Медициналық сақтандыру портативтілігі және есеп беру туралы заң - Health Insurance Portability and Accountability Act

Медициналық сақтандырудың портативтілігі және есеп беру туралы 1996 ж
Америка Құрама Штаттарының Ұлы мөрі
Басқа қысқа атауларКассебаум – Кеннеди туралы заң, Кеннеди – Кассебаум туралы заң
Ұзақ тақырыпТоптық және жекелеген нарықтарда медициналық сақтандыруды қамтудың портативтілігі мен сабақтастығын жақсарту, медициналық сақтандыру мен медициналық қызмет көрсетудегі ысырапшылдық, алаяқтық және теріс пайдаланушылықпен күресу, медициналық жинақ шоттарын пайдалануды ынталандыру мақсатында 1996 жылғы Ішкі кірістер кодексіне өзгерістер енгізу туралы заң , ұзақ мерзімді медициналық көмекке қол жетімділікті жақсарту және медициналық қамсыздандыруды жеңілдету және басқа мақсаттар үшін.
Қысқартулар (ауызекі)HIPAA (айтылған /ˈсағɪбə/, HIP-ух)
Авторы:The 104 Америка Құрама Штаттарының конгресі
Дәйексөздер
Мемлекеттік құқықPub.L.  104–191 (мәтін) (PDF)
Ережелер110 Стат.  1936
Заңнама тарихы
  • Үйге енгізілді сияқты HR 3103 арқылы Билл Арчер (R -TX ) қосулы 18 наурыз, 1996 ж
  • Комитеттің қарауы Үйдің әдістері
  • Үйден өтті 28 наурыз, 1996 (267–151 )
  • Сенат өтті 23 сәуір, 1996 (100–0, орнына S. 1028 )
  • Бірлескен конференция комитеті хабарлады 31 шілде, 1996 ж .; палата келіскен 1 тамыз 1996 (421–2 ) және сенат күні 2 тамыз 1996 (98–0 )
  • Президент заңға қол қойды Билл Клинтон қосулы 21 тамыз, 1996 ж

The Медициналық сақтандырудың портативтілігі және есеп беру туралы 1996 ж (HIPAA немесе КеннедиКассебаум Акт[1][2]) - қабылданған Америка Құрама Штаттарының федералды жарғысы 104 Америка Құрама Штаттарының конгресі және Президент заңға қол қойды Билл Клинтон 1996 жылы 21 тамызда. Ол денсаулық сақтау туралы ақпаратты ағынды модернизациялау үшін құрылды жеке анықтайтын ақпарат денсаулық сақтау және медициналық сақтандыру салалары сақтайтын алаяқтық пен ұрлықтан қорғалған және медициналық сақтандырумен қамтылудағы шектеулерді ескерген жөн.[3]

Акт бес тақырыптан тұрады. HIPAA I тақырыбы қорғайды медициналық сақтандыру жұмысшылар ауысқанда немесе жұмысынан айырылғанда жұмысшылар мен олардың отбасыларын қамту.[4] Әкімшілік жеңілдету (AS) ережелері деп аталатын HIPAA II атауы ұлттық стандарттарды белгілеуді талап етеді электронды денсаулық сақтау жеткізушілерге, медициналық сақтандыру жоспарларына және жұмыс берушілерге арналған транзакциялар мен ұлттық идентификаторлар.[5] III тақырып салық төлеуге дейінгі медициналық шығындар туралы есептерді, IV тақырып топтық денсаулық сақтау жоспарларын және V тақырып компанияға тиесілі өмірді сақтандыру полистерін басқарады.

Атаулар

Актта тақырыптар деп аталатын бес бөлім бар.

I тақырып: денсаулық сақтаудың қол жетімділігі, портативтілігі және жаңартылуы

HIPAA I атауы топтық денсаулық сақтау жоспарларының және жеке медициналық сақтандыру полистерінің қол жетімділігі мен кеңдігін реттейді. Ол қызметкерлердің зейнетақымен қамсыздандыру туралы заңына, «Денсаулық сақтау қызметі туралы» Заңға және «Ішкі кірістер туралы» кодекске өзгертулер енгізді.

I тақырып, денсаулық сақтаудың топтық жоспары алдын-ала жасалған жағдайлар үшін жеңілдіктерге қойылатын шектеулерді қамтуы керек, сонымен қатар шектейді. Денсаулық сақтау бойынша топтық жоспарлар жоспарға тіркелгеннен кейінгі 12 айға немесе кеш қабылданған жағдайда 18 айға дейінгі жағдайларға байланысты жеңілдіктер беруден бас тарта алады.[6] I тақырып жеке адамдарға жоспарға жазылуға дейін және қамту кезіндегі «елеулі үзілістерден» кейін «несиелік жабуға» ие болған уақытқа алып тастау мерзімін қысқартуға мүмкіндік береді.[7] «Несиеленетін қамту» кең көлемде анықталған және оған денсаулық сақтаудың барлық топтық және жеке жоспарлары, Medicare және Medicaid кіреді.[8] Қамтудың «елеулі үзілісі» кез-келген 63 күндік кезең ретінде несиелендірілетін жабусыз анықталады.[9] Ерекшелікпен қатар, жұмыс берушілерге темекіні тұтынуға немесе дене салмағының индексіне сыйлықақы немесе қосымша төлемдерді байланыстыруға мүмкіндік береді.

I тақырып[10] сонымен қатар сақтандырушылардан 18 айдан асатын несиелік қамтуымен (жоғарыдан қараңыз) топтық денсаулық сақтау жоспарынан шығатындарға саясатты шығаруды талап етеді;[11] жеке саясатты олар ұсынылған уақытқа дейін жаңартады немесе сақтандырушы денсаулық жағдайына қарамастан нарықта шеттетусіз болған уақытқа дейін тоқтатылған жоспарларға балама ұсынады.

Денсаулық сақтаудың кейбір жоспарлары I тақырып талаптарынан босатылады, мысалы денсаулық сақтаудың ұзақ мерзімді жоспарлары және денсаулық сақтаудың жалпы жоспарынан бөлек ұсынылатын стоматологиялық немесе көру жоспарлары сияқты шектеулі жоспарлар. Алайда, егер мұндай жеңілдіктер денсаулық сақтаудың жалпы жоспарының бір бөлігі болса, онда HIPAA мұндай жеңілдіктерге қолданылады. Мысалы, егер жаңа жоспар стоматологиялық жеңілдіктерді ұсынса, онда ол денсаулық сақтаудың ескі жоспары бойынша несиелік үздіксіз қамтуды тіс емдеуге арналған кез-келген алып тастау кезеңіне дейін есептеуі керек.

Денсаулық сақтау жоспары бойынша несиелік үздіксіз қамтуды есептеудің балама әдісі І тақырып бойынша қол жетімді, яғни денсаулықпен қамтудың 5 санатын бөлек қарастыруға болады, оның ішінде стоматологиялық және визуалды қамту. Осы 5 санатқа жатпайтындардың барлығы жалпы есептеулерді қолдануы керек (мысалы, бенефициарды 18 айлық жалпы қамтумен есептеуге болады, бірақ 6 ай ғана стоматологиялық қамтуға болады, өйткені бенефициардың 6 айға дейін тісті қамтыған жалпы денсаулық сақтау жоспары болмаған өтінім беру күніне дейін). Шектелген қамту жоспарлары HIPAA талаптарынан босатылғандықтан, тақ топтастырылған денсаулық сақтау жоспарына үміткер тәуелсіз шектеулі жоспарлар үшін несиелік үздіксіз қамту сертификаттарын ала алмайтын тақ жағдай туындайды, мысалы, стоматологиялық жаңа кезеңнен шығару кезеңінде сол төсемдерді қамтитын жоспар.

