本政策6是HIPAA政策手册的一部分:BU医疗保健提供商承保组件的受保护健康信息的隐私和安全。
6.1隐私惯例通知权
本节所述各项权利的表格可于以下网址取得 /hipaa/forms-for-health-care-providers/
私隐实务通知
患者有权被告知受保组件可能对其PHI的使用和披露,以及他们在HIPAA下的权利和受保组件的责任。为此,每个受保组件都必须有一份由BU HIPAA隐私官批准的隐私实践通知(“NPP”)。根据马萨诸塞州法律,受保实体必须在其NPP中包含受保组件的医疗记录保留和销毁政策通知。
张贴核电站
NPP必须贴在病人能看到的地方。
如果在任何网站上描述了保修组件的服务,则保修组件还应确保在保修组件网站的显著位置张贴经批准的NPP。
为患者提供NPP
承保部分必须在不迟于承保部分向个人提供医疗服务的第一天向患者提供其NPP副本。
- 如果与个人的第一次接触是电子的,通知必须与电子传输同时提供。
- 如果与个人的第一次联系是通过电话,则必须在第一次服务交付日期提供通知。
- 如果由于涉及个人的紧急情况而不可能或不切实际地提供通知,则在紧急情况过去后,受保组件可在合理可行的范围内尽快提供NPP。
受保组成部分必须作出真诚的努力,从个人那里获得他/她收到核电厂的书面确认。如果个人出于任何原因拒绝签署确认,提供NPP的劳动力成员应证明他/她提供了确认,并且个人拒绝签署。确认表应放在个人病历中。
此外,受保组件必须在任何时候向任何提出要求的个人提供NPP副本。
6.2查阅和复制自己健康记录的权利
除下文所述的有限情况外,个人有权在承保组件的指定记录集中查阅、检查和接收有关其PHI的副本。
使用授权表格
在法律上,医生无须提出书面要求,向病人提供全部或部分指定病历集的副本,以取得病人自己的资料。然而,在BU批准的授权表格上的书面请求允许承保组件确保它提供个人希望拥有的东西,并及时做到这一点。
已批准的授权可在/hipaa/forms-for-health-care-providers/找到
当要求完整的医疗记录时,当收到PHI请求时,受保组件应参考其指定记录集程序,以确保披露所有需要披露的文件。
响应和提供访问的时间周期
根据《社会保障法》的任何条款或任何联邦或州财政需求福利计划,为索赔或上诉而提出的记录请求必须在马萨诸塞州法律规定的30天内提供,不得延长时间。
所有其他要求应在切实可行的情况下尽快得到满足。如果受保组件无法在30天内提供所请求的记录或响应请求,受保组件应联系BU HIPAA隐私官,BU HIPAA隐私官可以向个人提供书面通知,说明延迟的原因和完成请求的预期日期。
记录格式
如果合理可行,受保组件应以个人要求的格式提供所要求的信息。BU HIPAA安全官员可以就以电子格式制作PHI提供建议。如果承保组件不能适应个人的首选格式,则承保组件应联系BU HIPAA隐私官。
代替副本的检查或摘要
如果个人要求检查记录而不是副本,承保组成部分应安排双方都方便的时间和地点,让个人检查指定的记录集。
在以下情况下,受保组件可向个人提供所要求的PHI的摘要或解释,以代替提供PHI的访问权限:
- 事先同意总结;和
- 事先同意承保组成部分为准备摘要而收取的任何费用(如有)。
澄清允许的要求
如有必要,受保护组件可与个人讨论访问请求的范围、格式和其他方面,以便及时提供访问或副本。
副本收费
- 根据《社会保障法》的任何条款或任何联邦或州财政需求为基础的福利计划,为支持索赔或上诉的目的而要求其记录的患者不得收取任何费用。
- 受保组件将在其程序中说明是否对其他副本收费。任何收费必须符合下列规定:
电子副本:保修组件可能收取6美元的固定费用。如果受保组件收到要求电子副本记录的请求,这将需要不寻常的工作量,HIPAA联系人应联系BU HIPAA安全官员以获得指导;
纸质副本:受保护的组件可能不会对纸质副本收取固定费用。任何收费必须是合理的,并以复制的人工和供应成本为基础。
当PHI请求可能被拒绝时
否认理由:
受保组件可以在某些有限的情况下拒绝个人访问PHI。在拒绝访问或复制之前,受保组件应通知BU HIPAA隐私官,该隐私官将协助确保受保组件履行其在HIPAA项下的义务,包括将受保组件的决定书面通知个人。
不可审查的拒绝理由-在以下情况下,受保组件可以在不向个人提供审查机会的情况下,全部或部分拒绝个人访问:
- 要求的记录不在指定的记录集中(例如,心理治疗笔记);
- 个人是一名囚犯,在刑罚机构中受到照顾,所要求的信息可能危及囚犯或其他人的健康、安全、安全监护或康复;
- 个人已同意参与临床澳门威尼斯人注册网站研究项目,且所要求的信息在澳门威尼斯人注册网站研究过程中受到限制;和
