HIPAA

HIPAA涵盖了这些数据源

以下是包括实体/组件在内的事业部和外部澳门威尼斯人注册网站研究信息来源的示例，以及其他未包括在内的澳门威尼斯人注册网站研究信息来源。请注意，每个被覆盖组件被认为是与其他被覆盖组件独立的实体。

BU HIPAA涵盖的组件：

• 杰西和阿尔伯特·丹尼森澳门威尼斯人注册网站研究所
• 波士顿大学康复服务，包括物理治疗中心和神经康复中心
• 萨金特选择营养中心
• GSDM牙科诊所位于100 E. Newton和930 Commonwealth Avenue
• BU牙科计划
• 灵活福利计划
• BU健康计划

这些组件的澳门威尼斯人注册使用来自该组件的患者数据进行的澳门威尼斯人注册网站研究可能受到HIPAA的约束。

用于澳门威尼斯人注册网站研究的非bu PHI来源

本政策并不试图列出所有属于承保实体的非BU实体，但通常遇到的BU外部的承保实体包括：

• 属于波士顿大学医疗集团的任何医疗实践
• 波士顿医疗中心
• 医疗保险索赔结算所
• 大多数健康福利计划
• 大多数医疗保健诊所
• 大多数医院
• 参与BMC健康网络的其他医疗保健提供者

承保实体将需要患者授权或放弃授权才能向BU澳门威尼斯人注册网站研究人员发布其PHI。然而，一旦发布给受保实体以外的澳门威尼斯人注册网站研究人员，只有在向另一个受保实体披露时，数据才会受到HIPAA的约束。例如:

• 如果BMC向波士顿大学医学院或公共卫生学院的澳门威尼斯人注册网站研究人员披露PHI，则根据波士顿大学政策，该数据属于受限使用数据，但不属于PHI。
• 如果医生办公室向Danielsen澳门威尼斯人注册网站研究所的澳门威尼斯人注册网站研究人员发布PHI，该澳门威尼斯人注册网站研究仍然是PHI，因为医生办公室和Danielsen澳门威尼斯人注册网站研究所都是HIPAA覆盖的实体。

这些数据来源不受HIPAA的保护

HIPAA未涵盖的BU组件

以下BU组件具有一些健康信息，并且可能提供临床服务，但尚未被BU指定为HIPAA覆盖组件；因此，使用这些来源数据的BU澳门威尼斯人注册网站研究人员将不承担HIPAA义务：

• 波士顿大学职业健康中心
• 波士顿大学学生健康服务（记录受FERPA保护）
• 焦虑相关障碍中心（CARD）
• 教职员援助办事处
• BU雇佣记录中包含的健康信息
• 健康信息可能是PHI，但已根据BU的HIPAA去标识化政策去标识化。
• 萨金特学术演讲、语言和听力中心
• 萨金特失语资源中心
• 萨金特精神康复中心
• 弗雷明汉心脏澳门威尼斯人注册网站研究
• 职业治疗中心

这些来源的记录在澳门威尼斯人注册网站研究中使用时受到专业标准和人类受试者澳门威尼斯人注册网站研究标准中的隐私限制，但不受HIPAA标准的约束。

HIPAA未涵盖的非bu来源

BU以外不受HIPAA约束的其他健康数据来源包括：

• 澳门威尼斯人注册健康问题的社区澳门威尼斯人注册网站研究，依赖于从同意的澳门威尼斯人注册网站研究对象获得的健康数据，而不是从任何涵盖实体获得的健康数据
• 澳门威尼斯人注册网站研究从政府机构获得的生命统计数据；
• 使用HIPAA未涵盖的任何其他来源的数据进行澳门威尼斯人注册网站研究。
• 使用任何来源的去识别PHI进行澳门威尼斯人注册网站研究。如果数据被正确地去识别，它不是PHI， HIPAA将不适用于澳门威尼斯人注册网站研究。

