况下使用或披露PHI。

防火墙内的员工将遵守书面撤销。业务伙伴获得的授权需要通过业务伙伴撤销,而不是由BU撤销。

如果在未经患者授权的情况下,使用或披露PHI不属于上述政策中允许的情况之一,则个人必须通过签署授权来授权使用或披露PHI。

BU的授权表格BU健康计划有一个由BU HIPAA隐私官批准的授权表格,其中包含HIPAA要求的元素。未经BU HIPAA隐私官批准,不得对已批准的表格进行任何更改。

如果提供了足够的信息,则BU健康计划可以接受并遵守BU标准表格上的授权。如果BU健康计划收到非标准BU授权形式的授权,则如果该授权包含与BU授权相同的元素并且与本策略一致,则BU健康计划可以接受该授权。澳门威尼斯人注册授权有效性的问题可以直接向BU HIPAA隐私官寻求指导。

使用授权表格以下是使用授权表格的说明。澳门威尼斯人注册是否需要授权表或使用授权表的任何问题应直接向BU HIPAA隐私官提出。在完成授权或审查授权时,请牢记以下事项:•必须以足够的特异性识别要使用或披露的信息,以允许BU健康计划遵守。•必须提供信息披露的个人或实体的姓名或其他具体身份。(例如,“将日期为2016年1月1日- 2016年7月1日的完整记录副本发送到[地址]的史密斯博士”;或者“去波士顿医疗中心”)。•对使用或披露原因的描述(例如,“应个人要求”或“出于后续护理”或“出于个人使用”)。•必须提供到期日期或到期事件(例如,“本授权将于六个月内到期”;“2016年12月31日”或“澳门威尼斯人注册网站研究结束时”)。•使用或披露PHI的个人必须在授权书上签名并注明日期。如获授权签署的人并非本人,则应注明该人的身份(例如“监护人”或“未成年子女的母亲”)。•BU健康计划负责将签署的授权书保存六(6)年。•最低必要规则不适用于基于授权的披露。相反,BU健康计划应披露授权中要求的文件。有缺陷的授权如果BU健康计划知道授权中的任何重要信息是虚假的,或者存在以下任何其他缺陷,则认为授权有缺陷且无效:•过期日期已过或BU健康计划知道过期事件已发生,•授权未正确或完整地填写,•BU健康计划知道授权已被撤销,或•授权违反了禁止对授权进行条件限制的规定,如下所述。问题应直接向BU HIPAA隐私官咨询。禁止以授权为条件波士顿健康计划不得以个人签署授权为条件提供治疗、参加计划或支付福利。遗传信息BU健康计划没有参与者的遗传信息。个人可随时通过向BU健康计划提供书面撤销通知,撤销其签署的使用或披露PHI的授权。当个人撤销其授权时,BU健康计划可能不再依赖已撤销的授权。但是,撤销不影响在收到撤销之前根据授权进行的披露。每个BU健康计划将采用发布信息的程序。

5.2澳门威尼斯人注册网站、监护人和未成年人的授权

一般规则

  1. 18岁及以上的成年人通常自行决定他们在HIPAA下的权利,并签署他们自己的授权。
  2. 18岁以下的人是未成年人。一般来说,未成年人的澳门威尼斯人注册网站为孩子做决定,并签署孩子的授权书。家长应在授权书上注明其身份,例如“母亲/父亲/澳门威尼斯人注册网站”。

下面描述了这两条规则的例外情况。

未成年人和他们的澳门威尼斯人注册网站波士顿健康计划可以假定18岁以下儿童的任何一位澳门威尼斯人注册网站有权为该儿童签署授权书,除非他们知道法院命令限制或剥夺了澳门威尼斯人注册网站的权力。当澳门威尼斯人注册网站离婚时,一方拥有完全监护权的事实并不意味着另一方的权力受到限制;法院命令将说明任何此类限制。

如果波士顿大学健康计划有理由相信希望为未成年子女作出决定并代表其签署授权书的澳门威尼斯人注册网站没有被授权这样做,则波士顿大学健康计划应要求提供限制澳门威尼斯人注册网站权利和/或指定谁可以就未成年人的医疗保健作出决定以及谁可以为儿童签署授权书的法院命令的副本。问题可直接向BU HIPAA隐私官或总法律顾问办公室提出。

