承保组件的医疗保健提供者的HIPAA政策:政策3 -在治疗、支付和医疗保健操作中使用PHI;商业伙伴
本政策3是HIPAA政策手册的一部分:BU医疗保健提供商承保组件的受保护健康信息的隐私和安全。
3.1概述
接下来的政策描述了常规和非常规的信息披露。例行披露是指定期和频繁披露的信息。例如,使用PHI进行治疗并获得治疗费用是一种常规披露。PHI也经常用于管理卫生保健诊所。这些策略中提供了HIPAA澳门威尼斯人注册这些日常使用的规则的详细信息,以促进受保护组件的日常活动。
很少遇到非常规披露。以下政策4和5提供了澳门威尼斯人注册HIPAA非常规披露规则的信息。始终鼓励(在某些情况下需要)受保组件与BU HIPAA隐私官联系,以获得这些非常规情况下的指导和/或批准。
披露政策还指出,在没有书面和签署的授权的情况下,何时可以或必须进行披露(常规和非常规)。
3.2最小必要规则
在大多数情况下,当使用或披露PHI或向另一个HIPAA覆盖实体/组件请求PHI时,BU覆盖组件必须将使用或披露限制在实现使用、披露或请求信息的预期目的所必需的范围内。
最低必要规则的例外情况:
- 医疗保健提供者披露或要求提供信息 用于治疗目的. 卫生保健提供者使用他们的专业判断来确定治疗目的所需的PHI;
- 根据授权使用或披露,因为披露应遵循患者在授权中的指示;
- 向卫生与公众服务部部长披露的信息,将由BU HIPAA隐私和/或安全官员做出;和
- 例如,法律要求的使用或披露,
- 强制报告虐待、忽视或家庭暴力,
- 政府卫生监督活动的使用和披露;
- 为司法和行政程序以及根据传票或法院命令而进行的披露。
在所有其他情况下,遵循最小必要规则。
3.3有限数据集PHI的特殊规则
受保组件仅可出于澳门威尼斯人注册网站研究、公共卫生或医疗保健业务的目的,并在与接收方签订《有限数据使用协议》之后使用或披露有限数据集(定义见下文)。
有限数据集的定义
一个有限的数据集是PHI,它排除了个人或个人亲属、雇主或家庭成员的以下直接标识符:
- 名称;
- 除城镇或城市、州和邮政编码以外的邮政地址信息;
- 电话号码;
- 传真号;
- 电子邮件地址;
- 社会安全号码;
- 医疗记录号;
- 健康计划受益人人数;
- 账号;
- 证书/许可证号码;
- 车辆识别码和序列号,包括车牌号码;
- 设备标识符和序列号;
- Web通用资源定位器(url);
- 互联网协议(IP)地址;
- 生物识别识别,包括指纹和声纹;和
- 全脸照片和任何类似的照片。
理解有限数据集的另一种方法是,除日期外,PHI已被去标识,这可能包括在有限数据集中。因此,如果您尝试去识别数据,但发现需要保留日期,那么将其视为有限数据集可能是一个不错的选择。
有限数据集在澳门威尼斯人注册网站研究中经常使用。
数据使用协议
联系BU HIPAA隐私官获取有限数据使用协议,用于披露BU承保组件PHI,或从另一个实体接收PHI。
只有在BU HIPAA隐私官批准的情况下,BU澳门威尼斯人注册网站研究人员才能接受其他实体向BU披露澳门威尼斯人注册网站研究数据的数据使用协议。
违反数据使用协议
如果根据数据泄露协议披露其PHI的受保组件得知接收方可能违反协议,则受保组件必须首先向BU HIPAA隐私官报告此事,后者将与受保组件合作,采取合理措施调查并在必要时纠正违约行为、终止违规行为或停止披露数据。如果确认存在违规行为,BU HIPAA隐私官将向受影响的个人和卫生与公众服务部部长提交任何必要的报告。
3.4治疗不需要患者授权
治疗目的包括提供、协调或管理患者的卫生保健服务。
最低必要规则不适用:当将PHI用于治疗目的(包括为治疗目的向其他提供者披露)时,没有必要将其使用或披露限制在“最低必要”范围内。卫生保健提供者在获取、使用和披露他们认为对治疗目的必要的任何信息时,应运用其专业判断。
澳门威尼斯人注册网站研究招募:被覆盖组件中的任何人都可以接触被覆盖组件的患者参与澳门威尼斯人注册网站研究,因为这种沟通被认为是治疗的一部分。但是,未经患者授权,治疗提供者/承保组件不得向承保组件以外的澳门威尼斯人注册网站研究人员提供患者联系信息或任何其他PHI。
供应商治疗建议、选择:受保组件向个人提供的、向其推荐受保组件或另一受保实体/组件的额外服务的面对面沟通,属于“治疗”的定义。例如,牙医可能会建议使用水锥;营养师可能会推荐某些食物或补充剂。禁止供应商和承保组件接受任何其他实体或个人的付款,向患者推荐该实体或个人的服务或产品。参见第4.2节:PHI的禁止使用。
3.5将PHI用于支付目的
