พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา
พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ พ.ศ. 2539
Great Seal of the United States
ชื่อสั้นอื่น ๆพระราชบัญญัติ Kassebaum–Kennedy, พระราชบัญญัติ Kennedy–Kassebaum
ชื่อยาวพระราชบัญญัติแก้ไขประมวลรัษฎากรภายใน พ.ศ. 2539 เพื่อปรับปรุงการพกพาและความต่อเนื่องของการประกันสุขภาพในกลุ่มและแต่ละตลาด เพื่อต่อสู้กับของเสีย การฉ้อโกง และการละเมิดในการประกันสุขภาพและการส่งมอบการดูแลสุขภาพ เพื่อส่งเสริมการใช้บัญชีออมทรัพย์ทางการแพทย์ เพื่อปรับปรุงการเข้าถึงบริการและความคุ้มครองการดูแลระยะยาว เพื่อทำให้การบริหารการประกันสุขภาพง่ายขึ้น และเพื่อวัตถุประสงค์อื่นๆ
คำย่อ (ภาษาปาก)HIPAA (ออกเสียง/ ชั่วโมง ɪ พีə / , Hip-UH)
ออกกฎหมายโดยสภาคองเกรสแห่งสหรัฐอเมริกาครั้งที่104
การอ้างอิง
กฎหมายมหาชนผับ.แอล.  104–191 (ข้อความ) (pdf)
กฎเกณฑ์ที่ใหญ่110  สถิติ  พ.ศ. 2479
ประวัติศาสตร์กฎหมาย
  • แนะนำในบ้าน ในชื่อ H.R. 3103 โดย Bill Archer ( R - TX ) เมื่อวันที่ 18 มีนาคม 1996
  • การพิจารณาของคณะกรรมการโดย House Ways and Means
  • เสด็จสวรรคตเมื่อวันที่ 28 มีนาคม พ.ศ. 2539 ( 267–151 )
  • ผ่านวุฒิสภาเมื่อวันที่ 23 เมษายน พ.ศ. 2539 ( 100–0แทนส. 1028 )
  • รายงานโดยคณะกรรมการการประชุมร่วมเมื่อวันที่ 31 กรกฎาคม พ.ศ. 2539; สภาตกลงเมื่อวันที่ 1 สิงหาคม พ.ศ. 2539 ( 421-2 ) และโดยวุฒิสภาเมื่อวันที่ 2 สิงหาคม พ.ศ. 2539 ( 98–0 )
  • ลงนามในกฎหมายโดยประธานาธิบดี Bill Clinton เมื่อวันที่ 21 สิงหาคม พ.ศ. 2539

ประกันสุขภาพ Portability และ Accountability Act ของปี 1996 ( HIPAAหรือเคนเนดี้ - Kassebaumพระราชบัญญัติ[1] [2] ) เป็นกฎหมายของรัฐบาลกลางสหรัฐอเมริกาตราขึ้นโดย104th รัฐสภาคองเกรสแห่งสหรัฐอเมริกาและลงนามในกฎหมายโดยประธานาธิบดีบิลคลินตันที่ 21 สิงหาคม 1996 . มันทันสมัยการไหลของข้อมูลการดูแลสุขภาพ, กำหนดวิธีการที่ข้อมูลส่วนบุคคลดูแลโดยการดูแลสุขภาพและประกันสุขภาพอุตสาหกรรมควรได้รับการคุ้มครองจากการฉ้อโกงและการโจรกรรมและการแก้ไขข้อ จำกัด บางประการเกี่ยวกับความคุ้มครองประกันสุขภาพ [3]โดยทั่วไปห้ามผู้ให้บริการด้านการดูแลสุขภาพและธุรกิจด้านการดูแลสุขภาพ ซึ่งเรียกว่าหน่วยงานที่ได้รับการคุ้มครอง จากการเปิดเผยข้อมูลที่ได้รับการคุ้มครองแก่บุคคลอื่นที่ไม่ใช่ผู้ป่วยและตัวแทนที่ได้รับอนุญาตของผู้ป่วยโดยไม่ได้รับความยินยอมจากพวกเขา ด้วยข้อยกเว้นที่จำกัด ไม่ได้จำกัดผู้ป่วยจากการรับข้อมูลเกี่ยวกับตนเอง[4]ไม่ได้ห้ามพวกเขาจากการแบ่งปันข้อมูลด้านสุขภาพโดยสมัครใจตามที่พวกเขาเลือก หรือ – หากพวกเขาเปิดเผยข้อมูลทางการแพทย์แก่สมาชิกในครอบครัว เพื่อน หรือบุคคลอื่น ๆ ที่ไม่ได้เป็นส่วนหนึ่งของหน่วยงานที่ได้รับการคุ้มครอง – กฎหมายกำหนดให้พวกเขารักษาความลับ

การกระทำประกอบด้วยห้าชื่อ หัวข้อที่ 1 ของ HIPAA คุ้มครองการประกันสุขภาพสำหรับคนงานและครอบครัวเมื่อต้องเปลี่ยนหรือตกงาน [5]หัวข้อ II ของ HIPAA หรือที่รู้จักกันในชื่อ Administrative Simplification (AS) กำหนดให้มีการจัดตั้งมาตรฐานระดับชาติสำหรับธุรกรรมด้านการดูแลสุขภาพทางอิเล็กทรอนิกส์และตัวระบุระดับชาติสำหรับผู้ให้บริการ แผนประกันสุขภาพ และนายจ้าง [6] Title III กำหนดแนวทางสำหรับบัญชีการใช้จ่ายทางการแพทย์ก่อนหักภาษี Title IV กำหนดแนวทางสำหรับแผนสุขภาพแบบกลุ่ม และ Title V ควบคุมนโยบายประกันชีวิตของบริษัท

ชื่อเรื่อง

การกระทำมีห้าส่วนที่เรียกว่าชื่อเรื่อง

หัวข้อ I: การเข้าถึงการดูแลสุขภาพ การพกพา และการต่ออายุ

หัวข้อที่ 1 ของ HIPAA กำหนดความพร้อมและความกว้างของแผนประกันสุขภาพกลุ่มและนโยบายการประกันสุขภาพส่วนบุคคลบางประเภท แก้ไขพระราชบัญญัติความมั่นคงด้านรายได้ของพนักงานเกษียณอายุ พระราชบัญญัติการบริการสาธารณสุข และประมวลรัษฎากรภายใน นอกจากนี้ Title I ยังกล่าวถึงปัญหา "การล็อกงาน" ซึ่งพนักงานไม่สามารถออกจากงานได้เนื่องจากจะสูญเสียหลักประกันสุขภาพ[7]เพื่อต่อสู้กับปัญหาการล็อกงาน ชื่อเรื่องจะคุ้มครองการประกันสุขภาพสำหรับคนงานและครอบครัวหากพวกเขาสูญเสียหรือเปลี่ยนงาน[8]

หัวข้อที่ 1 ต้องการความครอบคลุมและยังจำกัดข้อจำกัดที่แผนสุขภาพแบบกลุ่มสามารถนำไปใช้กับสิทธิประโยชน์สำหรับเงื่อนไขที่มีอยู่ก่อนได้ แผนประกันสุขภาพกลุ่มอาจปฏิเสธที่จะให้ผลประโยชน์ที่เกี่ยวข้องกับเงื่อนไขที่มีอยู่ก่อนเป็นเวลา 12 เดือนหลังจากลงทะเบียนในแผนหรือ 18 เดือนในกรณีที่ลงทะเบียนล่าช้า[9] หัวข้อที่ 1 อนุญาตให้บุคคลลดระยะเวลาการยกเว้นตามระยะเวลาที่พวกเขามี "ความคุ้มครองที่น่าเชื่อถือ" ก่อนลงทะเบียนในแผนและหลังจาก "ช่วงพักที่สำคัญ" ในส่วนความคุ้มครอง[10] "ความคุ้มครองที่น่าเชื่อถือ" กำหนดไว้ค่อนข้างกว้างและรวมถึงแผนประกันสุขภาพแบบกลุ่มและรายบุคคล Medicare และ Medicaid เกือบทั้งหมด[11] "การหยุดพักที่สำคัญ"ในความคุ้มครองหมายถึงระยะเวลา 63 วันใด ๆ โดยไม่มีความคุ้มครองใด ๆ ที่น่าเชื่อถือ[12]นอกเหนือจากข้อยกเว้น การอนุญาตให้นายจ้างผูกเบี้ยประกันหรือร่วมจ่ายกับการใช้ยาสูบ หรือดัชนีมวลกาย

หัวข้อที่ 1 [13]ยังกำหนดให้บริษัทประกันต้องออกกรมธรรม์โดยไม่มีข้อยกเว้นแก่ผู้ที่ออกจากแผนประกันสุขภาพแบบกลุ่มที่มีความคุ้มครองที่น่าเชื่อถือ (ดูด้านบน) เกิน 18 เดือน และ[14]ต่ออายุกรมธรรม์ส่วนบุคคลตราบเท่าที่มีการเสนอหรือให้ทางเลือกแทนแผนบริการที่ถูกยกเลิก ตราบเท่าที่ผู้ประกันตนอยู่ในตลาดโดยไม่มีข้อยกเว้นโดยไม่คำนึงถึงสภาพสุขภาพ

แผนการดูแลสุขภาพบางแผนได้รับการยกเว้นจากข้อกำหนดของ Title I เช่น แผนสุขภาพระยะยาวและแผนขอบเขตจำกัด เช่น แผนทันตกรรมหรือวิสัยทัศน์ที่เสนอแยกต่างหากจากแผนสุขภาพทั่วไป อย่างไรก็ตาม หากผลประโยชน์ดังกล่าวเป็นส่วนหนึ่งของแผนประกันสุขภาพทั่วไป HIPAA จะยังคงนำไปใช้กับสิทธิประโยชน์ดังกล่าว ตัวอย่างเช่น หากแผนใหม่เสนอผลประโยชน์ทางทันตกรรม แผนนั้นจะต้องนับความคุ้มครองต่อเนื่องที่น่าเชื่อถือภายใต้แผนสุขภาพเดิมในระยะเวลายกเว้นสำหรับผลประโยชน์ทางทันตกรรมใดๆ

วิธีอื่นในการคำนวณความครอบคลุมต่อเนื่องที่น่าเชื่อถือมีอยู่ในแผนสุขภาพภายใต้หัวข้อ I นั่นคือ ความคุ้มครองสุขภาพ 5 ประเภทสามารถพิจารณาแยกกัน รวมถึงความคุ้มครองทันตกรรมและการมองเห็น สิ่งใดที่ไม่เข้าข่าย 5 หมวดนั้น ต้องใช้การคำนวณทั่วๆ ไป (เช่น ผู้รับผลประโยชน์อาจนับด้วยความคุ้มครองทั่วไป 18 เดือน แต่คุ้มครองทันตกรรมเพียง 6 เดือน เนื่องจากผู้รับประโยชน์ไม่มีแผนสุขภาพทั่วไปที่ครอบคลุมทันตกรรมถึง 6 เดือน ก่อนวันสมัคร) เนื่องจากแผนความคุ้มครองแบบจำกัดได้รับการยกเว้นจากข้อกำหนดของ HIPAA จึงมีกรณีแปลก ๆ ที่ผู้ยื่นขอแผนประกันสุขภาพกลุ่มทั่วไปไม่สามารถรับใบรับรองความครอบคลุมต่อเนื่องที่เชื่อถือได้สำหรับแผนขอบเขตจำกัดอิสระเช่น ทันตกรรม เพื่อสมัครช่วงยกเว้นของแผนใหม่ที่ครอบคลุมความคุ้มครองเหล่านั้น

ระยะเวลาการยกเว้นที่ซ่อนอยู่นั้นไม่ถูกต้องภายใต้หัวข้อ I (เช่น "อุบัติเหตุที่ต้องได้รับการคุ้มครอง จะต้องเกิดขึ้นในขณะที่ผู้รับผลประโยชน์ได้รับการคุ้มครองภายใต้สัญญาประกันสุขภาพฉบับเดียวกันนี้") ข้อกำหนดดังกล่าวจะต้องไม่ถูกดำเนินการตามแผนสุขภาพ นอกจากนี้ ต้องเขียนใหม่เพื่อให้สอดคล้องกับ HIPAA [15]

หัวข้อ II: การป้องกันการฉ้อโกงและการละเมิดด้านการดูแลสุขภาพ การทำให้เข้าใจง่ายในการบริหาร; การปฏิรูปความรับผิดทางการแพทย์