澳门威尼斯人注册网站研究中使用的这些来源的记录不受HIPAA标准的约束，但可能受到其他限制。

特殊情况下

死亡满50年的被继承人的健康信息

参见单独的HIPAA政策澳门威尼斯人注册使用死者信息的澳门威尼斯人注册网站研究。5.4、5.5 HIPAA不保护死亡50年以上的人的健康信息，因为死亡50年以上的人的健康信息不包括在PHI的定义中。

有限数据集

HIPAA下的有限数据集是不包含下列任何元素的数据集：

• 名称;
• 除城镇或城市、州和邮政编码以外的邮政地址信息；
• 电话号码;
• 传真号;
• 电子邮件地址；
• 社会安全号码；
• 医疗记录号；
• 健康计划受益人人数；
• 账号;
• 证书/许可证号码;
• 车辆识别码和序列号，包括车牌号码；
• 设备标识符和序列号；
• Web通用资源定位器（url）；
• 互联网协议（IP）地址；
• 生物识别识别，包括指纹和声纹；和
• 全脸照片和任何类似的照片。

如果澳门威尼斯人注册网站研究人员仅从受保护实体/组件获得有限数据集，受保护实体/组件可以根据数据使用协议发布该数据。有限数据集是PHI，但不受HIPAA的约束，它们对澳门威尼斯人注册网站研究人员的披露受与覆盖实体/组件的数据使用协议的约束，而不是一般的HIPAA规则。

一般来说，在以下情况下，澳门威尼斯人注册网站研究数据将是受HIPAA保护的PHI：

• 如果澳门威尼斯人注册网站研究涉及临床护理的病人由一个BU覆盖组件， HIPAA管理。
  • 对比：如果澳门威尼斯人注册网站研究者/提供者仅使用来自临床文件的去识别数据，则用于澳门威尼斯人注册网站研究时不属于PHI。
• 如果澳门威尼斯人注册网站研究是由创建临床数据的受保实体/组件执行的，则为PHI。例子:
  • 丹尼尔森澳门威尼斯人注册网站研究所的教员使用丹尼尔森病人的记录来比较冥想和认知行为疗法的疗效；临床数据在澳门威尼斯人注册网站研究期间仍然是PHI，除非它被去识别。
  • Danielsen澳门威尼斯人注册网站研究所的澳门威尼斯人注册网站使用的临床数据来自波士顿大学焦虑及相关疾病中心（CARD），该中心不是HIPAA覆盖的组成部分。这些临床数据在CARD上不是PHI，在Danielsen澳门威尼斯人注册网站研究所的澳门威尼斯人注册网站研究中也不是PHI。
  • 医院有一项澳门威尼斯人注册网站研究经费，涉及使用同一医院的临床数据。医院澳门威尼斯人注册网站研究人员用于澳门威尼斯人注册网站研究目的的临床数据仍然是PHI，直到它被去识别。
  • Sargent Choice Nutrition正在与BU物理治疗（“BU PT”）合作进行澳门威尼斯人注册网站研究，两者都是覆盖组件。如果Sargent Choice Nutrition向BU PT披露健康信息，则该健康信息在向Sargent披露后仍为PHI，因为这两个实体都是受保组件。

受保护的健康信息是由HIPAA覆盖实体（通常是医疗保健提供者或健康计划）创建、接收或维护的任何可识别个人的健康信息。PHI包括以下信息：

• 个人过去、现在或将来的身体或精神健康或状况；
• 过去、现在或将来支付给个人的医疗保健费用；
• 向个人提供保健服务

不能识别个人或不能用于识别个人的健康信息不属于PHI，但需要非常严格地确认数据集中不存在标识符。例如，生命体征数据集本身不构成受保护的健康信息。但是，如果生命体征数据集包含医疗记录号，则该数据集未被成功识别，必须作为PHI进行保护。

有一些类型的健康信息不受PHI保护，即使它们清楚地识别了个人：

• 死亡超过50年的个人信息：HIPAA不保护这些信息。
• BU的人力资源记录中有关BU员工的信息
• FERPA涵盖的教育记录或治疗记录中的信息
• 处理记录中的信息仅由未指定为受保成分的BU单位保留

