医疗-HIPAA

HIPAA

1 什么是HIPAA

HIPAA 和 HITECH 强制推行使用和披露 个人健康信息 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。

HIPAA是《健康保险携带与责任法》。HIPAA的颁布旨在提高医疗保健系统的效率和效能,并建立联邦安全标准,以保护受保护健康信息(PHI)的安全性和隐私。

什么是PHI?

受保护的健康信息 (PHI) 是可以识别个人身份、与个人健康状况、医疗保健或医疗保健支付相关的信息。 PHI 的定义很广泛,仅人口统计信息(例如姓名和地址)如果与 HIPAA 涵盖的实体(例如医疗保健提供者、健康计划或医疗保健信息交换所)相关联,则属于 PHI。

PHI 不包括:

  • 《家庭教育权利和隐私法》(FERPA) 涵盖的学生记录,

  • HIPAA 受保实体作为雇主持有的雇佣记录,以及

  • 已故 50 年以上人员的记录。

个人健康信息标识符PHI类别

  1. Names

  2. Geographic subdivisions smaller than a state, such as a street address, city, county, or full zip code

  3. Dates directly relating to an individual, including a birth date, admission date, discharge date, and date of death

  4. Telephone numbers

  5. Fax numbers

  6. Email addresses

  7. Social Security numbers

  8. Medical Record numbers

  9. Health insurance beneficiary numbers

  10. Account numbers

  11. Certificate or license numbers

  12. Vehicle identifiers and serial numbers

  13. Device identifiers and serial numbers

  14. Web URL

  15. IP Addresses

  16. Biometric identifiers, including finger and voice prints

  17. Full-face photographs and any comparable images

  18. Any other unique identifying number, characteristic, or code

PHI举例

  • 病历

  • 与个人相关的化验结果

  • 医疗记录

  • 可识别的临床研究数据

Less-obvious examples of PHI:

  • 医疗机构办公室保存的地址和电话号码目录

  • 医院账单

  • 代理人保存的医疗保险申请表

  • 入院日期和邮政编码数据库

2 谁会受到HIPAA的影响

任何创建、维护、接收或使用受保护健康信息的组织都必须遵守HIPAA法规。这些机构包括

  • 医疗保健提供者,如医生、药剂师和诊所。

  • 健康保险公司,如HMO,以及公司健康计划提供者。

  • 医疗保健信息交流中心,或处理医疗保健数据的商业实体。

3 HIPAA要求保护的数据是指哪些数据?

HIPPA保护个人可识别信息,即PHI 。"个人可识别的健康信息 "是指与以下内容有关的信息,包括人口统计学数据:【个人过去、现在或将来的身体或精神健康或状况;向个人提供的医疗服务,或过去、现在或将来向个人提供医疗服务的付款情况】。常见的识别信息例如,姓名、地址、出生日期、社会安全号。PHI,即 "个人可识别的健康信息",其形式或媒体,无论是电子、纸质或口头。以下情形除外:

  • 隐私规则将受管辖的实体以雇主身份保存的就业记录以及受《家庭教育权利和隐私法》(20 U.S.C. §1232g)管辖或定义的教育和某些其他记录。

  • DHI。DHI是指既不能识别也不能为识别个人提供合理的依据的个人健康信息。取消信息的身份识别的两种方式:(1)由合格的统计学家正式确定;(2)删除个人以及个人的亲属、家庭成员和雇主的特定标识符,并且只有在受管辖的实体实际不知道剩余信息可用于识别个人的情况下,才算充分。HIPPA对使用或披露去识别的健康信息DHI(De-identified Health Information)没有任何限制。

4 HIPPA下使用和披露数据的定义

"使用 "包括任何人员对 PHI 的访问,或人员对 PHI 的处理活动。个人之间或系统之间共享 PHI 被视为 "使用"。

根据 HIPAA 规定,"披露 "是指将 PHI 分享给组织之外的人。

PHI拥有的企业必须做出合理努力,将所有 PHI 的请求、使用和披露(即使已获授权和允许)限制在为实现请求、使用或披露的预期目的所必需的最低 PHI 范围内。

为了遵循 HIPAA 的“最低必要”要求,企业应遵循 AWS 的“最小权限”原则,这意味着用户仅被授予执行特定工作相关任务的访问权限,仅此而已。 企业员工不应与任何人讨论 PHI,除非它是已批准的客户用例的一部分,并且仅在必要时最大限度地减少工作量。

