---

本政策6是HIPAA政策BU健康计划手册的一部分- BU健康计划受保护健康信息的隐私和安全。

6.1隐私权通知权

个人有权被告知BU健康计划可能对其个人健康信息的使用和披露，以及他们在HIPAA下的权利和BU健康计划的责任。为此目的，每个BU健康计划都必须有由BU HIPAA隐私官批准的隐私实践通知（“NPP”或“通知”）。

发布和分发隐私实践通知经批准的NPP在波士顿大学健康计划网站的显著位置上公布。

NPP将分发给所有BU新员工。

任何人都可以根据要求以纸质形式获得NPP，并可在波士顿大学健康计划网站上以电子方式获得NPP。

BU健康计划将在年度注册期间以电子方式向拥有内部电子邮件帐户的员工分发NPP，并将邮件发送给没有内部电子邮件帐户的个人。

在修订后的通知生效日期之前，不会实施对BU健康计划隐私做法的修订。如果对“通知”进行了重大修订，BU健康计划将在“通知”进行任何重大修订后的60天内，以电子方式向拥有内部电子邮件帐户的员工提供修订后的通知，并通过美国邮件向没有内部电子邮件帐户的个人提供修订后的通知，并提供获取该通知的说明。

HIPAA隐私官将保留原始隐私通知和任何后续修订的副本，从其创建之日或最后生效之日起，为期六年，以较晚者为准。

6.2查阅和复制自己健康记录的权利

除下文所述的有限情况外，个人有权访问、检查和接收BU健康计划指定记录集中澳门威尼斯人注册他们的PHI的副本。

使用授权表格波士顿大学健康计划要求参与者以书面形式索取其记录的副本。

每个BU健康计划都可以在BU HIPAA隐私官的批准下对已批准的PHI披露授权表格进行更改。

当收到PHI请求时，BU健康计划应参考其指定记录集程序，以确保披露所有需要披露的文件。

回应及提供查阅要求的时限应在切实可行的情况下尽快完成。如果BU健康计划无法在30天内提供所请求的记录或响应请求，则BU健康计划应联系BU HIPAA隐私官，BU HIPAA隐私官可以向个人提供书面通知，说明延迟的原因和完成请求的预期日期。

记录格式如果合理可行，BU健康计划应以个人要求的格式提供所要求的信息。BU HIPAA安全官员可以就以电子格式制作PHI提供建议。如果BU健康计划不能满足个人的首选格式，则应与BU HIPAA隐私官联系。

检查或摘要代替副本如果个人要求检查记录而不是副本，则业务部门健康计划应安排双方方便的时间和地点，让个人检查指定的记录集。

如果个人：BU健康计划可以向个人提供所要求的PHI的摘要或解释，而不是提供PHI的访问权限：

• 事先同意总结；和
• 事先同意BU健康计划为准备摘要而征收的任何费用（如果有的话）。

澄清允许的请求BU健康计划可根据需要与个人讨论访问请求的范围、格式和其他方面，以便及时提供访问或副本。

副本收费

1. 根据《社会保障法》的任何条款或任何联邦或州财政需求为基础的福利计划，为支持索赔或上诉而要求提供记录的个人不收取任何费用。
2. BU健康计划将在其程序中记录是否对其他副本收费。任何收费必须符合下列规定：

电子副本：波士顿大学健康计划可能收取6美元的固定费用。如果BU健康计划收到记录电子副本的请求，这将需要不寻常的工作量，HIPAA联系人应联系BU HIPAA安全官员以获得指导。

纸质副本：BU健康计划可能不会对纸质副本收取固定费用。任何收费必须是合理的，并以复制的人工和供应成本为基础。

6.3请求修改的权利

个人有权以书面形式要求修改BU健康计划指定记录集中的PHI。请注意，个人没有无限制的修改权，但有权提出请求，并且BU健康计划必须按照以下说明考虑该请求。

个人有权以书面形式要求修改BU健康计划指定记录集中的PHI。请注意，个人没有无限制的修改权，但有权提出请求，并且BU健康计划必须按照以下说明考虑该请求。

要求修改的个人必须向BU健康计划提供一份书面声明，说明他/她认为记录中不准确或不完整的部分，以及他/她希望添加到记录中的替代信息或附加信息。个人可以使用BU批准的表格，也可以提供基本类似的书面请求。

BU健康计划对请求的回应收到修改请求后，BU健康计划的HIPAA联系人应对其进行审查。如果要求更正人口统计信息或最初来自个人的任何信息，而个人认为记录不准确，HIPAA联系人可以根据他/她的判断进行更正。例子包括纠正拼写、种族、出生日期和类似的事情。

如果原始记录准确无误，其他人士要求修改资料的要求可能会被拒绝。批准或拒绝修改要求的决定应在提出要求后60天内作出。如果在30天后，BU健康计划仍无法做出决定，则应联系BU HIPAA隐私官。

