Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Закон о переносимости и подотчетности медицинского страхования 1996 года
Большая печать Соединенных Штатов
Другие короткие названияЗакон Кассебаума – Кеннеди, Закон Кеннеди – Кассебаума
Длинное названиеЗакон о внесении поправок в Налоговый кодекс 1996 года для улучшения переносимости и непрерывности медицинского страхования на групповых и индивидуальных рынках, для борьбы с расточительностью, мошенничеством и злоупотреблениями в области медицинского страхования и оказания медицинской помощи, для содействия использованию медицинских сберегательных счетов. , чтобы улучшить доступ к услугам и страховке по долгосрочному уходу, упростить администрирование медицинского страхования и для других целей.
Акронимы (разговорный)HIPAA (произносится / ч ɪ р ə / , ХИП-э)
Принятсто четвёртый Конгресс Соединенных Штатов
Цитаты
Публичное правоPub.L.  104–191 (текст) (pdf)
Устав в целом110  Стат.  1936 г.
Законодательная история
  • Введенный в палате , как H.R. 3103 от Билл Арчер ( R - TX ) на 18 марта 1996
  • Рассмотрение комитетом палаты способов и средств
  • Сдал Дом 28 марта 1996 г. ( 267–151 )
  • Принят Сенатом 23 апреля 1996 г. ( 100–0 вместо S. 1028 ).
  • Об этом сообщил объединенный комитет конференции 31 июля 1996 г .; согласовано Палатой представителей 1 августа 1996 г. ( 421–2 ) и Сенатом 2 августа 1996 г. ( 98–0 )
  • Подписан закон президент Билл Клинтон на 21 августа 1996

Портативность и подотчетности Закон о медицинском страховании 1996 года ( HIPAA или Кеннеди - Кассебаум закон [1] [2] ) является США федеральный закон , принятый в 104 - м конгрессе Соединенных Штатов и подписал закон президент Билл Клинтон 21 августа 1996 Он был создан в первую очередь для модернизации потока медицинской информации, оговаривая, как идентифицирующая личность информация, хранящаяся в сфере здравоохранения и медицинского страхования, должна быть защищена от мошенничества и кражи, а также устранять ограничения в отношении медицинского страхования. [3]

Акт состоит из пяти названий. Раздел I HIPAA защищает медицинское страхование работников и их семей, когда они меняют работу или теряют ее. [4] Раздел II HIPAA, известный как положения об административном упрощении (AS), требует установления национальных стандартов для электронных транзакций здравоохранения и национальных идентификаторов для поставщиков, планов медицинского страхования и работодателей. [5] Раздел III устанавливает руководящие принципы для счетов медицинских расходов до налогообложения, Раздел IV устанавливает руководящие принципы для групповых планов медицинского страхования, а Раздел V регулирует полисы страхования жизни, принадлежащие компании.

Названия [ править ]

Закон состоит из пяти разделов, известных как заголовки.

Раздел I: Доступ к медицинскому обслуживанию, переносимость и возможность возобновления [ править ]

Раздел I HIPAA регулирует доступность и широту групповых планов медицинского страхования и определенных индивидуальных полисов медицинского страхования. Он внес поправки в Закон о гарантиях пенсионного дохода сотрудников, Закон о государственной службе здравоохранения и Налоговый кодекс.

Раздел I требует покрытия, а также ограничивает ограничения, которые групповой план медицинского страхования может наложить на льготы при ранее существовавших заболеваниях. Групповые планы медицинского страхования могут отказать в предоставлении льгот в связи с ранее существовавшими условиями либо в течение 12 месяцев после регистрации в плане, либо в течение 18 месяцев в случае поздней регистрации. [6] Раздел I позволяет частным лицам сокращать период исключения на время, в течение которого они имели «заслуживающее доверия покрытие» до регистрации в плане и после любых «значительных перерывов» в страховании. [7] «Кредитоспособное покрытие» определяется довольно широко и включает почти все групповые и индивидуальные планы медицинского страхования, Medicare и Medicaid. [8] «Значительный перерыв»в покрытии определяется как любой 63-дневный период без какого-либо заслуживающего доверия покрытия.[9] Наряду с исключением, позволяющим работодателям связывать страховые взносы или сооплаты с употреблением табака или индексом массы тела.

Раздел I [10] также требует, чтобы страховщики выдавали полисы без исключения для тех, кто покидает групповые планы медицинского страхования с кредитным покрытием (см. Выше) на срок более 18 месяцев, и [11] продлевают индивидуальные полисы до тех пор, пока они предлагаются, или предоставляют альтернативы прекращенным планам. до тех пор, пока страховщик без исключения остается на рынке, независимо от состояния здоровья.

Некоторые планы медицинского обслуживания освобождены от требований Раздела I, например долгосрочные планы медицинского обслуживания и планы ограниченного объема, такие как планы стоматологического обслуживания или зрения, предлагаемые отдельно от общего плана медицинского обслуживания. Однако, если такие льготы являются частью общего плана медицинского страхования, то HIPAA по-прежнему применяется к таким льготам. Например, если новый план предлагает стоматологические льготы, то он должен засчитывать надежное непрерывное покрытие по старому плану медицинского обслуживания в любой из периодов исключения из него для стоматологических льгот.

Альтернативный метод расчета заслуживающего доверия непрерывного покрытия доступен для плана медицинского обслуживания в соответствии с Разделом I. То есть 5 категорий медицинского страхования можно рассматривать отдельно, включая стоматологическое страхование и покрытие зрения. Все, что не входит в эти 5 категорий, должно использовать общий расчет (например, бенефициар может иметь 18 месяцев общего покрытия, но только 6 месяцев стоматологического покрытия, потому что у бенефициара не было общего плана медицинского страхования, покрывающего стоматологические услуги до 6 месяцев. до даты подачи заявки). Поскольку планы с ограниченным покрытием освобождены от требований HIPAA, существует странный случай, когда кандидат на общий групповой план медицинского страхования не может получить сертификаты надежного непрерывного покрытия для независимых планов ограниченного объема.например, стоматологический, чтобы подать заявку на период исключения из нового плана, который действительно включает эти покрытия.

Скрытые периоды исключения недействительны в соответствии с Разделом I (например, «Страховой случай должен был произойти, когда бенефициар был застрахован по точно такому же договору медицинского страхования»). План медицинского страхования не должен действовать в соответствии с такими положениями. Кроме того, они должны быть переписаны, чтобы соответствовать требованиям HIPAA. [12]

Раздел II: Предотвращение мошенничества и злоупотреблений в сфере здравоохранения; Административное упрощение; Реформа медицинской ответственности [ править ]

Раздел II HIPAA устанавливает политику и процедуры для обеспечения конфиденциальности и безопасности индивидуально идентифицируемой медицинской информации, описывает многочисленные правонарушения, связанные со здравоохранением, и устанавливает гражданские и уголовные наказания за нарушения. Он также создает несколько программ по борьбе с мошенничеством и злоупотреблениями в системе здравоохранения. [13] [14] [15] [16] Однако наиболее важными положениями Раздела II являются его правила административного упрощения. Раздел II требует от Министерства здравоохранения и социальных служб (HHS) повысить эффективность системы здравоохранения путем создания стандартов использования и распространения медицинской информации. [16]

Эти правила применяются к «защищенным организациям», как это определено HIPAA и HHS. Охватываемые организации включают планы медицинского страхования, информационные центры здравоохранения (например, службы выставления счетов и информационные системы здравоохранения на уровне сообщества) и поставщиков медицинских услуг, которые передают данные о медицинском обслуживании способом, регулируемым HIPAA. [17] [18]

В соответствии с требованиями Раздела II, HHS обнародовал пять правил, касающихся административного упрощения: правило конфиденциальности, правило транзакций и кодовых наборов, правило безопасности, правило уникальных идентификаторов и правило принудительного исполнения.

