8月2017

HIPAA挑战:隐私问题使x射线银矿开采复杂化
作者:David Holtzman, JD, CIPP
郑重声明
第二十九卷第八页

数字革命带来了医疗信息技术的广泛应用，为提高医疗服务的效率、成本效益、质量和安全性带来了巨大的希望。计算机放射学的发展已经改变了放射成像，在大多数放射学应用中，它在很大程度上取代了模拟屏幕胶片放射学和银乳化膜的相关使用。

随着医疗保健组织将其医疗记录系统转换为数字环境，他们在存储和处理纸质和模拟健康记录方面面临挑战。当决定涉及含有银乳剂的x射线胶片时，这些问题就变得复杂了，因为它具有价值。卫生保健机构可以在几种可用的工艺中选择回收银和回收或破坏薄膜基。

无论选择何种回收方法，提供者必须确保在整个过程中，在模拟图像中捕获的患者信息是保密的，而底层的胶片基则是不可读或不可破译的。

对患者信息保密是每个医疗保健提供者的基本原则。如果患者不相信组织会保护个人和医疗信息的隐私，他们就不太可能选择它来满足他们的医疗保健需求，或者不完全披露合理的临床决策所需的所有信息。由于这些原因，医疗保健实践必须仔细考虑如何处理医疗记录，包括在回收和回收含有受保护健康信息(PHI)的x射线胶片中的银时。如果不这样做，可能会导致严重后果，包括违反HIPAA。

隐私规则基础
HIPAA隐私规则要求受保护的实体(ce)以任何形式保护PHI免受未经授权的披露。受该规则约束的消费电子服务包括大多数健康计划、医疗保健结算所和从事某些电子交易的供应商，例如向医疗保险、医疗补助和私人运营商提交索赔和检查患者资格。

为受hipaa保护的供应商提供服务或执行功能的承包商或供应商本身必须以任何形式保护PHI免遭未经授权的披露。根据HIPAA，业务伙伴(BA)是代表CE或其BAs创建、接收、维护或传输PHI的任何实体，或向CE提供服务或为CE提供涉及使用或披露PHI的任何实体。

HIPAA要求ce和BA签订合同，以确保BA适当地保护PHI。基于与承包商的关系以及BA正在执行的活动或服务，BA协议(BAA)用于澄清和适当限制PHI的允许使用和披露。根据HIPAA，在某些情况下，BA对未经授权使用和披露PHI负有直接责任，在刑法下也有直接责任。

卫生保健组织还必须考虑维护病人健康记录的任何国家或专业义务。隐私规则不包括医疗记录保留的要求，这是州法律通常涵盖的内容。有时，州法律要求可能很复杂。

如果没有州法律，医疗委员会可以提供政策或建议。例如，加利福尼亚州法律规定了治疗记录必须保存多长时间的要求。根据创建记录的设施类型和记录类型，会有一些变化。

基本上，医院或诊所的治疗记录必须保存至最后一次治疗之日起7年。但是，对于儿童，记录必须从最后一次见面之日起保存，直到该人年满19岁或7岁，以较长者为准。例如，对于治疗结束时8岁的儿童，记录必须保持11年。对于治疗结束时年满14岁的儿童，该记录必须保存7年。

PHI的处理要求
一般来说，卫生保健组织雇用供应商来处理和处置模拟x射线胶片。将x光片交给承包商意味着承包商已经允许其访问包含PHI的患者记录。根据HIPAA，当CE雇用BA处理或处置PHI时，它必须进入BAA。

为了保护患者隐私，患者记录(如x射线胶片)中的PHI可以通过“粉碎、燃烧、制浆或粉碎记录的方式处理，使PHI无法读取或无法破译，无法重建”。广管局可向行政长官收取有关纪录，并将其弃置，然后将其弃置于堆填区或其他适当的地方。消费电子公司也可以将PHI保存在一个安全的区域进行处置，直到处置供应商将其取走销毁。

未能按照HIPAA处理PHI可能会导致处罚和纠正行beplay最新备用网站动计划，以确保将来符合隐私标准。2016年，北卡罗来纳州的一家骨科诊所与民权办公室达成了一项解决协议，该公司支付了75万美元，以解决其违反HIPAA隐私规则的指控，因为该公司聘请了一家公司将x射线转换为电子媒体，然后使供应商能够从x射线中获取银。卫生保健提供者违反了HIPAA要求，没有与其服务提供者签订BAA协议，以确保x射线上的患者信息不被未经授权的披露。

供应商的可信度
医疗保健提供者在管理业务合作伙伴关系方面面临许多挑战。作为受hipaa保护的实体，它们必须识别将处理或有权访问PHI的每个供应商、承包商和供应商。医疗保健组织认识到，确保其PHI的机密性意味着要有一个供应商管理计划，以监控和执行其承包商和供应商做出的保护数据的承诺。

医疗保健组织可以通过在开始建立新的BA关系时进行选择和保持警惕来增加对供应商关系的信心。建议在供应商选择过程中进行仔细审查，以确保广管局保护PHI的机密性。要开始审查过程，医疗保健提供者可以要求潜在供应商完成一份信息问卷，以评估他们有哪些政策和流程来保护PHI免受未经授权的披露。获得这些信息将使医疗保健组织能够评估供应商计划的成熟度。在签订合同之前进行这种审查可以提供潜在差距和合规性问题的线索，从而帮助行政长官确定供应商是否是签订BAA的合适人选。beplay最新备用网站

有效的供应商管理需要与新的和现有的供应商建立强大的BAAs。首先，一个无懈可击的BAA应该在出现违规行为时追究BA的责任。这可以通过制定事件管理计划来实现，该计划规定了发生违约事件时双方的责任，要求更严格的违约通知时间表(在意识到事件后24至48小时)，并要求赔偿条款以支付违约通知的费用。此外，必须制定业务关系终止时处理PHI的预定计划。

选择从x射线胶片中回收银乳剂的医疗机构必须精心设计一个优先考虑患者隐私的方法，并包括对潜在承包商的彻底审查。

——David Holtzman，法学博士，注册会计师，CynergisTek合规策略副总裁。beplay最新备用网站