发布记录时的验证要求BU健康计划负责验证请求PHI的人员的身份以及该人员访问PHI或授权披露PHI的权限。

防火墙内的员工将验证请求PHI或ePHI的人员的身份,以及任何人访问PHI或ePHI的权限(如果该人的身份或权限未知)。

在报名过程中收集的参与者的个人信息可用于确定身份,特别是用于口头或电子查询。例如,防火墙内的员工可能要求通过电话寻求信息或帮助的个人提供社会安全号码或员工号码。

一种带照片的身份证明形式,如驾驶执照或某些个人信息,如出生日期,也可用于核实个人的身份。

防火墙内的员工将从要求PHI的人那里获得任何文件、声明或陈述,无论是口头的还是书面的,如果这是披露的条件之一。这适用于所有PHI的披露,包括不知道接收者身份的治疗、支付和医疗保健操作。

当向公职人员或代表公职人员行事的人员披露PHI信息时,防火墙内的员工可以依赖(如果该依赖在特定情况下是合理的)以下任何一种方式来验证身份:

  • 如果是亲自提出要求,请出示机构识别徽章,或其他官方证书,或其他政府身份证明;
  • 如以书面形式提出要求,则须以适当的政府抬头信提出;或
  • 如果信息披露是对代表公职人员行事的人进行的,则需要一份用适当的政府信笺抬头的书面声明,表明该人在政府授权下行事,或其他证据或机构文件,如服务合同、谅解备忘录或采购订单,以确定该人代表公职人员行事。

如果请求记录或提交授权的人不是政府官员,并且不为BU健康计划所认识,则BU健康计划必须作出合理的努力来核实该人的身份和权限。以下是常见的验证方法:

  • 检查请求方的图片识别;
  • 核实要求送交纪录的地址是该个人的纪录地址;和/或
  • 获得法院任命或其他法律授权访问PHI的文件的副本(例如公共卫生部门授权披露的带有抬头的信件)。

波士顿大学健康计划可以合理地依赖于表面上看起来合法的文件。有关个人获取PHI的权限的任何问题都应直接向BU HIPAA隐私官提出。

5.3成年人的合法授权代表的授权

如果成年人没有能力自己做决定,合法授权代表可以行使病人的权利,并代表病人签署授权书。

法定授权代表可以拥有多种头衔,包括个人代表、监护人;保护者、替代决策者、卫生保健代理人等;为简单起见,在这些政策中使用“合法授权代表”一词。当法定授权代表(无论其名称如何)代表患者签署授权书时,BU健康计划必须核实法定授权代表的权限,通常是通过获得法院命令、行政法庭命令或任命文件。合法授权代表通常会随时准备这些文件。任何澳门威尼斯人注册个人代表权限的问题应直接向BU HIPAA隐私官或总法律顾问办公室提出。

指定医疗保健代理人如果成年人根据马萨诸塞州法律指定了医疗保健代理人,并且成年人被发现无行为能力,无法做出或传达医生的医疗保健决定,则必须按照以下方式处理授权:

a.从当时的医疗保健代理人处获得授权,而不是从患者处获得授权。b.一份列出代理人姓名的医疗保健代理表格副本必须随请求一起提交,并与PHI授权书和请求一起归档。c.若指定多方为代理,需获得各方授权。但是,如果委托书中列出了“甲方”或“乙方”,则任何一方的授权都是足够的。d.波士顿健康计划必须遵守任命条款。如果个人恢复了精神能力,则保健代理无效,然后在授权书上签署代理是不够的。相反,个人必须在授权文件上签名。e.如果您没有确凿的证据证明医生已根据马萨诸塞州法律的要求宣布个人丧失行为能力,请注意不要根据医疗保健代理的授权披露PHI。

如有任何问题,请联系HIPAA隐私官或总法律顾问办公室。

5.4代表已故个人的授权

死者的PHI在其死亡之日起50年内仍受HIPAA保护。

谁可授权公开死者的纪录?如果个人已死亡,波士顿大学健康计划必须获得法院指定的死者遗产管理人或遗嘱执行人的授权。如果波士顿大学健康计划无法获得指定管理人或执行人的法院命令,或者尚未指定管理人或执行人,请联系波士顿大学HIPAA隐私官或总法律顾问办公室。

家属和朋友记录的权利已故患者的未亡配偶、子女、家庭成员、朋友和其他人无权仅仅因为家庭关系而要求和接受已故患者的PHI。在某些情况下,如果家庭成员(或朋友)在个人的一生中参与了个人的健康计划支付事务,则可以在该人授权后公布个人的记录;如果出现这种情况,请联系BU HIPAA隐私官或总法律顾问办公室。