หัวข้อที่ 2 ของ HIPAA กำหนดนโยบายและขั้นตอนในการรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ แสดงโครงร่างความผิดมากมายที่เกี่ยวข้องกับการดูแลสุขภาพ และกำหนดโทษทางแพ่งและทางอาญาสำหรับการละเมิด นอกจากนี้ยังสร้างหลายโปรแกรมเพื่อควบคุมการฉ้อโกงและการละเมิดภายในระบบการดูแลสุขภาพ[16] [17] [18] [19]อย่างไรก็ตาม บทบัญญัติที่สำคัญที่สุดของหัวข้อ II คือกฎการทำให้เข้าใจง่ายในการบริหาร หัวข้อ II กำหนดให้กรมอนามัยและบริการมนุษย์ (HHS) เพิ่มประสิทธิภาพของระบบการดูแลสุขภาพโดยการสร้างมาตรฐานสำหรับการใช้และเผยแพร่ข้อมูลด้านการดูแลสุขภาพ(19)

กฎเหล่านี้ใช้กับ "หน่วยงานที่ได้รับการคุ้มครอง" ตามที่กำหนดโดย HIPAA และ HHS หน่วยงานที่ครอบคลุมรวมถึงแผนสุขภาพ สำนักหักบัญชีด้านการดูแลสุขภาพ (เช่น บริการเรียกเก็บเงินและระบบข้อมูลสุขภาพของชุมชน) และผู้ให้บริการด้านสุขภาพที่ส่งข้อมูลการดูแลสุขภาพในลักษณะที่ควบคุมโดย HIPAA (20) [21]

ตามข้อกำหนดของ Title II นั้น HHS ได้ประกาศกฎห้าข้อเกี่ยวกับ Administrative Simplification: the Privacy Rule, the Transactions and Code Sets Rule, the Security Rule, Unique Identifiers Rule และ the Enforcement Rule

กฎความเป็นส่วนตัว

กฎความเป็นส่วนตัวของ HIPAA ประกอบด้วยข้อบังคับระดับประเทศสำหรับการใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ในการรักษาพยาบาล การชำระเงิน และการดำเนินงานโดยหน่วยงานที่ได้รับความคุ้มครอง

วันที่ปฏิบัติตามกฎความเป็นส่วนตัวมีผลบังคับใช้คือ 14 เมษายน 2546 โดยมีการขยายเวลาหนึ่งปีสำหรับ "แผนขนาดเล็ก" บางอย่าง กฎความเป็นส่วนตัวของ HIPAA ควบคุมการใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ที่ถือโดย "หน่วยงานที่ได้รับการคุ้มครอง" (โดยทั่วไป สำนักหักบัญชีด้านการดูแลสุขภาพ แผนสุขภาพที่นายจ้างสนับสนุน บริษัทประกันสุขภาพ และผู้ให้บริการทางการแพทย์ที่มีส่วนร่วมในการทำธุรกรรมบางอย่าง) [22]ตามระเบียบ HHS ได้ขยายกฎความเป็นส่วนตัวของ HIPAA ไปยังผู้รับเหมาอิสระของหน่วยงานที่ได้รับความคุ้มครองซึ่งเหมาะสมกับคำจำกัดความของ "ผู้ร่วมธุรกิจ" [23] PHI คือข้อมูลใด ๆ ที่ถือโดยนิติบุคคลที่ครอบคลุมเกี่ยวกับสถานะสุขภาพ การจัดหาการดูแลสุขภาพ หรือค่ารักษาพยาบาลที่สามารถเชื่อมโยงกับบุคคลใดก็ได้(20)สิ่งนี้มีการตีความค่อนข้างกว้างและรวมถึงส่วนใด ๆ ของเวชระเบียนหรือประวัติการชำระเงินของแต่ละบุคคล หน่วยงานที่ได้รับความคุ้มครองต้องเปิดเผย PHI แก่บุคคลภายใน 30 วันเมื่อมีการร้องขอ [24]นอกจากนี้ พวกเขาต้องเปิดเผย PHI เมื่อกฎหมายกำหนดให้ดำเนินการ เช่น รายงานการล่วงละเมิดเด็กต่อหน่วยงานสวัสดิการเด็กของรัฐ [25]

หน่วยงานที่ได้รับความคุ้มครองอาจเปิดเผยข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองแก่เจ้าหน้าที่บังคับใช้กฎหมายเพื่อวัตถุประสงค์ในการบังคับใช้กฎหมายตามที่กฎหมายกำหนด (รวมถึงคำสั่งศาล หมายศาล หมายศาล) และคำขอทางปกครอง หรือเพื่อระบุหรือค้นหาผู้ต้องสงสัย ผู้ลี้ภัย พยานวัตถุ หรือบุคคลสูญหาย (26)

นิติบุคคลที่ได้รับการคุ้มครองอาจเปิดเผย PHI ให้กับบางฝ่ายเพื่ออำนวยความสะดวกในการรักษา การชำระเงิน หรือการดำเนินการด้านการดูแลสุขภาพโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ป่วย[27]การเปิดเผยอื่นใดของ PHI กำหนดให้นิติบุคคลที่ได้รับการคุ้มครองต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากบุคคลในการเปิดเผย[28] ไม่ว่าในกรณีใด เมื่อนิติบุคคลที่ได้รับการคุ้มครองเปิดเผย PHI ใด ๆ องค์กรจะต้องใช้ความพยายามตามสมควรในการเปิดเผยเฉพาะข้อมูลที่จำเป็นขั้นต่ำที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์[29]

กฎความเป็นส่วนตัวให้สิทธิ์บุคคลในการร้องขอหน่วยงานที่ครอบคลุมเพื่อแก้ไข PHI ที่ไม่ถูกต้อง[30]นอกจากนี้ ยังกำหนดให้หน่วยงานที่ได้รับการคุ้มครองดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้มั่นใจว่าการสื่อสารกับบุคคลเป็นความลับเป็นความลับ[31]ตัวอย่างเช่น บุคคลสามารถขอให้โทรหาที่หมายเลขที่ทำงานแทนหมายเลขบ้านหรือโทรศัพท์มือถือ

กฎความเป็นส่วนตัวกำหนดให้หน่วยงานที่ได้รับการคุ้มครองต้องแจ้งให้บุคคลทั่วไปทราบถึงการใช้ PHI ของตน [32]หน่วยงานที่ได้รับความคุ้มครองจะต้องติดตามการเปิดเผยของ PHI และจัดทำเอกสารนโยบายและขั้นตอนความเป็นส่วนตัว [33]พวกเขาต้องแต่งตั้งเจ้าหน้าที่ความเป็นส่วนตัวและบุคคลที่ติดต่อ[34] ที่รับผิดชอบในการรับเรื่องร้องเรียนและฝึกอบรมพนักงานทุกคนในกระบวนการเกี่ยวกับ PHI [35]

บุคคลที่เชื่อว่ากฎความเป็นส่วนตัวไม่ได้รับการสนับสนุน สามารถยื่นคำร้องต่อสำนักงานสิทธิมนุษยชนและสุขภาพของกระทรวงสาธารณสุข (OCR) [36] [37]ในปี 2549 หนังสือพิมพ์วอลล์สตรีทเจอร์นัลรายงานว่า OCR มีงานในมือยาวและเพิกเฉยต่อการร้องเรียนส่วนใหญ่ "การร้องเรียนเรื่องการละเมิดความเป็นส่วนตัวได้ซ้อนทับกันที่ Department of Health and Human Services ระหว่างเดือนเมษายน 2546 ถึงพฤศจิกายน 2549 หน่วยงานได้ส่งข้อร้องเรียนเกี่ยวกับกฎการรักษาพยาบาลและความเป็นส่วนตัว 23,886 รายการ แต่ยังไม่ได้ดำเนินการบังคับใช้กับโรงพยาบาล แพทย์ ผู้ประกันตน หรือใครก็ตามที่ละเมิดกฎ โฆษกของหน่วยงานกล่าวว่าได้ปิดการร้องเรียนไปแล้วสามในสี่ โดยทั่วไปแล้วเนื่องจากไม่พบการละเมิดใดๆ หรือหลังจากที่ได้ให้คำแนะนำอย่างไม่เป็นทางการแก่ฝ่ายที่เกี่ยวข้องแล้ว" [38]อย่างไรก็ตาม ในเดือนกรกฎาคม 2011 มหาวิทยาลัยแคลิฟอร์เนีย ลอสแองเจลิสตกลงที่จะจ่ายเงิน 865,500 ดอลลาร์ในข้อตกลงเกี่ยวกับการละเมิด HIPAA ที่อาจเกิดขึ้น การสืบสวนของสำนักงานสิทธิมนุษยชนแห่งชาติ (HHS Office for Civil Rights) แสดงให้เห็นว่าตั้งแต่ปี 2548 ถึง พ.ศ. 2551 พนักงานที่ไม่ได้รับอนุญาตซ้ำแล้วซ้ำเล่าโดยไม่มีสาเหตุอันชอบด้วยกฎหมายได้พิจารณาข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ของผู้ป่วย UCLAHS จำนวนมาก[39]

เป็นความเข้าใจผิดว่ากฎความเป็นส่วนตัวสร้างสิทธิ์ให้บุคคลใด ๆ ปฏิเสธที่จะเปิดเผยข้อมูลด้านสุขภาพใด ๆ (เช่นเงื่อนไขเรื้อรังหรือบันทึกการสร้างภูมิคุ้มกัน) หากได้รับการร้องขอจากนายจ้างหรือธุรกิจ ข้อกำหนดเกี่ยวกับกฎความเป็นส่วนตัวของ HIPAA วางข้อจำกัดในการเปิดเผยโดยหน่วยงานที่ได้รับการคุ้มครองและผู้ร่วมธุรกิจโดยไม่ได้รับความยินยอมจากบุคคลที่มีการร้องขอบันทึก พวกเขาไม่ได้วางข้อจำกัดใด ๆ ในการขอข้อมูลด้านสุขภาพโดยตรงจากเรื่องของข้อมูลนั้น [40] [41] [42]

อัปเดตกฎ Omnibus รอบชิงชนะเลิศ 2013

ในเดือนมกราคม 2013 HIPAA ได้รับการอัปเดตผ่าน Final Omnibus Rule [43]การอัปเดตรวมถึงการเปลี่ยนแปลงในส่วนกฎความปลอดภัยและการแจ้งเตือนการละเมิดของพระราชบัญญัติไฮเทค การเปลี่ยนแปลงที่สำคัญที่สุดที่เกี่ยวข้องกับการขยายข้อกำหนดเพื่อรวมผู้ร่วมธุรกิจ ซึ่งเดิมมีเพียงหน่วยงานที่ได้รับการคุ้มครองเท่านั้นที่ยึดถือไว้เพื่อรักษาส่วนเหล่านี้ของกฎหมาย [44]

นอกจากนี้ คำจำกัดความของ "ความเสียหายที่สำคัญ" ต่อบุคคลในการวิเคราะห์การละเมิดได้รับการปรับปรุงเพื่อให้มีการตรวจสอบอย่างละเอียดยิ่งขึ้นสำหรับหน่วยงานที่ครอบคลุมโดยมีเจตนาที่จะเปิดเผยการละเมิดที่ไม่เคยรายงานมาก่อน ก่อนหน้านี้ องค์กรต้องการหลักฐานว่าเกิดอันตราย ในขณะที่องค์กรต้องพิสูจน์ว่าไม่มีอันตรายเกิดขึ้น

การคุ้มครอง PHI เปลี่ยนจากไม่มีกำหนดเป็น 50 ปีหลังความตาย บทลงโทษที่รุนแรงขึ้นสำหรับการละเมิดข้อกำหนดความเป็นส่วนตัวของ PHI ก็ได้รับการอนุมัติเช่นกัน [45]

กฎความเป็นส่วนตัวของ HIPAA อาจได้รับการยกเว้นในระหว่างภัยพิบัติทางธรรมชาติ นี่เป็นกรณีที่เกิดขึ้นกับพายุเฮอริเคนฮาร์วีย์ในปี 2560 [46]

พระราชบัญญัติไฮเทค: ข้อกำหนดความเป็นส่วนตัว

ดูส่วนความเป็นส่วนตัวของกฎหมายเทคโนโลยีสารสนเทศด้านสุขภาพสำหรับเศรษฐกิจและสุขภาพทางคลินิก ( พระราชบัญญัติไฮเทค )