- 所请求的信息是根据保密承诺从医疗保健提供者以外的其他人获得的(例如,如果医疗保健提供者在记录中记录了关注的问题,以及个人的家庭成员在承诺保密后提供的信息)。
驳回的可复审理由:
根据个人的书面请求,基于下面列出的原因拒绝访问应由未参与最初拒绝访问决定的持牌医疗保健专业人员进行审查。驳回的可复审理由包括:
- 持牌医疗专业人员认定所要求的探视可能危及个人或他人的生命或人身安全而予以拒绝;
- 提及另一个人(除非该另一个人是医疗保健提供者)的PHI,并且持牌医疗保健专业人员在行使专业判断时确定,患者对该信息的访问合理地可能对该其他人造成实质性伤害;或
- 当持牌医疗保健专业人员根据专业判断确定,提供与个人代表接触的机会有合理可能对该个人或他人造成实质性伤害时,拒绝该个人代表提出的接触请求。
请求被拒绝时的处理过程
受保组件和BU HIPAA隐私官应书面通知个人拒绝,包括:
- 拒绝的解释/理由;和
- 澳门威尼斯人注册个人权利和指示的声明:
- 如何要求有执照的医疗保健专业人员进行复查(如果适用);
- 向承保组件的HIPAA联系人提出投诉;和
- 向美国卫生与公众服务部部长提出申诉。
在需要审查的拒绝的情况下,如果个人提交书面审查请求,则涵盖组成部分应:
- 指定一名没有参与最初拒绝进入决定的持牌卫生保健专业人员作为审查官员。
- 确保评审专业人员在合理的时间内进行评审。
- 及时向个人提供书面通知,告知审核专业人员的决定,并根据要求采取其他澳门威尼斯人注册行动。
6.3请求修改的权利
患者有权以书面形式要求修改承保组件的指定记录集中的PHI。请注意,患者没有无条件的修改权,但有权提出请求,并且受保组件必须按照下文所述考虑该请求。
个人要求修订的程序
希望修改的个人必须向承保组件提供一份书面声明,说明他/她认为记录中不准确或不完整的部分,以及他/她希望添加到记录中的替代或附加信息。个人可以使用BU批准的表格(见/hipaa/forms-for-health-care-providers/),也可以提供基本类似的书面请求。
所述组件对请求的响应
收到修改请求后,承保组件的HIPAA联系人应对其进行审核。如果要求更正人口统计信息或最初来自个人的任何信息,而个人认为记录不准确,HIPAA联系人可以根据他/她的判断进行更正。例子包括纠正拼写、种族、出生日期和类似的事情。
任何要求修改医疗保健提供者在记录中输入的信息的请求(例如诊断;预后;病史;等)应转发给该提供商和BU HIPAA隐私官。提交条目的治疗医疗保健提供者将决定是否允许修改。如果原始记录是准确的,修改请求可以被拒绝。
批准或拒绝修改要求的决定应在提出要求后60天内作出。如果在30天后,受保组件仍不能做出决定,则应联系BU HIPAA隐私官。
当承保组件批准修改请求时
在收到书面修改请求后的60天内,承保组成部分应通知个人已接受该请求,并应按照以下方式对病历进行要求的更改:
纸质记录:修改将在原始条目上画一条线,以使原始条目保持清晰。如条目已更改,应在错误的条目上清楚地打印“修改”字样,并输入正确的信息,作出更改的承保组件澳门威尼斯人注册应在更正上签名并注明日期。
电子记录:受保护的组成部分可以通过电子方式进行更正,以清楚地表明条目正在被更正,并注明更正人员和更正日期。
除了通知个人并进行更改外,受保护组件还应确定受修改的信息是否已披露给受保护组件以外可能有理由依赖修改后信息的任何人,如果是,则应将修改后的条目转发给这些接收方。
当被覆盖组件拒绝修改请求时
在拒绝修改请求之前,受保组件必须咨询BU HIPAA隐私官。在下列情况下,修改要求可被拒绝:
- 不属于承保组件的指定记录集;
- 准确和/或完整;或
- 不是由受保组件创建的(除非该个人能够提供合理的证据证明PHI的发起人不再能够对修改请求采取澳门威尼斯人注册行动,在这种情况下,受保组件可以在其记录中包含该个人的修改声明)。
受保组件必须将其决定以通俗易懂的语言通知个人,包括以下内容:
- 拒绝的理由;
- 个人提出不同意否认的声明的权利以及个人如何提交该声明;
- 个人有权要求将最初的修改请求和拒绝附加到将来的任何信息披露中;和
- 如何就拒绝向受保部门和/或卫生与公众服务部部长投诉。
保留记录
填妥的《医疗记录表格修改请求》、承保部分的答复和任何不同意声明将被记录在个人记录中。
6.4获知披露的权利
根据HIPAA,患者有权要求对其健康信息的披露进行核算,受保组件有义务通过遵循本政策中的程序来满足此类请求。
如果收到任何会计请求,受保组件应联系HIPAA隐私官。
什么是会计?
