九月/十月2021

警察来敲门的时候
Selena Chavis著
郑重声明
第33卷第5页

专家们对向执法部门发布信息的做法进行了权衡。

多年来，医疗保健行业一直非常精通与执法部门共享受保护的健康信息(PHI)的参数。但是，即使接受了最好的培训，医疗保健专业人员、合规人员和临床医生仍然会发现自己面临着令人困惑的局面，有时beplay最新备用网站会做出错误的决定。

Sue Chamberlain, MSCTE, RHIA, CCS-P, CDIP, RRS医疗合规和教育副总裁，健康信息beplay最新备用网站外包服务协会(AHIOS)成员，目睹了医疗机构和警察方面的极端反应。

她回忆说，在最近一次执法人员出现在医生办公室的情况下，工作人员“吓坏了”，不愿提供任何信息。在另一起案件中，执法部门试图恐吓员工，让他们提供超出允许范围的信息。就法律参数而言，这两种回应都完全偏离了目标。

维纳布尔律师事务所(Venable LLP)员工福利、高管薪酬和健康实践小组的合伙人兼主席朱莉安娜•里诺指出，虽然信息发布(ROI)和执法事件通常发生在大型医疗系统和急诊部门，但其他医疗机构偶尔也会面临这些情况。例如，雷诺回忆起一起事件，警察在接到入室盗窃的线报后，想在一个24小时服务的呼叫中心走动。

“我们说，‘不，你不能这么做，因为你会听到有人们名字和健康信息的电话，’”雷诺说。

最重要的是，可能到处都有混乱。

张伯伦指出，不确定性不仅存在于供应商方面，也存在于警察和检察官方面。例如，她指出，在传票的情况下，如果记录保管人有完整的记录，而且实际上没有出庭，他们通常可以签字。然而，张伯伦说:“许多传票仍然有出庭要求，大多数人认为他们可以只发送记录而不出庭，这可能是律师所期望的。”

了解执法部门与卫生保健组织互动的各种方式也可能使一些组织出错。例如，在某些情况下，法律要求披露信息。在其他情况下，可能需要官方程序，如搜查令和传票。Rita Bowen, MA, RHIA, CHPS, CHPC, SSGB, MRO Corp隐私，合规和HIM政策副总裁，AHIOS立法和政府事务委员会主席说，这通常归结为理解HIPAA和州法律之间的关系。beplay最新备用网站

鲍恩解释说:“联邦和州法律为那些希望将自己的医疗记录从执法部门手中保存下来的人规定了一些隐私权，但执法部门在调查犯罪、识别受害者或追捕逃犯时，有很多方法可以访问医疗数据。”“通常情况下，警方可以在没有个人同意的情况下，甚至在没有法官授权的情况下，找到敏感的医疗记录。”

雷诺解释说，当州或联邦法律要求披露信息时，你必须遵守法律的限制。“如果HIPAA中有额外的规定，那么你也必须遵守HIPAA，”她说。

尽管在执法方面，获得正确的投资回报率至关重要，但里诺指出，医疗服务提供者和警察在合作方面有着悠久的历史。“警察通常不会试图获取他们不被允许获取的信息。一般来说，警察都很有礼貌，”她强调说。“医院正在尽力为他们提供一切可以提供的服务。”

投资回报率和执法基础
HIPAA隐私规则将执法广义地定义为“有权调查或起诉违法行为的任何级别政府官员”。

Bowen指出，根据HIPAA，医疗信息可以在未经个人许可的情况下以多种方式向执法人员披露。

她说:“执法目的的信息披露不仅适用于医生或医院，也适用于健康计划、药店、卫生保健信息交换所和医学研究实验室。”她指出，更广泛的范围是HITECH法案的结果，该法案认为，受保护实体(CE)和任何商业伙伴都直接受这些执法准入规则的约束。

挑战在于理解联邦法规和州法规是如何相互作用的。例如，鲍恩指出，在加州，HIPAA并没有取代更多保护隐私的州法律，但它有更严格的隐私规则，需要更多的法院介入。

“在加州，医疗记录的搜查令通常是根据《刑法典》授权的，需要基于合理理由的司法批准。也可以使用基于正当理由的较不严格的法院命令。在加州，即使只是使用行政传票，《加州刑法典》也需要授权法院命令。“相比之下，HIPAA允许警方在没有法院介入的情况下使用行政传票或其他书面请求，只要警方提供一份书面声明，说明他们想要的信息是相关的、重要的、范围有限的，而未识别的信息是不够的。”

雷诺说，联邦和州法律如何相互作用有两条基本规则。“其中一条规则是，如果州法律要求披露，那么HIPAA允许你披露，”她说，并强调州法律并不“凌驾于”HIPAA之上，但HIPAA明确规定了这种许可。“第二条规则是，HIPAA是一个底线，而不是上限。如果州法律提供更大的保护，那么就适用州法律。”