付款披露
将PHI用于支付目的不需要授权。付款目的包括旨在获得保健服务报销的所有活动,例如:
- 核实个人的保险范围;
- 创建索赔;
- 向病人及/或病人的保险公司提出申索;
- 与患者的保险公司进行互动,以获得付款;
- 处理付款;
- 收藏活动;和
- 评估个人获得经济援助的资格。
最小必要规则适用:当为支付目的使用和披露PHI时,只应使用和披露最小必要信息。
3.6将PHI用于医疗保健运营目的
涉及组件运营的披露
对承保组件的操作使用PHI无需授权,例如:
- 质量评估和改进活动(但不包括一般性澳门威尼斯人注册网站研究);
- 病例管理;
- 人力资源,包括审查供应商和其他员工的能力和绩效,以及解决内部不满;
- 专业与非专业学生的培养;
- 认证;
- 认证;
- 许可;
- 资格审查;
- 财务管理;
- 合规、风险管理、审计和法律服务;
- 调查可能存在的欺诈和滥用行为;
- 业务发展和规划;和
- 承保组件运行所需的所有其他业务和管理活动。
最小必要规则适用:在操作中使用和披露PHI时,只应访问、使用或披露最小必要信息。
3.7向个人的家人和朋友例行披露
如果患者愿意,他们有权让家人和朋友参与他们的护理,投保成分应尊重这些意愿,在患者涉及到他们的情况下,向这些人披露PHI。以下是澳门威尼斯人注册在可能出现这种情况的几种情况下如何管理这些披露的指导。
特定的授权
如果患者签署了向他人披露信息的授权,则受保组件应遵循该授权。例如,如果患者签署了一份授权,允许受保组件与其配偶共享账单和付款信息,受保组件应履行该授权,但不得越权向配偶提供非账单/付款信息。
非正式授权
如果个人让朋友或家人参与他/她的护理,即使没有书面授权,受保组件也可以向该人披露与其参与患者护理的性质直接相关的信息。如果出现以下情况,供应商可能会尊重个人的非正式请求,与他人分享其PHI:
- 患者在场并要求被覆盖组件在场,或者
- 如果病人在场且不反对,或者
- 如果提供者根据情况合理推断,基于专业判断,病人不反对这样的披露。
例如,如果病人带朋友来看病,就可以和朋友讨论病人的病情、治疗计划以及其他在看病时通常会讨论的问题。但是,如果患者没有让朋友参与计费问题,则不允许提供该朋友的计费信息。
虽然提供者可能依赖于患者非正式的许可指示来共享信息,但让患者在授权书中以书面形式表明他/她的愿望可能有助于避免混淆和误解。
通知目的
承保组件可以使用或披露PHI,以通知个人的家庭成员、法定授权代表或负责照顾患者的其他人员患者的位置、一般情况或死亡情况。在这些情况下,公司还可以使用和披露个人信息,以识别或定位个人的家庭成员、个人代表或负责照顾个人的其他人员。
3.8与患者的其他医疗服务提供者和健康计划共享PHI
医疗保健提供者和医疗保健计划经常共享双方共有的患者信息。这在HIPAA下是允许的,但须符合以下条件:
治疗
治疗包括向正在治疗患者或可能治疗患者的另一位医疗保健提供者披露PHI,如果披露的目的是提供、协调或管理患者的治疗。
您不需要患者的授权或许可,但是在为治疗目的向其他医疗保健提供者提供记录时,要求患者签署授权是一种良好的做法,因为这将确认患者与其他医疗保健提供者的关系。然而,当这是不可行的,并且当受保组件真诚地相信其他提供者已经,曾经或可能正在与患者建立治疗关系时,允许在没有签署患者授权的情况下向其他提供者披露该信息。
最低必要规则不适用:因为这被认为是为了处理目的而使用PHI,所以没有必要将使用或披露限制到“最低必要”。卫生保健提供者在获取、使用和披露每个人认为对治疗目的必要的任何信息时,应运用其专业判断。
付款
即使未经患者授权,也允许为付款目的向个人的其他医疗保健提供者和保险公司披露信息。这包括与患者健康计划的所有通信,以及与患者的其他医疗保健提供者的所有通信,如果目的涉及支付其中一个或多个医疗保健服务的费用。
最小必要规则适用。
其他供应商和所涵盖组件/实体的运营披露
HIPAA允许受保组件向另一个受保实体/组件披露PHI,用于该其他受保实体/组件的操作,但仅在以下三种情况均适用的情况下:
- 每个承保实体/组成部分与PHI将被共享的患者有关系或曾经有过关系;和
- PHI属于这种关系;和
- 披露是为了下列其中一个目的:
- 开展质量评估和改进活动,包括结果评估和制定临床指南(但不包括澳门威尼斯人注册网站研究);与改善健康或降低保健费用有关的以人口为基础的活动;协议的发展;病例管理和护理协调;联系卫生保健提供者和患者,提供有关治疗方案的信息;或