Правило конфиденциальности [ править ]

Правило конфиденциальности HIPAA состоит из национальных правил использования и раскрытия защищенной медицинской информации (PHI) при лечении, оплате и операциях застрахованными организациями.

Датой вступления в силу Правила конфиденциальности было 14 апреля 2003 г. с продлением на один год для некоторых «небольших планов». Правило конфиденциальности HIPAA регулирует использование и раскрытие защищенной медицинской информации (PHI), которая хранится «покрываемыми организациями» (как правило, информационными центрами здравоохранения, спонсируемыми работодателями планами медицинского страхования, медицинскими страховщиками и поставщиками медицинских услуг, которые участвуют в определенных транзакциях). [19] Постановлением HHS распространил правило конфиденциальности HIPAA на независимых подрядчиков организаций, подпадающих под определение «деловых партнеров». [20] PHI - это любая информация, которая хранится у застрахованного лица относительно состояния здоровья, предоставления медицинских услуг или оплаты медицинских услуг, которая может быть связана с любым лицом. [17]Это толкуется довольно широко и включает в себя любую часть медицинской карты или истории платежей человека. Охватываемые организации должны раскрыть PHI физическому лицу в течение 30 дней по запросу. [21] Кроме того, они должны раскрывать PHI, когда это требуется по закону, например, сообщать о подозрениях в жестоком обращении с детьми в государственные органы по защите детей. [22]

Субъекты, на которые распространяется защита, могут раскрывать защищенную медицинскую информацию сотрудникам правоохранительных органов для правоохранительных целей в соответствии с требованиями закона (включая постановления суда, судебные приказы, повестки) и административные запросы; или для установления личности или местонахождения подозреваемого, беглеца, важного свидетеля или пропавшего без вести лица. [23]

Застрахованная организация может раскрывать PHI определенным сторонам для облегчения лечения, оплаты или оказания медицинской помощи без явного письменного разрешения пациента. [24] Любое другое раскрытие PHI требует, чтобы покрываемая организация получила письменное разрешение от физического лица на раскрытие информации. [25] В любом случае, когда охваченная организация раскрывает какую-либо PHI, она должна приложить разумные усилия для раскрытия только минимально необходимой информации, необходимой для достижения своей цели. [26]

Правило конфиденциальности дает физическим лицам право требовать от покрываемого юридического лица исправления любой неточной закрытой медицинской информации. [27] Кроме того, он требует, чтобы субъекты, на которые распространяется действие страховки, предпринимали разумные шаги по обеспечению конфиденциальности общения с физическими лицами. [28] Например, человек может попросить, чтобы ему позвонили по его рабочему номеру, а не по домашнему или мобильному телефону.

Правило конфиденциальности требует, чтобы организации, на которые распространяется действие страховки, уведомляли физических лиц об использовании их PHI. [29] Охватываемые организации также должны отслеживать раскрытие PHI и документировать политику и процедуры конфиденциальности. [30] Они должны назначить должностное лицо по вопросам конфиденциальности и контактное лицо [31], ответственное за получение жалоб и обучить всех своих сотрудников процедурам, касающимся PHI. [32]

Лицо, которое считает, что Правило конфиденциальности не соблюдается, может подать жалобу в Управление гражданских прав Министерства здравоохранения и социальных служб (OCR). [33] [34] Однако, согласно Wall Street Journal, OCR имеет большое отставание и игнорирует большинство жалоб. «Жалобы на нарушение конфиденциальности накапливаются в Министерстве здравоохранения и социальных служб. В период с апреля 2003 года по ноябрь 2006 года агентство направило 23 886 жалоб, касающихся правил медицинской конфиденциальности, но пока не приняло никаких принудительных мер в отношении больниц. врачей, страховщиков или кого-либо еще за нарушения правил. Представитель агентства говорит, что оно закрыло три четверти жалоб, как правило, потому, что оно не обнаружило нарушений, или после того, как оно предоставило неофициальные указания заинтересованным сторонам ». [35] Однако в июле 2011 года Калифорнийский университет в Лос-Анджелесесогласился выплатить 865 500 долларов в качестве урегулирования в отношении потенциальных нарушений HIPAA. Расследование Управления по гражданским правам HHS показало, что с 2005 по 2008 год неуполномоченные сотрудники неоднократно и без уважительной причины просматривали защищенную электронным способом медицинскую информацию о многочисленных пациентах UCLAHS. [36]

Окончательное обновление правил омнибуса 2013 г. [ править ]

В январе 2013 года HIPAA был обновлен с помощью окончательного правила омнибуса. [37] Обновления включали изменения в правилах безопасности и уведомлениях о нарушениях закона HITECH. Наиболее существенные изменения связаны с расширением требований для включения деловых партнеров, в которых изначально были зарегистрированы только юридические лица, подпадающие под действие этих разделов закона. [38]

Кроме того, было обновлено определение «значительного ущерба», причиненного физическому лицу при анализе нарушения, чтобы обеспечить более тщательную проверку защищаемых организаций с целью раскрытия нарушений, о которых ранее не сообщалось. Раньше организация нуждалась в доказательствах причинения вреда, а теперь организации должны доказать, что вреда не было.

Защита PHI была изменена с бессрочной на 50 лет после смерти. Также были утверждены более суровые наказания за нарушение требований конфиденциальности PHI. [39]

Правило конфиденциальности HIPAA может быть отменено во время стихийного бедствия. Так было с ураганом Харви в 2017 году. [40]

Закон HITECH: требования к конфиденциальности [ править ]

См. Раздел « Конфиденциальность» Закона о медицинских информационных технологиях для экономического и клинического здоровья ( Закон HITECH ).

Право на доступ к вашей PHI [ править ]

Правило конфиденциальности требует, чтобы поставщики медицинских услуг предоставляли людям доступ к их ЗМИ. [41] После того, как лицо запрашивает информацию в письменной форме (обычно с использованием формы поставщика для этой цели), поставщик имеет до 30 дней, чтобы предоставить копию информации лицу. Физическое лицо может запросить информацию в электронном или бумажном виде, а провайдер обязан попытаться соответствовать запрошенному формату. Для поставщиков, использующих систему электронных медицинских карт ( EHR ), которая сертифицирована с использованием критериев CEHRT (Certified Electronic Health Record Technology), людям должно быть разрешено получать PHI в электронной форме. Провайдерам рекомендуется оперативно предоставлять информацию, особенно в случае запросов электронной записи.