Жасырын алып тастау кезеңдері I тақырып бойынша жарамсыз (мысалы, «жазатайым оқиға, қамтылуға тиіс, бенефициар дәл осы медициналық сақтандыру шарты бойынша жабылған кезде болуы керек»). Мұндай ережелер денсаулық сақтау жоспары бойынша қабылданбауы керек. Сонымен қатар, олар HIPAA талаптарына сәйкес келуі үшін қайта жазылуы керек. [12]

II тақырып: Денсаулық сақтау саласындағы алаяқтық пен асыра пайдаланудың алдын алу; Әкімшілік жеңілдету; Медициналық жауапкершілікті реформалау

HIPAA II тақырыбы денсаулық туралы жеке анықталатын ақпараттың қауіпсіздігі мен сақталуын қамтамасыз ететін саясат пен процедураларды белгілейді, денсаулық сақтауға қатысты көптеген құқық бұзушылықтарды белгілейді және бұзушылықтар үшін азаматтық және қылмыстық жазаларды белгілейді. Сондай-ақ денсаулық сақтау жүйесінде алаяқтық пен теріс пайдаланушылықты бақылауға арналған бірнеше бағдарлама жасалады.[13][14][15][16] Алайда, II тақырыптың ең маңызды ережелері оның әкімшілік жеңілдету ережелері болып табылады. II тақырып үшін талап етіледі Денсаулық сақтау және халыққа қызмет көрсету бөлімі (HHS) денсаулық сақтау туралы ақпаратты пайдалану мен тарату стандарттарын құру арқылы денсаулық сақтау жүйесінің тиімділігін арттыру.[16]

Бұл ережелер HIPAA және HHS анықтаған «жабық нысандарға» қатысты. Қамтылған құрылымдар денсаулық сақтау жоспарларын, денсаулық сақтау клирингтік орталықтарын (мысалы, есеп айырысу қызметі және денсаулық сақтау саласындағы ақпараттық жүйелер) және денсаулық сақтау туралы ақпаратты HIPAA реттейтін тәсілмен жіберетін медициналық қызмет көрсетушілерді қамтиды.[17][18]

II тақырыптың талаптарына сәйкес HHS Әкімшілік жеңілдетуге қатысты бес ережені жариялады: Құпиялылық ережесі, Транзакциялар мен кодтар жиынтығы ережесі, Қауіпсіздік ережесі, Бірегей идентификатор ережесі және Мәжбүр ету ережесі.

Құпиялылық ережесі

HIPAA құпиялылық ережесі денсаулық сақтау кезінде емдеу, ақы төлеу және операциялар кезінде қорғалатын денсаулық сақтау туралы ақпаратты (PHI) пайдалану мен ашуға арналған ұлттық ережелерден тұрады.

Құпиялылық ережесінің күшіне ену мерзімі 2003 жылдың 14 сәуірінде болды, белгілі бір «кішігірім жоспарлар» үшін бір жылға ұзартылды. HIPAA құпиялылық ережесі пайдалануды және ашуды реттейді қорғалған денсаулық туралы ақпарат (ЖМС) «жабық ұйымдар» (жалпы алғанда, денсаулық сақтау клирингтері, жұмыс берушілер қаржыландыратын денсаулық сақтау жоспарлары, денсаулық сақтандырушылары және белгілі бір мәмілелер жасайтын медициналық қызметтерді жеткізушілер).[19] Реттеу бойынша HHS HIPAA құпиялылық ережесін «іскери серіктестер» анықтамасына сәйкес келетін жабық ұйымдардың тәуелсіз мердігерлеріне таратты.[20] PHI - бұл денсаулық жағдайына, медициналық көмекке немесе медициналық көмектің төлеміне қатысты қамтылған ұйымда болатын кез-келген адаммен байланыстырылуы мүмкін кез-келген ақпарат.[17] Бұл өте кең түсіндіріледі және жеке тұлғаның кез-келген бөлігін қамтиды медициналық кітапша немесе төлем тарихы. Жабық ұйымдар PHI-ді жеке тұлғаға сұраныс бойынша 30 күн ішінде хабарлауы керек.[21] Сондай-ақ, олар заңмен талап етілген кезде, мысалы, күдікті туралы есеп беру кезінде PHI-ді ашуы керек балаларға қатысты зорлық-зомбылық балаларды қорғау жөніндегі мемлекеттік органдарға.[22]

Жабық ұйымдар денсаулық сақтау туралы қорғалған ақпаратты заң талаптарына сәйкес (оның ішінде сот бұйрықтары, сот бұйрықтары, шақыру қағаздары) және әкімшілік өтініштерді құқық қорғау органдарының лауазымды адамдарына бере алады; немесе күдіктіні, қашқынды, материалдық куәгерді немесе жоғалған адамды анықтау немесе табу.[23]

Жабық ұйым емделуге, ақы төлеуге немесе денсаулық сақтау операцияларын жеңілдету үшін белгілі бір тараптарға пациентті пациенттің нақты жазбаша рұқсатынсыз бере алады.[24] PHI-дің кез-келген басқа ашып көрсетулері қамтылған ұйымнан ақпаратты ашуға жеке тұлғадан жазбаша рұқсат алуды талап етеді.[25] Кез келген жағдайда, қамтылған ұйым кез-келген PHI-ді ашқанда, оның мақсатына жету үшін қажетті минималды қажетті ақпаратты ғана ашуға жеткілікті күш салуы керек.[26]

Құпиялылық ережесі жеке тұлғаларға жабық ұйымнан кез-келген дұрыс емес PHI-ді түзетуді сұрауға құқылы.[27] Сондай-ақ, бұл жабық субъектілерден жеке адамдармен байланыс құпиялылығын қамтамасыз ету бойынша кейбір ақылға қонымды қадамдарды жасауды талап етеді.[28] Мысалы, жеке тұлға үйдің немесе ұялы телефонның орнына жұмыс нөміріне қоңырау шалуды сұрай алады.

Құпиялылық ережесі жабық ұйымдардан жеке адамдарға өздерінің PHI-ні пайдалану туралы хабарлауды талап етеді.[29] Жабық ұйымдар сонымен қатар PHI және құжаттардың құпиялылық саясаты мен рәсімдерінің ашылуын қадағалап отыруы керек.[30] Олар құпиялылық жөніндегі қызметкерді және байланысатын адамды тағайындауы керек[31] шағымдарды қабылдауға және олардың жұмыс күшінің барлық мүшелерін ФМИ-ге қатысты процедураларға үйретуге жауапты.[32]

Құпиялылық ережесі сақталмайды деп санайтын жеке тұлға Денсаулық сақтау департаментіне және Азаматтық құқықтар жөніндегі офиске (OCR) шағым түсіре алады.[33][34] Алайда, сәйкес Wall Street Journal, OCR ұзақ уақыт жұмыс істемейді және көптеген шағымдарды елемейді. «Денсаулық сақтау және халыққа қызмет көрсету департаментінде құпиялылықты бұзу туралы шағымдар жинала бастады. 2003 жылдың сәуірі мен 2006 жылдың қарашасы аралығында агенттік медициналық құпиялылық ережелеріне қатысты 23 886 шағым жіберді, бірақ әлі ауруханаларға қатысты ешқандай мәжбүрлеу шараларын қолданған жоқ, ережені бұзғаны үшін дәрігерлерге, сақтандырушыларға немесе басқа адамдарға қатысты.Агенттіктің өкілі шағымдардың төрттен үшін жауып тастады дейді, әдетте ол ешқандай бұзушылық таппағандықтан немесе қатысушы тараптарға бейресми басшылық бергеннен кейін. «[35] Алайда, 2011 жылдың шілдесінде UCLA HIPAA ықтимал бұзушылықтары бойынша есеп айырысу кезінде 865,500 доллар төлеуге келіскен. Азаматтық құқықтар жөніндегі HHS кеңсесінің тергеуі көрсеткендей, 2005 жылдан бастап 2008 жылға дейін рұқсат етілмеген қызметкерлер бірнеше рет және заңды себептерсіз UCLAHS пациенттерінің денсаулығына қатысты электронды қорғалған ақпаратты қарады.[36]

2013 жылғы Omnibus ережесінің соңғы жаңартуы

2013 жылдың қаңтарында HIPAA соңғы Omnibus ережесі арқылы жаңартылды.[37] Жаңартуларға HITECH заңының қауіпсіздік ережелері мен бұзушылық туралы хабарлама бөліктеріне өзгерістер енгізілді. Бастапқыда тек заңның осы бөлімдерін сақтау үшін қамтылған ұйымдар болған іскери серіктестерді қосуға қойылатын талаптарды кеңейтуге байланысты ең маңызды өзгерістер.[38]

Бұған қоса, бұзушылықты талдау кезінде жеке тұлғаға «елеулі зиян» анықтамасы жаңартылып, бұрын хабарланбаған бұзушылықтарды ашып көрсету мақсатымен жабылған субъектілерді мұқият тексеру қажет болды. Бұрын ұйымға зиян келтірілгені туралы дәлелдеу қажет болса, енді ұйымдар зиянның болмағанын дәлелдеуі керек.