在公布死者的记录之前,波士顿大学健康计划应收到一份法院命令,指定该人作为已故病人遗产的个人代表或执行人。

为澳门威尼斯人注册网站研究目的披露已故个人的记录请参见下一节5.5,为澳门威尼斯人注册网站研究访问和使用PHI。

5.5在澳门威尼斯人注册网站研究中获取和使用PHI:授权和豁免

未经患者授权(治疗、支付或医疗保健操作(见政策3.4、3.5、3.6)),PHI不能用于澳门威尼斯人注册网站研究目的,因此,除非澳门威尼斯人注册网站研究人员(无论是隶属于BU健康计划还是外部)已获得并向BU健康计划提交HIPAA,否则BU健康计划不得将PHI用于澳门威尼斯人注册网站研究目的。

(i)机构审查委员会(IRB)批准,以及(ii)每位被要求提供信息的患者签署的授权书,或(iii)患者授权放弃书,或(iv)在澳门威尼斯人注册网站研究准备活动的情况下,可接受的证明。

为了使BU健康计划确定是否允许向澳门威尼斯人注册网站研究人员释放PHI, HIPAA联系人必须确定以下内容:

在HIPAA下要求PHI的活动是“澳门威尼斯人注册网站研究”吗?如果是,澳门威尼斯人注册网站研究人员是否被授权接收所要求的PHI ?

HIPAA下的澳门威尼斯人注册网站研究是什么?HIPAA将“澳门威尼斯人注册网站研究”定义为旨在获得可推广知识的活动。

波士顿健康计划仅为其内部目的(例如,评估或改善向患者/客户提供的护理质量)开展的质量保证活动不属于“澳门威尼斯人注册网站研究”,而是属于“操作”范围,通常是允许的;在澳门威尼斯人注册网站研究中使用PHI的规则将不适用。参见上述政策5.4。

BU健康计划允许出于澳门威尼斯人注册网站研究目的访问PHI的条件授权:如果从个人或个人代表那里收到了访问PHI的授权,则BU健康计划可以允许访问PHI进行澳门威尼斯人注册网站研究。

IRB放弃授权:如果从IRB获得了放弃授权,则BU健康计划可以允许未经授权访问PHI进行澳门威尼斯人注册网站研究。一个表单可用于此目的。

澳门威尼斯人注册网站研究准备活动的特别规则:澳门威尼斯人注册网站研究人员经常需要访问PHI,以便获得足够的信息来设计澳门威尼斯人注册网站研究,评估澳门威尼斯人注册网站研究的可行性,或为澳门威尼斯人注册网站研究做准备。这通常发生在向IRB提交澳门威尼斯人注册网站研究或为澳门威尼斯人注册网站研究寻求经济支持之前。澳门威尼斯人注册网站研究人员不得出于上述目的访问任何PHI,除非:(i)患者明确授权此类活动,例如,签署了允许创建数据存储库的授权;或(ii)澳门威尼斯人注册网站研究人员填写澳门威尼斯人注册网站研究准备弃权表,证明采取了某些安全和隐私措施,例如:

(a)澳门威尼斯人注册网站研究人员寻求PHI仅是为了准备澳门威尼斯人注册网站研究方案或为澳门威尼斯人注册网站研究做准备的类似目的;(b)澳门威尼斯人注册网站研究人员只能访问为此目的所必需的PHI;或(c)澳门威尼斯人注册网站研究人员不得将任何PHI从BU健康计划场所移除。

为澳门威尼斯人注册网站研究目的访问死者记录的特殊规则:如果BU健康计划的HIPAA联系人收到澳门威尼斯人注册网站研究人员的以下信息,则BU健康计划可能允许访问PHI用于澳门威尼斯人注册网站研究:

  • 声明所寻求的使用或披露仅用于澳门威尼斯人注册网站研究死者的PHI;
  • 应波士顿健康计划的要求,记录这些人的死亡情况;和
  • 要求使用或披露的PHI对于澳门威尼斯人注册网站研究是必要的。

波士顿大学健康计划可以接受澳门威尼斯人注册网站研究人员的这种声明,如果它已经被IRB审查和批准。

包含PHI的澳门威尼斯人注册网站研究数据库

从PHI创建数据存储库:如果BU健康计划希望为特定或潜在的未来澳门威尼斯人注册网站研究创建信息存储库,则创建必须得到IRB和BU HIPAA隐私官的批准。这将确保患者正确授权将其信息纳入数据库,或者已批准豁免。

在批准的数据存储库中使用PHI:为澳门威尼斯人注册网站研究目的使用存储库中的数据必须由IRB单独批准。

澳门威尼斯人注册本政策的其他资源

相关的BU政策和程序

部网站