สิทธิ์ในการเข้าถึง PHI ของตัวเอง

กฎความเป็นส่วนตัวกำหนดให้ผู้ให้บริการทางการแพทย์อนุญาตให้บุคคลเข้าถึง PHI ของตนได้[47] หลังจากที่บุคคลร้องขอข้อมูลเป็นลายลักษณ์อักษร (โดยทั่วไปจะใช้แบบฟอร์มของผู้ให้บริการเพื่อจุดประสงค์นี้) ผู้ให้บริการมีเวลา 30 วันในการจัดเตรียมสำเนาข้อมูลให้กับบุคคล บุคคลอาจขอข้อมูลในรูปแบบอิเล็กทรอนิกส์หรือเอกสาร และผู้ให้บริการมีหน้าที่ต้องพยายามปฏิบัติตามรูปแบบที่ร้องขอ สำหรับผู้ให้บริการที่ใช้ระบบบันทึกสุขภาพอิเล็กทรอนิกส์ ( EHR ) ที่ได้รับการรับรองโดยใช้เกณฑ์ CEHRT (เทคโนโลยีบันทึกสุขภาพอิเล็กทรอนิกส์ที่ผ่านการรับรอง) บุคคลต้องได้รับอนุญาตให้รับ PHI ในรูปแบบอิเล็กทรอนิกส์ ผู้ให้บริการควรให้ข้อมูลตามสมควร โดยเฉพาะอย่างยิ่งในกรณีของคำขอบันทึกทางอิเล็กทรอนิกส์

บุคคลมีสิทธิในวงกว้างในการเข้าถึงข้อมูลที่เกี่ยวข้องกับสุขภาพของตน ซึ่งรวมถึงเวชระเบียน บันทึก รูปภาพ ผลการตรวจทางห้องปฏิบัติการ และข้อมูลการประกันภัยและการเรียกเก็บเงิน [48] ยกเว้นอย่างชัดเจนคือบันทึกจิตบำบัดส่วนตัวของผู้ให้บริการและข้อมูลที่รวบรวมโดยผู้ให้บริการเพื่อป้องกันการฟ้องร้อง [49]

ผู้ให้บริการสามารถเรียกเก็บเงินในจำนวนที่เหมาะสมซึ่งเกี่ยวข้องกับค่าใช้จ่ายในการจัดเตรียมสำเนา อย่างไรก็ตาม จะไม่มีการเรียกเก็บค่าใช้จ่ายใด ๆ เมื่อให้ข้อมูลทางอิเล็กทรอนิกส์จากEHR ที่ผ่านการรับรองโดยใช้คุณสมบัติ "ดู ดาวน์โหลด และโอน" ซึ่งจำเป็นสำหรับการรับรอง เมื่อส่งถึงบุคคลในรูปแบบอิเล็กทรอนิกส์ บุคคลอาจอนุญาตการจัดส่งโดยใช้อีเมลที่เข้ารหัสหรือไม่เข้ารหัส การจัดส่งโดยใช้สื่อ (ไดรฟ์ USB ซีดี ฯลฯ ซึ่งอาจมีค่าใช้จ่าย) การส่งข้อความโดยตรง (เทคโนโลยีอีเมลที่ปลอดภัยในการใช้งานทั่วไป ในอุตสาหกรรมการดูแลสุขภาพ) หรือวิธีการอื่นๆ เมื่อใช้อีเมลที่ไม่ได้เข้ารหัส บุคคลต้องเข้าใจและยอมรับความเสี่ยงต่อความเป็นส่วนตัวโดยใช้เทคโนโลยีนี้ (ข้อมูลอาจถูกดักจับและตรวจสอบโดยผู้อื่น) โดยไม่คำนึงถึงเทคโนโลยีการจัดส่ง ผู้ให้บริการจะต้องรักษาความปลอดภัยให้กับ PHI อย่างเต็มที่ในขณะที่อยู่ในระบบของตน และสามารถปฏิเสธวิธีการจัดส่งได้หากมีความเสี่ยงเพิ่มเติมต่อ PHI ขณะอยู่ในระบบ[50]

บุคคลอาจร้องขอ (เป็นลายลักษณ์อักษร) ให้ส่ง PHI ของตนไปยังบุคคลที่สามที่ได้รับมอบหมาย เช่น ผู้ให้บริการดูแลครอบครัว

บุคคลอาจร้องขอ (เป็นลายลักษณ์อักษร) ให้ผู้ให้บริการส่ง PHI ไปยังบริการที่กำหนดซึ่งใช้ในการรวบรวมหรือจัดการบันทึกของตน เช่น แอปพลิเคชันบันทึกสุขภาพส่วนบุคคล ตัวอย่างเช่น ผู้ป่วยสามารถขอเป็นลายลักษณ์อักษรว่าผู้ให้บริการด้านสูตินรีเวชของเธอส่งบันทึกการมาเยี่ยมก่อนคลอดครั้งล่าสุดของเธอไปยังแอปดูแลตนเองขณะตั้งครรภ์ที่เธอมีบนโทรศัพท์มือถือแบบดิจิทัล

การเปิดเผยต่อญาติ

ตามการตีความ HIPAA โรงพยาบาลจะไม่เปิดเผยข้อมูลทางโทรศัพท์กับญาติของผู้ป่วยที่เข้ารับการรักษา ซึ่งในบางกรณีขัดขวางตำแหน่งของบุคคลที่สูญหาย หลังเหตุเครื่องบินเอเชียน่าแอร์ไลน์ เที่ยวบินที่ 214ซานฟรานซิสโกตก โรงพยาบาลบางแห่งไม่เต็มใจที่จะเปิดเผยตัวตนของผู้โดยสารที่พวกเขากำลังรักษาอยู่ ทำให้เอเชียน่าและญาติๆ หาพบได้ยาก[51]ในกรณีหนึ่ง ชายคนหนึ่งในรัฐวอชิงตันไม่สามารถรับข้อมูลเกี่ยวกับมารดาที่ได้รับบาดเจ็บของเขาได้[52]

Janlori Goldman ผู้อำนวยการกลุ่ม Health Privacy Project กล่าวว่าโรงพยาบาลบางแห่งกำลัง "ใช้ความระมัดระวังมากเกินไป" และใช้กฎหมายอย่างไม่ถูกต้อง Times รายงาน โรงพยาบาลชานเมืองในเบเทสดา รัฐแมริแลนด์ ได้ตีความข้อบังคับของรัฐบาลกลางที่กำหนดให้โรงพยาบาลต้องอนุญาตให้ผู้ป่วยเลือกที่จะไม่รวมอยู่ในไดเรกทอรีของโรงพยาบาล ซึ่งหมายความว่าผู้ป่วยต้องการไม่อยู่ในไดเรกทอรี เว้นแต่จะระบุเป็นอย่างอื่นโดยเฉพาะ ด้วยเหตุนี้ หากผู้ป่วยหมดสติหรือไม่สามารถเลือกที่จะรวมอยู่ในไดเร็กทอรีได้ ญาติและเพื่อนอาจหาพวกเขาไม่พบ โกลด์แมนกล่าว [53]

กฎการทำธุรกรรมและรหัสชุด

HIPAA มีวัตถุประสงค์เพื่อทำให้ระบบการดูแลสุขภาพในสหรัฐอเมริกามีประสิทธิภาพมากขึ้นโดยการสร้างมาตรฐานการทำธุรกรรมด้านการดูแลสุขภาพ HIPAA ได้เพิ่มส่วน C ใหม่ที่ชื่อว่า "Administrative Simplification" ให้กับ Title XI ของ Social Security Act [54]สิ่งนี้ควรจะลดความซับซ้อนของการทำธุรกรรมด้านการดูแลสุขภาพโดยกำหนดให้แผนสุขภาพทั้งหมดมีส่วนร่วมในการทำธุรกรรมด้านการดูแลสุขภาพในลักษณะที่เป็นมาตรฐาน

ข้อกำหนด HIPAA/EDI (การแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ ) มีกำหนดมีผลบังคับใช้ตั้งแต่วันที่ 16 ตุลาคม พ.ศ. 2546 โดยมีการขยายเวลาหนึ่งปีสำหรับ "แผนขนาดเล็ก" บางแผน อย่างไรก็ตาม เนื่องจากความสับสนและความยากลำบากในการดำเนินการกฎอย่างกว้างขวาง CMS จึงอนุญาตให้ทุกฝ่ายขยายเวลาหนึ่งปี[ ต้องการการอ้างอิง ]ในวันที่ 1 มกราคม 2012 เวอร์ชันที่ใหม่กว่าASC X12 005010 และ NCPDP D.0 จะมีผลบังคับใช้ โดยแทนที่ ASC X12 004010 และ NCPDP 5.1 ก่อนหน้านี้[55]เวอร์ชัน ASC X12 005010 มีกลไกที่ช่วยให้สามารถใช้ICD-10-CMรวมทั้งการปรับปรุงอื่นๆ

หลังจากวันที่ 1 กรกฎาคม พ.ศ. 2548 ผู้ให้บริการทางการแพทย์ส่วนใหญ่ที่ยื่นเรื่องทางอิเล็กทรอนิกส์ต้องยื่นคำร้องทางอิเล็กทรอนิกส์โดยใช้มาตรฐาน HIPAA เพื่อชำระเงิน [56]

ภายใต้ HIPAA แผนประกันสุขภาพที่ครอบคลุม HIPAA จำเป็นต้องใช้ธุรกรรมทางอิเล็กทรอนิกส์ HIPAA ที่ได้มาตรฐาน ดู 42 USC § 1320d-2 และ 45 CFR ตอนที่ 162 ข้อมูลเกี่ยวกับเรื่องนี้สามารถพบได้ในกฎขั้นสุดท้ายสำหรับมาตรฐานการทำธุรกรรมทางอิเล็กทรอนิกส์ของ HIPAA (74 Fed. Reg. 3296 เผยแพร่ใน Federal Register เมื่อวันที่ 16 มกราคม 2009) และ บนเว็บไซต์ CMS [57]

ธุรกรรมEDIหลัก(X12) ที่ใช้สำหรับการปฏิบัติตาม HIPAA คือ: [58] [ ต้องการการอ้างอิง ]

ชุดธุรกรรมการเคลม EDI Health Care (837)ใช้เพื่อส่งข้อมูลการเรียกเก็บเงินค่ารักษาพยาบาล ข้อมูลที่พบ หรือทั้งสองอย่าง ยกเว้นการเรียกร้องค่าสินไหมทดแทนจากร้านขายยาขายปลีก (ดู ธุรกรรมการเรียกร้องค่าสินไหมทดแทนของ EDI Retail Pharmacy) สามารถส่งจากผู้ให้บริการด้านการดูแลสุขภาพไปยังผู้ชำระเงินโดยตรงหรือผ่านผู้เรียกเก็บเงินคนกลางและสำนักหักบัญชีการเรียกร้อง นอกจากนี้ยังสามารถใช้เพื่อส่งข้อมูลการเรียกร้องค่ารักษาพยาบาลและข้อมูลการเรียกเก็บเงินระหว่างผู้จ่ายเงินที่มีหน้าที่รับผิดชอบในการชำระเงินที่แตกต่างกัน ซึ่งจำเป็นต้องมีการประสานงานด้านผลประโยชน์หรือระหว่างผู้จ่ายเงินและหน่วยงานกำกับดูแลเพื่อตรวจสอบการให้บริการ การเรียกเก็บเงิน และ/หรือการชำระค่าบริการด้านสุขภาพภายในที่เฉพาะเจาะจง ส่วนอุตสาหกรรมการดูแลสุขภาพ/การประกันภัย

ตัวอย่างเช่น หน่วยงานด้านสุขภาพจิตของรัฐอาจกำหนดให้มีการเรียกร้องค่ารักษาพยาบาลทั้งหมด ผู้ให้บริการและแผนสุขภาพที่ซื้อขายการเรียกร้องค่ารักษาพยาบาลของผู้เชี่ยวชาญ (ทางการแพทย์) ทางอิเล็กทรอนิกส์ต้องใช้ 837 Health Care Claim: Professional standard เพื่อส่งคำร้อง เนื่องจากมีแอปพลิเคชันทางธุรกิจมากมายสำหรับการเรียกร้องค่ารักษาพยาบาล อาจมีการอนุมานเล็กน้อยเพื่อครอบคลุมการอ้างสิทธิ์ที่เกี่ยวข้องกับการอ้างสิทธิ์เฉพาะ เช่น สำหรับสถาบัน ผู้เชี่ยวชาญ หมอนวดและทันตแพทย์ เป็นต้น