Люди имеют право на доступ ко всей информации, связанной со здоровьем, включая состояние здоровья, план лечения, заметки, изображения, результаты лабораторных исследований и информацию для выставления счетов. [ необходима цитата ] Явно исключаются личные записи психотерапевта провайдера и информация, собранная провайдером для защиты от судебного иска. [42]

Поставщики могут взимать разумную сумму, которая связана с их стоимостью предоставления копии, однако при предоставлении данных в электронном виде из сертифицированной ЭМК плата не взимается.с помощью функции «просмотр, загрузка и передача», которая требуется для сертификации. При доставке физическому лицу в электронной форме, физическое лицо может разрешить доставку с использованием зашифрованной или незашифрованной электронной почты, доставку с использованием носителя (USB-накопитель, компакт-диск и т. Д., Что может потребовать оплаты), прямого обмена сообщениями (технология безопасной электронной почты в обычное использование в сфере здравоохранения) или, возможно, другие методы. При использовании незашифрованной электронной почты человек должен понимать и принимать риски для конфиденциальности, связанные с использованием этой технологии (информация может быть перехвачена и изучена другими). Независимо от технологии доставки, поставщик должен продолжать полностью защищать PHI, находясь в своей системе, и может отказать в использовании метода доставки, если он представляет дополнительный риск для PHI, находясь в их системе. [43]

Физическое лицо также может запросить (в письменной форме), чтобы его PHI была предоставлена ​​назначенной третьей стороне, например поставщику услуг по уходу за семьей.

Физическое лицо также может запросить (в письменной форме), чтобы поставщик отправлял PHI в назначенную службу, используемую для сбора или управления его записями, например, в приложение Personal Health Record. Например, пациентка может в письменной форме потребовать от своего акушера-гинеколога передать в цифровом виде записи о ее последнем дородовом посещении в приложение для ухода за беременными, которое у нее есть на мобильном телефоне.

Раскрытие информации родственникам [ править ]

Согласно их интерпретации HIPAA, больницы не будут раскрывать информацию по телефону родственникам госпитализированных пациентов. В некоторых случаях это препятствовало поиску пропавших без вести. После крушения рейса 214 авиакомпании Asiana Airlines в Сан-Франциско некоторые больницы не хотели раскрывать личности пассажиров, которых они лечили, что затруднило для Asiana и родственников их поиск. [44] В одном случае мужчина в штате Вашингтон не смог получить информацию о своей раненой матери. [45]

Джанлори Голдман, директор правозащитной группы Health Privacy Project, сказал, что некоторые больницы «чрезмерно осторожны» и неправильно применяют закон, сообщает Times. Пригородная больница в Бетесде, штат Мэриленд, истолковала федеральное постановление, которое требует, чтобы больницы разрешали пациентам отказаться от включения в справочник больниц, как означающий, что пациенты не хотят, чтобы их включили в справочник, если они специально не укажут иное. В результате, если пациент находится без сознания или по другим причинам не может выбрать включение в справочник, родственники и друзья могут не найти его, сказал Голдман. [46]

Правило транзакций и кодовых наборов [ править ]

HIPAA был призван сделать систему здравоохранения в Соединенных Штатах более эффективной за счет стандартизации операций в сфере здравоохранения. HIPAA добавило новую часть C под названием «Административное упрощение» в раздел XI Закона о социальном обеспечении. [47] Это должно упростить транзакции в сфере здравоохранения, требуя, чтобы все планы медицинского страхования участвовали в транзакциях в области здравоохранения стандартизированным образом.

Положение HIPAA / EDI ( электронный обмен данными ) должно было вступить в силу с 16 октября 2003 г. с продлением на один год для некоторых «небольших планов». Однако из-за широко распространенной путаницы и трудностей с внедрением правила CMS предоставила всем сторонам продление на один год. [ необходима цитата ] 1 января 2012 г. вступают в силу более новые версии ASC X12 005010 и NCPDP D.0, заменяющие предыдущие требования ASC X12 004010 и NCPDP 5.1. [48] Версия ASC X12 005010 предоставляет механизм, позволяющий использовать ICD-10-CM, а также другие улучшения.

После 1 июля 2005 г. большинству поставщиков медицинских услуг, которые подают документы в электронном виде, приходилось подавать свои заявки в электронном виде с использованием стандартов HIPAA для получения оплаты. [49]

В соответствии с HIPAA страховые планы, покрываемые HIPAA, теперь должны использовать стандартизированные электронные транзакции HIPAA. См. 42 USC § 1320d-2 и 45 CFR Part 162. Информацию об этом можно найти в окончательном правиле для стандартов электронных транзакций HIPAA (74 Fed. Reg. 3296, опубликовано в Федеральном реестре 16 января 2009 г.), и на сайте CMS. [50]

Ключевые транзакции EDI (X12), используемые для соответствия HIPAA: [ необходима ссылка ]

Набор транзакций по заявкам на медицинские услуги EDI (837) используется для подачи информации о счетах за медицинские услуги, информации о встречах или и того, и другого, за исключением заявлений в розничных аптеках (см. Транзакция по заявкам в розничных аптеках EDI). Он может быть отправлен от поставщиков медицинских услуг плательщикам напрямую или через посредников и расчетные палаты по претензиям. Его также можно использовать для передачи заявлений о медицинском обслуживании и информации о платежах по счетам между плательщиками с разными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для мониторинга оказания, выставления счетов и / или оплаты медицинских услуг в рамках определенного сегмент отрасли здравоохранения / страхования.

Например, государственное агентство по охране психического здоровья может обязать все заявки на медицинское обслуживание, поставщики медицинских услуг и планы медицинского страхования, которые торгуют профессиональными (медицинскими) заявками на медицинское обслуживание в электронном виде, должны использовать стандарт 837 Health Care Claim: Professional для отправки требований. Поскольку существует множество различных бизнес-приложений для претензий Health Care, могут быть небольшие производные для покрытия претензий, связанных с уникальными претензиями, такими как для учреждений, специалистов, мануальных терапевтов, стоматологов и т. Д.

Обработка претензий в розничных аптеках EDI ( стандарт NCPDP Telecommunications Standard, версия 5.1) используется для подачи претензий в розничных аптеках плательщикам медицинскими работниками, которые распределяют лекарства напрямую или через посредников и расчетные палаты по претензиям. Его также можно использовать для передачи заявок на розничные аптечные услуги и информации об оплате счетов между плательщиками с разными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для мониторинга предоставления, выставления счетов и / или оплаты розничных аптечных услуг в рамках сегмент фармацевтической отрасли здравоохранения / страхования.

ЭОД здравоохранение претензии Оплата / Advice Transaction Set (835) может быть использовано для оплаты, отправить Объяснение выгод (EOB), отправить Объяснение платежей (ИАП) извещения о перечислении средств , или произвести оплату и отправить EOP совет денежного перевода только от страховой компании к поставщику медицинских услуг напрямую или через финансовое учреждение.

EDI Benefit Enrollment and Maintenance Set (834) может использоваться работодателями, союзами, государственными учреждениями, ассоциациями или страховыми агентствами для зачисления участников в список плательщиков. Плательщиком является медицинская организация, которая оплачивает страховые выплаты, осуществляет страхование, льготы или продукты. Примеры плательщиков включают страховую компанию, медицинского работника (HMO), организацию предпочтительного поставщика (PPO), государственное учреждение (Medicaid, Medicare и т. Д.) Или любую организацию, с которой может заключить контракт одна из этих бывших групп.