任何与人类受试者一起工作的澳门威尼斯人注册网站研究人员都必须完成BU特定的HIPAA培训模块，该模块可以在CITI平台上以“BU澳门威尼斯人注册网站研究中的HIPAA （CRC）”的名称找到。澳门威尼斯人注册网站研究人员必须每3年重复这项训练。

波士顿大学医学院的澳门威尼斯人注册网站研究人员可以在这里找到他们的培训要求。

让患者在同意参与澳门威尼斯人注册网站研究时签署HIPAA授权是临床澳门威尼斯人注册网站研究中最常见的途径。该授权书可以与澳门威尼斯人注册网站研究受试者同意书合并，在这种情况下，合并的文件必须得到审查委员会的批准。如果您没有将HIPAA授权与同意书合并，则必须让IRB批准同意书，并使用经批准的HIPAA授权表格。如果您希望以任何方式更改已批准的HIPAA授权，请联系BU隐私官。您可以在这里找到批准的授权书。

澳门威尼斯人注册网站研究的准备活动包括审查某一承保实体或组成部分的医疗记录，以确定在这些记录中是否可以找到足够数量的可能符合征聘条件的患者；查阅医疗记录，以获取对设计澳门威尼斯人注册网站研究计划或澳门威尼斯人注册网站研究有用的信息；以及为预期或准备澳门威尼斯人注册网站研究而进行的任何其他类似活动。HIPAA仅允许在患者授权或承保实体授予的豁免的情况下出于这些目的访问PHI。如果满足某些条件，每个承保实体的HIPAA联系人可以提供豁免。

注意：内部审查委员会不管理澳门威尼斯人注册网站研究准备豁免。

对澳门威尼斯人注册网站研究人员来说，这似乎是一个不必要的障碍，但事实并非如此。HIPAA要求豁免，因为HIPAA还要求受保实体/组件为除治疗、支付、医疗保健操作和根据患者授权的披露以外的任何目的跟踪所有PHI的披露，并在患者行使其要求披露的权利时将其包括在披露的会计中。

经IRB批准的患者书面授权

隐私规则允许受保实体在临床澳门威尼斯人注册网站研究招募数据库中包括个人的PHI，前提是个人通过书面授权给予许可。授权必须告知个人其目的（例如，用于一项或多项临床试验的预筛选日志），将使用哪些PHI，并满足隐私规则的其他要求。如果您希望在患者授权下创建新的临床数据存储库，请联系CRC IRB。

在患者授权不可行的情况下创建临床数据存储库

对于IRB授予豁免或变更授权创建澳门威尼斯人注册网站研究数据库的要求，除其他事项外，IRB已确定澳门威尼斯人注册网站研究人员已提供充分的书面保证，即数据库中的PHI将不会被进一步使用或披露，除非隐私规则允许（例如，用于澳门威尼斯人注册网站研究使用和披露授权或豁免）。

只要有可能，澳门威尼斯人注册网站研究人员创建临床数据存储库时应将捕获的元素限制为去识别数据或有限数据集。

澳门威尼斯人注册网站研究对象在临床试验过程中查阅其澳门威尼斯人注册网站研究记录的权利

隐私规则允许受保护实体在授权表格中插入一份声明，通过该声明，受试者同意在临床试验期间暂停访问其PHI的权利，直到澳门威尼斯人注册网站研究完成。

根据患者书面授权进行招募

虽然书面的患者授权总是允许澳门威尼斯人注册网站研究人员联系潜在的澳门威尼斯人注册网站研究对象，但这很少是可行的，因为患者在联系之前并不知道这项澳门威尼斯人注册网站研究。如果在建立数据存储库时，出于患者招募的目的给予了（且未撤销）书面授权，则可以使用此选项。

医疗保健提供者招聘

卫生保健提供者可以与他/她的病人讨论参加临床澳门威尼斯人注册网站研究的可能性，而无需事先获得病人的书面授权。这适用于由治疗提供者或治疗提供者组成部分的任何其他提供者进行的澳门威尼斯人注册网站研究。