PHI қорғанысы өлімнен кейін 50 жылға ауыстырылды. Сондай-ақ, PHI құпиялылық талаптарын бұзғаны үшін қатаң жаза қолданылды.[39]

Табиғи апат кезінде HIPAA құпиялылық ережесінен бас тартуға болады. Бұл 2017 жылғы «Харви» дауылында болған.[40]

HITECH заңы: Құпиялылыққа қойылатын талаптар

Қараңыз Құпиялылық бөлімі туралы Экономикалық және клиникалық денсаулық сақтау туралы денсаулық сақтау туралы ақпараттық технологиялар (HITECH заңы ).

PHI-ге қол жеткізу құқығы

Құпиялылық ережесі медициналық провайдерлерден адамдарға өздерінің PHI-не қол жеткізуге мүмкіндік беруін талап етеді.[41] Жеке тұлға ақпаратты жазбаша түрде сұрағаннан кейін (әдетте осы мақсатта провайдердің формасын қолданады), провайдер ақпараттың көшірмесін жеке тұлғаға беруге 30 күнге дейін уақыт алады. Жеке тұлға ақпаратты электронды түрде немесе қағаз түрінде сұрата алады, ал провайдер сұратылған форматқа сәйкестендіруге міндетті. Электрондық медициналық жазбаны пайдаланатын провайдерлер үшін (EHR ) CEHRT (Certified Electronic Health Record Technology) критерийлері бойынша сертификатталған жүйе, жеке тұлғаларға PHI-ді электронды түрде алуға рұқсат етілуі керек. Провайдерлерге ақпаратты, әсіресе электронды есепке алу туралы сұраныстар кезінде, орынды ұсынуға шақырамыз.

Жеке тұлғалар денсаулыққа қатысты барлық ақпаратқа, оның ішінде денсаулық жағдайы, емдеу жоспары, жазбалар, суреттер, зертханалық жұмыстардың нәтижелері және есепшоттар туралы ақпараттарға қол жеткізуге құқылы. Провайдердің жеке психотерапиялық жазбалары және провайдердің соттан қорғану үшін жинайтын мәліметтері анық алынып тасталды.[дәйексөз қажет ]

Провайдерлер олардың көшірмесін ұсыну шығындарымен байланысты ақылға қонымды соманы талап ете алады, бірақ сертификатталған деректерді электронды түрде беру кезінде ақы төлеуге жол берілмейді. EHR сертификаттауға қажет «қарау, жүктеу және тасымалдау» функциясын қолдану. Электрондық түрде жеке тұлғаға жеткізген кезде, жеке тұлға шифрланған немесе шифрланбаған электрондық поштаны, жеткізушіні (ақы төлеуді қажет ететін USB дискісі, CD және т.б.) пайдаланып жеткізуді, тікелей хабарлама жіберуді (электрондық пошта технологиясының қауіпсіздігі денсаулық сақтау саласында кең таралған қолдану), немесе мүмкін басқа әдістер. Шифрланбаған электрондық поштаны пайдаланған кезде, адам осы технологияны қолданып, жеке өмірге қауіп-қатерді түсінуі және қабылдауы керек (ақпаратты басқалар ұстап алып, тексеруі мүмкін). Жеткізу технологиясына қарамастан, провайдер өзінің жүйесінде болған кезде PHI-ді толықтай қорғауды жалғастыруы керек және егер олар жүйесінде болған кезде PHI-ге қосымша қауіп төндірсе, жеткізу әдісін жоққа шығара алады.[дәйексөз қажет ]

Сондай-ақ, жеке тұлға өзінің PHI-ді тағайындалған үшінші тұлғаға, мысалы, отбасылық көмек көрсетушіге жеткізуді сұрай алады (жазбаша).

Сондай-ақ, жеке тұлға провайдерден PHI-ді олардың жазбаларын жинау немесе басқару үшін пайдаланылатын тағайындалған қызметке жіберуді сұрай алады (жазбаша), мысалы, жеке денсаулық туралы жазбалар. Мысалы, пациент жазбаша түрде өзінің об-гин провайдерінен өзінің ұялы телефонында бар жүктіліктің өзін-өзі күту бағдарламасына өзінің туылғанға дейінгі сапарының жазбаларын цифрлық түрде жіберуін сұрай алады.

Туыстарына жария ету

Олардың HIPAA түсіндірмелеріне сәйкес ауруханалар түскен науқастардың туыстарына телефон арқылы ақпарат бермейді. Бұл кейбір жағдайларда жоғалған адамдардың орналасуына кедергі келтірді. Кейін Asiana Airlines авиакомпаниясының 214-рейсі Сан-Францискодағы апат, кейбір ауруханалар өздерінің емделіп жатқан жолаушыларының жеке мәліметтерін жариялауға құлықсыз болды, сондықтан Азияна мен туыстарына оларды табуды қиындатты.[42] Бір жағдайда, Вашингтон штатында бір адам жараланған анасы туралы ақпарат ала алмады.[43]

Денсаулық сақтауды қорғау жобасының ақпараттық-насихат тобының директоры Джанлори Голдман кейбір ауруханаларда «сақтық шаралары» сақталып, заңдарды дұрыс қолданбай жатқанын айтты, деп жазады Times. Бетезда қаласындағы қала маңындағы аурухана, Медицина штаты, ауруханаларға пациенттерге аурухана каталогына енуден бас тартуға мүмкіндік беретін федералды ережені түсіндірді, егер олар басқаша айтпаса, науқастар каталогтан тыс қалғысы келеді. Нәтижесінде, егер науқас ес-түссіз болса немесе каталогқа қосылуды таңдай алмаса, туыстары мен достары оларды таба алмауы мүмкін, деді Голдман.[44]

Транзакциялар және кодтар жиынтығы ережесі

HIPAA денсаулық сақтау операцияларын стандарттау арқылы АҚШ-тағы денсаулық сақтау жүйесін тиімді етуге бағытталған. HIPAA «Әкімшілік жеңілдету» деп аталатын С бөлігін әлеуметтік қамсыздандыру туралы заңның XI тақырыбына қосты. [45] Бұл барлық денсаулық сақтау жоспарларынан стандартты түрде денсаулық сақтау операцияларымен айналысуды талап ету арқылы денсаулық сақтау операцияларын жеңілдетуі керек.

HIPAA / EDI (электронды мәліметтер алмасу ) ереже 2003 жылдың 16 қазанынан бастап белгілі бір «кішігірім жоспарларға» бір жылға ұзартумен күшіне енуі керек болатын. Алайда, кең таралған шатасулар мен ережені жүзеге асырудағы қиындықтарға байланысты, CMS барлық тараптарға бір жылға ұзарту құқығын берді.[дәйексөз қажет ] 2012 жылдың 1 қаңтарында жаңа нұсқалары, ASC X12 005010 және NCPDP D.0 бұрынғы ASC X12 004010 және NCPDP 5.1 мандаттарын ауыстырып, күшіне енеді.[46] ASC X12 005010 нұсқасы қолдануға мүмкіндік беретін механизмді ұсынады ICD-10-CM сонымен қатар басқа жақсартулар.