EDI Payroll Deducted и другая группа «Выплата премии за страховые продукты» (820) - это транзакция, установленная для выплаты премии за страховые продукты. Его можно использовать, чтобы приказать финансовому учреждению произвести платеж получателю.

EDI Health Care Eligibility / Benefit Inquiry (270) используется, чтобы узнать о льготах и ​​праве на медицинское обслуживание, связанных с абонентом или иждивенцем.

EDI Health Care Eligibility / Benefit Response (271) используется для ответа на запрос о льготах и ​​праве на медицинское обслуживание, связанных с подписчиком или иждивенцем.

EDI Health Care Claim Status Request (276) Этот набор транзакций может использоваться поставщиком, получателем медицинских продуктов или услуг или их уполномоченным агентом для запроса статуса медицинской заявки.

Уведомление о статусе заявки на медицинское обслуживание EDI (277) Этот набор транзакций может использоваться плательщиком медицинских услуг или уполномоченным агентом для уведомления поставщика, получателя или уполномоченного агента о статусе заявки или обращения о медицинском обслуживании или для запроса дополнительной информации у поставщика относительно обращения или обращения за медицинской помощью. Этот набор транзакций не предназначен для замены набора транзакций по оплате / консультациям по медицинскому страхованию (835) и, следовательно, не используется для разноски платежей по счету. Уведомление находится на уровне сводки или детализации строки обслуживания. Уведомление может быть запрошенным или незапрашиваемым.

EDI Health Care Service Review Information (278) Этот набор транзакций может использоваться для передачи информации об услугах здравоохранения, такой как данные о подписчике, пациенте, демографические данные, данные диагноза или лечения, с целью запроса на рассмотрение, сертификацию, уведомление или отчет о результате. обзора медицинских услуг.

Набор транзакций функционального подтверждения EDI (997). Этот набор транзакций может использоваться для определения структур управления для набора подтверждений, чтобы указать результаты синтаксического анализа документов, закодированных в электронном виде. Хотя это специально не указано в законодательстве или окончательном правиле HIPAA, оно необходимо для обработки набора транзакций X12. Закодированные документы - это наборы транзакций, которые сгруппированы в функциональные группы, используемые при определении транзакций для обмена бизнес-данными. Этот стандарт не охватывает семантическое значение информации, закодированной в наборах транзакций.

Краткая сводка обновлений правил транзакций и кодовых наборов 5010 [ править ]
  1. Набор транзакций (997) будет заменен «отчетом подтверждения» набора транзакций (999).
  2. Размер многих полей {элементов сегмента} будет увеличен, в результате чего всем ИТ-провайдерам придется расширять соответствующие поля, элементы, файлы, графический интерфейс, бумажные носители и базы данных.
  3. Некоторые сегменты были удалены из существующих наборов транзакций.
  4. Многие сегменты были добавлены к существующим наборам транзакций, что позволяет лучше отслеживать и составлять отчеты о затратах и ​​обращениях с пациентами.
  5. Добавлена ​​возможность использовать обе версии 9 (МКБ-9) и 10 (МКБ-10-CM) «Международной классификации болезней». [51] [52]

Правило безопасности [ править ]

Окончательное постановление о стандартах безопасности было опубликовано 20 февраля 2003 г. Оно вступило в силу 21 апреля 2003 г. с датой соответствия 21 апреля 2005 г. для большинства организаций, на которые распространяется действие страхового покрытия, и 21 апреля 2006 г. для «небольших планов». [ необходима цитата ] Правило безопасности дополняет Правило конфиденциальности. В то время как Правило конфиденциальности относится ко всей защищенной медицинской информации (PHI), включая бумажную и электронную, Правило безопасности касается конкретно электронной защищенной медицинской информации (EPHI). В нем изложены три типа мер безопасности, необходимых для соответствия: административные, физические и технические. [53]Для каждого из этих типов Правило определяет различные стандарты безопасности, а для каждого стандарта оно называет как требуемые, так и адресуемые спецификации реализации. Требуемые спецификации должны приниматься и применяться в соответствии с Правилами. Адресные спецификации более гибкие. Отдельные защищенные объекты могут оценить свою собственную ситуацию и определить лучший способ реализации адресных спецификаций. Некоторые защитники конфиденциальности утверждали, что такая «гибкость» может предоставлять слишком большую свободу действий для защищенных организаций. [54] Программные инструменты были разработаны, чтобы помочь охватываемым организациям в анализе рисков и отслеживании исправлений. Стандарты и спецификации следующие:

  • Административные меры предосторожности - политики и процедуры, разработанные, чтобы четко показать, как организация будет соблюдать закон.
    • Охватываемые организации (организации, которые должны соответствовать требованиям HIPAA) должны принять письменный набор процедур конфиденциальности и назначить сотрудника по конфиденциальности, который будет отвечать за разработку и внедрение всех необходимых политик и процедур.
    • Политики и процедуры должны ссылаться на надзор со стороны руководства и участие организации в соблюдении задокументированных мер безопасности.
    • Процедуры должны четко определять сотрудников или классы сотрудников, которые имеют доступ к защищенной электронной медицинской информации (EPHI). Доступ к EPHI должен быть ограничен только теми сотрудниками, которым он нужен для выполнения своих служебных обязанностей.
    • Процедуры должны касаться авторизации доступа, установления, модификации и прекращения.
    • Организации должны показать, что соответствующая программа постоянного обучения работе с PHI предоставляется сотрудникам, выполняющим административные функции плана медицинского страхования.
    • Охватываемые организации, которые передают часть своих бизнес-процессов третьей стороне, должны убедиться, что у их поставщиков также есть структура, соответствующая требованиям HIPAA. Компании обычно получают эту гарантию с помощью пунктов контрактов, в которых говорится, что поставщик будет выполнять те же требования к защите данных, которые применяются к застрахованному лицу. Необходимо позаботиться о том, чтобы определить, передает ли поставщик какие-либо функции обработки данных другим поставщикам, и следить за тем, существуют ли соответствующие контракты и меры контроля.
    • Должен быть разработан план действий в чрезвычайных ситуациях. Защищенные организации несут ответственность за резервное копирование своих данных и наличие процедур аварийного восстановления. План должен документировать приоритет данных и анализ отказов, действия по тестированию и процедуры контроля изменений.
    • Внутренний аудит играет ключевую роль в соблюдении требований HIPAA, проверяя операции с целью выявления потенциальных нарушений безопасности. В политиках и процедурах следует конкретно документировать объем, частоту и процедуры аудитов. Аудиты должны быть как рутинными, так и событийными.
    • В процедурах должны быть задокументированы инструкции по устранению и реагированию на нарушения безопасности, выявленные либо во время аудита, либо в ходе обычной работы.
  • Physical Safeguards - контроль физического доступа для защиты от несанкционированного доступа к защищенным данным
    • Средства контроля должны регулировать введение и удаление аппаратного и программного обеспечения из сети. (Когда оборудование выводится из эксплуатации, оно должно быть утилизировано надлежащим образом, чтобы гарантировать, что PHI не будет скомпрометирована.)
    • Доступ к оборудованию, содержащему информацию о здоровье, следует тщательно контролировать и контролировать.
    • Доступ к аппаратному и программному обеспечению должен быть ограничен надлежащим образом уполномоченными лицами.
    • Обязательные средства контроля доступа включают планы обеспечения безопасности объекта, записи о техническом обслуживании, а также регистрацию посетителей и сопровождение.
    • Политики необходимы для правильного использования рабочей станции. Рабочие станции должны быть удалены из зон с высокой проходимостью, а экраны мониторов не должны находиться в непосредственной близости от публики.
    • Если застрахованные организации используют подрядчиков или агентов, они также должны быть полностью обучены своим обязанностям по физическому доступу.
  • Технические меры безопасности - контроль доступа к компьютерным системам и предоставление защищенным организациям возможности защищать сообщения, содержащие PHI, передаваемые в электронном виде по открытым сетям, от перехвата кем-либо, кроме предполагаемого получателя.
    • Информационные системы, содержащие PHI, должны быть защищены от вторжения. Когда информация передается по открытым сетям, необходимо использовать некоторую форму шифрования. Если используются закрытые системы / сети, существующие средства контроля доступа считаются достаточными, а шифрование не является обязательным.
    • Каждая защищенная организация несет ответственность за то, чтобы данные в ее системах не были изменены или удалены несанкционированным образом.
    • Подтверждение данных, включая использование контрольной суммы, двойного ключа, аутентификации сообщения и цифровой подписи, может использоваться для обеспечения целостности данных.
    • Защищенные объекты также должны аутентифицировать объекты, с которыми они общаются. Аутентификация состоит в подтверждении того, что объект является тем, кем он себя называет. Примеры подтверждения включают системы паролей, двух- или трехстороннее рукопожатие, обратный вызов по телефону и системы токенов.
    • Субъекты, на которые распространяется действие страховки, должны предоставить правительству доступ к документации о своей практике HIPAA для определения соответствия.
    • Помимо политик, процедур и записей доступа, документация по информационным технологиям должна также включать письменные записи всех параметров конфигурации компонентов сети, поскольку эти компоненты являются сложными, настраиваемыми и постоянно меняющимися.
    • Требуются документированные программы анализа рисков и управления рисками. Охватываемые организации должны тщательно учитывать риски своих операций при внедрении систем, соответствующих закону. (Требование анализа рисков и управления рисками подразумевает, что требования к безопасности данного закона являются минимальным стандартом и возлагают на покрываемые организации ответственность за принятие всех разумных мер предосторожности, необходимых для предотвращения использования PHI в целях, не связанных со здоровьем.)

