HIPAA PHI-Richtlinien und -Verfahren

Der Kongress verabschiedete 1996 das Health Insurance Portability and Accountability Act, auch bekannt als HIPAA. Das Gesetz erlaubt es Amerikanern, bei einem Arbeitsplatzverlust oder -wechsel die Krankenversicherung zu übertragen und fortzusetzen, und verlangt von den Gesundheitsdienstleistern, den Patienten schriftliche Mitteilungen zu erteilen wie ihre persönlichen Gesundheitsdaten verwendet oder weitergegeben werden. Jedes Unternehmen, das mit geschützten Gesundheitsinformationen für Mitarbeiter umgeht, muss die HIPAA-Datenschutzrichtlinien einhalten. "Geschützte Gesundheitsinformationen" oder PHI bezieht sich auf alle individuell identifizierbaren Gesundheitsinformationen, die unter die Datenschutzregel von HIPAA fallen.

Die Datenschutzregel

Die Datenschutzregel soll Personen über Datenschutzprobleme und Bedenken im Zusammenhang mit ihrem PHI informieren. Es ermöglicht ihnen, Gesundheitspläne und Gesundheitsdienstleister auf mögliche Regelverstöße hinzuweisen und ihre Rechte bei Bedarf auszuüben. Die Datenschutzregel besagt, dass Gesundheitspläne und Anbieter von Gesundheitsleistungen Mitteilungen entwickeln und an Patienten verteilen müssen, in denen klar dargelegt wird, wie sie die PHI dieses Patienten verwenden oder offenlegen und welche Rechte der Patient unter der Regel hat.

PHI-Richtlinien

Gemäß dem HIPAA-Gesetz klassifiziert die Datenschutzregel alle Unternehmen, die das PHI von Patienten übertragen oder empfangen, als "abgedeckte Entitäten". Diese Unternehmen müssen über dokumentierte Datenschutzrichtlinien und -verfahren sowie über die erforderlichen Schulungen verfügen, um diese zu ergänzen. Ein Datenschutzbeauftragter sollte beauftragt werden, Datenschutzrichtlinien zu erstellen und durchzusetzen und damit zusammenhängende Beschwerden für das Unternehmen zu bearbeiten. Die Minderung von Risiken, die Abwehr von Vergeltungsmaßnahmen oder der Verzicht auf Rechte der Datenschutzregel sowie der Schutz von PHI sind alle in der Datenschutzregel aufgeführten Richtlinien. Wenn ein kleines Unternehmen ein PHI sammelt, um es im Namen des Arbeitnehmers bei einem Anbieter des Gesundheitsplans einzureichen, muss dies auf eine PHI-Beschwerde hin erfolgen, da es als versichertes Unternehmen betrachtet wird.

PHI-Verfahren

Unternehmen müssen alle geeigneten Maßnahmen ergreifen, um die Vertraulichkeit vertraulicher Informationen zu gewährleisten, indem sie den Zugriff von Mitarbeiterdaten auf autorisiertes Personal beschränken. Wo immer dies möglich ist, sollten die erfassten Unternehmen bestrebt sein, nur die minimalen Gesundheitsinformationen des Patienten für Dritte zu verwenden. Jede betroffene Einheit, die die Analyse, Verarbeitung oder Abwicklung von PHI an einen Dritten auslagert, der im Rahmen der Datenschutzregel als Geschäftspartner bezeichnet wird, sollte sicherstellen, dass sie einen vertraglichen Vertrag mit dem Verkäufer geschlossen haben.

Überlegungen

Versicherte Unternehmen müssen sicherstellen, dass sie die PHI-Richtlinien und -Verfahren von HIPAA gemäß den in der Datenschutzregel festgelegten Richtlinien oder in Verbindung mit den schriftlich formulierten Wünschen der Einzelperson oder ihres persönlichen Vertreters befolgen. Einzelpersonen können gegen mögliche Missbräuche ihrer PHI durch Gesundheitspläne, Gesundheitsdienstleister, Arbeitgeber und Geschäftspartner wachsam sein, indem sie alle Datenschutzhinweise sorgfältig prüfen. Verstöße gegen Beschwerden sollten innerhalb von 180 Tagen nach dem mutmaßlichen Verstoß per Post, Fax oder E-Mail beim Amt für Bürgerrechte eingereicht werden.

Beliebte Beiträge