特别展示版2013年4月

所有人都遵守HIPAA综合规则
朱莉·克努森著
郑重声明
第二十五卷第七页

最终规则将于9月生效，扩展了所涵盖beplay最新备用网站的实体定义并修订了数据泄露法规。

今年1月，美国卫生与公众服务部发布了最终的综合规则，这是自1996年HIPAA法案出台以来对该法规进行的最大一次修订。旨在加强患者隐私保护，并解决过去17年来出现的许多技术和数据管理创新，最终规则扩大了谁必须遵守隐私法规，以及患者可以对其受保护的健康信息(PHI)行使多少控制权，以及其他目标。

商业伙伴
新立法的一个重点是增加了业务伙伴的合规义务，以及哪些人属于这一类。beplay最新备用网站佛罗里达州坦帕市卡尔顿菲尔德律师事务所的医疗保健律师、法学博士帕特里夏•卡尔霍恩表示:“如果一方有权使用PHI，他们可能会成为保险实体的商业伙伴，即使他们可能与保险实体没有合同关系。”

这一变化可能会影响到提供转录服务、计费支持甚至云存储的公司。卡尔霍恩说:“我已经看到了很多关于云计算和这类IT问题的信息，以及它们是否会成为商业伙伴。”他认为云计算提供商最终将属于这一范畴，尽管业界正在等待澄清。包括云提供商作为业务伙伴取决于诸如他们是否实际管理和访问PHI或仅仅是运输管道等因素。

Angela Dinh Rose, MHA, RHIA, CHPS, AHIMA医疗保健卓越实践主任说，提供者必须确保他们的商业伙伴了解他们增加的义务。现有的合同将需要额外的、详细的语言，以确保每个人都受到适当条款的约束。

商业伙伴还应该记住，最终规则的特定部分适用于比以前更深入的实体链，包括如何处理信息发布以及谁可能因违规而面临处罚。此外，Rose还表示，“为了获得报酬而出售PHI需要获得患者的授权”，无论该销售发生在数据链的哪个位置。

违反通知
最终规则的一个显著变化是取消了危害标准，代之以披露评估。在过去的三年里，未经授权的信息披露的潜在影响是在个案的基础上进行评估的。Mary Poulson, MA, RHIT, CHC, CHPC, AHIMA隐私和安全实践委员会联合主席，MEDNAX服务公司西部地区合规主管说:“你必须确定不适当的披露是否会对患者造成财务，声誉或其他类型的伤害。”beplay最新备用网站

如果确定没有造成伤害，则不需要通知患者不适当的披露。根据新的立法，危害标准不再存在，供应商必须确定PHI是否受到损害。保尔森说，可能会有更多的指导，并补充说，民权办公室没有给出任何进一步的澄清，比如“妥协”的定义。

Rita Bowen, MA, RHIA, CHPS, SSGB, HIM高级副总裁兼HealthPort隐私官，认为新规则为处理未来潜在的违规行为创造了更好的环境，因为以前的版本可能允许组织扩展可能造成伤害的定义。“最终的规定消除了这些解释，”她说。“竞争环境现在是公平的。”

她补充说，供应商和商业伙伴将被要求报告PHI受到损害的不当披露，从而使报告更加一致。

患者信息请求
病人现在可以要求以他们选择的格式提供他们的健康信息，无论是电子的还是纸质的。圣马科斯的德克萨斯州立大学临床助理教授、公共卫生硕士、RHIA、FACHE的Kim Murphy-Abdouch说:“提供者必须尽可能地适应个人的要求。”示例包括将信息下载到USB驱动器，将其复制到CD，或将其格式化为PDF。如果病人的要求超出了提供者的能力范围，他们可能有其他选择。Murphy-Abdouch说:“(在这种情况下)他们需要与个人合作，找出另一种方式来提供他们想要的信息。”

响应患者信息请求的时间框架也发生了变化，从60天降至30天。然而，较短的窗口对大多数提供者影响不大，凯利·麦克伦登说，他是RHIA, CHPS，健康信息专家的总裁和创始人。他指出:“医保机构可能已经在30天内将PHI的复印件发给了患者。”

不过，现在的请求可以来自更广泛的地方，具有不同类型的授权。例如，承保实体可以与学生(或家长)达成口头协议，向学校披露免疫证明。以前，需要书面授权。

披露的困境
现在，在服务期间全额付款的患者可以要求对该特定访问进行披露限制，这意味着从该旅行中剔除的信息不能发布到患者的健康计划中。但墨菲-阿卜杜说，即使病人要求隐私，披露信息仍然是允许的。“有趣的是，当医疗机构向另一个提供者发送信息时，它并不适用;这只是健康计划，”她解释说。

如果个人想要进一步控制信息披露呢?Murphy-Abdouch说:“这取决于病人是否通知第二名医生，他们希望限制这些信息。”违反隐私要求的提供者将根据隐私规则受到不允许的信息披露的处罚。

根据Poulson的说法，根据最初的HIPAA规则，提供商有权拒绝隐私限制请求，但在最终规则中不再是这种情况。她说:“组织必须同意这种隐私限制。”她补充说，即使现有的电子健康档案系统(可能尚未建立详细的信息披露控制系统)使得个人访问级别的合规变得困难，这些信息也不能泄露给患者的健康保险公司。beplay最新备用网站