Правило уникальных идентификаторов (национальный идентификатор поставщика) [ править ]

Организации, покрытые HIPAA, такие как поставщики, выполняющие электронные транзакции, клиринговые центры здравоохранения и крупные планы медицинского страхования, должны использовать только национальный идентификатор поставщика (NPI) для идентификации покрываемых поставщиков медицинских услуг в стандартных транзакциях до 23 мая 2007 г. Небольшие планы медицинского обслуживания должны использовать только NPI по 23 мая 2008 г. Начиная с мая 2006 г. (май 2007 г. для небольших планов медицинского страхования), все покрываемые организации, использующие электронные средства связи (например, врачи, больницы, медицинские страховые компании и т. Д.), Должны использовать один новый NPI. NPI заменяет все другие идентификаторы, используемые страховыми планами, Medicare, Medicaid и другими государственными программами. [55]Однако NPI не заменяет номер DEA провайдера, номер государственной лицензии или идентификационный номер налогоплательщика. NPI состоит из 10 цифр (может быть буквенно-цифровым), последняя цифра является контрольной суммой. NPI не может содержать какой-либо встроенный интеллект; другими словами, NPI - это просто число, которое само по себе не имеет никакого дополнительного значения. NPI является уникальным и национальным, никогда не используется повторно, и, за исключением учреждений, поставщик обычно может иметь только один. Учреждение может получить несколько NPI для разных «частей», таких как отдельно стоящий онкологический центр или реабилитационное учреждение.

Правило исполнения [ править ]

16 февраля 2006 г. HHS издал Окончательное постановление о соблюдении требований HIPAA. Он вступил в силу 16 марта 2006 года. Правило исполнения устанавливает гражданские денежные штрафы за нарушение правил HIPAA и устанавливает процедуры расследования и слушания нарушений HIPAA. На протяжении многих лет преследований за нарушения было немного. [56]

Это могло измениться с наложением штрафа в размере 50 000 долларов на хоспис Северного Айдахо (HONI), который первым был оштрафован за потенциальное нарушение правил безопасности HIPAA, затронувшее менее 500 человек. Рэйчел Сигер, пресс-секретарь HHS, заявила: «HONI не проводила точный и тщательный анализ рисков конфиденциальности ePHI [защищенной электронной информации о здоровье] в рамках процесса управления безопасностью с 2005 по 17 января 2012 года». Это расследование было начато с кражи из служебного автомобиля незашифрованного ноутбука, содержащего 441 историю болезни. [57]

По состоянию на март 2013 года Департамент здравоохранения и социальных служб США (HHS) расследовал более 19 306 дел, которые были разрешены путем внесения изменений в политику конфиденциальности или принятия корректирующих мер. Если несоответствие установлено HHS, организации должны применить корректирующие меры. Жалобы были расследованы против многих различных типов предприятий, таких как национальные аптечные сети, крупные медицинские центры, страховые группы, сети больниц и других мелких поставщиков. В 9 146 случаях расследование HHS показало, что HIPAA соблюдается правильно. Было 44 118 дел, по которым HHS не нашло подходящей причины для принудительного исполнения; например, нарушение, начавшееся до начала HIPAA; дела, отозванные преследователем; или действия, которые фактически не нарушают Правила. Согласно веб-сайту HHS, [58] ниже перечислены проблемы, о которых сообщалось, в зависимости от частоты:

  1. Неправильное использование и раскрытие PHI
  2. Нет защиты вместо информации о здоровье
  3. Пациент не может получить доступ к своей медицинской информации
  4. Использование или раскрытие более чем минимально необходимой защищенной медицинской информации
  5. Нет гарантий защиты информации о здоровье в электронном виде.

Наиболее распространенные организации, которые должны предпринять корректирующие действия для добровольного соблюдения требований HHS, перечислены по частоте: [58]

  1. Частная практика
  2. Больницы
  3. Амбулаторно-поликлинические учреждения
  4. Групповые планы, такие как страховые группы
  5. Аптеки

Раздел III: Налоговые медицинские положения, регулирующие медицинские сберегательные счета [ править ]

Раздел III стандартизирует сумму, которая может быть сохранена на человека на медицинском сберегательном счете до уплаты налогов . Начиная с 1997 года, медицинские сберегательные счета («MSA») доступны для сотрудников, охваченных спонсируемым работодателем планом с высокой франшизой для мелких работодателей и самозанятых лиц.

Раздел IV: Применение и обеспечение выполнения требований группового медицинского страхования [ править ]

Раздел IV определяет условия для групповых планов медицинского страхования в отношении охвата лиц с уже существующими заболеваниями и изменяет требования к продолжению охвата. Он также разъясняет требования к продолжению покрытия и включает пояснение КОБРЫ .