ธุรกรรมการเรียกร้องค่าสินไหมทดแทนของ EDI Retail Pharmacy ( NCPDP Telecommunications Standard เวอร์ชัน 5.1)ใช้เพื่อส่งการเรียกร้องร้านขายยาสำหรับร้านค้าปลีกไปยังผู้ชำระเงินโดยผู้เชี่ยวชาญด้านการดูแลสุขภาพที่จ่ายยา ไม่ว่าโดยตรงหรือผ่านผู้เรียกเก็บเงินคนกลางและสำนักหักบัญชีการเรียกร้องค่าสินไหมทดแทน นอกจากนี้ยังสามารถใช้เพื่อส่งการเรียกร้องค่าสินไหมทดแทนสำหรับบริการร้านขายยาขายปลีกและข้อมูลการเรียกเก็บเงินระหว่างผู้จ่ายเงินที่มีหน้าที่รับผิดชอบในการชำระเงินที่แตกต่างกัน ซึ่งจำเป็นต้องมีการประสานงานด้านผลประโยชน์หรือระหว่างผู้จ่ายเงินและหน่วยงานกำกับดูแลเพื่อตรวจสอบการแสดงผล การเรียกเก็บเงิน และ/หรือการชำระเงินของบริการร้านขายยาสำหรับร้านค้าปลีกภายใน ภาคส่วนอุตสาหกรรมการดูแลสุขภาพ/การประกันภัยร้านขายยา

EDI Health Care Claim Payment/Advice Transaction Set (835)สามารถใช้ในการชำระเงิน ส่ง Explanation of Benefit (EOB) ส่ง Explanation of Payments (EOP) คำแนะนำในการโอนเงินหรือชำระเงินและส่งคำแนะนำในการโอนเงิน EOP จากบริษัทประกันสุขภาพไปจนถึงผู้ให้บริการด้านสุขภาพโดยตรงหรือผ่านสถาบันการเงิน

EDI Benefit Enrollment and Maintenance Set (834)สามารถใช้โดยนายจ้าง สหภาพแรงงาน หน่วยงานราชการ สมาคม หรือหน่วยงานประกัน เพื่อลงทะเบียนสมาชิกกับผู้ชำระเงิน ผู้จ่ายเงินเป็นองค์กรด้านการดูแลสุขภาพที่จ่ายค่าสินไหมทดแทน ดำเนินการประกันหรือผลประโยชน์หรือผลิตภัณฑ์ ตัวอย่างของผู้จ่ายเงิน ได้แก่ บริษัทประกันภัย บุคลากรทางการแพทย์ (HMO) องค์กรผู้ให้บริการที่ต้องการ (PPO) หน่วยงานของรัฐ (Medicaid, Medicare เป็นต้น) หรือองค์กรใดๆ ที่อาจทำสัญญากับกลุ่มใดกลุ่มหนึ่งในอดีตเหล่านี้

EDI Payroll Deducted และอีกกลุ่มหนึ่ง Premium Payment for Insurance Products (820)เป็นธุรกรรมที่กำหนดไว้สำหรับการชำระเบี้ยประกันภัยสำหรับผลิตภัณฑ์ประกันภัย สามารถใช้สั่งสถาบันการเงินเพื่อชำระเงินให้กับผู้รับเงินได้

EDI Health Care Eligibility/Benefit Inquiry (270)ใช้เพื่อสอบถามเกี่ยวกับสิทธิประโยชน์ด้านการดูแลสุขภาพและคุณสมบัติที่เกี่ยวข้องกับสมาชิกหรือผู้ติดตาม

EDI Health Care Eligibility/Benefit Response (271)ใช้เพื่อตอบคำถามคำขอเกี่ยวกับสิทธิประโยชน์ด้านการดูแลสุขภาพและคุณสมบัติที่เกี่ยวข้องกับสมาชิกหรือผู้ติดตาม

คำขอสถานะการอ้างสิทธิ์ EDI Health Care (276)ชุดธุรกรรมนี้สามารถใช้โดยผู้ให้บริการ ผู้รับผลิตภัณฑ์หรือบริการดูแลสุขภาพ หรือตัวแทนที่ได้รับอนุญาตเพื่อขอสถานะการเรียกร้องค่ารักษาพยาบาล

EDI Health Care Claim Status Notification (277)ชุดธุรกรรมนี้สามารถใช้โดยผู้จ่ายเงินด้านการรักษาพยาบาลหรือตัวแทนที่ได้รับอนุญาตเพื่อแจ้งผู้ให้บริการ ผู้รับ หรือตัวแทนที่ได้รับอนุญาตเกี่ยวกับสถานะของการเรียกร้องหรือพบการดูแลสุขภาพ หรือเพื่อขอข้อมูลเพิ่มเติมจากผู้ให้บริการ เกี่ยวกับการเรียกร้องหรือพบการดูแลสุขภาพ ชุดธุรกรรมนี้ไม่ได้มีวัตถุประสงค์เพื่อแทนที่การชำระค่าเคลม Health Care/ชุดธุรกรรมคำแนะนำ (835) ดังนั้นจึงไม่ใช้สำหรับการลงรายการบัญชีการชำระเงินในบัญชี การแจ้งเตือนอยู่ที่ระดับสรุปหรือรายละเอียดสายบริการ การแจ้งเตือนอาจถูกร้องขอหรือไม่ได้รับการร้องขอ

ข้อมูลการตรวจสอบบริการด้านสุขภาพของ EDI (278)ชุดธุรกรรมนี้สามารถใช้เพื่อส่งข้อมูลบริการดูแลสุขภาพ เช่น ข้อมูลสมาชิก ผู้ป่วย ข้อมูลประชากร การวินิจฉัยหรือการรักษาเพื่อวัตถุประสงค์ในการขอทบทวน รับรอง แจ้งหรือรายงานผล ของการทบทวนบริการดูแลสุขภาพ

EDI Functional Acknowledgement Transaction Set (997)ชุดธุรกรรมนี้สามารถใช้เพื่อกำหนดโครงสร้างการควบคุมสำหรับชุดของการตอบรับเพื่อระบุผลลัพธ์ของการวิเคราะห์วากยสัมพันธ์ของเอกสารที่เข้ารหัสทางอิเล็กทรอนิกส์ แม้ว่าจะไม่ได้ระบุชื่อไว้โดยเฉพาะในกฎหมาย HIPAA หรือกฎขั้นสุดท้าย แต่ก็จำเป็นสำหรับการประมวลผลชุดธุรกรรม X12 เอกสารที่เข้ารหัสคือชุดธุรกรรม ซึ่งจัดกลุ่มเป็นกลุ่มฟังก์ชัน ซึ่งใช้ในการกำหนดธุรกรรมสำหรับการแลกเปลี่ยนข้อมูลทางธุรกิจ มาตรฐานนี้ไม่ครอบคลุมความหมายทางความหมายของข้อมูลที่เข้ารหัสในชุดธุรกรรม

บทสรุปการทำธุรกรรม 5010 และกฎการตั้งรหัส สรุปการอัพเดท
  1. ชุดธุรกรรม (997) จะถูกแทนที่ด้วยชุดธุรกรรม (999) "รายงานตอบรับ"
  2. ขนาดของช่อง {segment elements} จำนวนมากจะถูกขยาย ส่งผลให้ผู้ให้บริการไอทีทุกรายต้องขยายช่อง องค์ประกอบ ไฟล์ GUI สื่อกระดาษ และฐานข้อมูลที่เกี่ยวข้อง
  3. บางกลุ่มถูกลบออกจากชุดธุรกรรมที่มีอยู่
  4. มีการเพิ่มกลุ่มจำนวนมากลงในชุดธุรกรรมที่มีอยู่ ทำให้สามารถติดตามและรายงานค่าใช้จ่ายและการเผชิญหน้าของผู้ป่วยได้ดียิ่งขึ้น
  5. เพิ่มความสามารถในการใช้ทั้ง "International Classification of Diseases" รุ่น 9 (ICD-9) และ 10 (ICD-10-CM) [59] [60]

กฎความปลอดภัย

กฎขั้นสุดท้ายเกี่ยวกับมาตรฐานความปลอดภัยออกเมื่อวันที่ 20 กุมภาพันธ์ พ.ศ. 2546 มีผลบังคับใช้เมื่อวันที่ 21 เมษายน พ.ศ. 2546 โดยมีวันที่ปฏิบัติตาม 21 เมษายน พ.ศ. 2548 สำหรับหน่วยงานที่ครอบคลุมส่วนใหญ่และ 21 เมษายน พ.ศ. 2549 สำหรับ "แผนขนาดเล็ก" [ อ้างจำเป็น ]กฎความปลอดภัยช่วยเสริมกฎความเป็นส่วนตัว แม้ว่ากฎความเป็นส่วนตัวจะเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ทั้งหมด รวมถึงกระดาษและอิเล็กทรอนิกส์ กฎความปลอดภัยจะเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (EPHI) โดยเฉพาะ มันวางระบบป้องกันความปลอดภัยสามประเภทที่จำเป็นสำหรับการปฏิบัติตาม: การดูแลระบบ ทางกายภาพ และทางเทคนิค[61]สำหรับแต่ละประเภทเหล่านี้ กฎจะระบุมาตรฐานความปลอดภัยต่างๆ และสำหรับแต่ละมาตรฐาน กฎจะระบุข้อกำหนดการใช้งานทั้งที่กำหนดและระบุได้ ข้อกำหนดที่จำเป็นจะต้องนำมาใช้และจัดการตามที่กำหนดโดยกฎ ข้อกำหนดแอดเดรสมีความยืดหยุ่นมากขึ้น หน่วยงานที่ครอบคลุมแต่ละรายสามารถประเมินสถานการณ์ของตนเองและกำหนดวิธีที่ดีที่สุดในการปรับใช้ข้อกำหนดที่กำหนดได้ ผู้สนับสนุนความเป็นส่วนตัวบางคนแย้งว่า "ความยืดหยุ่น" นี้อาจให้ละติจูดมากเกินไปสำหรับหน่วยงานที่ได้รับการคุ้มครอง [62]เครื่องมือซอฟต์แวร์ได้รับการพัฒนาเพื่อช่วยหน่วยงานที่ครอบคลุมในการวิเคราะห์ความเสี่ยงและการติดตามการแก้ไข มาตรฐานและข้อกำหนดมีดังนี้:

  • การป้องกันทางปกครอง – นโยบายและขั้นตอนที่ออกแบบมาเพื่อแสดงให้เห็นชัดเจนว่าหน่วยงานจะปฏิบัติตามกฎหมายอย่างไร
    • หน่วยงานที่ได้รับความคุ้มครอง (หน่วยงานที่ต้องปฏิบัติตามข้อกำหนดของ HIPAA) จะต้องนำขั้นตอนความเป็นส่วนตัวที่เป็นลายลักษณ์อักษรมาใช้และกำหนดเจ้าหน้าที่ความเป็นส่วนตัวให้รับผิดชอบในการพัฒนาและดำเนินการตามนโยบายและขั้นตอนที่จำเป็นทั้งหมด
    • นโยบายและขั้นตอนต้องอ้างอิงการกำกับดูแลการจัดการและการซื้อในองค์กรเพื่อให้สอดคล้องกับการควบคุมความปลอดภัยที่จัดทำเป็นเอกสาร
    • ขั้นตอนควรระบุพนักงานหรือกลุ่มพนักงานที่มีสิทธิ์เข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (EPHI) อย่างชัดเจน การเข้าถึง EPHI จะต้องจำกัดเฉพาะพนักงานที่มีความจำเป็นต้องทำงานให้เสร็จลุล่วง
    • ขั้นตอนต้องระบุการอนุญาตการเข้าถึง การจัดตั้ง การแก้ไข และการยุติ
    • หน่วยงานต้องแสดงให้เห็นว่ามีการจัดโปรแกรมการฝึกอบรมอย่างต่อเนื่องที่เหมาะสมเกี่ยวกับการจัดการ PHI ให้กับพนักงานที่ทำหน้าที่บริหารแผนสุขภาพ
    • หน่วยงานที่ได้รับความคุ้มครองซึ่งว่าจ้างบุคคลภายนอกให้กับกระบวนการทางธุรกิจบางส่วนจะต้องตรวจสอบให้แน่ใจว่าผู้จำหน่ายของตนมีกรอบการทำงานเพื่อให้สอดคล้องกับข้อกำหนดของ HIPAA โดยทั่วไปแล้ว บริษัทต่างๆ จะได้รับการรับรองนี้ผ่านข้อกำหนดในสัญญาที่ระบุว่าผู้ขายจะปฏิบัติตามข้อกำหนดในการปกป้องข้อมูลเดียวกันกับที่ใช้กับนิติบุคคลที่ได้รับการคุ้มครอง ต้องใช้ความระมัดระวังในการพิจารณาว่าผู้ขายจัดหาฟังก์ชั่นการจัดการข้อมูลภายนอกให้กับผู้ขายรายอื่นเพิ่มเติมหรือไม่ และตรวจสอบว่ามีสัญญาและการควบคุมที่เหมาะสมหรือไม่
    • ควรมีการวางแผนรับมือเหตุฉุกเฉิน หน่วยงานที่ได้รับความคุ้มครองมีหน้าที่รับผิดชอบในการสำรองข้อมูลและมีขั้นตอนการกู้คืนข้อมูลเมื่อเกิดภัยพิบัติ แผนควรจัดทำเอกสารการวิเคราะห์ลำดับความสำคัญและความล้มเหลว กิจกรรมการทดสอบ และขั้นตอนการควบคุมการเปลี่ยนแปลง
    • การตรวจสอบภายในมีบทบาทสำคัญในการปฏิบัติตาม HIPAA โดยการตรวจสอบการดำเนินงานโดยมีเป้าหมายเพื่อระบุการละเมิดความปลอดภัยที่อาจเกิดขึ้น นโยบายและขั้นตอนปฏิบัติควรจัดทำเอกสารขอบเขต ความถี่ และขั้นตอนการตรวจสอบโดยเฉพาะ การตรวจสอบควรเป็นทั้งงานประจำและตามเหตุการณ์
    • ขั้นตอนควรจัดทำเอกสารคำแนะนำสำหรับการจัดการและตอบสนองต่อการละเมิดความปลอดภัยที่ระบุในระหว่างการตรวจสอบหรือการดำเนินการตามปกติ
  • การป้องกันทางกายภาพ – การควบคุมการเข้าถึงทางกายภาพเพื่อป้องกันการเข้าถึงข้อมูลที่ได้รับการป้องกันที่ไม่เหมาะสม
    • การควบคุมต้องควบคุมการแนะนำและการนำฮาร์ดแวร์และซอฟต์แวร์ออกจากเครือข่าย (เมื่อเลิกใช้อุปกรณ์จะต้องทิ้งอย่างเหมาะสมเพื่อให้แน่ใจว่า PHI จะไม่ถูกบุกรุก)
    • การเข้าถึงอุปกรณ์ที่มีข้อมูลด้านสุขภาพควรได้รับการควบคุมและตรวจสอบอย่างรอบคอบ
    • การเข้าถึงฮาร์ดแวร์และซอฟต์แวร์จะต้องจำกัดเฉพาะบุคคลที่ได้รับอนุญาตอย่างเหมาะสม
    • การควบคุมการเข้าใช้ที่จำเป็นประกอบด้วยแผนการรักษาความปลอดภัยของสถานที่ บันทึกการบำรุงรักษา และการลงชื่อเข้าใช้ของผู้มาเยี่ยมและคุ้มกัน
    • จำเป็นต้องมีนโยบายเพื่อจัดการกับการใช้งานเวิร์กสเตชันที่เหมาะสม เวิร์กสเตชันควรถูกลบออกจากพื้นที่ที่มีการจราจรหนาแน่นและหน้าจอมอนิเตอร์ไม่ควรอยู่ในสายตาสาธารณะโดยตรง
    • หากหน่วยงานที่ได้รับการคุ้มครองใช้ผู้รับเหมาหรือตัวแทน พวกเขาจะต้องได้รับการฝึกอบรมอย่างเต็มที่เกี่ยวกับความรับผิดชอบในการเข้าถึงทางกายภาพด้วย
  • การป้องกันทางเทคนิค – ควบคุมการเข้าถึงระบบคอมพิวเตอร์และช่วยให้หน่วยงานที่ได้รับความคุ้มครองสามารถป้องกันการสื่อสารที่มี PHI ที่ส่งทางอิเล็กทรอนิกส์ผ่านเครือข่ายแบบเปิดจากการถูกสกัดกั้นโดยบุคคลอื่นที่ไม่ใช่ผู้รับที่ตั้งใจไว้
    • ระบบข้อมูลที่อยู่ PHI จะต้องได้รับการปกป้องจากการบุกรุก เมื่อข้อมูลไหลผ่านเครือข่ายแบบเปิด ต้องใช้การเข้ารหัสบางรูปแบบ หากมีการใช้ระบบ/เครือข่ายแบบปิด การควบคุมการเข้าถึงที่มีอยู่จะถือว่าเพียงพอและการเข้ารหัสเป็นทางเลือก
    • หน่วยงานที่ได้รับการคุ้มครองแต่ละแห่งมีหน้าที่รับผิดชอบในการตรวจสอบว่าข้อมูลภายในระบบจะไม่มีการเปลี่ยนแปลงหรือลบในลักษณะที่ไม่ได้รับอนุญาต
    • การยืนยันข้อมูล ซึ่งรวมถึงการใช้เช็คซัม การคีย์สองครั้ง การตรวจสอบข้อความ และลายเซ็นดิจิทัล อาจถูกนำมาใช้เพื่อรับรองความสมบูรณ์ของข้อมูล
    • หน่วยงานที่ได้รับความคุ้มครองจะต้องตรวจสอบความถูกต้องของหน่วยงานที่พวกเขาสื่อสารด้วย การรับรองความถูกต้องประกอบด้วยการยืนยันว่าเอนทิตีเป็นผู้ที่อ้างว่าเป็น ตัวอย่างของการยืนยันรวมถึงระบบรหัสผ่าน การจับมือสองหรือสามทาง การโทรกลับ และระบบโทเค็น
    • หน่วยงานที่ได้รับความคุ้มครองจะต้องจัดทำเอกสารเกี่ยวกับแนวทางปฏิบัติ HIPAA ของตนให้กับรัฐบาลเพื่อพิจารณาการปฏิบัติตาม
    • นอกเหนือจากนโยบายและขั้นตอนและบันทึกการเข้าถึงแล้ว เอกสารประกอบด้านเทคโนโลยีสารสนเทศควรมีบันทึกที่เป็นลายลักษณ์อักษรของการตั้งค่าการกำหนดค่าทั้งหมดบนส่วนประกอบของเครือข่าย เนื่องจากส่วนประกอบเหล่านี้ซับซ้อน กำหนดค่าได้ และเปลี่ยนแปลงตลอดเวลา
    • ต้องมีเอกสารการวิเคราะห์ความเสี่ยงและโปรแกรมการจัดการความเสี่ยง หน่วยงานที่ได้รับความคุ้มครองจะต้องพิจารณาความเสี่ยงของการดำเนินงานอย่างรอบคอบในขณะที่ดำเนินการตามระบบเพื่อให้สอดคล้องกับพระราชบัญญัติ (ข้อกำหนดของการวิเคราะห์ความเสี่ยงและการจัดการความเสี่ยงบอกเป็นนัยว่าข้อกำหนดด้านความปลอดภัยของการกระทำนั้นเป็นมาตรฐานขั้นต่ำและมอบหมายความรับผิดชอบให้กับหน่วยงานที่ได้รับการคุ้มครองเพื่อใช้มาตรการป้องกันที่เหมาะสมทั้งหมดที่จำเป็นเพื่อป้องกันไม่ให้ PHI ถูกใช้เพื่อวัตถุประสงค์ที่ไม่เกี่ยวกับสุขภาพ)

กฎตัวระบุที่ไม่ซ้ำ (ตัวระบุผู้ให้บริการระดับชาติ)

HIPAA ที่ครอบคลุมหน่วยงานต่างๆ เช่น ผู้ให้บริการที่ทำธุรกรรมทางอิเล็กทรอนิกส์ สำนักหักบัญชีด้านการดูแลสุขภาพ และแผนสุขภาพขนาดใหญ่ต้องใช้เฉพาะ National Provider Identifier (NPI) เพื่อระบุผู้ให้บริการด้านการดูแลสุขภาพที่ครอบคลุมในธุรกรรมมาตรฐานภายในวันที่ 23 พฤษภาคม 2550 แผนสุขภาพขนาดเล็กต้องใช้เฉพาะ NPI โดย 23 พฤษภาคม 2551 มีผลบังคับใช้ตั้งแต่เดือนพฤษภาคม 2549 (พฤษภาคม 2550 สำหรับแผนสุขภาพขนาดเล็ก) หน่วยงานที่ครอบคลุมทั้งหมดที่ใช้การสื่อสารทางอิเล็กทรอนิกส์ (เช่น แพทย์ โรงพยาบาล บริษัทประกันสุขภาพ และอื่นๆ) ต้องใช้ NPI ใหม่เพียงรายการเดียว NPI แทนที่ตัวระบุอื่นๆ ทั้งหมดที่ใช้โดยแผนสุขภาพ Medicare, Medicaid และโครงการของรัฐบาลอื่นๆ[63]อย่างไรก็ตาม NPI ไม่ได้แทนที่หมายเลข DEA ของผู้ให้บริการ หมายเลขใบอนุญาตของรัฐ หรือหมายเลขประจำตัวผู้เสียภาษี NPI คือ 10 หลัก (อาจเป็นตัวอักษรและตัวเลข) โดยหลักสุดท้ายเป็นเช็คซัม NPI ไม่สามารถมีหน่วยสืบราชการลับฝังตัวได้ กล่าวอีกนัยหนึ่ง NPI เป็นเพียงตัวเลขที่ไม่มีความหมายเพิ่มเติม NPI มีเอกลักษณ์เฉพาะตัวและเป็นระดับชาติ ไม่เคยใช้ซ้ำ และยกเว้นสำหรับสถาบัน ผู้ให้บริการมักจะมีได้เพียงแห่งเดียว สถาบันอาจได้รับ NPI หลายรายการสำหรับ "ส่วนย่อย" ที่แตกต่างกัน เช่น ศูนย์มะเร็งอิสระหรือสถานบำบัดฟื้นฟู

กฎการบังคับใช้

เมื่อวันที่ 16 กุมภาพันธ์ พ.ศ. 2549 HHS ได้ออกกฎขั้นสุดท้ายเกี่ยวกับการบังคับใช้ HIPAA มีผลบังคับใช้เมื่อวันที่ 16 มีนาคม 2549 กฎการบังคับใช้กำหนดบทลงโทษทางแพ่งสำหรับการละเมิดกฎ HIPAA และกำหนดขั้นตอนสำหรับการสอบสวนและการพิจารณาคดีเกี่ยวกับการละเมิด HIPAA หลายปีที่ผ่านมามีการดำเนินคดีกับการละเมิดเพียงเล็กน้อย[64]

ซึ่งอาจมีการเปลี่ยนแปลงด้วยค่าปรับ 50,000 ดอลลาร์สำหรับบ้านพักรับรองพระธุดงค์แห่งไอดาโฮเหนือ (HONI) ในฐานะนิติบุคคลรายแรกที่ถูกปรับเนื่องจากการละเมิดกฎความปลอดภัย HIPAA ที่อาจส่งผลกระทบต่อผู้คนน้อยกว่า 500 คน Rachel Seeger โฆษกหญิงของ HHS กล่าวว่า "HONI ไม่ได้ทำการวิเคราะห์ความเสี่ยงที่ถูกต้องและละเอียดถี่ถ้วนเพื่อปกปิดความลับของ ePHI [ข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์] ซึ่งเป็นส่วนหนึ่งของกระบวนการจัดการความปลอดภัยตั้งแต่ปี 2548 ถึง 17 มกราคม 2555" การตรวจสอบนี้เริ่มต้นด้วยการโจรกรรมจากยานพาหนะของพนักงานของแล็ปท็อปที่ไม่ได้เข้ารหัสซึ่งมีประวัติผู้ป่วย 441 ราย [65]