2005 жылдың 1 шілдесінен кейін электронды түрде жүгінетін көптеген медициналық провайдерлер HIPAA стандарттары бойынша электрондық шағымдарын төлеуге мәжбүр болды.[47]

HIPAA шеңберінде HIPAA-мен қамтылған денсаулық сақтау жоспарлары стандартталған HIPAA электрондық транзакцияларын қолдануды талап етеді. Қараңыз, 42 USC § 1320d-2 және 45 CFR 162-бөлім. Бұл туралы ақпаратты HIPAA электрондық транзакция стандарттарының соңғы ережесінде табуға болады (74 Федер. Рег. 3296, 2009 ж. 16 қаңтарында Федералдық тізілімде жарияланған) және CMS веб-сайтында.[48]

Кілт EDI (X12) HIPAA сәйкестігі үшін қолданылатын транзакциялар:[дәйексөз қажет ]

EDI Денсаулық сақтау туралы шағыммен жасалған транзакциялар жинағы (837) медициналық дәрі-дәрмектерді қоспағанда, денсаулық сақтау саласы бойынша төлемдер туралы ақпараттарды, ақпараттарды немесе екеуін де ұсыну үшін пайдаланылады (EDI бөлшек дәріханасының шағымымен мәмілені қараңыз). Оны денсаулық сақтау қызметін жеткізушілерден төлеушілерге тікелей немесе делдалдық есепшоттар мен талап-арыздар бойынша есеп айырысу орталықтары арқылы жіберуге болады. Ол сондай-ақ медициналық төлемдер мен төлемдер туралы ақпараттарды төлемдер туралы келісімді талап ететін төлемдер төлеушілер арасында немесе төлемдер мен бақылау агенттіктері арасында белгілі бір мерзімде медициналық қызметтерді көрсету, есеп айырысу және / немесе төлеуді бақылау үшін төлем ақы төлеу ақпаратын беру үшін пайдаланылуы мүмкін. денсаулық сақтау / сақтандыру саласы сегменті.

Мысалы, мемлекеттік психикалық денсаулық сақтау агенттігі денсаулық сақтау саласындағы барлық шағымдарды міндеттей алады, медициналық (медициналық) медициналық талаптарды электронды түрде сататын жеткізушілер мен денсаулық сақтау жоспарлары талаптарды жіберу үшін 837 денсаулық сақтау туралы талап: кәсіби стандартты қолдануы керек. Денсаулық сақтау туралы көптеген түрлі бизнес-қосымшалар болғандықтан, мекемелер, кәсіпқойлар, хиропрактиктер және стоматологтар сияқты ерекше шағымдарды қамтитын шағымдарды жабу үшін аздап шығарулар болуы мүмкін.

EDI бөлшек дәріханасы бойынша шағым жасау операциясы (NCPDP Стандартты телекоммуникация 5.1) дәрі-дәрмектерді беретін денсаулық сақтау мамандары төлеушілерге дәріханалардың бөлшек сауда талаптарын тікелей немесе делдал есепшоттар мен делдалдық есеп айырысу орталықтары арқылы беру үшін қолданылады. Ол сонымен қатар бөлшек дәріхана қызметтері бойынша талаптарды және төлемдер туралы ақпараттарды төлемдер туралы келісімді талап ететін төлемдер мен төлемдер мен төлемдер туралы келісімді талап ететін төлемдер мен төлемдер туралы ақпаратты беру үшін пайдаланылуы мүмкін. дәріханалық денсаулық сақтау / сақтандыру саласы.

Денсаулық сақтау саласындағы EDI төлемдерін төлеу / кеңес беру операциялары жиынтығы (835) төлем жасау, төлемдер туралы түсініктеме (EOB), төлемдер туралы түсініктеме (EOP) жіберу үшін пайдалануға болады ақша аудару бойынша кеңес немесе төлем жасаңыз және EOP ақша аударымдары туралы кеңесіңізді тек медициналық сақтандырушыдан тікелей медициналық ұйымға немесе қаржы институты арқылы жіберіңіз.

EDI Benefit тіркеу және қызмет көрсету жинағы (834) жұмыс берушілер, кәсіподақтар, мемлекеттік органдар, қауымдастықтар немесе сақтандыру агенттіктері мүшелерді төлеушіге тіркеу үшін пайдалана алады. Төлеуші ​​- бұл талаптарды төлейтін, сақтандыру немесе жәрдемақы немесе өнімді басқаратын денсаулық сақтау ұйымы. Төлеушілердің мысалдары ретінде сақтандыру компаниясы, денсаулық сақтау маманы (HMO), провайдердің артықшылықты ұйымы (PPO), мемлекеттік орган (Medicaid, Medicare және т.б.) немесе осы бұрынғы топтардың бірімен келісімшартқа отыруы мүмкін кез-келген ұйым кіреді.

EDI жалақысы шегерілді және сақтандыру тобы үшін төлемнің басқа тобы (820) - бұл сақтандыру өнімдері үшін сыйлық ақы төлеуге арналған мәміле. Оның көмегімен алушыға төлем жасау үшін қаржы институтына тапсырыс беруге болады.

Денсаулық сақтау саласындағы EDI жарамдылығы / жәрдемақы туралы сұрау (270) абоненттің немесе асырауындағы адамның денсаулығына байланысты жеңілдіктер мен қажеттіліктер туралы сұрау үшін қолданылады.

Денсаулық сақтау саласындағы медициналық көмектің жарамдылығы / жеңілдіктерге жауап беру (271) абоненттің немесе асырауындағы адамның денсаулығына байланысты жеңілдіктер мен медициналық көмекке қатысты сұраныстарға жауап беру үшін қолданылады.

EDI денсаулық сақтау туралы шағым мәртебесі туралы өтініш (276) Бұл транзакциялар жиынтығын провайдер, денсаулық сақтау өнімдерін немесе қызметтерін алушы немесе олардың уәкілетті агенті денсаулық сақтау туралы талап мәртебесін сұрау үшін пайдалана алады.

EDI денсаулық сақтау туралы шағым туралы мәртебе туралы хабарлама (277) Бұл транзакциялар жиынтығын медициналық көмек төлеуші ​​немесе уәкілетті агент провайдерге, алушыға немесе уәкілетті агентке денсаулық сақтау туралы шағым немесе кездесу мәртебесі туралы хабарлау үшін немесе провайдерден медициналық көмекке шағым немесе кездесуге қатысты қосымша ақпарат сұрау үшін қолдана алады. Бұл транзакциялар жинағы денсаулық сақтау саласындағы төлемдер / төлемдер бойынша транзакциялар жинағын (835) ауыстыруға арналмаған, сондықтан төлемдерді орналастыру үшін пайдаланылмайды. Хабарлама жиынтық немесе қызмет көрсету желісінің егжей-тегжейі деңгейінде. Хабарлама сұралуы немесе сұралмауы мүмкін.

EDI денсаулық сақтау қызметіне шолу туралы ақпарат (278) Бұл транзакциялар жиынтығы медициналық қызметтерді қарау, сертификаттау, хабарлама беру немесе медициналық қызметтерді қарау нәтижелері туралы сұрау салу мақсатында абоненттік, пациенттік, демографиялық, диагностикалық немесе емдеу туралы мәліметтерді жіберу үшін пайдаланылуы мүмкін.

EDI функционалды тану транзакциясы жинағы (997) бұл транзакциялар жиынтығын электронды түрде кодталған құжаттарға синтаксистік талдау нәтижелерін көрсету үшін алғыс жиынтығының басқару құрылымын анықтау үшін пайдалануға болады. Ол HIPAA заңнамасында немесе соңғы ережесінде арнайы аталмағанымен, X12 транзакциялар жиынтығын өңдеу үшін қажет. Кодталған құжаттар - бұл іскери деректермен алмасу операцияларын анықтауда қолданылатын функционалды топтарға біріктірілген операциялар жиынтығы. Бұл стандарт транзакциялар жиынтығында кодталған ақпараттың мағыналық мағынасын қамтымайды.