5 违法成本

民事罚款

  • OCR 可对未能遵守《隐私规则》要求的受管辖实体进行处罚。罚金将因各种因素而有很大不同,例如违反日期、受管辖实体是否知道或应该知道未能遵守的情况,或受管辖实体未能遵守的情况是否是由于故意疏忽。对于多次违反同一要求的行为,处罚不得超过一个自然年的上限。

对于2009年2月18日之前发生的违规行为
对于2009年2月18日或之后发生的违规行为

罚金数额

每次违规最高为100美元

每项违法行为100美元至50,000美元或更多

日历年罚金数额上限

25,000美元

1,500,000美元

在某些情况下,不会对违规行为进行处罚,如:

  • 未遵守规定不是由于故意疏忽,并且在该实体知道或应该知道未遵守规定发生后的30天内得到纠正(除非OCR酌情延长该期限);

  • 司法部对不遵守规定的行为进行了刑事处罚(见下文);

  • 不遵守规定是由于合理的原因,并且考虑到不遵守规定的性质和程度,处罚会过重,OCR可以选择减少处罚。

在OCR实施处罚之前,它将通知受管辖实体,并向受管辖实体提供书面证据,证明那些可以减少或禁止处罚的情况。该证据必须在收到通知的30天内提交给OCR。此外,如果OCR声明它打算实施处罚,受管辖实体有权要求举行行政听证会,对拟议的处罚提出上诉。

刑事处罚

违反隐私规则,故意获取或披露个人可识别健康信息的人可能面临最高5万美元的刑事处罚和最多1年的监禁。如果不法行为涉及蓄意伪装,则刑事处罚增加到10万美元和最多5年的监禁;如果不法行为涉及为商业利益、个人利益或恶意伤害而出售、转让或使用可识别健康信息的意图,则刑事处罚增加到25万美元和最多10年的监禁。司法部负责根据《隐私法》进行刑事起诉。

HIPAA Privacy Rule

The HHS outlined the general penalties in section 13410(d) of the HITECH Act. It goes as follows:

  • Tier A – 如果发生未知问题,并且也做出了合理努力的罚款将为: If a violation occurs in which the person or entity did not know they violated a provision, and they would not have known even if they exercised a reasonable effort [reasonable, defined case-by-case], then the penalty will be:

    • Tier A penalty – For each instance or violation, the person or entity will pay $100. This can sum to a maximum of $25,000 annually for identical violations.

  • Tier B – 如果违规行为是出于合理原因而非故意疏忽 If it is the case that the violation established was because of reasonable cause but not of willful neglect, then the penalty will be:

    • Tier B penalty – For each instance or violation, the person or entity will pay $1,000. This total will not exceed $100,000 in the calendar year for identical violations.

  • Tier C – 如果违规是由于故意疏忽造成的,个人或实体将有机会在 30 天内修改其政策。If the violation occurs and the cause is due to willful neglect, the person or entity is given a chance to amend their policy within 30 days. If the correction is satisfactory, the penalty will be:

    • Tier C penalty – For each instance or violation, the person or entity will pay $10,000. This sum is not to exceed $250,000 per calendar year for identical violations.

  • Tier D – 与 C 级类似,如果因故意疏忽而发生违规,并且个人或实体未在 30 天内修改其政策,则处罚将为:Similar to Tier C, if the violation occurs due to willful neglect, and the person or entity does not amend their policy within 30 days, the penalty will be:

    • Tier D penalty – For each instance or violation, the person or entity will pay $50,000. This sum cannot exceed $1,500,000 per calendar year for identical violations.

Breach Notification Rule

If a data breach occurs within a HIPAA-covered entity, the Breach Notification Rule defines how said entity must report it. The size of the breach constitutes what is necessary:

If the breach affects less than 500 patient records:

  • The healthcare provider or business associate must send a letter via first-class mail notifying the affected individuals. They must provide them with what protected health information was compromised, what steps within the company are being taken to prevent further breaches from happening, and what actions the patient can do to minimize the potential harm of the breach.

If the breach affects more than 500 patient records:

  • On top of everything above, the healthcare provider or business associate must report the breach to the HHS within the first two months (or 60 days) of discovering the data breach. They must also report the breach to an established media outlet which serves the affected jurisdiction.

根据《HITECH 法案》第 13402(e)(4)条的要求,必须公布影响 500 名或以上个人的未加密受保护健康信息外泄事件清单。最高处罚金额为 150 万美元。已向监管部门报告了以下违规事件:

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

参考资料

https://blog.rsisecurity.com/hitech-enforcement-penalties/

上一页美国出口管理条例(EAR)下一页Europ欧洲

最后更新于