在收到书面修改请求后的60天内，BU健康计划应通知个人已接受该请求，并应按照以下要求对医疗记录进行更改：

纸质记录：修改将在原始条目上画一条线，以使原始条目保持清晰。如果条目已更改，则应在错误的条目上清楚地打印“错误”一词，并输入正确的信息，并且进行更改的BU健康计划澳门威尼斯人注册应在更正中填写首字母并注明日期。

电子记录：事业部健康计划可以进行电子更正，以便清楚地表明正在更正条目，并注明更正人员和更正日期。

除了通知个人并进行更改外，BU健康计划还应确定修改的信息是否已向BU健康计划之外的任何人披露，这些人可能有理由依赖修改后的信息，如果是这样，则应将修改后的条目转发给这些收件人。

如果BU健康计划拒绝修改请求在拒绝修改请求之前，BU健康计划必须咨询BU HIPAA隐私官。

在下列情况下，修改要求可被拒绝：

• 不属于BU健康计划指定记录集的一部分；
• 准确和/或完整；或
• 不是由BU健康计划创建的（除非个人能够提供合理的证据证明PHI的发起人不再能够对修改请求采取澳门威尼斯人注册行动，在这种情况下，BU健康计划可以在其记录中包括个人的修改声明）。

市立大学健康计划必须以通俗易懂的语言通知个人其决定，包括以下内容：

• 拒绝的理由；
• 个人提出不同意否认的声明的权利以及个人如何提交该声明；
• 个人有权要求将最初的修改请求和拒绝附加到将来的任何信息披露中；和
• 如何向BU健康计划和/或卫生与公众服务部部长投诉拒绝。

记录保存完整的《医疗记录修改请求表》、波士顿大学健康计划的回应和任何不同意的声明将被归档到个人记录中。

6.4获知披露的权利

根据HIPAA，个人有权要求对其健康信息的披露进行核算，BU健康计划有义务按照本政策中的程序来满足这些要求。

如果收到任何会计请求，BU健康计划应联系HIPAA隐私官。

什么是会计？该会计包括在请求日期之前的6年期间内，或个人可能要求的更短时间内，未经个人授权而进行的披露。

会计中包含的披露示例：

• 为公共卫生报告作出的披露。
• 向政府机构或执法部门披露的信息。
• 未经个人授权为澳门威尼斯人注册网站研究目的披露。
  • 如果澳门威尼斯人注册网站研究涉及50人或以上的个人，会计只能提供以下信息：
    • 澳门威尼斯人注册网站研究方案名称；
    • 澳门威尼斯人注册网站研究活动描述；
    • 披露的PHI类型；
    • 披露的期间；和
    • 澳门威尼斯人注册网站研究发起人和收到信息的澳门威尼斯人注册网站研究人员的联系方式。

下列事项不包括在会计核算中：

• 有关治疗、付款或保健业务的披露；
• 向作为PHI主体的个人（或个人的授权个人代表）披露的信息；
• 根据有效授权作出的披露。
• “附带”披露，即在允许使用或披露过程中意外披露；
• 向参与个人护理的家人和朋友披露的信息；
• 为国家安全或情报目的而披露的信息；
• 向惩教机构或羁押执法人员披露；
• 在要求会计处理前6年以上已作出的披露；和
• 根据数据使用协议作为有限数据集的一部分进行的披露，仅用于披露用于澳门威尼斯人注册网站研究、公共卫生或医疗保健业务的信息子集。

个人如何提出会计要求必须以书面形式向BU健康计划提出PHI披露的会计要求。个人可以使用“要求披露账目”表格，或以另一种书面形式提供基本相同的信息。对于任何会计请求，BU健康计划应咨询BU HIPAA隐私官。

答复时间BU健康计划必须在收到请求后60天内以书面形式向个人提供答复。如果在30天后，会计核算似乎需要更长的时间，则BU HIPAA隐私官可以书面通知个人延迟的原因，和/或可以将提供披露会计核算的时间额外延长30天。

澳门威尼斯人注册每项会计披露的信息披露会计中列出的每项披露必须包括以下要素：

1. 披露日期；
2. 收货方及其地址（如知道）；
3. 披露的PHI的描述；
4. 扼要说明披露的目的；
5. 如果为同一目的向同一实体进行多次披露，则BU健康计划必须确定披露的次数和最后一次披露的日期；和
6. 由BU健康计划的业务伙伴所做的披露，如果不是出于治疗、付款或医疗保健操作的目的（例如，如果业务伙伴回应了个人PHI的传票）。

涉及50人或50人以上的澳门威尼斯人注册网站研究披露的会计处理：当涉及50人或50人以上的澳门威尼斯人注册网站研究披露时，披露的会计处理可能仅限于向个人提供以下信息：

澳门威尼斯人注册网站研究方案或其他澳门威尼斯人注册网站研究活动的名称；

• 对方案或活动的说明，包括澳门威尼斯人注册网站研究目的和选择特定记录的标准；
• 对披露的PHI类型的简要描述；
• 披露发生的日期或时间段，包括最后一次披露的日期；
• 有关赞助澳门威尼斯人注册网站研究的实体和向其披露信息的澳门威尼斯人注册网站研究人员的信息；和
• 一份声明，说明PHI可能会或可能不会因特定协议或其他澳门威尼斯人注册网站研究活动而被披露。