Қысқаша 5010 транзакциялар мен кодтар жиынтығы ережелерінің қысқаша мазмұны
  1. Транзакциялар жинағы (997) «транзакциялар жинағы» (999) ауыстырылады.
  2. Көптеген өрістердің (сегмент элементтерінің) көлемі кеңейтіліп, барлық АТ-провайдерлеріне сәйкес өрістерді, элементтерді, файлдарды, GUI-ді, қағаз тасымалдағыштарды және мәліметтер базасын кеңейту қажеттілігі туындайды.
  3. Кейбір сегменттер қолданыстағы транзакциялар жиынтығынан жойылды.
  4. Транзакциялар жиынтығына көптеген сегменттер қосылды, бұл шығындар мен пациенттердің кездесуін бақылауға және есеп беруге мүмкіндік береді.
  5. 9 (ICD-9) және 10 (ICD-10-CM) нұсқаларының екеуін де қолдану мүмкіндігі қосылды.[49][50]

Қауіпсіздік ережесі

Қауіпсіздік стандарттары туралы соңғы ереже 2003 жылғы 20 ақпанда шығарылды. Ол 2003 жылдың 21 сәуірінде күшіне енді, сәйкесінше көптеген жабылған ұйымдар үшін 21 сәуір 2005 ж. Және «кішігірім жоспарлар» үшін 2006 ж. 21 сәуір.[дәйексөз қажет ]Қауіпсіздік ережесі құпиялылық ережесін толықтырады. Құпиялылық ережесі денсаулыққа қатысты барлық қорғалатын ақпаратқа (PHI) қатысты, оның ішінде қағаз және электронды ақпарат болса, қауіпсіздік ережесі денсаулық сақтау туралы электрондық ақпаратпен (EPHI) байланысты. Ол сәйкестендіру үшін қажет қауіпсіздік шараларының үш түрін қарастырады: әкімшілік, физикалық және техникалық.[51] Осы типтердің әрқайсысы үшін Ереже әр түрлі қауіпсіздік стандарттарын анықтайды және әрбір стандарт үшін қажетті және шешілетін орындау сипаттамаларын атайды. Қажетті техникалық сипаттамалар Ережеге сәйкес қабылдануы және басқарылуы керек. Мекен-жай сипаттамалары икемді. Жабылған жеке тұлғалар өз жағдайларын бағалай алады және мекен-жай сипаттамаларын жүзеге асырудың ең жақсы әдісін анықтай алады. Кейбір құпиялылықты қорғаушылар бұл «икемділік» жабық құрылымдарға тым көп ендік беруі мүмкін деп сендірді.[52] Қамтылған субъектілерге тәуекелдерді талдау мен түзетуді бақылауға көмектесетін бағдарламалық құралдар жасалды. Стандарттар мен сипаттамалар келесідей:

  • Әкімшілік қауіпсіздік шаралары - ұйымның осы актіні қалай орындайтынын анық көрсетуге арналған саясат пен процедуралар
    • Жабық ұйымдар (HIPAA талаптарын орындауы керек) құпиялылық туралы жазбаша рәсімдерді қабылдауы және барлық қажетті саясат пен процедураларды әзірлеуге және іске асыруға жауапты құпиялылық офицерін тағайындауы керек.
    • Саясат пен процедуралар менеджменттің қадағалауы мен ұйымдық сатып алуларға қауіпсіздіктің құжатталған бақылауына сәйкестігіне сілтеме жасауы керек.
    • Процедуралар денсаулық сақтаудың электронды қорғалған ақпаратына (EPHI) қол жеткізетін қызметкерлерді немесе қызметкерлердің сыныптарын нақты анықтауы керек. EPHI-ге қол жетімділікті тек өзінің жұмыс функциясын аяқтауы қажет қызметкерлер ғана шектеуі керек.
    • Процедуралар рұқсатты авторизациялау, құру, өзгерту және тоқтату мәселелерін қарастыруы керек.
    • Субъекттер денсаулық сақтау жоспарын басқару функцияларын жүзеге асыратын қызметкерлерге АІИ-мен жұмыс істеуге қатысты тиісті дайындық бағдарламасы ұсынылатындығын көрсетуі керек.
    • Кейбір бизнес-процестерді үшінші тұлғаға жеткізетін жабық ұйымдар HIPAA талаптарына сәйкес келетін сатушыларында да негіз бар екендігіне көз жеткізуі керек. Әдетте, компаниялар бұл кепілдікке келісімшарттардағы жеткізушілер жабылатын ұйымға қатысты мәліметтерді қорғаудың бірдей талаптарын орындайтындығы туралы ережелер арқылы қол жеткізеді. Жеткізушінің басқа сатушылармен кез-келген деректермен жұмыс істеу функцияларын одан әрі анықтайтындығын және тиісті келісімшарттар мен бақылау элементтерінің бар-жоқтығын бақылап отыру керек.
    • Төтенше жағдайларға әрекет ету үшін төтенше жағдайлар жоспары болуы керек. Жабық құрылымдар өздерінің деректерінің сақтық көшірмесін жасауға және апаттарды қалпына келтіру процедураларының болуына жауапты. Жоспар деректердің басымдылығы мен ақауларды талдауды, тестілеуді және бақылау процедураларын өзгертуді құжаттандыруы керек.
    • Ішкі аудит HIPAA сәйкестігінде қауіпсіздіктің ықтимал бұзушылықтарын анықтау мақсатында операцияларды қарау арқылы шешуші рөл атқарады. Саясат пен процедуралар аудиттің ауқымын, жиілігін және рәсімдерін арнайы құжаттандыруы керек. Аудиторлық тексерулер күнделікті және оқиғаларға негізделген болуы керек.
    • Рәсімдер аудит кезінде немесе әдеттегі жұмыс барысында анықталған қауіпсіздік бұзушылықтарын жою және оларға жауап беру жөніндегі нұсқаулықты құжаттандыруы керек.
  • Физикалық қорғау құралдары - қорғалатын деректерге орынсыз қол жеткізуден қорғау үшін физикалық қол жетімділікті бақылау
    • Басқару элементтері бағдарламалық жасақтама мен бағдарламалық жасақтаманы желіге енгізу мен жоюды басқаруы керек. (Жабдық жарамсыз болған кезде, оны PHI-ге зиян келтірмеу үшін дұрыс тастау керек.)
    • Денсаулық туралы ақпараты бар жабдыққа қол жеткізуді мұқият бақылау және бақылау қажет.
    • Аппараттық және бағдарламалық жасақтамаға қол жеткізу тиісті рұқсаты бар адамдармен шектелуі керек.
    • Қажетті кіруді басқару объектілердің қауіпсіздік жоспарларынан, техникалық қызмет көрсету жазбаларынан және кірушілердің кіруімен және сүйемелдеуінен тұрады.
    • Жұмыс станциясын дұрыс пайдалану туралы саясат қажет. Жұмыс бекеттері көп жүретін жерлерден алынып тасталуы керек және монитордың экрандары көпшіліктің тікелей назарында болмауы керек.
    • Егер жабық ұйымдар мердігерлерді немесе агенттерді қолданса, олар да физикалық қол жетімділік бойынша дайындықтан өтуі керек.
  • Техникалық қауіпсіздік шаралары - компьютерлік жүйелерге қол жетімділікті бақылау және ашық желілер арқылы электронды түрде берілетін PHI-ді қамтитын байланыстарды мақсатты алушыдан басқа біреудің тыңдауынан қорғауға мүмкіндік беру.
    • PHI корпусының ақпараттық жүйелері енуден қорғалуы керек. Ақпарат ашық желілер арқылы ағып жатқанда, шифрлаудың қандай да бір түрін қолдану қажет. Егер жабық жүйелер / желілер қолданылса, қол жетімділікті басқару құралдары жеткілікті деп саналады және шифрлау міндетті емес.
    • Әрбір қамтылған ұйым өз жүйелеріндегі деректердің рұқсат етілмеген түрде өзгертілмеуі немесе өшірілмеуі үшін жауап береді.
    • Мәліметтердің тұтастығын қамтамасыз ету үшін деректерді растау, соның ішінде бақылау сомасын, екі кілтпен, хабарламаның аутентификациясын және ЭЦҚ-ны пайдаланылуы мүмкін.
    • Жабық нысандар олар байланысатын объектілердің түпнұсқалығын растауы керек. Аутентификация ұйым өзі талап ететін тұлға екенін растаудан тұрады. Растау мысалдарына пароль жүйелері, екі немесе үш жақты қол алысу, телефонмен кері байланыс және токен жүйелері жатады.
    • Жабық ұйымдар сәйкестікті анықтау үшін өздерінің HIPAA тәжірибелерінің құжаттамаларын үкіметке қол жетімді етуі керек.
    • Ақпараттық технологиялар құжаттамасына саясат пен процедуралардан және желінің компоненттеріндегі барлық конфигурация параметрлерінің жазбаша жазбалары кіруі керек, себебі бұл компоненттер күрделі, конфигурацияланатын және әрдайым өзгеріп отырады.
    • Тәуекелдерді талдау және құжаттамалық бағдарламалар қажет. Жабық құрылымдар актіге сәйкес жүйелерді енгізген кезде өз операцияларының тәуекелдерін мұқият қарастыруы керек. (Тәуекелдерді талдау және тәуекелдерді басқару талабы актінің қауіпсіздік талаптарының минималды стандарт екенін білдіреді және жабық субъектілерге PHI-ді денсаулыққа қарсы мақсатта қолданудың алдын алу үшін қажетті барлық сақтық шараларын қабылдауға жауапкершілікті жүктейді.)