Раздел V: Зачет доходов, регулирующий налоговые вычеты для работодателей [ править ]

Раздел V включает положения, касающиеся корпоративного страхования жизни для работодателей, предоставляющих корпоративные премии по страхованию жизни, запрещающие налоговый вычет процентов по ссудам на страхование жизни, пожертвованиям компании или контрактам, связанным с компанией. Он также отменяет правило финансового учреждения для правил распределения процентов. Наконец, он вносит поправки в положения закона, касающиеся лиц, отказывающихся от гражданства США или постоянного места жительства, расширяет налог на экспатриацию, который будет облагаться налогом на тех, кто считается отказавшимся от своего статуса в США по налоговым причинам, и делает имена бывших граждан частью общедоступный документ путем создания ежеквартального издания физических лиц, избравших в Expatriate . [59]

Влияние на исследования и клиническую помощь [ править ]

Введение в действие Правил конфиденциальности и безопасности привело к серьезным изменениям в методах работы врачей и медицинских центров. Сложные юридические аспекты и потенциально жесткие штрафы, связанные с HIPAA, а также увеличение количества документов и затрат на его реализацию вызвали обеспокоенность у врачей и медицинских центров. В статье, опубликованной в августе 2006 года в журнале Annals of Internal Medicine, подробно описаны некоторые из таких опасений по поводу реализации и последствий HIPAA. [60]

Влияние на исследования [ править ]

Ограничения HIPAA для исследователей повлияли на их способность проводить ретроспективные исследования на основе диаграмм, а также на их способность проспективно оценивать пациентов, связываясь с ними для последующего наблюдения. Исследование, проведенное в Мичиганском университете, показало, что внедрение правила конфиденциальности HIPAA привело к снижению с 96% до 34% доли последующих опросов, выполненных пациентами исследования, за которыми наблюдали после сердечного приступа . [61] Другое исследование, подробно описывающее влияние HIPAA на набор для исследования по профилактике рака, продемонстрировало, что изменения, требуемые HIPAA, привели к снижению набора пациентов на 73%, увеличению времени набора пациентов в три раза и среднего набора пациентов. расходы. [62]

Кроме того, теперь требуются формы информированного согласия для исследовательских исследований, которые должны включать подробные сведения о том, как защищенная медицинская информация участника будет храниться в тайне. Хотя такая информация важна, добавление длинного юридического раздела о конфиденциальности может сделать эти и без того сложные документы еще менее удобными для пациентов, которых просят прочитать и подписать их.

Эти данные позволяют предположить, что правило конфиденциальности HIPAA в том виде, в каком оно применяется в настоящее время, может оказывать негативное влияние на стоимость и качество медицинских исследований . Доктор Ким Игл, профессор внутренней медицины в Мичиганском университете, цитируется в статье Annals, говоря: «Конфиденциальность важна, но исследования также важны для улучшения медицинского обслуживания. Мы надеемся, что мы разберемся с этим и сделаем все правильно. . " [60]

Влияние на клиническую помощь [ править ]

Сложность HIPAA в сочетании с потенциально жесткими наказаниями для нарушителей может привести к тому, что врачи и медицинские центры будут скрывать информацию от тех, кто может иметь на нее право. Обзор выполнения Правил конфиденциальности HIPAA, проведенный Счетной службой США, показал, что поставщики медицинских услуг «не уверены в своих юридических обязанностях по обеспечению конфиденциальности и часто реагируют чрезмерно осторожным подходом к раскрытию информации ... чем это необходимо для обеспечения соблюдения Правило конфиденциальности ». [60] Сообщения об этой неопределенности продолжаются. [63]

Стоимость внедрения [ править ]

В период, непосредственно предшествующий вступлению в силу законов HIPAA о конфиденциальности и безопасности, медицинские центры и медицинские учреждения были обвинены в «соблюдении требований». Сделав упор на потенциально суровых наказаниях, связанных с нарушением, многие практики и центры обратились к частным, коммерческим «консультантам HIPAA», которые были хорошо знакомы с деталями законодательства и предлагали свои услуги для обеспечения того, чтобы врачи и медицинские центры были полностью «в соответствии». Помимо затрат на разработку и обновление систем и практик, увеличение количества документов и рабочего времени персонала, необходимого для выполнения юридических требований HIPAA, может повлиять на финансы медицинских центров и практик в то время, когда страховые компании и возмещение расходов по программе Medicare также сокращаются. .[цитата необходима ]

Образование и обучение [ править ]

Образование и обучение поставщиков медицинских услуг является важным требованием для правильного выполнения законов HIPAA о конфиденциальности и безопасности. Эффективное обучение должно описывать законодательные и нормативные основы и цель HIPAA, а также общее резюме принципов и ключевых положений правила конфиденциальности. [ необходима цитата ] Хотя каждый учебный курс HIPAA должен быть адаптирован к ролям сотрудников, посещающих курс, необходимо включить некоторые важные элементы: [64]

  • Что такое HIPAA?
  • Почему HIPAA важен?
  • Определения HIPAA
  • Права пациента
  • Правило конфиденциальности HIPAA
  • Раскрытие PHI
  • Уведомления о нарушениях
  • BA соглашения
  • Правило безопасности HIPAA
  • Защита ePHI
  • Возможные нарушения
  • Санкции в отношении сотрудников

Аббревиатура HIPAA [ править ]

Хотя аббревиатура HIPAA соответствует названию Государственного закона 104-191 1996 г., Закона о переносимости и подотчетности медицинского страхования , HIPAA иногда ошибочно называют «Законом о конфиденциальности и переносимости медицинской информации (HIPPA)». [65] [66]

Нарушения [ править ]

Разбивка нарушений HIPAA, которые привели к незаконному раскрытию личной информации.

По данным Управления гражданских прав Министерства здравоохранения и социальных служб США, с апреля 2003 г. по январь 2013 г. оно получило 91 000 жалоб на нарушения HIPAA, из которых 22 000 привели к принудительным действиям различного рода (от урегулирования до штрафов), а 521 - к обращение в Министерство юстиции США как уголовное преступление. [67] Примеры серьезных нарушений защищенной информации и других нарушений HIPAA включают:

  • Самая большая потеря данных, от которой пострадали 4,9 миллиона человек со стороны Tricare Management of Virginia в 2011 году [68]
  • Крупнейшие штрафы в размере 5,5 миллионов долларов, наложенные на Memorial Healthcare Systems в 2017 году за доступ к конфиденциальной информации 115 143 пациентов [69], и 4,3 миллиона долларов, наложенные на Cignet Health of Maryland в 2010 году за игнорирование запросов пациентов на получение копий их собственных записей и неоднократное игнорирование запросов федеральных чиновников [70]
  • Первое уголовное дело было предъявлено в 2011 году врачу из Вирджинии, который поделился информацией с работодателем пациента «под ложным предлогом, что пациент представляет серьезную и неминуемую угрозу безопасности общества, хотя на самом деле он знал, что пациент не был такая угроза ". [71]

По данным Koczkodaj et al., 2018 [72], общее число пострадавших с октября 2009 года составляет 173 398 820 человек.