工作流弯路
大多数医院系统都将涉及一些额外的工作，包括患者沟通和行政监督。在响应病人的请求时，提供者可能会花更多的时间来编译多种格式的信息。违规通知要求的变化将给员工带来额外的压力。“我相信新的危害标准将导致更高水平的通知，”卡尔霍恩说，他认为这将导致更多的时间用于确定PHI被泄露的可能性，并通知患者未经授权的披露。

Bowen说，HIM部门内部的工作流程可能需要重新评估，以确保符合最终规定。beplay最新备用网站一个值得关注的领域是同一医院系统内的不同小组如何共享信息和来回发送数据。她说:“我看到的问题是，通常存在单向反馈。”当一个系统向另一个系统发送数据时，任何关于信息已在接收端释放的警报都可能无法返回到主系统。当这种情况发生时，披露规则可能会被忽视。“发布信息的整个过程需要进行全面评估，”鲍恩说。“不管它目前存储在哪里，它都是PHI。”

为了遵守对全额付费访问的披露限制，工作人员还需要投入额外的时间来确保记录得到适当标记。可能需要修改工作流，以便在数据发送出去进行处理时发现并适当处理标记的记录。“系统将如何跟踪这一限制，以确保这些信息永远不会进入健康计划?”玫瑰问道。“工作人员将必须接受培训，操作流程将需要改变，以确定这些限制。”

教育员工
保尔森说，遵守规定的第一步是将最终规定与现行政策、程序和表格进行比较。beplay最新备用网站她说，一旦进行了必要的修改，使现有流程符合规定，“然后回去教育员工，不仅要让他们了解总体变化，还要让他们了解这些变化对他们具体工作职责的影响。beplay最新备用网站”她补充说，面对面的会议效果最好，但其他沟通方法也很有效。“我已经制定了一些谈话要点，供主管和经理带回部门，在员工会议上回顾。我们还在公司内部网和公司通讯中向员工发布了HIPAA隐私提醒，让他们随时了解隐私方面的最新变化。”

培训方法应该针对不同类型的员工量身定制，以确保他们获得基本知识，而不会被不必要的信息压垮。对一些人来说，可能没有太多需要教育的直接规则变化，而对另一些人来说，最终规则的特定部分将产生直接影响。麦克伦登说:“如果你是医疗信息管理人员——任何发布信息或有合规责任的人——那么你将接受更多的相关培训。”他建议从各种渠道寻求指导，beplay最新备用网站包括一些行业组织提供的网络研讨会，以帮助医院应对这些变化。

Murphy-Abdouch建议采取双管齐下的培训方法，以反映患者信息要求和其他披露背后的不同意图。当患者拥有自己的健康信息时，他们可以更好地管理自己的慢性疾病，了解自己的药物，使他们能够对自己的医疗保健做出更好的决定。她说:“在有意义的使用下，如果患者提出要求，必须能够获得他们健康信息的副本，我们应该培训员工，让他们更加宽容。”对于第三方将患者信息作为正常业务使用的要求，Murphy-Abdouch建议采取更严格的措施，以确保信息披露不违反新规定。

总体印象
在最终的规则中，很少有变化会给医院带来繁重的负担——希望如此。许多商业伙伴和受保护的实体已经履行了他们的合规义务，尽管鲍恩表示，对这些合作伙伴进行审查是有必要的。beplay最新备用网站她表示:“(供应商)确实需要重新评估他们的业务合作协议，以确保现在包含的规范包含了新的规则语言。”她补充说，供应商应该考虑续约日期，以确定首先要解决哪些要求。(对于那些在9月23日合规截止日期之前续签的人，他们要到2014年才能合规。)beplay最新备用网站

关于全额支付的访问的隐私的新任务可能会带来挑战。卡尔霍恩说:“我认beplay最新备用网站为，对这家实体来说，合规可能在后勤上很困难。”一个障碍将是如何处理HIPAA协议，因为患者可能不想签署任何包含披露语言的协议。另一个障碍是在综合电子病历系统中识别单次就诊的信息。“你怎么在病人的那一页病历上写个字条呢?”卡尔霍恩问道。“我认为后勤工作将非常复杂。”

最终规定的细节并没有让很多人感到意外。鲍恩说:“我们等了这么长时间。”访问日志的发布没有包括在内，这让他松了一口气，主要是因为它可能会引起混乱。“我不认为普通消费者知道有多少人合法地接触了他们的医疗信息。”

她说，拟议的指导方针将向患者提供谁访问了记录以及查看了什么内容的信息，但没有说明访问记录的原因，这可能会给患者带来不必要的担忧。“我认为推迟发布是一个好迹象，我希望下一个版本将包括访问日志，可以限制在特定的请求，”鲍恩说。

保尔森很高兴地看到，所有未经授权披露的违规通知都没有包括在最终规定中。“那将是非常繁重的，”她说，并补充说，最终的裁决——根据PHI是否受到损害来确定危害——有点令人惊讶，只是因为采取全有或全无方法的压力很大。“我认为民权办公室试图通过提出这个问题找到一些中间立场。”

McLendon表示，争议的最大来源来自新的违规判定标准，其中违规损害PHI的可能性用于确定通知义务。他说:“我不知道他们是否把它变成了一个更客观的标准，而这正是他们试图做的。”“这不是他们所说的‘明线标准’，也就是说，如果你披露了不正当信息，就必须报告。”

McLendon表示担心，计算PHI释放概率和增加报告可能会占用员工太多的时间。他表示:“他们预计，根据这项新规定，会有更多违规举报，但我们将拭目以待。”

- Julie Knudson是西雅图的一名自由商业作家。