Бірегей идентификатор ережесі (ұлттық провайдер идентификаторы)

Электрондық транзакцияларды аяқтайтын провайдерлер, денсаулық сақтау клирингтік орталықтары және денсаулық сақтаудың ірі жоспарлары сияқты HIPAA қамтылған ұйымдар 2007 жылдың 23 мамырына дейін стандартты транзакциялар кезінде жабық медициналық қызмет көрсетушілерді анықтау үшін тек Ұлттық провайдердің идентификаторын (NPI) пайдалануы керек. 23 мамыр 2008 ж. (2006 ж. Мамырынан бастап денсаулық сақтаудың кішігірім жоспарлары үшін) электрондық байланыс пайдаланатын барлық қамтылған ұйымдар (мысалы, дәрігерлер, ауруханалар, медициналық сақтандыру компаниялары және т.б.) бір жаңа NPI қолдануы керек. NPI денсаулық сақтау жоспарлары, Medicare, Medicaid және басқа да мемлекеттік бағдарламаларда қолданылатын барлық басқа идентификаторларды ауыстырады.[53] Алайда NPI провайдердің DEA нөмірін, мемлекеттік лицензия нөмірін немесе салық сәйкестендіру нөмірін ауыстырмайды. NPI 10 цифрдан тұрады (әріптік-цифрлық болуы мүмкін), ал соңғы цифр - бақылау сомасы. NPI құрамына кіріктірілген интеллект кірмейді; басқаша айтқанда, NPI - бұл жай ешқандай қосымша мағынасы жоқ сан. NPI бірегей және ұлттық болып табылады, ешқашан қайта пайдаланылмайды, ал мекемелерден басқа провайдер әдетте біреуіне ғана ие бола алады. Мекеме әр түрлі «ішкі бөліктер» үшін бірнеше NPI ала алады, мысалы, онкологиялық орталық немесе оңалту орталығы.

Орындау ережесі

2006 жылдың 16 ақпанында HHS HIPAA-ны орындауға қатысты соңғы ережені шығарды. Ол 2006 жылғы 16 наурызда күшіне енді. Атқарушылық Ереже HIPAA ережелерін бұзғаны үшін азаматтық-құқықтық айыппұлдар белгілейді және HIPAA бұзушылықтары бойынша тергеу мен тыңдау процедураларын белгілейді. Көптеген жылдар бойы заң бұзушылықтар үшін сот ісі аз болған.[54]

Бұл 500 000-нан аз адамға қатысты HIPAA қауіпсіздік ережесін бұзғаны үшін айыппұл салынатын алғашқы ұйым ретінде Солтүстік Айдахо хосписіне (HONI) 50 000 доллар айыппұл салумен өзгерген болуы мүмкін. Rachel Seeger, a spokeswoman for HHS, stated, "HONI did not conduct an accurate and thorough risk analysis to the confidentiality of ePHI [electronic Protected Health Information] as part of its security management process from 2005 through Jan. 17, 2012." This investigation was initiated with the theft from an employees vehicle of an unencrypted laptop containing 441 patient records.[55]

As of March 2013, the U.S. Dept. of Health and Human Services (HHS) has investigated over 19,306 cases that have been resolved by requiring changes in privacy practice or by corrective action. If noncompliance is determined by HHS, entities must apply corrective measures. Complaints have been investigated against many different types of businesses such as national pharmacy chains, major health care centers, insurance groups, hospital chains and other small providers. There were 9,146 cases where the HHS investigation found that HIPAA was followed correctly. There were 44,118 cases that HHS did not find eligible cause for enforcement; for example, a violation that started before HIPAA started; cases withdrawn by the pursuer; or an activity that does not actually violate the Rules. According to the HHS website,[56] the following lists the issues that have been reported according to frequency:

  1. Misuse and disclosures of PHI
  2. No protection in place of health information
  3. Patient unable to access their health information
  4. Using or disclosing more than the minimum necessary protected health information
  5. No safeguards of electronic protected health information.

The most common entities required to take corrective action to be in voluntary compliance according to HHS are listed by frequency:[56]

  1. Private Practices
  2. Ауруханалар
  3. Outpatient Facilities
  4. Group plans such as insurance groups
  5. Дәріханалар

Title III: Tax-related health provisions governing medical savings accounts

Title III standardizes the amount that may be saved per person in a pre-tax medical savings account. Beginning in 1997, medical savingsaccount ("MSA") are available to employees covered under an employer-sponsored high deductible plan of a small employer andself-employed individuals.

Title IV: Application and enforcement of group health insurance requirements

Title IV specifies conditions for group health plans regarding coverage of persons with pre-existing conditions, and modifies continuation of coverage requirements. It also clarifies continuation coverage requirements and includes КОБРА түсіндіру.

Title V: Revenue offset governing tax deductions for employers

Title V includes provisions related to company-owned life insurance for employers providing company-owned life insurance premiums, prohibiting the tax-deduction of interest on life insurance loans, company endowments, or contracts related to the company. It also repeals the financial institution rule to interest allocation rules. Finally, it amends provisions of law relating to people who give up United States citizenship or permanent residence, expanding the шетелдіктерге салық to be assessed against those deemed to be giving up their U.S. status for tax reasons, and making ex-citizens' names part of the public record құру арқылы Шетелге көшуді таңдаған адамдарды тоқсан сайын жариялау.[57]

Effects on research and clinical care

The enactment of the Privacy and Security Rules has caused major changes in the way physicians and medical centers operate. The complex legalities and potentially stiff penalties associated with HIPAA, as well as the increase in paperwork and the cost of its implementation, were causes for concern among physicians and medical centers. An August 2006 article in the journal Ішкі аурулар шежіресі detailed some such concerns over the implementation and effects of HIPAA.[58]

Effects on research

HIPAA restrictions on researchers have affected their ability to perform retrospective, chart-based research as well as their ability to prospectively evaluate patients by contacting them for follow-up. Бастап зерттеу Мичиган университеті demonstrated that implementation of the HIPAA Privacy rule resulted in a drop from 96% to 34% in the proportion of follow-up surveys completed by study patients being followed after a жүрек ұстамасы.[59] Another study, detailing the effects of HIPAA on recruitment for a study on cancer prevention, demonstrated that HIPAA-mandated changes led to a 73% decrease in patient accrual, a tripling of time spent recruiting patients, and a tripling of mean recruitment costs.[60]

Одан басқа, негізделген келісім forms for research studies now are required to include extensive detail on how the participant's protected health information will be kept private. While such information is important, the addition of a lengthy, legalistic section on privacy may make these already complex documents even less user-friendly for patients who are asked to read and sign them.