Различия между гражданскими и уголовными наказаниями резюмированы в следующей таблице:

Тип нарушенияГРАЖДАНСКИЙ штраф (мин)ГРАЖДАНСКИЙ Штраф (макс.)
Человек не знал (и, проявив разумную осмотрительность, не узнал бы), что он / она нарушил HIPAA.100 долларов США за нарушение, максимум 25 000 долларов США в год за повторные нарушения.50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год.
Нарушение HIPAA по уважительной причине, а не из-за умышленного пренебрежения1000 долларов США за нарушение, максимум 100000 долларов США в год за повторные нарушения50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год.
Нарушение HIPAA из-за умышленного пренебрежения, но нарушение устраняется в установленный срок10 000 долларов США за нарушение, максимальный годовой максимум 250 000 долларов США за повторные нарушения.50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год.
Нарушение HIPAA связано с умышленным пренебрежением и не исправляется50 000 долларов США за нарушение, максимальная годовая сумма - 1 000 000 долларов США.50 000 долларов США за нарушение, максимум 1,5 миллиона долларов США в год.
Тип нарушенияУГОЛОВНОЕ наказание
Охватываемые организации и определенные лица, которые «сознательно» получают или раскрывают индивидуально идентифицируемую медицинскую информацию.Штраф до 50 000 долларов США.

Тюремное заключение до 1 года

Преступления, совершенные под ложным предлогомШтраф до 100 000 долларов США.

Тюремное заключение до 5 лет

Преступления, совершенные с намерением продать, передать или использовать индивидуально идентифицируемую медицинскую информацию в коммерческих целях, для личной выгоды или злонамеренного вреда.Штраф до 250 000 долларов США.

Тюремное заключение до 10 лет

Законодательная информация [ править ]

  • Pub.L.  104–191 (текст) (pdf) , 110  Stat.  1936 г.
  • HR 3103 ; H. Rept. 104-469, часть 1; H. Rept. 104-736
  • S. 1028 ; S. 1698 ; S. Rept. 104-156
  • Стандарты безопасности HHS , 45 CFR 160 , 45 CFR 162 и 45 CFR 164
  • Стандарты HHS по конфиденциальности индивидуально идентифицируемой медицинской информации, 45 CFR 160 и 45 CFR 164

Ссылки [ править ]