Bowen指出，根据HIPAA，执法部门也可以绕过司法和行政程序来获取医疗记录。例如，警察可直接要求提供医疗信息，以查明或定位嫌疑人、逃犯、证人或失踪者;在卫生保健机构发生犯罪时;或者在涉及犯罪的医疗紧急情况下。

“一般来说，这些都是允许的披露，”鲍恩说，尽管首席执行官或商业伙伴也可能拒绝。

蓝卡倡议
鲍恩指出，当存在困惑时，医疗服务提供者倾向于不披露信息。出于这个原因，卫生和人类服务部制定了一份指南——也被称为“蓝卡倡议”——来帮助教育首席执行官，并提供关于什么是可接受的“即时”指导。

除了对HIPAA隐私规则的解释和对谁需要遵守授权的概述外，蓝卡还提供以下指导方针:

在什么情况下，HIPAA CE可以向执法部门披露PHI ?

HIPAA CE可以在个人签署的HIPAA授权下向执法部门披露PHI。在某些情况下，HIPAA CE也可以在没有个人签署HIPAA授权的情况下向执法部门披露PHI，包括:

•向能够合理地防止或减轻对个人或公众健康或安全的严重和迫在眉睫的威胁的执法官员报告PHI;

•报告行政长官真诚地认为是在其处所内发生罪行的证据的PHI;

•在怀疑死亡是由犯罪行为造成时，提醒执法部门注意个人的死亡;

•在应对场外医疗紧急情况时，必要时提醒执法部门注意犯罪活动;

•在法律要求时向执法部门报告PHI(例如报告枪击或刺伤);

•遵守法院命令或司法官员发出的法院命令、传票或传票，或执法官员发出的行政请求(行政请求必须包括一份书面声明，说明所请求的信息是相关的、重要的、具体的、范围有限的，不能使用未识别的信息);

•响应以识别或定位嫌疑人、逃犯、重要证人或失踪人员为目的的PHI请求。但是，信息必须限于有关个人的基本人口和健康信息;和

•在受害者同意的情况下(或在个人无法同意的有限情况下)，对有关犯罪的成年受害者的PHI请求作出回应。虐待或忽视儿童可以在没有父母同意的情况下向法律授权接受此类报告的任何执法官员报告。

了解合规性和HIM的角色beplay最新备用网站
当涉及到ROI和法律执行时，责任止于HIM和合规方面。beplay最新备用网站张伯伦强调，从根本上说，这些角色的存在是为了保护患者的权利，同时与法律保持一致。

她说:“他们可能对你在保护病人权利方面所取得的成就有最好的总体看法，同时也试图为一切正常运行提供所需的信息。”“他们可能比任何人都更了解这一点，并且可以帮助其他人了解情况，以及如何在每种情况下应用法律。”

每个首席执行官都应该有反映如何应对执法的HIPAA政策和程序。Bowen指出，首先要对蓝卡计划和适当的州法律进行审查，这应该有助于医疗机构设计适当的政策。beplay最新备用网站合规和HIM随后负责培训员工，不仅是一般的HIPAA政策，还有具体的程序。

雷诺解释说:“在像医院这样大的实体中，根据你是在急诊科、医疗记录科还是在产房，会有不同的培训。”“我认为这是一种通用的HIPAA培训，比如PHI-HIPAA 101之类的东西。然后是关于医院一般HIPAA政策和程序的培训，然后是基于角色的具体培训——你需要知道什么才能完成你的工作。”

后者是ROI和执法流程发挥作用的地方。鲍恩说，培训应该确保在向执法部门提供信息之前提供适当的文件。

她建议说:“最好是把员工引导到一个全企业的中心区域，提出他们的要求，这样他们就能得到适当的处理。”“执法部门经常会向急诊科的工作人员或其他主要职责是照顾病人而不是发布信息的人提出要求。”

Reno说，医疗机构的合规或隐私官是集中请求的自然选择。beplay最新备用网站通常，最佳实践要求为响应执法确定一个单一角色，除非是常规请求。

她指出:“如果有很多例行的信息披露，公司通常会希望有一个具体的政策，因为你不想因为经常发生的事情而惹恼隐私官。”雷诺说，如果这种情况经常发生，就应该培训合适的员工，“如果警察说ABC，你可以给他123”。

里诺建议，除了例行的信息披露外，在无法联系到合规官或隐私官的情况下，确定并培训专人作为后备人员。beplay最新备用网站

在响应来自执法部门的请求时获得正确的投资回报率可能很复杂，但今天的医疗保健组织拥有可用于适当响应的工具。蓝卡应该为政策和程序提供基础指导，同时优先考虑更严格的州法律。虽然培训应包括可能与执法部门互动的所有适当工作人员，但一个集中的请求中心是确保过程质量控制的最佳做法。

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅游的所有主题。