ณ เดือนมีนาคม 2013 กระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (HHS) ได้สอบสวนคดีมากกว่า 19,306 คดีที่ได้รับการแก้ไขโดยกำหนดให้มีการเปลี่ยนแปลงแนวทางปฏิบัติด้านความเป็นส่วนตัวหรือโดยการดำเนินการแก้ไข หากการไม่ปฏิบัติตามถูกกำหนดโดย HHS หน่วยงานต้องใช้มาตรการแก้ไข มีการสอบสวนข้อร้องเรียนกับธุรกิจหลายประเภท เช่น เครือข่ายร้านขายยาระดับประเทศ ศูนย์ดูแลสุขภาพที่สำคัญ กลุ่มประกันภัย เครือข่ายโรงพยาบาล และผู้ให้บริการรายย่อยอื่นๆ มี 9,146 กรณีที่การสอบสวน HHS พบว่ามีการปฏิบัติตาม HIPAA อย่างถูกต้อง มี 44,118 กรณีที่ HHS ไม่พบสาเหตุที่มีสิทธิ์ในการบังคับใช้ ตัวอย่างเช่น การละเมิดที่เริ่มต้นก่อน HIPAA จะเริ่มต้น คดีถอนตัวโดยผู้ไล่ตาม; หรือกิจกรรมที่ไม่ละเมิดกฎจริง ตามเว็บไซต์ HHS [66] ต่อไปนี้แสดงรายการปัญหาที่ได้รับการรายงานตามความถี่:

  1. การใช้ในทางที่ผิดและการเปิดเผยของPHI
  2. ไม่มีการคุ้มครองแทนข้อมูลด้านสุขภาพ
  3. ผู้ป่วยไม่สามารถเข้าถึงข้อมูลสุขภาพของตนเองได้
  4. การใช้หรือเปิดเผยมากกว่าข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองขั้นต่ำที่จำเป็น
  5. ไม่มีการป้องกันข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์

หน่วยงานที่พบบ่อยที่สุดที่ต้องดำเนินการแก้ไขเพื่อให้เป็นไปตามความสมัครใจตาม HHS มีการระบุไว้ตามความถี่: [66]

  1. การปฏิบัติส่วนตัว
  2. โรงพยาบาล
  3. สิ่งอำนวยความสะดวกผู้ป่วยนอก
  4. แผนกลุ่มเช่นกลุ่มประกัน
  5. ร้านขายยา

หัวข้อ III: บทบัญญัติด้านสุขภาพที่เกี่ยวข้องกับภาษีที่ควบคุมบัญชีออมทรัพย์ทางการแพทย์

เรื่องที่สามมาตรฐานจำนวนเงินที่อาจจะถูกบันทึกไว้ต่อคนในก่อนหักภาษีบัญชีออมทรัพย์ทางการแพทย์ เริ่มในปี 2540 บัญชีออมทรัพย์ทางการแพทย์ ("MSA") มีให้สำหรับพนักงานภายใต้แผนหักลดหย่อนขั้นสูงที่นายจ้างให้การสนับสนุนสำหรับนายจ้างรายย่อยและบุคคลที่ประกอบอาชีพอิสระ

หัวข้อ IV: การบังคับใช้และการบังคับใช้ข้อกำหนดการประกันสุขภาพกลุ่ม

หัวข้อที่ 4 ระบุเงื่อนไขสำหรับแผนประกันสุขภาพกลุ่มเกี่ยวกับความครอบคลุมของบุคคลที่มีเงื่อนไขที่มีอยู่ก่อน และแก้ไขข้อกำหนดความต่อเนื่องของความคุ้มครอง นอกจากนี้ยังชี้แจงข้อกำหนดความครอบคลุมต่อเนื่องและรวมถึงการชี้แจง COBRA

หัวข้อ V: รายได้ชดเชยการหักภาษีสำหรับนายจ้าง

หัวข้อที่ 5 รวมถึงบทบัญญัติที่เกี่ยวข้องกับการประกันชีวิตของบริษัทสำหรับนายจ้างที่ให้เบี้ยประกันชีวิตของบริษัท การห้ามมิให้หักภาษีดอกเบี้ยสินเชื่อประกันชีวิต เงินบริจาคของบริษัท หรือสัญญาที่เกี่ยวข้องกับบริษัท นอกจากนี้ยังยกเลิกกฎของสถาบันการเงินเป็นกฎการจัดสรรดอกเบี้ย สุดท้าย แก้ไขบทบัญญัติของกฎหมายที่เกี่ยวข้องกับผู้ที่สละสัญชาติสหรัฐอเมริกาหรือถิ่นที่อยู่ถาวร ขยายภาษีการอพยพเพื่อประเมินกับผู้ที่ถือว่าสละสถานภาพในสหรัฐฯ ด้วยเหตุผลทางภาษี และทำให้ชื่อพลเมืองของคนต่างด้าวเป็นส่วนหนึ่งของบันทึกสาธารณะผ่านการสร้างของสิ่งพิมพ์รายไตรมาสของบุคคลที่ได้รับการแต่งตั้งเพื่อชาวต่างชาติ [67]

ผลต่อการวิจัยและการรักษาทางคลินิก

การบังคับใช้กฎความเป็นส่วนตัวและความปลอดภัยทำให้เกิดการเปลี่ยนแปลงครั้งสำคัญในวิธีการดำเนินงานของแพทย์และศูนย์การแพทย์ กฎหมายที่ซับซ้อนและบทลงโทษที่อาจรุนแรงซึ่งเกี่ยวข้องกับ HIPAA เช่นเดียวกับการเพิ่มขึ้นของงานเอกสารและค่าใช้จ่ายในการดำเนินการ เป็นสาเหตุของความกังวลในหมู่แพทย์และศูนย์การแพทย์ บทความในเดือนสิงหาคม พ.ศ. 2549 ในวารสารAnnals of Internal Medicine ได้ให้รายละเอียดข้อกังวลบางประการเกี่ยวกับการดำเนินการและผลกระทบของ HIPAA [68]

ผลกระทบต่อการวิจัย

ข้อจำกัดของ HIPAA สำหรับนักวิจัยส่งผลต่อความสามารถในการดำเนินการวิจัยย้อนหลังโดยใช้แผนภูมิเป็นฐาน ตลอดจนความสามารถในการประเมินผู้ป่วยในอนาคตโดยการติดต่อเพื่อติดตามผล การศึกษาจากมหาวิทยาลัยมิชิแกนแสดงให้เห็นว่าการดำเนินการของกฎความเป็นส่วนตัว HIPAA ส่งผลให้ลดลงจาก 96% เป็น 34% ในสัดส่วนของการสำรวจติดตามเสร็จโดยผู้ป่วยการศึกษาที่กำลังตามมาหลังจากหัวใจวาย [69]การศึกษาอื่นซึ่งมีรายละเอียดผลกระทบของ HIPAA ต่อการรับสมัครสำหรับการศึกษาเกี่ยวกับการป้องกันมะเร็ง แสดงให้เห็นว่าการเปลี่ยนแปลงที่ได้รับคำสั่งจาก HIPAA ทำให้ผู้ป่วยคงค้างลดลง 73% เวลาที่ใช้ในการสรรหาผู้ป่วยเพิ่มขึ้นสามเท่า และการจัดหาเฉลี่ยเพิ่มขึ้นสามเท่า ค่าใช้จ่าย[70]

นอกจากนี้ ในตอนนี้แบบฟอร์มการยินยอมที่ได้รับการบอกกล่าวสำหรับการศึกษาวิจัยจะต้องระบุรายละเอียดอย่างละเอียดว่าข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองของผู้เข้าร่วมจะถูกเก็บไว้เป็นความลับได้อย่างไร แม้ว่าข้อมูลดังกล่าวจะมีความสำคัญ แต่การเพิ่มส่วนที่ยาวและถูกต้องตามกฎหมายในความเป็นส่วนตัวอาจทำให้เอกสารที่ซับซ้อนอยู่แล้วเหล่านี้ใช้งานง่ายน้อยลงสำหรับผู้ป่วยที่ถูกขอให้อ่านและลงนามในเอกสาร

ข้อมูลเหล่านี้ชี้ให้เห็นว่ากฎความเป็นส่วนตัว HIPAA ในขณะที่การดำเนินการในขณะนี้อาจจะมีผลกระทบในทางลบต่อค่าใช้จ่ายและคุณภาพของการวิจัยทางการแพทย์ ดร.คิม อีเกิล ศาสตราจารย์ด้านอายุรศาสตร์แห่งมหาวิทยาลัยมิชิแกน ถูกอ้างถึงในบทความพงศาวดารว่า "ความเป็นส่วนตัวเป็นสิ่งสำคัญ แต่การวิจัยก็มีความสำคัญสำหรับการปรับปรุงการดูแลเช่นกัน เราหวังว่าเราจะคิดออกและทำมันให้ถูกต้อง ." [68]

ผลต่อการรักษาทางคลินิก

ความซับซ้อนของ HIPAA รวมกับบทลงโทษที่อาจรุนแรงสำหรับผู้ฝ่าฝืน อาจทำให้แพทย์และศูนย์การแพทย์ระงับข้อมูลจากผู้ที่อาจมีสิทธิได้รับข้อมูลดังกล่าว การทบทวนการนำกฎความเป็นส่วนตัวของ HIPAA ไปปฏิบัติโดยสำนักงานความรับผิดชอบของรัฐบาลสหรัฐฯ พบว่าผู้ให้บริการด้านสุขภาพ "ไม่แน่นอนเกี่ยวกับความรับผิดชอบด้านความเป็นส่วนตัวทางกฎหมายของตน และมักตอบโต้ด้วยวิธีการที่มีการป้องกันมากเกินไปในการเปิดเผยข้อมูล ... เกินความจำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนด กฎความเป็นส่วนตัว". [68]รายงานความไม่แน่นอนนี้ยังคงดำเนินต่อไป [71]

ค่าใช้จ่ายในการดำเนินการ

ในช่วงเวลาก่อนการบังคับใช้กฎหมายความเป็นส่วนตัวและความปลอดภัย HIPAA ศูนย์การแพทย์และแนวปฏิบัติทางการแพทย์ถูกตั้งข้อหา "ปฏิบัติตาม" ด้วยการเน้นแต่เนิ่นๆ เกี่ยวกับบทลงโทษที่อาจร้ายแรงซึ่งเกี่ยวข้องกับการละเมิด แนวปฏิบัติและศูนย์หลายแห่งจึงหันไปใช้ "ที่ปรึกษา HIPAA" ที่แสวงหาผลกำไรที่เป็นส่วนตัว ซึ่งคุ้นเคยกับรายละเอียดของกฎหมายอย่างใกล้ชิดและเสนอบริการของตนเพื่อให้มั่นใจว่าแพทย์และศูนย์การแพทย์มีความ "ตามเงื่อนไข" อย่างเต็มที่ นอกเหนือจากค่าใช้จ่ายในการพัฒนาและปรับปรุงระบบและแนวปฏิบัติแล้ว การเพิ่มขึ้นของเอกสารและเวลาของพนักงานที่จำเป็นในการปฏิบัติตามข้อกำหนดทางกฎหมายของ HIPAA อาจส่งผลกระทบต่อการเงินของศูนย์การแพทย์และการปฏิบัติในเวลาที่การชำระเงินคืนของบริษัทประกันภัยและ Medicare ก็ลดลงเช่นกัน .[ต้องการการอ้างอิง ]

การศึกษาและการฝึกอบรม

การศึกษาและการฝึกอบรมผู้ให้บริการด้านสุขภาพเป็นข้อกำหนดที่สำคัญสำหรับการดำเนินการตามกฎหมายความเป็นส่วนตัวและความปลอดภัย HIPAA อย่างถูกต้อง การฝึกอบรมที่มีประสิทธิภาพจะต้องอธิบายพื้นฐานทางกฎหมายและระเบียบข้อบังคับและวัตถุประสงค์ของ HIPAA และบทสรุปทั่วไปของหลักการและบทบัญญัติที่สำคัญของกฎความเป็นส่วนตัว [ ต้องการการอ้างอิง ]แม้ว่าแต่ละหลักสูตรการฝึกอบรม HIPAA ควรได้รับการปรับแต่งให้เหมาะสมกับบทบาทของพนักงานที่เข้าร่วมหลักสูตร แต่มีองค์ประกอบที่สำคัญบางอย่างที่ควรรวมไว้ด้วย: [72] [ ตามใคร? ]

  • HIPAA คืออะไร?
  • เหตุใด HIPAA จึงมีความสำคัญ
  • คำจำกัดความของ HIPAA
  • สิทธิของผู้ป่วย
  • กฎความเป็นส่วนตัว HIPAA
  • การเปิดเผยข้อมูลของ PHI
  • การแจ้งเตือนการละเมิด
  • ข้อตกลง BA
  • กฎความปลอดภัย HIPAA
  • การปกป้อง ePHI
  • การละเมิดที่อาจเกิดขึ้น
  • การลงโทษพนักงาน