跟踪会计目的的披露为了准备满足会计请求，BU健康计划必须跟踪会计中可能要求的指定记录集中的个人PHI的所有披露。

提供披露账目的收费BU健康计划不得向要求在12个月内进行首次披露账目的个人收取费用。波士顿健康计划可对同一12个月期间的后续请求收取合理费用。

每个BU健康计划应记录其会计费用程序。

如果卫生监督机构或执法官员向波士顿健康计划提供书面声明，说明向个人提供此类声明将妨碍该机构或官员的活动，并说明需要暂停的时间，波士顿健康计划必须暂时中止个人获得向卫生监督机构或执法官员披露的账目的权利。

如果机构或官员口头提出这样的要求，BU健康计划必须记录声明，包括机构名称和发表声明的官员，并且必须暂时停止个人根据声明向该机构披露的任何信息的会计权利。从口头请求之日起，可允许临时暂停，但不超过三十（30）天；如果该机构或官员提出暂停超过30天的书面请求，则BU健康计划应遵守。

6.5请求限制权

个人有权要求限制其个人信息的使用和披露。典型的请求包括要求BU健康计划不要与个人的家庭成员或朋友分享任何或所有信息，这在大多数情况下都应该得到批准。BU健康计划应努力满足所有合理的要求，但如果不可行，则不应同意限制。

所有限制的请求都应转发给波士顿大学健康计划的HIPAA联系人，该联系人在拒绝之前必须咨询波士顿大学HIPAA隐私官。波士顿大学健康计划应以书面形式将其决定通知个人。

个人可以书面或口头提出限制的要求。如果提出口头请求，BU健康计划应在医疗记录中记录该请求。表单可用于请求限制，但它的使用是可选的。个人不需要解释提出要求的原因。

以下使用和披露可能不受限制：

• 不需要授权或机会同意或反对的使用和披露；例如在国家安全、公共卫生活动、执法、虐待、忽视或家庭暴力受害者和澳门威尼斯人注册网站研究方面（见政策2.13）；和
• 卫生与公众服务部部长为调查或确定HIPAA的遵守情况而要求披露的信息。

终止限制

在下列情况下，BU健康计划可以终止限制：

• 如果个人以书面形式要求并同意终止；
• 如果个人口头同意终止，并将口头协议形成文件；或
• 如果BU健康计划通知个人将终止其限制协议，但此类终止仅对BU健康计划通知个人终止后创建或接收的PHI有效。

6.6要求保密和替代通信方式的权利

个人有权要求波士顿大学健康计划通过其他方式（如书面、电子或口头）或在其他地点（如工作场所、学校或家中）与他们沟通。个人应以书面形式提出要求。一个表单可用于此目的。个人不需要提供要求的理由。

非安全电子邮件/文本请求在与参与者进行电子通信时，BU健康计划澳门威尼斯人注册只能使用安全电子邮件系统，不得发起、建议或推荐涉及PHI的非安全电子邮件或文本通信。

如果Workforce成员收到来自患者的不安全电子邮件或文本，他/她不应该以相同的方式进行响应，但可以通过Data Motion发送电子邮件响应。

接受/拒绝其他请求BU健康计划必须考虑通过其他方式接收通信的任何请求，并做出合理的尝试来满足该请求。但是，BU健康计划不应同意其无法合理执行的任何请求。在拒绝任何此类请求之前，波士顿大学健康计划HIPAA联系人必须咨询波士顿大学HIPAA隐私官。

在接受/拒绝此类请求后，BU健康计划将通知个人其决定。如果BU健康计划的任何业务伙伴可以与请求限制的个人通信，则BU健康计划必须通知该业务伙伴。

6.7投诉权

如果个人（参保健康计划的参与者）认为自己的权利因BU健康计划的政策和程序未能遵守HIPAA隐私条例或BU健康计划未能遵守其政策和程序或HIPAA要求而受到侵犯，则BU健康计划必须为个人（参保健康计划的参与者）提供投诉流程。波士顿健康计划必须避免对投诉人进行报复。

任何希望进行保密报告的人都可以通过波士顿大学的保密热线ethicpoint进行。或者，可以通过电话866-294-8451进行报告。

投诉的解决BU HIPAA隐私官和HIPAA联系人将努力满足个人的担忧。如果BU HIPAA隐私官没有发现违规行为，他/她将以书面形式通知个人。

如果BU HIPAA隐私官在与BU健康计划HIPAA联系人协商后发现投诉有价值，他/她将通知个人调查结果和解决对投诉人造成伤害的建议解决方案（如果有的话）。如果对投诉的调查表明员工违反了或促成了违反这些政策或法律的行为，则根据HIPAA制裁政策采取纪律处分。

---