stringtranslate.com

Закон о переносимости и подотчетности медицинского страхования

Закон о переносимости и подотчетности медицинского страхования 1996 года ( HIPAA или Закон Кеннеди - Кассебаума [1] [2] ) — это закон Конгресса США , принятый 104-м Конгрессом США и подписанный президентом Биллом Клинтоном 21 августа 1996 года. [3] Он был направлен на изменение передачи медицинской информации, установил руководящие принципы, согласно которым личная информация, хранящаяся в отраслях здравоохранения и медицинского страхования, должна быть защищена от мошенничества и кражи, [4] и устранил некоторые ограничения на покрытие медицинского страхования . Он в целом запрещает поставщикам медицинских услуг и предприятиям, называемым застрахованными организациями, раскрывать защищенную информацию кому-либо, кроме пациента и уполномоченных представителей пациента, без их согласия. Законопроект не ограничивает пациентов в получении информации о себе (за ограниченными исключениями). [5] Кроме того, он не запрещает пациентам добровольно делиться своей медицинской информацией по своему выбору и не требует конфиденциальности, когда пациент раскрывает медицинскую информацию членам семьи, друзьям или другим лицам, не являющимся сотрудниками застрахованной организации.

Акт состоит из 5 названий:

  1. Раздел I защищает медицинское страхование работников и их семей в случае смены или потери ими работы. [6]
  2. Раздел II, известный как положения об административном упрощении (AS), требует установления национальных стандартов для электронных транзакций в сфере здравоохранения и национальных идентификаторов для поставщиков, планов медицинского страхования и работодателей. [7]
  3. Раздел III устанавливает правила ведения учета медицинских расходов до вычета налогов.
  4. Раздел IV устанавливает руководящие принципы для групповых планов медицинского страхования.
  5. Раздел V регулирует полисы страхования жизни, принадлежащие компаниям.

Названия

Закон состоит из пяти разделов, называемых заголовками.

Раздел I: Доступ к здравоохранению, мобильность и возобновляемость

Раздел I HIPAA регулирует доступность и широту групповых планов медицинского страхования и определенных индивидуальных полисов медицинского страхования. Он внес поправки в Закон о пенсионном обеспечении сотрудников, Закон о службе общественного здравоохранения и Налоговый кодекс. Кроме того, Раздел I решает проблему «блокировки работы», которая заключается в невозможности для сотрудника оставить работу, поскольку он потеряет свое медицинское страхование. [8] Для борьбы с проблемой блокировки работы Раздел защищает медицинское страхование для работников и их семей, если они теряют или меняют работу. [9]

Раздел I требует покрытия, а также ограничивает ограничения, которые групповой план медицинского страхования может налагать на льготы в отношении уже существующих заболеваний. Групповые планы медицинского страхования могут отказать в предоставлении льгот в отношении уже существующих заболеваний в течение 12 месяцев после регистрации в плане или 18 месяцев в случае поздней регистрации. [10] Раздел I позволяет лицам сократить период исключения на количество времени, в течение которого у них было «кредитное покрытие» до регистрации в плане и после любых «значительных перерывов» в покрытии. [11] «Кредитное покрытие» определяется довольно широко и включает почти все групповые и индивидуальные планы медицинского страхования, Medicare и Medicaid. [12] «Значительный перерыв» в покрытии определяется как любой 63-дневный период без какого-либо кредитного покрытия. [13] Наряду с исключением, он позволяет работодателям привязывать премии или доплаты к употреблению табака или индексу массы тела.

Раздел I обязывает страховщиков выдавать полисы без исключений лицам, покидающим групповые медицинские планы, при условии, что они сохраняют непрерывное, надежное покрытие (см. выше) более 18 месяцев, и [14] продлевать индивидуальные полисы до тех пор, пока они предлагаются, или предоставлять альтернативы прекращенным планам до тех пор, пока страховщик остается на рынке без исключений, независимо от состояния здоровья.