These data suggest that the HIPAA privacy rule, as currently implemented, may be having negative impacts on the cost and quality of медициналық зерттеулер. Dr. Kim Eagle, professor of ішкі аурулар at the University of Michigan, was quoted in the Жылнамалар article as saying, "Privacy is important, but research is also important for improving care. We hope that we will figure this out and do it right."[58]

Effects on clinical care

The complexity of HIPAA, combined with potentially stiff penalties for violators, can lead physicians and medical centers to withhold information from those who may have a right to it. A review of the implementation of the HIPAA Privacy Rule by the U.S. Government Accountability Office found that health care providers were "uncertain about their legal privacy responsibilities and often responded with an overly guarded approach to disclosing information ... than necessary to ensure compliance with the Privacy rule".[58] Reports of this uncertainty continue.[61]

Costs of implementation

In the period immediately prior to the enactment of the HIPAA Privacy and Security Acts, medical centers and medical practices were charged with getting "into compliance". With an early emphasis on the potentially severe penalties associated with violation, many practices and centers turned to private, for-profit "HIPAA consultants" who were intimately familiar with the details of the legislation and offered their services to ensure that physicians and medical centers were fully "in compliance". In addition to the costs of developing and revamping systems and practices, the increase in paperwork and staff time necessary to meet the legal requirements of HIPAA may impact the finances of medical centers and practices at a time when insurance companies' and Medicare reimbursement is also declining.[дәйексөз қажет ]

Білім беру және оқыту

Education and training of healthcare providers is paramount to correct implementation of the HIPAA Privacy and Security Acts. Effective training must describe the statutory and regulatory background and purpose of HIPAA and a general summary of the principles and key provisions of the Privacy Rule.[дәйексөз қажет ]Although each HIPAA training course should be tailored towards the roles of employees attending the course, there are some vital elements that should be included:[62]

  • What is HIPAA?
  • Why HIPAA is important?
  • HIPAA Definitions
  • Пациенттің құқықтары
  • HIPAA құпиялылық ережесі
  • Disclosures of PHI
  • Breach Notifications
  • BA Agreements
  • HIPAA Security Rule
  • Safeguarding ePHI
  • Potential Violations
  • Employee Sanctions

HIPAA аббревиатура

Although HIPAA fits 1996 Public Law 104-191, Медициналық сақтандыру портативтілігі және есеп беру туралы заң, references to Title II's Privacy Rule are often incorrectly referred to as "Health Information Privacy and Portability Act (HIPPA)"[63] by USA federal,[64] мемлекет,[65] county and other government sectors. Some governmental agencies have issued corrective followups regarding HIPPA және HIPAA.[66]

Құқық бұзушылық

HIPAA типі бойынша бұзушылықтарды бейнелейтін диаграмма
A breakdown of the HIPAA violations that resulted in the illegal exposure of personal information.

According to the US Department of Health and Human Services Office for Civil Rights, between April 2003 and January 2013, it received 91,000 complaints of HIPAA violations, in which 22,000 led to enforcement actions of varying kinds (from settlements to fines) and 521 led to referrals to the US Department of Justice as criminal actions.[67] Examples of significant breaches of protected information and other HIPAA violations include:

  • The largest loss of data that affected 4.9 million people by Tricare Management of Virginia in 2011[68]
  • The largest fines of $5.5 million levied against Memorial Healthcare Systems in 2017 for accessing confidential information of 115,143 patients[69] and of $4.3 million levied against Cignet Health of Maryland in 2010 for ignoring patients' requests to obtain copies of their own records and repeated ignoring of federal officials' inquiries[70]
  • The first criminal indictment was lodged in 2011 against a Virginia physician who shared information with a patient's employer "under the false pretenses that the patient was a serious and imminent threat to the safety of the public, when in fact he knew that the patient was not such a threat."[71]

According to Koczkodaj et al., 2018,[72] the total number of individuals affected since October 2009 is 173,398,820.

The differences between civil and criminal penalties are summarized in the following table:

Type of ViolationCIVIL Penalty (min)CIVIL Penalty (max)
Individual did not know (and by exercising reasonable diligence would not have known) that he/she violated HIPAA$100 per violation, with an annual maximum of $25,000 for repeat violations$50,000 per violation, with an annual maximum of $1.5 million
HIPAA violation due to reasonable cause and not due to willful neglect$1,000 per violation, with an annual maximum of $100,000 for repeat violations$50,000 per violation, with an annual maximum of $1.5 million
HIPAA violation due to willful neglect but violation is corrected within the required time period$10,000 per violation, with an annual maximum of $250,000 for repeat violations$50,000 per violation, with an annual maximum of $1.5 million
HIPAA violation is due to willful neglect and is not corrected$50,000 per violation, with an annual maximum of $1,000,000$50,000 per violation, with an annual maximum of $1.5 million
Type of ViolationCRIMINAL Penalty
Covered entities and specified individuals who "knowingly" obtain or disclose individually identifiable health informationA fine of up to $50,000

Imprisonment up to 1 year

Offenses committed under false pretensesA fine of up to $100,000

Imprisonment up to 5 years

Offenses committed with the intent to sell, transfer, or use individually identifiable health information for commercial advantage, personal gain or malicious harmA fine of up to $250,000