อักษรย่อ HIPAA

แม้ว่าคำย่อ HIPAA จะตรงกับชื่อของกฎหมายมหาชนปี 1996 104-191 พระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพแต่บางครั้ง HIPAA ก็ถูกเรียกอย่างไม่ถูกต้องว่าเป็น "กฎหมายความเป็นส่วนตัวและการพกพา (Health Information Privacy and Portability Act - HIPPA)" [73] [74]

การละเมิด

HIPAA Chart illustrating HIPAA violations by Type
รายละเอียดของการละเมิด HIPAA ซึ่งส่งผลให้มีการเปิดเผยข้อมูลส่วนบุคคลอย่างผิดกฎหมาย

ตามที่กระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐฯ ระบุ ระหว่างเดือนเมษายน พ.ศ. 2546 ถึงมกราคม พ.ศ. 2556 ได้รับการร้องเรียนเกี่ยวกับการละเมิด HIPAA จำนวน 91,000 ครั้ง โดย 22,000 รายนำไปสู่การบังคับใช้ประเภทต่างๆ (จากการตั้งถิ่นฐานถึงค่าปรับ) และ 521 รายนำไปสู่การ การอ้างอิงถึงกระทรวงยุติธรรมสหรัฐว่าเป็นการกระทำทางอาญา [75]ตัวอย่างของการละเมิดข้อมูลที่ได้รับการคุ้มครองที่สำคัญและการละเมิด HIPAA อื่นๆ ได้แก่:

  • การสูญเสียข้อมูลที่ใหญ่ที่สุดที่ส่งผลกระทบต่อผู้คน 4.9 ล้านคนโดย Tricare Management of Virginia ในปี 2011 [76]
  • ค่าปรับที่ใหญ่ที่สุด 5.5 ล้านดอลลาร์ที่เรียกเก็บจาก Memorial Healthcare Systems ในปี 2560 สำหรับการเข้าถึงข้อมูลที่เป็นความลับของผู้ป่วย 115,143 [77]และ 4.3 ล้านดอลลาร์ถูกเรียกเก็บกับ Cignet Health of Maryland ในปี 2010 สำหรับการเพิกเฉยต่อคำขอของผู้ป่วยเพื่อขอสำเนาบันทึกของตนเองและเพิกเฉยต่อหลายครั้ง จากการสอบถามเจ้าหน้าที่ของรัฐบาลกลาง[78]
  • คำฟ้องทางอาญาครั้งแรกถูกยื่นฟ้องในปี 2554 ต่อแพทย์ชาวเวอร์จิเนียที่แบ่งปันข้อมูลกับนายจ้างของผู้ป่วย "ภายใต้การเสแสร้งว่าผู้ป่วยเป็นภัยคุกคามที่ร้ายแรงและใกล้จะถึงความปลอดภัยของประชาชนโดยที่จริงแล้วเขารู้ว่าผู้ป่วยไม่ใช่ ภัยคุกคามดังกล่าว” [79]

ตาม Koczkodaj et al., 2018, [80]จำนวนบุคคลที่ได้รับผลกระทบตั้งแต่เดือนตุลาคม 2009 คือ 173,398,820

ความแตกต่างระหว่างบทลงโทษทางแพ่งและทางอาญาสรุปไว้ในตารางต่อไปนี้:

ประเภทของการละเมิด บทลงโทษทางแพ่ง (นาที) บทลงโทษทางแพ่ง (สูงสุด)
บุคคลไม่ทราบ (และด้วยการใช้ความพากเพียรตามสมควรจะไม่รู้) ว่าตนละเมิด HIPAA $100 ต่อการละเมิด สูงสุด $25,000 ต่อปีสำหรับการละเมิดซ้ำ 50,000 ดอลลาร์ต่อการละเมิด โดยสูงสุดปีละ 1.5 ล้านดอลลาร์
การละเมิด HIPAA อันเนื่องมาจากเหตุอันสมควรและไม่ได้เกิดจากการจงใจละเลย $1,000 ต่อการละเมิด สูงสุด $100,000 ต่อปีสำหรับการละเมิดซ้ำ 50,000 ดอลลาร์ต่อการละเมิด โดยสูงสุดปีละ 1.5 ล้านดอลลาร์
การละเมิด HIPAA เนื่องจากการละเลยโดยเจตนา แต่การละเมิดจะได้รับการแก้ไขภายในระยะเวลาที่กำหนด $10,000 ต่อการละเมิดหนึ่งครั้ง โดยสูงสุด $250,000 ต่อปีสำหรับการละเมิดซ้ำ 50,000 ดอลลาร์ต่อการละเมิด โดยสูงสุดปีละ 1.5 ล้านดอลลาร์
การละเมิด HIPAA เกิดจากการจงใจละเลยและไม่ได้รับการแก้ไข $50,000 ต่อการละเมิด สูงสุด $1,000,000 . ต่อปี 50,000 ดอลลาร์ต่อการละเมิด โดยสูงสุดปีละ 1.5 ล้านดอลลาร์
ประเภทของการละเมิด บทลงโทษทางอาญา
หน่วยงานที่ครอบคลุมและบุคคลที่ระบุซึ่ง "รู้" ได้รับหรือเปิดเผยข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ ปรับไม่เกิน 50,000 เหรียญสหรัฐ

จำคุกไม่เกิน 1 ปี

ความผิดที่ได้กระทำโดยเสแสร้ง ปรับไม่เกิน $100,000

จำคุกไม่เกิน 5 ปี

ความผิดที่กระทำโดยมีเจตนาที่จะขาย โอน หรือใช้ข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้เพื่อความได้เปรียบทางการค้า ผลประโยชน์ส่วนตัว หรืออันตรายที่มุ่งร้าย ปรับไม่เกิน $250,000

จำคุกไม่เกิน 10 ปี

ข้อมูลทางกฎหมาย

ในปี 1994 ประธานาธิบดีคลินตันมีความทะเยอทะยานอย่างมากในการปรับปรุงสถานะการดูแลสุขภาพของประเทศ แม้ว่าเขาจะพยายามปรับปรุงระบบ แต่เขาไม่ได้รับการสนับสนุนที่เขาต้องการในขณะนั้น[81] The Congressional Quarterly Almanac of 1996 อธิบายว่าวุฒิสมาชิกสองคนคือNancy Kassebaum (R-KS) และEdward Kennedy (D-MA) มารวมกันและสร้างร่างกฎหมายที่เรียกว่า Health Insurance Reform Act of 1995 หรือที่รู้จักกันในชื่อ Kassebaum- เคนเนดี้ บิล. [82]บิลนี้ในความคิดริเริ่มจนตรอกแม้จะทำให้มันออกจากวุฒิสภา อย่างไรก็ตาม เรื่องนี้ คลินตันได้ผลักดันความทะเยอทะยานของเขาให้หนักขึ้น และในที่สุดในปี 2539 หลังจากสถานะของสหภาพแรงงาน มีความคืบหน้าบ้างเนื่องจากส่งผลให้เกิดความร่วมมือจากทั้งสองฝ่าย[81]หลังจากการโต้เถียงและการเจรจาหลายครั้ง มีการเปลี่ยนแปลงในโมเมนตัมเมื่อ “การประนีประนอมระหว่างเคนเนดีและประธานคณะกรรมการ Ways and Meansบิล อาร์เชอร์ได้รับการยอมรับหลังจากการเปลี่ยนแปลงเกิดขึ้นจาก Kassebaum- Kennedy Bill ดั้งเดิม [83]ไม่นานหลังจากนั้น บิลก็ลงนามในกฎหมายโดยประธานาธิบดีคลินตันและได้รับการตั้งชื่อว่า Health Insurance Portability and Accountability Act of 1996 (HIPAA)

  • HR 3103 ; H. ตัวแทน 104-469 ตอนที่ 1; H. ตัวแทน 104-736
  • ส. 1028 ; ส. 1698 ; ส. ตัวแทน 104-156
  • มาตรฐานความปลอดภัยHHS , 45 CFR 160 , 45 CFR 162และ45 CFR 164
  • มาตรฐาน HHS สำหรับความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคลได้, 45 CFR 160และ45 CFR 164