提供者也可以与患者讨论他或她的承保实体/组成部分是否参与了另一家承保实体正在进行的澳门威尼斯人注册网站研究。在这种情况下，提供者可以与患者讨论参与试验，并向患者提供澳门威尼斯人注册网站研究人员的联系信息，以便患者可以直接与澳门威尼斯人注册网站研究人员联系。但是，除非患者提供书面授权，或者满足隐私规则的其他条件，否则医生不得向其他承保实体/组件的澳门威尼斯人注册网站研究人员披露患者的PHI。

部分放弃招聘授权

通常，澳门威尼斯人注册网站研究人员被IRB授予部分放弃授权的招募目的。为了获得部分豁免，澳门威尼斯人注册网站研究人员必须向IRB保证以下内容：

1. PHI的使用或披露涉及的个人隐私风险不超过最低限度，至少基于以下因素的存在：
   • 保护标识符免遭不当使用和泄露的适当计划。
   • 在符合澳门威尼斯人注册网站研究行为的情况下尽早销毁标识符的适当计划，除非出于健康或澳门威尼斯人注册网站研究方面的理由保留标识符或法律另有要求保留标识符。
   • 充分的书面保证，保证PHI不会被重复使用或披露，除非法律要求，授权的澳门威尼斯人注册网站研究监督，或隐私规则允许使用或披露PHI的其他澳门威尼斯人注册网站研究。
2. 如果没有豁免或变更，澳门威尼斯人注册网站研究实际上是无法进行的。
3. 如果不接触和使用PHI，澳门威尼斯人注册网站研究就无法实际进行。

请注意，此豁免仅适用于招募，即使用患者PHI的人口统计数据以便与患者联系澳门威尼斯人注册网站研究澳门威尼斯人注册网站研究。如果患者拒绝入组，澳门威尼斯人注册网站研究人员必须停止与患者的联系，并按照免责条款返回/删除患者的联系信息。

对于出于澳门威尼斯人注册网站研究目的从受保护实体维护的存储库或数据库中使用或披露PHI，以及仅基于医疗记录的回顾性澳门威尼斯人注册网站研究，澳门威尼斯人注册网站研究人员有以下选择来遵守HIPAA：

• 获得个人对澳门威尼斯人注册网站研究使用或披露的授权；这是不寻常的，但如果在建立数据存储库时，澳门威尼斯人注册网站研究人员事先知道数据将如何使用，并在收集信息时以IRB批准的形式获得患者授权，则可能会发生这种情况。
• 获得IRB豁免或更改授权要求。
• 使用去识别数据
• 使用有限的数据集，这将受到数据使用协议的约束，而不是一般的HIPAA要求。

使用PHI与创建数据库是单独的活动；因此，澳门威尼斯人注册网站研究人员必须获得书面授权；税务局的豁免书；使用去识别的数据；或根据数据使用协议使用有限数据集。

如果临床澳门威尼斯人注册网站研究参与者在进入澳门威尼斯人注册网站研究前被要求签署知情同意书，则临床澳门威尼斯人注册网站研究通常不符合豁免授权的条件。放弃授权主要用于涉及回顾性数据澳门威尼斯人注册网站研究的澳门威尼斯人注册网站研究。

HIPAA下的“违规”通常是指隐私规则下不允许的使用或披露，这会损害受保护健康信息的安全性或隐私性。除非BU隐私官证明受保护的健康信息被泄露的可能性很低，否则不允许使用或披露受保护的健康信息被推定为违规行为。

安全事故是可能违反电子PHI的事件。如果您意识到或怀疑可能的安全事件，请立即联系BU事件响应小组。

HIPAA隐私官或HIPAA安全官将确定某一事件是否属于HIPAA规定的“违规”行为；这不是澳门威尼斯人注册网站研究人员有权做出的判断。如果情况被确定为违规，波士顿大学将被要求向受影响的个人、卫生与公众服务部长以及在某些情况下的媒体提供违规通知。此过程由HIPAA隐私官和HIPAA安全官管理。