- 审查卫生保健专业人员的能力或资格;评估从业人员和提供者的绩效;审查健康计划的执行情况;开展培训项目,让卫生保健领域的学生、学员或从业人员在监督下学习,以实践或提高他们作为卫生保健提供者的技能;培训非保健专业人员;认证;认证;许可或认证活动;或
- 目的是调查医疗欺诈和滥用行为。
最小必要规则适用。
这种情况并不经常发生,我们鼓励承保组件与BU HIPAA隐私官联系以获得指导。
3.9向业务伙伴披露PHI
BU的受保护组件可以与BU之外的实体合作,或者BU可以代表受保护组件合作,以执行各种服务。当服务涉及外部实体访问、使用、创建或披露任何受保护组件持有的PHI时,这些实体可能是受保护组件的业务伙伴。在商业伙伴协议完全执行之前,大学及其承保组件不得向商业伙伴披露任何PHI。
商业伙伴协议
业务合作伙伴协议必须包含某些要素,这些要素要求业务合作伙伴维护其收到的PHI的机密性,仅为提供该等信息的目的使用和披露该等信息,并遵守与受保组件相同的HIPAA要求。
责任
BU HIPAA隐私官和/或安全官将:
- 批准标准格式的业务伙伴协议,并将其提供给承保组件和支持单位;和
- 批准商业伙伴协议的任何变更。
- 就服务供应商是否为业务伙伴向承保组件和支持单位提供建议;和
- 定期审核由承保组件和支持单位维护的业务伙伴日志和协议。
承保组件负责:
- 确定其保留的BU外部的任何服务提供商是否为业务伙伴,如果是,则确保在披露任何PHI之前,BU HIPAA隐私官批准的业务伙伴协议得到充分执行;
- 联系BU HIPAA隐私官,批准经批准的标准业务伙伴协议条款的任何变更;和
- 在BU HIPAA SharePoint网站上维护所有业务伙伴的日志以及该承保组件的所有业务伙伴协议的副本。
聘用业务伙伴服务的支持单位负责:
- 确定服务提供商是否为业务伙伴,如果是,则在披露任何PHI之前签订业务伙伴协议。承保组件HIPAA联系人将作为检查,并在了解到支持单位保留的业务伙伴后,将验证业务伙伴协议是否已完全执行。
谁是业务伙伴?
HIPAA将业务伙伴定义为:
- 不是受保组件劳动力的成员,
- 代表受保护组件提供服务,或执行功能,或协助执行功能或活动,以及
- 在履行其对受保组件的职责时,可以访问、使用、创建或披露PHI。
HIPAA没有定义哪些实体或服务属于业务伙伴类别;必须根据上述定义逐案确定。以下是一些例子:
| 几乎总是一个商业伙伴 | 可能是业务伙伴(当服务涉及PHI时) | 永远不要成为商业伙伴 |
|---|---|---|
| 索赔处理或管理 | 管理顾问 | 所涵盖组件的劳动力成员 |
| 计费 | 法律服务 | 承保组成部分患者的其他医疗保健提供者以该身份行事时;例如,提供卫生保健服务的卫生保健提供者。请注意,医疗保健提供者可能会为BU承保组件执行诸如计费或咨询之类的业务服务;在这种情况下是BA。见左边一栏。 |
| 实践管理 | 金融、会计、精算及类似服务 | 保管员、看门人、快递员、修理工等在履行其服务时不需要接触PHI的地方,即使可能偶然向他们披露 |
| 数据分析、处理或管理 | 数据聚合服务、IT服务 | 处理金融交易的金融机构(例如,信用卡处理或支票清算) |
| 利用审核 | IT服务,包括数据迁移或软件或系统维护 | 公共卫生监督机构,如马萨诸塞州公共卫生部,履行卫生监督职能 |
| 质量保证 | 收集机构 | 去识别信息或“有限数据集”的接收者:如果正在披露或创建的健康信息已根据《隐私条例》下的去识别标准去识别,或者健康信息符合根据有限数据使用协议披露的有限数据集的条件,则不需要商业伙伴协议 |
| 转录服务,应答服务 | 认证机构 | 承保组成部分患者的医疗保险公司,在以该身份行事时;为了支付目的,允许向医疗保险公司披露信息。 |
商业伙伴协议的执行
如果受保组件发现任何违反业务伙伴协议的行为,则必须通知BU HIPAA隐私官,以评估是否有必要采取措施纠正违约行为或在可行的情况下终止基础服务合同。
标准形式
应使用经批准的BU标准格式的业务伙伴协议。
如果外部组织或个人发送了自己的商业伙伴协议形式来签署,请通知BA, PHI属于BU及其患者,BU使用自己的形式来保护它。如果业务伙伴坚持使用其表单或要求修改BU模板,请联系BU HIPAA隐私官。
作为商业伙伴
如果波士顿大学的任何办公室或部门向外部HIPAA覆盖实体提供服务,使得外部实体要求波士顿大学签署业务合作协议,请联系波士顿大学HIPAA隐私官,他将决定是否需要业务合作协议,如果需要,可以批准。
澳门威尼斯人注册本政策的其他资源
相关政策、程序和指南
- HIPAA
- 数据安全
部网站