อ้างอิง

  1. ^ Atchinson ไบรอัน K .; ฟ็อกซ์, แดเนียล เอ็ม. (พ.ค.–มิ.ย. 1997) "การเมืองพระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบการประกันสุขภาพ" (PDF) . กิจการสุขภาพ . 16 (3): 146–150. ดอย : 10.1377/hlthaff.16.3.146 . PMID  9141331 . เก็บถาวรจากต้นฉบับ (PDF)เมื่อ 2014-01-16 . สืบค้นเมื่อ2014-01-16 .
  2. ^ "104th Congress, 1st Session, S.1028" (PDF) . เก็บถาวร(PDF)จากต้นฉบับเมื่อ 2012-06-16
  3. ^ "HIPAA สำหรับหุ่น" .
  4. ^ "เวชระเบียนของคุณ" . 19 พฤศจิกายน 2551
  5. ^ "แผนสุขภาพและผลประโยชน์: การพกพาประกันสุขภาพ" . กระทรวงแรงงานสหรัฐ. 2015-12-09. เก็บถาวรจากต้นฉบับเมื่อ 2016-12-20 . สืบค้นเมื่อ2016-11-05 .
  6. ^ "ภาพรวม" . www.cms.gov . 2016-09-13. เก็บถาวรจากต้นฉบับเมื่อ 2016-11-02 . สืบค้นเมื่อ2016-11-05 .
  7. ^ เบอร์เกอร์มาร์ค C .; ดำแดนเอ.; สกอตต์, แฟรงค์ เอ. (2004). "มีจ็อบล็อกไหม หลักฐานจากยุคก่อนฮิปา" . วารสารเศรษฐกิจภาคใต้ . 70 (4): 953–976. ดอย : 10.2307/4135282 . ISSN 0038-4038 . JSTOR 4135282  
  8. ^ "ข้อมูลชื่อเรื่อง HIPAA" . www.dhcs.ca.gov . ดึงข้อมูลเมื่อ2021-10-31 .
  9. ^ 29 USC  § 1181(a)(2)
  10. ^ 29 USC  § 1181(a)(3)
  11. ^ 29 USC  § 1181(c)(1)
  12. ^ 29 USC  § 1181(c)(2)(A)
  13. ^ (ย่อย B วินาที 110)
  14. ^ (Sub B วินาที 111)
  15. ^ "HIPAA for Healthcare Workers: The Privacy Rule" . 2557. ดอย : 10.4135/9781529727890 . Cite journal requires |journal= (help)
  16. ^ 42 USC  § 1320a-7c
  17. ^ 42 USC  § 1395ddd
  18. ^ 42 USC  § 1395b-5
  19. ^ a b "42 US Code § 1395ddd - Medicare Integrity Program" . LII / สถาบันข้อมูลกฎหมาย . เก็บถาวรจากต้นฉบับเมื่อ 2018-03-21 . สืบค้นเมื่อ2018-03-21 .
  20. ^ 45 CFR 160.103
  21. ^ "อะไรคือความหมายของ HIPAA ปกคลุม Entity หรือไม่ - NetSec.News" 9 ตุลาคม 2560 เก็บถาวรจากต้นฉบับเมื่อ 6 พฤษภาคม 2561
  22. ^ Terry, Ken "Patient Privacy - The New Threats" Archived 2015-11-20 at the Wayback Machine Physicians Practice Journal, volume 19, number 3, year 2009, access date 2 กรกฎาคม 2552
  23. ^ ดู 45 ส่วน CFR 160.102 และ 160.103 ที่จัดเก็บ 2012-01-12 ที่เครื่อง Wayback
  24. ^ 45 CFR 164.524
  25. ^ 45 CFR 164.512
  26. ^ (OCR), สำนักงานสิทธิพลเมือง (7 พฤษภาคม 2551). "บทสรุปของกฎ HIPAA ความเป็นส่วนตัวว่า" เก็บจากต้นฉบับเมื่อ 6 ธันวาคม 2558
  27. ^ 45 CFR 164.524
  28. ^ 45 CFR 164.502
  29. ^ 45 CFR 164.502
  30. ^ 45 CFR 164.526
  31. ^ 45 CFR 164.522
  32. ^ โรว์, ลินดา (2005). "สิ่งที่เจ้าหน้าที่ตุลาการต้องรู้เกี่ยวกับกฎความเป็นส่วนตัวของ HIPAA" วารสารแนสปา . 42 (4): 498–512. ดอย : 10.2202/0027-6014.1537 . ProQuest 62084860 
  33. ^ 45 CFR 164.528
  34. ^ 45 CFR 164.530
  35. ^ 45 CFR 164.530
  36. ^ "วิธีการยื่นข้อมูลสุขภาพความเป็นส่วนตัวร้องเรียนกับสำนักงานสิทธิพลเมือง" (PDF) เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2016-12-21 . สืบค้นเมื่อ2017-10-07 .
  37. ^ 45 CFR 160.306
  38. ^ "การแพร่กระจายของระเบียนขยับความกลัวของการกัดเซาะความเป็นส่วนตัว" ที่จัดเก็บ 2017/07/10 ที่เครื่อง Wayback 23 ธันวาคม 2006 โดยธีโอฟรานซิส, The Wall Street Journal
  39. ^ "มหาวิทยาลัยแห่งแคลิฟอร์เนีย settles HIPAA ความเป็นส่วนตัวและการรักษาความปลอดภัยกรณีที่เกี่ยวข้องกับสิ่งอำนวยความสะดวกระบบสุขภาพยูซีแอล" กรมอนามัยและบริการมนุษย์. เก็บถาวรจากต้นฉบับเมื่อ 2017-10-12
  40. ^ Kavi, Aishvarya (2021/07/22) "กฎหมาย HIPAA ทำงานอย่างไร และทำไมผู้คนถึงเข้าใจผิด" . เดอะนิวยอร์กไทม์ส . ISSN 0362-4331 . สืบค้นเมื่อ2021-07-23 . 
  41. ^ Chiu ลีสัน (2021/05/22) "อธิบาย HIPAA: ไม่ ไม่ได้ห้ามคำถามเกี่ยวกับสถานะการฉีดวัคซีนของคุณ" . วอชิงตันโพสต์ สืบค้นเมื่อ2021-07-23 .
  42. ^ "ร่างกฎหมายมาร์จอรี่เทย์เลอร์กรีนในสิบคำหรือน้อยกว่าที่ได้รับ HIPAA ผิดทั้งหมด" กฎหมายและอาชญากรรม 2021-07-21 . สืบค้นเมื่อ2021-07-23 .
  43. ^ (OCR), สำนักงานสิทธิพลเมือง (30 ตุลาคม 2558). " Omnibus HIPAA Rule Making" .
  44. ^ "อะไรคือความแตกต่างระหว่าง HIPAA ธุรกิจรองและ HIPAA ครอบคลุมกิจการ" HIPAA วารสาร 2017-10-06. เก็บจากต้นฉบับเมื่อ 2018-02-18 . สืบค้นเมื่อ2017-10-12 .
  45. ^ ข้อมูลด้านสุขภาพของบุคคลที่ตาย เก็บไว้ 2017/10/19 ที่เครื่อง Wayback 2013
  46. ^ "HIPAA กฎความเป็นส่วนตัวบทลงโทษการละเมิดได้รับการยกเว้นในการปลุกของพายุเฮอริเคนฮาร์วีย์ - netsec.news" เน็ตเซค .นิวส์ 2017-08-28. เก็บถาวรจากต้นฉบับเมื่อ 2018-05-06 . สืบค้นเมื่อ2017-10-28 .
  47. ^ (OCR), Health Information Privacy Division, Office for Civil Rights (2016-01-05). "บุคคลขวาภายใต้ HIPAA ในการเข้าถึงข้อมูลสุขภาพของพวกเขา" HHS.gov . เก็บถาวรจากต้นฉบับเมื่อ 2017-12-02 . สืบค้นเมื่อ2017-12-10 .
  48. ^ สิทธิ (OCR), สำนักงานพลเรือน (2016-06-24). "2042 บุคคลใดมีสิทธิ์เข้าถึงข้อมูลด้านสุขภาพส่วนบุคคลภายใต้ HIPAA จากผู้ให้บริการดูแลสุขภาพและแผนสุขภาพของตน" . HHS.gov . สืบค้นเมื่อ2021-09-01 .
  49. ^ "บุคคลขวาภายใต้ HIPAA ในการเข้าถึงข้อมูลสุขภาพของพวกเขา 45 CFR § 164.524" กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา 5 มกราคม 2559 . สืบค้นเมื่อ10 เมษายน 2021 .
  50. ^ สิทธิ (OCR), สำนักงานพลเรือน (2009-11-20) "บทสรุปของกฎความปลอดภัย HIPAA" . HHS.gov . ที่ดึง 2021/03/17
  51. ^ Ahlers, Mike M. (25 February 2014). "Asiana fined $500,000 for failing to help families - CNN". CNN. Archived from the original on 2014-02-27.
  52. ^ "First Amendment Center | Freedom Forum Institute". Archived from the original on 2016-06-05. Retrieved 2016-04-19.
  53. ^ "New York Times Examines 'Unintended Consequences' of HIPAA Privacy Rule". 3 June 2003. Archived from the original on 6 May 2016.
  54. ^ U.S. Social Security Administration. "TITLE XI—General Provisions, Peer Review, and Administrative Simplification". www.ssa.gov. Retrieved 2020-07-18.
  55. ^ "Overview". www.cms.gov. 26 July 2017. Archived from the original on 18 October 2017.
  56. ^ "What are the HIPAA Administrative Simplification Regulations?". 20 October 2017. Archived from the original on 19 February 2018.
  57. ^ "Overview". www.cms.gov. 28 March 2016. Archived from the original on 12 February 2012.
  58. ^ Kibbe, David C. (December 2001). "What the HIPAA Transaction and Code Set Standards Will Mean for Your Practice". Family Practice Management. 8 (10): 28–32. ISSN 1069-5648. PMID 11757237.
  59. ^ CSM.gov "Medicare & Medicaid Services" "Standards for Electronic Transactions-New Versions, New Standard and New Code Set – Final Rules"
  60. ^ "The Looming Problem in Healthcare EDI: ICD-10 and HIPAA 5010 migration" October 10, 2009 – Shahid N. Shah
  61. ^ "HIPAA security rule & risk analysis". American Medical Association.
  62. ^ วาฟา, ทิม (ฤดูร้อน 2010). "การขาดรายละเอียดทางเทคนิคที่กำหนดใน HIPAA ส่งผลต่อความเป็นส่วนตัวของผู้ป่วยอย่างไร" ทบทวนกฎหมายมหาวิทยาลัย Northern Illinois 30 (3). SSRN 1547425 . 
  63. ^ พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ พ.ศ. 2539 (HIPAA) เก็บถาวร 2014-01-08 ที่เครื่อง Wayback Steve Anderson: HealthInsurance.org
  64. ^ กฎหมายความเป็นส่วนตัวทางการแพทย์ไม่มีค่าปรับ เก็บถาวร 2017/10/13 ที่ Wayback เครื่องร็อบสไตน์:วอชิงตันโพสต์
  65. ^ "สำเนาที่เก็บถาวร" . เก็บถาวรจากต้นฉบับเมื่อ 2013-01-09 . ที่ดึง 2013/01/09CS1 maint: archived copy as title (link) Feds ยกระดับการบังคับใช้ HIPAA ด้วยการตั้งถิ่นฐานที่บ้านพักรับรองพระธุดงค์
  66. ^ บังคับใช้ข้อมูล ที่เก็บไว้ 2017/08/21 ที่Wayback เครื่อง 2017
  67. ^ Kirsch, ไมเคิลเอ (2004) "การลงโทษทางเลือกและกฎหมายภาษีของรัฐบาลกลาง: สัญลักษณ์ ความอับอาย และการจัดการบรรทัดฐานทางสังคมเพื่อทดแทนนโยบายภาษีที่มีประสิทธิภาพ" ทบทวนกฎหมายไอโอวา 89 (863). SSRN 552730 . 
  68. ^ a b c Wilson J (2006). "Health Insurance Portability and Accountability Act Privacy rule causes ongoing concerns among clinicians and researchers". Ann Intern Med. 145 (4): 313–6. doi:10.7326/0003-4819-145-4-200608150-00019. PMID 16908928.
  69. อาร์มสตรอง ดี, ไคลน์-โรเจอร์ อี, เจนี เอส, โกลด์แมน อี, ฝาง เจ, มูเคอร์จี ดี, นัลลาโมตู บี, อีเกิ้ล เค (2005) "ผลกระทบที่อาจเกิดขึ้นจากกฎความเป็นส่วนตัวของ HIPAA ต่อการรวบรวมข้อมูลในทะเบียนผู้ป่วยโรคหลอดเลือดหัวใจเฉียบพลัน" . Arch Intern Med 165 (10): 1125–9. ดอย : 10.1001/archinte.165.10.1125 . PMID 15911725 . 
  70. วูลฟ์ เอ็ม, เบนเน็ตต์ ซี (2006). "มุมมองท้องถิ่นของผลกระทบของกฎความเป็นส่วนตัว HIPAA ในการวิจัย" มะเร็ง . 106 (2): 474–9. ดอย : 10.1002/cncr.21599 . PMID 16342254 . 
  71. ^ กรอส, เจน (3 กรกฎาคม 2550) "การรักษารายละเอียดของผู้ป่วยให้เป็นส่วนตัว แม้กระทั่งจากญาติ" . เดอะนิวยอร์กไทม์ส . เก็บถาวรจากต้นฉบับเมื่อ 12 สิงหาคม 2017 . สืบค้นเมื่อ11 สิงหาคม 2019 .
  72. ^ "ข้อกำหนดการฝึกอบรม HIPAA" .
  73. ^ "ศาลแขวงสหรัฐ" (PDF) . 16 กันยายน 2010 การละเมิดกฎหมายความเป็นส่วนตัวและการพกพาของข้อมูลสุขภาพ ("ฮิปป้า")
  74. ^ SE รอสส์ (2003). "ผลของการส่งเสริมให้ผู้ป่วยเข้าถึงเวชระเบียน: การทบทวน" . วารสารสมาคมสารสนเทศการแพทย์อเมริกัน . 10 (2): 129–138. ดอย : 10.1197/jamia.M1147 . พีเอ็มซี 150366 . PMID 12595402 . พระราชบัญญัติความเป็นส่วนตัวและการพกพาประกันสุขภาพ (HIPPA) กำหนดให้ ...  
  75. ^ "Enforcement Highlights". OCR Home, Health Information Privacy, Enforcement Activities & Results, Enforcement Highlights. U.S. Department of Health & Human Services. Archived from the original on 5 March 2014. Retrieved 3 March 2014.
  76. ^ "Breaches Affecting 500 or more Individuals". OCR Home, Health Information Privacy, HIPAA Administrative Simplification Statute and Rules, Breach Notification Rule. U.S. Department of Health & Human Services. Archived from the original on 15 March 2015. Retrieved 3 March 2014.
  77. ^ "บันทึก HIPAA Settlement ประกาศ: $ 5.5 ล้านคนจ่ายเงินโดยอนุสรณ์ระบบการดูแลสุขภาพ" HIPAA วารสาร 17 กุมภาพันธ์ 2017.
  78. ^ "บทลงโทษทางแพ่ง" . HHS เว็บไซต์อย่างเป็นทางการ กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา ตุลาคม 2010. เก็บถาวรจากต้นฉบับเมื่อ 8 ตุลาคม 2017 . สืบค้นเมื่อ8 ตุลาคม 2017 .
  79. ^ "HIPAA ผลการค้นหาความเป็นส่วนตัวในการร้องเรียนของรัฐบาลกลางดำเนินคดีทางอาญาสำหรับครั้งแรก" HIPAA วารสาร กรกฎาคม 2011. เก็บข้อมูลจากต้นฉบับเมื่อ 17 กุมภาพันธ์ 2018 . สืบค้นเมื่อ10 ตุลาคม 2017 .
  80. ^ Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (2018). Social Indicators Research, https://link.springer.com/article/10.1007/s11205-018-1837-z Electronic Health Record Breaches as Social Indicators.
  81. ^ a b "Health Insurance Portability and Accountability Act - LIMSWiki". www.limswiki.org. Retrieved 2021-10-10.
  82. ^ Cade, Dozier C. (1951). "Book Review: Congressional Quarterly Almanac: 81st Congress, 2nd Session. Vol. VI". Journalism Quarterly. 28 (3): 389–390. doi:10.1177/107769905102800313. ISSN 0022-5533. S2CID 164443756.
  83. ^ "The Health Insurance Portability and Accountability Act (HIPAA) | Colleaga". www.colleaga.org. Retrieved 2021-10-10.

External links