该会计包括在请求日期之前的6年期间内,或个人可能要求的更短时间内,未经个人授权而进行的披露。
会计中包含的披露示例:
- 为公共卫生报告作出的披露;
- 向政府机构或执法部门披露的信息;和
- 为澳门威尼斯人注册网站研究目的而披露;
- 如果澳门威尼斯人注册网站研究涉及50人或以上的个人,会计只能提供以下信息:
- 澳门威尼斯人注册网站研究方案名称;
- 澳门威尼斯人注册网站研究活动描述;
- 披露的PHI类型;
- 披露的期间;和
- 澳门威尼斯人注册网站研究发起人和收到信息的澳门威尼斯人注册网站研究人员的联系方式。
- 如果澳门威尼斯人注册网站研究涉及50人或以上的个人,会计只能提供以下信息:
下列事项不包括在会计核算中:
- 有关治疗、付款或保健业务的披露;
- 向作为PHI主体的个人(或个人的授权个人代表)披露的信息;
- 根据有效授权作出的披露。
- “附带”披露,即在允许使用或披露过程中意外披露;
- 向参与个人护理的家庭成员和朋友披露。
- 为国家安全或情报目的而披露的信息;
- 向惩教机构或羁押执法人员披露;
- 在要求会计处理前6年以上已作出的披露;和
- 根据数据使用协议作为有限数据集的一部分进行的披露,仅用于披露用于澳门威尼斯人注册网站研究、公共卫生或医疗保健业务的信息子集。
个人如何提出会计要求
对于PHI披露账目的要求必须以书面形式向受保组件提出。个人可以使用“披露账目请求”表格,也可以以另一种书面形式提供基本相同的信息。承保组件应就任何会计请求咨询BU HIPAA隐私官。
回应时间
受保组件必须在收到请求后60天内以书面形式向个人提供会计报告。如果在30天后,会计核算似乎需要更长的时间,则BU HIPAA隐私官可以书面通知个人延迟的原因,和/或可以将提供披露会计核算的时间额外延长30天。
澳门威尼斯人注册每项会计披露的信息
披露会计中所列的每项披露必须包括以下要素:
- 披露日期;
- 收货方及其地址(如知道);
- 披露的PHI的描述;
- 扼要说明披露的目的;
- 如果为了同一目的向同一实体进行了多次披露,则受保组件必须确定该披露的次数和最后一次披露的日期;和
- 承保组件的业务伙伴所做的披露,如果其目的不是为了治疗、支付或医疗保健操作(例如,业务伙伴响应有关个人PHI的传票)。
涉及50人或50人以上的澳门威尼斯人注册网站研究的会计披露
当涉及50人或50人以上的澳门威尼斯人注册网站研究进行披露时,披露会计可限于向个人提供以下信息:
- 澳门威尼斯人注册网站研究方案或其他澳门威尼斯人注册网站研究活动的名称;
- 对方案或活动的说明,包括澳门威尼斯人注册网站研究目的和选择特定记录的标准;
- 对披露的PHI类型的简要描述;
- 披露发生的日期或时间段,包括最后一次披露的日期;
- 有关赞助澳门威尼斯人注册网站研究的实体和向其披露信息的澳门威尼斯人注册网站研究人员的信息;和
- 一份声明,说明PHI可能会或可能不会因特定协议或其他澳门威尼斯人注册网站研究活动而被披露。
为会计目的跟踪披露
为了准备好满足会计要求,受保组件必须在指定记录集中跟踪会计可能要求的个人PHI的所有披露。
提供披露会计的收费
受保组件不得向要求在12个月内进行首次披露会计核算的个人收取费用。承保组成部分可对同一12个月内的后续请求收取合理费用。
每个承保组件应记录其会计费用的程序。
特殊情况下的拒绝
如果卫生监督机构或执法官员向涵盖的组成部分提供书面声明,说明向个人提供此类账目将妨碍该机构或官员的活动,并说明需要暂停的时间,则涵盖部分必须暂时中止个人获得向卫生监督机构或执法官员披露的账目的权利。
如果该机构或官员口头提出这样的要求,受保组件必须记录该声明,包括机构名称和发表声明的官员,并且必须暂时中止个人根据该声明向该机构披露的任何信息的会计权利。从口头请求之日起,可允许临时暂停,但不超过三十(30)天;如果该机构或官员提交的暂停期限超过30天的书面请求,受保组件应遵守。
6.5请求限制权