Imprisonment up to 10 years

Legislative information

Әдебиеттер тізімі

  1. ^ Atchinson, Brian K.; Фокс, Даниэль М. (мамыр-маусым 1997). "The Politics Of The Health Insurance Portability And Accountability Act" (PDF). Денсаулық сақтау. 16 (3): 146–150. дои:10.1377 / hlthaff.16.3.146. PMID  9141331. Архивтелген түпнұсқа (PDF) 2014-01-16. Алынған 2014-01-16.
  2. ^ "104th Congress, 1st Session, S.1028" (PDF). Мұрағатталды (PDF) түпнұсқасынан 2012-06-16.
  3. ^ "HIPAA for Dummies".
  4. ^ "Health Plans & Benefits: Portability of Health Coverage". Америка Құрама Штаттарының Еңбек министрлігі. 2015-12-09. Мұрағатталды түпнұсқасынан 2016-12-20. Алынған 2016-11-05.
  5. ^ «Шолу». www.cms.gov. 2016-09-13. Мұрағатталды түпнұсқасынан 2016-11-02. Алынған 2016-11-05.
  6. ^ 29 АҚШ  § 1181(a)(2)
  7. ^ 29 АҚШ  § 1181(a)(3)
  8. ^ 29 АҚШ  § 1181(c)(1)
  9. ^ 29 АҚШ  § 1181(c)(2)(A)
  10. ^ (Sub B Sec 110)
  11. ^ (Sub B Sec 111)
  12. ^ "HIPAA for Healthcare Workers: The Privacy Rule". 2014. дои:10.4135/9781529727890. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)
  13. ^ 42 АҚШ  § 1320a-7c
  14. ^ 42 АҚШ  § 1395ddd
  15. ^ 42 АҚШ  § 1395b-5
  16. ^ а б "42 U.S. Code § 1395ddd - Medicare Integrity Program". LII / Құқықтық ақпарат институты. Мұрағатталды түпнұсқасынан 2018-03-21. Алынған 2018-03-21.
  17. ^ а б 45 C.F.R. 160.103
  18. ^ "What is the Definition of a HIPAA Covered Entity? - NetSec.News". 9 қазан 2017 ж. Мұрағатталды түпнұсқадан 6 мамыр 2018 ж.
  19. ^ Терри, Кен "Patient Privacy - The New Threats" Мұрағатталды 2015-11-20 Wayback Machine Дәрігерлер практикасы journal, volume 19, number 3, year 2009, access date July 2, 2009
  20. ^ Қараңыз 45 CFR Sections 160.102 and 160.103 Мұрағатталды 2012-01-12 сағ Wayback Machine.
  21. ^ 45 C.F.R. 164.524
  22. ^ 45 C.F.R. 164.512
  23. ^ (OCR), Office for Civil Rights (7 May 2008). "Summary of the HIPAA Privacy Rule". Мұрағатталды from the original on 6 December 2015.
  24. ^ 45 C.F.R. 164.524
  25. ^ 45 C.F.R. 164.502
  26. ^ 45 C.F.R. 164.502
  27. ^ 45 C.F.R. 164.526
  28. ^ 45 C.F.R. 164.522
  29. ^ Rowe, Linda (2005). "What Judicial Officers Need to Know about the HIPAA Privacy Rule". NASPA журналы. 42 (4): 498–512. дои:10.2202/0027-6014.1537. ProQuest  62084860.
  30. ^ 45 C.F.R. 164.528
  31. ^ 45 C.F.R. 164.530
  32. ^ 45 C.F.R. 164.530
  33. ^ "How to File A Health Information Privacy Complaint with the Office for Civil Rights" (PDF). Архивтелген түпнұсқа (PDF) 2016-12-21. Алынған 2017-10-07.
  34. ^ 45 C.F.R. 160.306
  35. ^ "Spread of records stirs fears of privacy erosion" Мұрағатталды 2017-07-10 сағ Wayback Machine, December 23, 2006, by Theo Francis, The Wall Street Journal
  36. ^ "University of California settles HIPAA Privacy and Security case involving UCLA Health System facilities". Денсаулық сақтау және халыққа қызмет көрсету бөлімі. Мұрағатталды 2017-10-12 аралығында түпнұсқадан.
  37. ^ (OCR), Office for Civil Rights (30 October 2015). "Omnibus HIPAA Rulemaking".
  38. ^ "What are the Differences Between a HIPAA Business Associate and HIPAA Covered Entity". HIPAA журналы. 2017-10-06. Мұрағатталды түпнұсқасынан 2018-02-18. Алынған 2017-10-12.
  39. ^ Health Information of Deceased Individuals Мұрағатталды 2017-10-19 Wayback Machine 2013
  40. ^ "HIPAA Privacy Rule Violation Penalties Waived in Wake of Hurricane Harvey - netsec.news". netsec.news. 2017-08-28. Мұрағатталды түпнұсқасынан 2018-05-06. Алынған 2017-10-28.
  41. ^ (OCR), Health Information Privacy Division, Office for Civil Rights (2016-01-05). "Individuals' Right under HIPAA to Access their Health Information". HHS.gov. Мұрағатталды 2017-12-02 аралығында түпнұсқадан. Алынған 2017-12-10.
  42. ^ Ahlers, Mike M. "Asiana fined $500,000 for failing to help families - CNN". CNN. Мұрағатталды from the original on 2014-02-27.
  43. ^ «Мұрағатталған көшірме». Мұрағатталды түпнұсқасынан 2016-06-05 ж. Алынған 2016-04-19.CS1 maint: тақырып ретінде мұрағатталған көшірме (сілтеме)
  44. ^ "New York Times Examines 'Unintended Consequences' of HIPAA Privacy Rule". 3 маусым 2003 ж. Мұрағатталды түпнұсқадан 2016 жылғы 6 мамырда.
  45. ^ АҚШ-тың әлеуметтік қауіпсіздік басқармасы. "TITLE XI—General Provisions, Peer Review, and Administrative Simplification". www.ssa.gov. Алынған 2020-07-18.
  46. ^ «Шолу». www.cms.gov. 26 шілде 2017. Мұрағатталды from the original on 18 October 2017.
  47. ^ "What are the HIPAA Administrative Simplification Regulations?". 20 қазан 2017 ж. Мұрағатталды from the original on 19 February 2018.
  48. ^ «Шолу». www.cms.gov. 28 наурыз 2016. Мұрағатталды from the original on 12 February 2012.
  49. ^ CSM.gov "Medicare & Medicaid Services" "Standards for Electronic Transactions-New Versions, New Standard and New Code Set – Final Rules"
  50. ^ "The Looming Problem in Healthcare EDI: ICD-10 and HIPAA 5010 migration" October 10, 2009 – Shahid N. Shah
  51. ^ "HIPAA security rule & risk analysis". Американдық медициналық қауымдастық.
  52. ^ Wafa, Tim (Summer 2010). "How the Lack of Prescriptive Technical Granularity in HIPAA Has Compromised Patient Privacy". Солтүстік Иллинойс университетінің заң шолу. 30 (3). SSRN  1547425.
  53. ^ Health Insurance Portability and Accountability Act of 1996 (HIPAA). Мұрағатталды 2014-01-08 сағ Wayback Machine Steve Anderson: HealthInsurance.org.
  54. ^ Medical Privacy Law Nets No Fines. Мұрағатталды 2017-10-13 Wayback Machine Rob Stein: Washington Post.
  55. ^ «Мұрағатталған көшірме». Мұрағатталды түпнұсқасынан 2013-01-09 ж. Алынған 2013-01-09.CS1 maint: тақырып ретінде мұрағатталған көшірме (сілтеме) Feds step up HIPAA enforcement with hospice settlement
  56. ^ а б Enforcement Information Мұрағатталды 2017-08-21 at the Wayback Machine 2017
  57. ^ Кирш, Майкл С. (2004). «Баламалы санкциялар және Федералдық салық заңы: рәміздер, масқара және әлеуметтік нормаларды басқару тиімді салық саясатының орнына». Айова заңына шолу. 89 (863). SSRN  552730.
  58. ^ а б c Wilson J (2006). "Health Insurance Portability and Accountability Act Privacy rule causes ongoing concerns among clinicians and researchers". Ann Intern Med. 145 (4): 313–6. дои:10.7326/0003-4819-145-4-200608150-00019. PMID  16908928.
  59. ^ Armstrong D, Kline-Rogers E, Jani S, Goldman E, Fang J, Mukherjee D, Nallamothu B, Eagle K (2005). "Potential impact of the HIPAA privacy rule on data collection in a registry of patients with acute coronary syndrome". Arch Intern Med. 165 (10): 1125–9. дои:10.1001/archinte.165.10.1125. PMID  15911725.
  60. ^ Wolf M, Bennett C (2006). "Local perspective of the impact of the HIPAA privacy rule on research". Қатерлі ісік. 106 (2): 474–9. дои:10.1002/cncr.21599. PMID  16342254.
  61. ^ Gross, Jane (July 3, 2007). "Keeping Patients' Details Private, Even From Kin". The New York Times. Мұрағатталды түпнұсқасынан 2017 жылғы 12 тамызда. Алынған 11 тамыз, 2019.
  62. ^ "HIPAA Training Requirements".
  63. ^ «Америка Құрама Штаттарының аудандық соты» (PDF). 16 қыркүйек, 2010 жыл. violation of the Health Information Privacy and Portability Act. ("HIPPA")
  64. ^ S. E. Ross (2003). "The Effects of Promoting Patient Access to Medical Records: A Review". Американдық медициналық информатика қауымдастығының журналы. 10 (2): 129–138. дои:10.1197/jamia.M1147. PMC  150366. PMID  12595402. The Health Insurance Privacy and Portability Act (HIPPA) stipulates that ...
  65. ^ "DHS-8505 Informed Consent Form" (PDF). 2017 жылғы 19 мамыр. protected under the Health Information. Privacy and Portability Act (HIPPA).
  66. ^ "HCBS Person Centered Service Plan Policy". Health Insurance Privacy and Portability Act (HIPPA) should be replaced with Health Insurance Portability and Accountability Act (HIPAA).
  67. ^ "Enforcement Highlights". OCR Home, Health Information Privacy, Enforcement Activities & Results, Enforcement Highlights. АҚШ денсаулық сақтау және халыққа қызмет көрсету департаменті. Мұрағатталды түпнұсқасынан 5 наурыз 2014 ж. Алынған 3 наурыз 2014.
  68. ^ "Breaches Affecting 500 or more Individuals". OCR Home, Health Information Privacy, HIPAA Administrative Simplification Statute and Rules, Breach Notification Rule. АҚШ денсаулық сақтау және халыққа қызмет көрсету департаменті. Мұрағатталды түпнұсқадан 2015 жылғы 15 наурызда. Алынған 3 наурыз 2014.
  69. ^ "Record HIPAA Settlement Announced: $5.5 Million Paid by Memorial Healthcare Systems". HIPAA журналы. 17 ақпан, 2017.
  70. ^ "Civil Money Penalty". HHS Official Site. АҚШ денсаулық сақтау және халыққа қызмет көрсету департаменті. Қазан 2010. Мұрағатталды түпнұсқадан 2017 жылғы 8 қазанда. Алынған 8 қазан 2017.
  71. ^ "HIPAA Privacy Complaint Results in Federal Criminal Prosecution for First Time". HIPAA журналы. 2011 жылғы шілде. Мұрағатталды түпнұсқасынан 17 ақпан 2018 ж. Алынған 10 қазан 2017.
  72. ^ Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (2018). Social Indicators Research, https://link.springer.com/article/10.1007/s11205-018-1837-z Electronic Health Record Breaches as Social Indicators.

Сыртқы сілтемелер