  1. ^ Атчинсон, Брайан К .; Фокс, Дэниел М. (май – июнь 1997 г.). «Политика Закона о переносимости и подотчетности медицинского страхования» (PDF) . По делам здравоохранения . 16 (3): 146–150. DOI : 10,1377 / hlthaff.16.3.146 . PMID  9141331 . Архивировано из оригинального (PDF) 16 января 2014 года . Проверено 16 января 2014 .
  2. ^ "104-й Конгресс, 1-я сессия, S.1028" (PDF) . Архивировано (PDF) из оригинала на 16.06.2012.
  3. ^ «HIPAA для чайников» .
  4. ^ «Планы медицинского обслуживания и льготы: переносимость медицинского страхования» . Министерство труда США . 2015-12-09. Архивировано 20 декабря 2016 года . Проверено 5 ноября 2016 .
  5. ^ «Обзор» . www.cms.gov . 2016-09-13. Архивировано 2 ноября 2016 года . Проверено 5 ноября 2016 .
  6. ^ 29 USC  § 1181 (а) (2)
  7. ^ 29 USC  § 1181 (а) (3)
  8. ^ 29 USC  § 1181 (c) (1)
  9. ^ 29 USC  § 1181 (c) (2) (A)
  10. ^ (Подпункт B, раздел 110)
  11. ^ (Подпункт B, раздел 111)
  12. ^ «HIPAA для медицинских работников: правило конфиденциальности» . 2014. DOI : 10,4135 / 9781529727890 . Цитировать журнал требует |journal=( помощь )
  13. ^ 42 USC  § 1320a-7c
  14. ^ 42 USC  § 1395ddd
  15. ^ 42 USC  § 1395b-5
  16. ^ a b «42 Кодекса США § 1395ddd - Программа обеспечения добросовестности Medicare» . LII / Институт правовой информации . Архивировано 21 марта 2018 года . Проверено 21 марта 2018 .
  17. ^ a b 45 CFR 160.103
  18. ^ «Каково определение организации, на которую распространяется действие HIPAA? - NetSec.News» . 9 октября 2017. Архивировано 6 мая 2018 года.
  19. ^ Терри, Кен «Конфиденциальность пациентов - Новые угрозы». Архивировано 20 ноября 2015 г. вжурнале « Практика врачей-терапевтов Wayback Machine » , том 19, номер 3, 2009 год, дата обращения 2 июля 2009 г.
  20. ^ См. 45 CFR, разделы 160.102 и 160.103, заархивированные 2012-01-12 в Wayback Machine .
  21. ^ 45 CFR 164.524
  22. ^ 45 CFR 164.512
  23. ^ (OCR), Управление по гражданским правам (7 мая 2008 г.). «Краткое изложение правила конфиденциальности HIPAA» . Архивировано 6 декабря 2015 года.
  24. ^ 45 CFR 164.524
  25. ^ 45 CFR 164.502
  26. ^ 45 CFR 164.502
  27. ^ 45 CFR 164.526
  28. ^ 45 CFR 164.522
  29. ^ Роу, Линда (2005). «Что судебные должностные лица должны знать о правиле конфиденциальности HIPAA». Журнал НАСПА . 42 (4): 498–512. DOI : 10.2202 / 0027-6014.1537 . ProQuest 62084860 . 
  30. ^ 45 CFR 164.528
  31. ^ 45 CFR 164.530
  32. ^ 45 CFR 164.530
  33. ^ «Как подать жалобу о нарушении конфиденциальности медицинской информации в Управление по гражданским правам» (PDF) . Архивировано из оригинального (PDF) 21 декабря 2016 года . Проверено 7 октября 2017 .
  34. ^ 45 CFR 160.306
  35. «Распространение записей вызывает опасения по поводу эрозии конфиденциальности». Архивировано 10 июля 2017 г. в Wayback Machine , 23 декабря 2006 г., Тео Фрэнсис, The Wall Street Journal.
  36. ^ "Калифорнийский университет урегулирует дело HIPAA о конфиденциальности и безопасности, касающееся учреждений системы здравоохранения UCLA" . Департамент здравоохранения и социальных служб. Архивировано 12 октября 2017 года.
  37. ^ (OCR), Управление по гражданским правам (30 октября 2015 г.). «Omnibus HIPAA Rulemaking» .
  38. ^ «В чем разница между бизнес-партнером HIPAA и юридическим лицом, на которое распространяется действие HIPAA» . Журнал HIPAA . 2017-10-06. Архивировано 18 февраля 2018 года . Проверено 12 октября 2017 .
  39. ^ Информация о здоровье умерших людей, заархивированная 2017-10-19 на Wayback Machine 2013
  40. ^ "Штрафы за нарушение правил HIPAA отменены после урагана Харви - netsec.news" . netsec.news . 2017-08-28. Архивировано 6 мая 2018 года . Проверено 28 октября 2017 .
  41. ^ (OCR), Отдел конфиденциальности медицинской информации, Управление по гражданским правам (2016-01-05). «Право физических лиц в соответствии с HIPAA на доступ к своей медицинской информации» . HHS.gov . Архивировано 02 декабря 2017 года . Проверено 10 декабря 2017 .
  42. ^ «Право физических лиц в соответствии с HIPAA на доступ к своей медицинской информации 45 CFR § 164.524» . Министерство здравоохранения и социальных служб США . Проверено 10 апреля 2021 года .
  43. ^ Права (OCR), Управление по гражданским делам (2009-11-20). «Краткое изложение правила безопасности HIPAA» . HHS.gov . Проверено 17 марта 2021 .
  44. ^ Алерс, Майк М. «Asiana оштрафована на 500 000 долларов за неспособность помочь семьям - CNN» . CNN. Архивировано 27 февраля 2014 года.
  45. ^ "Архивная копия" . Архивировано 5 июня 2016 года . Проверено 19 апреля 2016 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  46. ^ «Нью-Йорк Таймс исследует« непредвиденные последствия »правила конфиденциальности HIPAA» . 3 июня 2003 г. Архивировано 6 мая 2016 г.
  47. ^ Управление социального обеспечения США. «РАЗДЕЛ XI - Общие положения, экспертная оценка и административное упрощение» . www.ssa.gov . Проверено 18 июля 2020 .
  48. ^ «Обзор» . www.cms.gov . 26 июля 2017. Архивировано 18 октября 2017 года.
  49. ^ "Каковы правила административного упрощения HIPAA?" . 20 октября 2017. Архивировано 19 февраля 2018 года.
  50. ^ «Обзор» . www.cms.gov . 28 марта 2016 г. Архивировано 12 февраля 2012 г.
  51. ^ CSM.gov «Medicare и Medicaid Services» «Стандарты для электронных транзакций - новые версии, новый стандарт и новый набор кодов - окончательные правила»
  52. ^ «Надвигающаяся проблема в здравоохранении EDI: миграция по МКБ-10 и HIPAA 5010» 10 октября 2009 г. - Шахид Н. Шах
  53. ^ «Правила безопасности HIPAA и анализ рисков» . Американская медицинская ассоциация.
  54. Вафа, Тим (лето 2010 г.). «Как отсутствие предписывающей технической детализации в HIPAA поставило под угрозу конфиденциальность пациентов». Обзор права Университета Северного Иллинойса . 30 (3). SSRN 1547425 . 
  55. ^ Закон о переносимости и подотчетности медицинского страхования 1996 г. (HIPAA). Архивировано 8 января 2014 г. на Wayback Machine, Стив Андерсон: HealthInsurance.org.
  56. ^ Закон о конфиденциальности в области медицины не предусматривает штрафов. Архивировано 13 октября 2017 года в Wayback Machine Роб Штайн: The Washington Post .
  57. ^ "Архивная копия" . Архивировано 9 января 2013 года . Проверено 9 января 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка ) Федералы усиливают исполнение HIPAA с помощью хосписного урегулирования
  58. ^ a b Информация о правоприменении, заархивированная 21 августа 2017 г. на Wayback Machine 2017 г.
  59. ^ Кирш, Майкл С. (2004). «Альтернативные санкции и федеральный налоговый закон: символы, позор и управление социальными нормами как замена эффективной налоговой политики». Обзор закона Айовы . 89 (863). SSRN 552730 . 
  60. ^ a b c Уилсон Дж (2006). «Правило о конфиденциальности Закона о переносимости и подотчетности медицинского страхования вызывает постоянную озабоченность среди врачей и исследователей». Ann Intern Med . 145 (4): 313–6. DOI : 10.7326 / 0003-4819-145-4-200608150-00019 . PMID 16908928 . 
  61. ^ Армстронг D, Клайн-Роджерс Е, Яни S, Голдман Е, Фан - J, D Мукерджи, Nallamothu В, Игл К (2005). «Возможное влияние правила конфиденциальности HIPAA на сбор данных в реестре пациентов с острым коронарным синдромом» . Arch Intern Med . 165 (10): 1125–9. DOI : 10,1001 / archinte.165.10.1125 . PMID 15911725 . 
  62. Перейти ↑ Wolf M, Bennett C (2006). «Местный взгляд на влияние правила конфиденциальности HIPAA на исследования» . Рак . 106 (2): 474–9. DOI : 10.1002 / cncr.21599 . PMID 16342254 . 
  63. Гросс, Джейн (3 июля 2007 г.). «Хранение личных сведений о пациентах, даже от родственников» . Нью-Йорк Таймс . Архивировано 12 августа 2017 года . Проверено 11 августа 2019 года .
  64. ^ «Требования к обучению HIPAA» .
  65. ^ "Окружной суд Соединенных Штатов" (PDF) . 16 сентября 2010 г. нарушение Закона о конфиденциальности и переносимости медицинской информации. («HIPPA»)
  66. Перейти ↑ SE Ross (2003). «Влияние расширения доступа пациентов к медицинской документации: обзор» . Журнал Американской ассоциации медицинской информатики . 10 (2): 129–138. DOI : 10.1197 / jamia.M1147 . PMC 150366 . PMID 12595402 . Закон о конфиденциальности и мобильности медицинского страхования (HIPPA) гласит, что ...  
  67. ^ «Основные моменты правоприменения» . OCR Home, Конфиденциальность информации о здоровье, Правоприменительные меры и результаты, Основные положения о правоприменении . Министерство здравоохранения и социальных служб США. Архивировано 5 марта 2014 года . Проверено 3 марта 2014 .
  68. ^ «Нарушения, затрагивающие 500 или более человек» . OCR Home, Конфиденциальность медицинской информации, Закон и правила об административном упрощении HIPAA, Правило уведомления о нарушениях . Министерство здравоохранения и социальных служб США. Архивировано 15 марта 2015 года . Проверено 3 марта 2014 .
  69. ^ «Объявлено рекордное мировое соглашение HIPAA: 5,5 миллионов долларов выплачивает Memorial Healthcare Systems» . Журнал HIPAA . 17 февраля 2017 года.
  70. ^ «Штраф гражданские деньги» . Официальный сайт HHS . Министерство здравоохранения и социальных служб США. Октябрь 2010. Архивировано 8 октября 2017 года . Проверено 8 октября 2017 года .
  71. ^ «Жалоба на нарушение конфиденциальности HIPAA впервые была возбуждена федеральным уголовным преследованием» . Журнал HIPAA . Июль 2011. Архивировано 17 февраля 2018 года . Проверено 10 октября 2017 года .
  72. ^ Koczkodaj, Waldemar W .; Мазурек, Мирослав; Стшалка, Доминик; Вольны-Доминик, Алисия; Вудбери-Смит, Марк (2018). Исследование социальных индикаторов, https://link.springer.com/article/10.1007/s11205-018-1837-z Нарушения электронных медицинских карт как социальные индикаторы.

Внешние ссылки [ править ]

  • Калифорнийский офис по внедрению HIPAA (CalOHI)
  • «HIPAA» , Центры услуг Medicare и Medicaid
  • Исследовательская служба Конгресса США (CRS) сообщает о HIPAA , Библиотеках Университета Северного Техаса
  • Полный текст Закона о переносимости и подотчетности в медицинском страховании (PDF / TXT) Типография правительства США
  • Страница Управления по гражданским правам на HIPAA