可用的限制类型
患者有权要求限制其PHI的使用和披露。典型的请求包括要求受保组件不要与个人的家庭成员或朋友共享任何信息或特定类型的信息,这在大多数情况下都应该得到批准。受保组件应尽力满足所有合理要求,但不应同意无法遵守的限制。
所有限制请求均应转发给承保组件的HIPAA联系人,该联系人在拒绝之前必须咨询BU HIPAA隐私官。承保成分应将其决定以书面形式通知个人。
个人可以书面或口头提出限制的要求。如果提出口头请求,承保组成部分应在病历中记录该请求。表单可用于请求限制,但它的使用是可选的。个人不需要解释提出要求的原因。
HIPAA承认,个人可能希望在不通知其医疗保险公司的情况下获得特定的医疗保健服务。为此目的,受保组件必须接受并执行以下限制:
- 如果个人已全额支付服务费用而不诉诸该保险,则要求受保组成部分不要向个人的医疗保健保险公司发送特定信息。
以下使用和披露可能不受限制:
- 必须提供所有资料,以便为个人提供紧急治疗;如果受保组件出于紧急治疗目的向其他医疗保健提供商提供受限信息,受保组件应要求该医疗保健提供商不要进一步披露该信息;
- 不需要授权或机会同意或反对的使用和披露;例如在国家安全、公共卫生活动、执法、虐待、忽视或家庭暴力受害者和澳门威尼斯人注册网站研究的情况下(见政策4未经授权的PHI的非常规使用和披露,第4.1节:未经患者授权的法律允许或要求的PHI的非常规披露);和
- 卫生与公众服务部部长为调查或确定HIPAA的遵守情况而要求披露的信息。
终止限制
受保组件可在下列情况下终止限制:
- 如果个人以书面形式要求并同意终止;
- 如果个人口头同意终止,并将口头协议形成文件;或
- 如果受保组件通知个人其将终止其限制协议,但该等终止仅对受保组件通知个人终止协议后产生或收到的PHI有效。
当个人已全额支付服务费用时,受保组件不得终止向个人保险公司披露信息的限制。
6.6要求保密和替代通信方式的权利
个人有权要求受保护组件以其他方式(如书面、电子或口头)或在其他地点(如工作场所、学校或家中)与其沟通。个人应使用保密或替代通信方式请求表以书面形式提交请求,该请求可在此处找到:/hipaa/forms-for-health-care-providers/。个人不需要提供要求的理由。
替代通信请求的示例:
- 病人的账单通常被送到病人家里。然而,患者希望将特定手术的账单寄到邮政信箱,而不是寄到患者家中
- 病人要求不要打电话给病人的手机,而是通过安全的电子邮件进行通信。
接受/拒绝其他请求
适用组件必须考虑以其他方式接收通信的任何请求,并作出合理的尝试来满足该请求。但是,受保护组件不应同意它不能合理实现的任何请求。在拒绝任何此类请求之前,承保组件的HIPAA联系人必须与BU HIPAA官员协商。
在接受/拒绝此类请求时,承保组成部分将通知个人其决定。如果受保组件的任何业务伙伴可能与请求限制的个人通信,受保组件必须通知该业务伙伴。
6.7投诉权
受保组件必须提供一个流程,让患者在认为自己的信息隐私或安全权利受到侵犯时提出投诉。受保组件不得对任何提出此类投诉的患者进行报复。
BU EthicsPoint
任何人,包括病人、员工和其他人,如果希望对可能的隐私泄露进行保密报告,可以拨打波士顿大学的保密热线ethicpoint。或者,可以通过电话866-294-8451进行报告。
投诉的解决
BU HIPAA隐私官和HIPAA联系人将努力满足患者的担忧。如果BU HIPAA隐私官没有发现违规行为,他/她将以书面形式通知个人。
如果BU HIPAA隐私官在与受保组件HIPAA联系人协商后发现投诉有价值,他/她将通知个人调查结果和解决对投诉人造成伤害的建议解决方案(如果有的话)。如果对投诉的调查表明员工违反了或促成了违反这些政策或法律的行为,则将根据政策7违反(第7.5节:执行和制裁)进行纪律处分。
澳门威尼斯人注册本政策的其他资源
相关政策、程序和指南
- HIPAA
- 数据安全
部网站