侵犯访问权或信息封锁?第 2 部分

Office Data gives you office 365 database with full contact details. If you like to buy the office database then you can discuss it here.
Post Reply
shuklarani621
Posts: 726
Joined: Mon Dec 02, 2024 9:25 am

侵犯访问权或信息封锁?第 2 部分

Post by shuklarani621 »

作者:A. Michi McClure,JD,AIHC 成员和 CEU 教育委员会志愿者

本文延续了 第 1 部分的 主题,即了解发布信息时可能出现的 HIPAA 违规行为。这是访问权还是信息阻止?两者都有处罚。如果您还没有 读过第 1 部分,请阅读。HIPAA 隐私/安全和合规官员以及健康信息管理专业人员需要知道两者的区别。

访问权倡议


个人访问其健康信息的权利位于 45 CFR § 164.524,属于 HIPAA 规则的一部分。它规定个人有权访问和获取由受保实体(例如医疗保 阿曼电报数据 健提供者和健康计划)保存的受保护健康信息 (PHI) 的副本。这包括电子受保护健康信息 (ePHI)。

信息封锁


信息阻断的确切监管定义可以在《联邦法规》第 45 CFR 171.103 条中找到。根据《21 世纪治愈法案》制定的信息阻断规则要求受保实体以安全、及时和适合情况的方式提供 EHI 供访问和交换。2022 年 10 月 6 日,电子健康信息 (EHI) 的定义扩大到包括组织指定记录集 (DRS) 的所有数字组件。

区分访问权和信息阻止非常重要,以确保您的组织遵守这两项规则以及任何适用的州隐私法规。下面的图表是第 1 部分提供的信息的延续,展示了两者之间的相似之处和差异的比较。

方面

访问权

信息封锁

它是什么:

HIPAA 要求个人能够访问由涵盖实体维护的一个或多个指定记录集中包含的自己的 PHI。

《 21世纪治愈法案》中的一项规定旨在最大限度地减少对授权人员访问、交换或使用电子健康信息的能力的干扰。

这些信息可以向谁发布?

除个人外,以下个人或实体在某些情况下也可以被允许访问 PHI:

个人代表:个人可以指定个人代表,例如法定监护人、医疗代理人或其他授权人,代表其获取其 PHI 的访问权。
父母和监护人:父母或法定监护人可以访问其未成年子女或由其法定监护的子女的 PHI。
医疗保健提供者:其他医疗保健提供者可能会被授予访问个人 PHI 的权限,以提供治疗或协调护理。
业务伙伴:为涵盖实体提供服务(例如计费或转录服务)的业务伙伴可能被允许访问 PHI 来执行他们的服务。
除某些有限情况外,必须以个人要求的方式,在不无理拖延的情况下向个人、其个人代表和其他授权方提供 EHI 。授权方可能包括:

其他医疗保健提供者:医疗保健提供者可能被授权访问个人的 EHI,以提供治疗或协调护理。
健康计划:健康计划可能被授权访问个人的 EHI,以便管理福利和协调护理。
护理人员和家庭成员:护理人员和家庭成员可以在个人同意或法律授权的情况下被授权访问个人的 EHI。
研究人员:研究人员可能被授权出于研究目的访问匿名化的 EHI,但须遵守某些隐私和安全要求。
公共卫生当局:公共卫生当局可能被授权访问 EHI,以监测和应对公共卫生威胁。
该请求会被拒绝吗?

在某些有限情况下,受保实体可以拒绝访问受保护健康信息 (PHI) 的请求。受保实体必须向个人提供书面拒绝和拒绝解释,以及如何请求审查拒绝的信息。访问请求可能被拒绝的有限情况包括:

心理治疗笔记:涵盖的实体不需要提供心理治疗笔记,这些笔记是由心理健康专业人员记录或分析咨询会议的内容的笔记。
为法律诉讼而汇编的信息:涵盖实体可能会拒绝访问为法律诉讼目的而创建的信息,例如律师与客户之间的特权通信。
法律禁止的信息:如果其他法律禁止提供访问权限,则涵盖实体可以拒绝访问 PHI。
可能造成伤害的信息:如果涵盖实体合理地认为提供访问权限会危及个人或他人的生命或人身安全,则可拒绝访问 PHI。
根据信息屏蔽规则,医疗保健提供者和其他受保实体只能在某些有限情况下拒绝访问 EHI 的请求。访问请求可能被拒绝的例外情况包括:

防止伤害:如果医疗保健提供者认为提供访问权限可能会对个人或他人造成伤害,则他们可以限制对 EHI 的访问。
隐私:如果医疗保健提供者合理地认为提供访问权限会侵犯他人的隐私,则可以限制对 EHI 的访问。
安全性:如果医疗保健提供者合理地认为提供访问权限会对 EHI 或电子健康记录生态系统的其他系统构成安全风险,则他们可以限制对 EHI 的访问。
不可行性:如果请求在技术上不可行,或者提供访问权限需要付出不合理的努力或资源,医疗保健提供者可能会限制对 EHI 的访问。
如果被拒绝访问,医疗保健提供者还必须提供如何提出投诉的信息。

允许向患者收取费用吗?

是的,HIPAA 隐私规则涵盖的实体可以收取合理的、基于成本的费用,以向个人提供访问其受保护的健康信息 (PHI) 的权限。

费用可能仅包括复印 PHI 的人工成本、创建纸质或电子副本的材料成本,以及邮费(如果个人要求将 PHI 邮寄给他们)。
该费用可能不包括搜索和检索 PHI 的费用或任何其他相关的管理费用。
受保实体必须提前告知个人费用。

费用可能不会成为个人访问其 PHI 的障碍。如果 PHI 可以以个人要求的格式轻松生成,则涵盖实体还必须以该格式提供对 PHI 的访问。
需要注意的是,有些情况下不能收取费用,例如当个人为了向 HHS 提出投诉而请求访问其 PHI 时,或者当受保实体未能及时向个人提供其 PHI 的访问权限时。某些州法律可能会限制或禁止对提供 PHI 访问权限收取的费用。

不是,根据信息阻止规则,医疗保健提供者和其他涵盖实体不得收取访问、交换或使用 EHI 所不合理必要的费用。

这意味着,如果个人请求访问其 EHI 或将其 EHI 传输给另一个实体,则涵盖实体通常不允许收取高于满足请求所需的劳动力和资源成本的费用。
此外,如果受监管实体对与 EHI 相关的任何其他服务或产品(例如 EHR 系统)收取费用,则该费用必须与提供该服务或产品的实际成本合理相关。受监管实体还必须详细说明费用及其计算方式,并且必须公开这些费用。

需要注意的是,在某些情况下,受保实体可能会收取高于劳动力和资源成本的费用,例如当请求很复杂或涉及大量 EHI 时。但是,这些费用必须合理,并且受保实体必须提供逐项说明费用的账单。
Top
Post Reply

Return to “Office Data”