Некоторые планы медицинского обслуживания освобождены от требований Раздела I, например, долгосрочные планы медицинского обслуживания и планы с ограниченным объемом, такие как стоматологические или офтальмологические планы, предлагаемые отдельно от общего плана медицинского обслуживания. Однако, если такие льготы являются частью общего плана медицинского обслуживания, то HIPAA по-прежнему применяется к таким льготам. Например, если новый план предлагает стоматологические льготы, то он должен учитывать засчитываемое непрерывное покрытие по старому плану медицинского обслуживания в любой из своих периодов исключения для стоматологических льгот.

Альтернативный метод расчета кредитного непрерывного покрытия доступен для плана медицинского страхования в соответствии с Разделом I. То есть, 5 категорий медицинского страхования могут рассматриваться отдельно, включая стоматологическое и офтальмологическое покрытие. Все, что не входит в эти 5 категорий, должно использовать общий расчет (например, бенефициар может быть засчитан с 18 месяцами общего покрытия, но только 6 месяцами стоматологического покрытия, поскольку у бенефициара не было общего плана медицинского страхования, который покрывал стоматологическое покрытие до 6 месяцев до даты подачи заявления). Поскольку планы с ограниченным покрытием освобождены от требований HIPAA, существует редкий случай, когда заявитель на общий групповой план медицинского страхования не может получить сертификаты кредитного непрерывного покрытия для независимых планов с ограниченным охватом, таких как стоматологическое покрытие, чтобы подать заявку на периоды исключения нового плана, который включает эти покрытия.

Скрытые периоды исключения недействительны в соответствии с Разделом I (например, «Несчастный случай, подлежащий покрытию, должен был произойти, когда бенефициар был застрахован по этому же самому договору медицинского страхования»). Такие положения не должны применяться в рамках плана медицинского страхования. Кроме того, их необходимо переписать, чтобы они соответствовали HIPAA. [15]

Раздел II: Предотвращение мошенничества и злоупотреблений в сфере здравоохранения; Упрощение административных процедур; Реформа ответственности врачей

Раздел II HIPAA устанавливает политику и процедуры для сохранения конфиденциальности и безопасности индивидуально идентифицируемой медицинской информации, описывает многочисленные правонарушения, связанные со здравоохранением, и устанавливает гражданские и уголовные наказания за нарушения. Он также создает несколько программ для контроля мошенничества и злоупотреблений в системе здравоохранения. [16] [17] [18] [19] Однако наиболее значимыми положениями Раздела II являются его правила административного упрощения. Раздел II требует от Департамента здравоохранения и социальных служб (HHS) повышения эффективности системы здравоохранения путем создания стандартов для использования и распространения медицинской информации. [19]

Эти правила применяются к «охваченным субъектам», как определено HIPAA и HHS. Охваченные субъекты включают в себя медицинские планы, клиринговые центры здравоохранения (такие как службы выставления счетов и информационные системы общественного здравоохранения) и поставщиков медицинских услуг, которые передают данные о здравоохранении способом, регулируемым HIPAA. [20]

В соответствии с требованиями Раздела II Министерство здравоохранения и социальных служб США (HHS) приняло пять правил, касающихся административного упрощения: правило конфиденциальности, правило транзакций и наборов кодов, правило безопасности, правило уникальных идентификаторов и правило обеспечения соблюдения. [21]

Правило конфиденциальности

Правило конфиденциальности HIPAA состоит из национальных правил использования и раскрытия защищенной информации о состоянии здоровья (PHI) в процессе лечения, оплаты и операций в сфере здравоохранения «охваченными субъектами» (как правило, расчетными палатами по вопросам здравоохранения, спонсируемыми работодателями планами медицинского страхования, медицинскими страховщиками и поставщиками медицинских услуг, которые участвуют в определенных транзакциях). [22]

Правило конфиденциальности вступило в силу 14 апреля 2003 года с продлением на один год для некоторых «малых планов». Постановлением HHS распространило правило конфиденциальности HIPAA на независимых подрядчиков охватываемых субъектов, которые подпадают под определение «деловых партнеров». [23] PHI — это любая информация, которой владеет охватываемый субъект относительно состояния здоровья, предоставления медицинской помощи или оплаты медицинской помощи, которая может быть связана с любым лицом. [20] Это трактуется довольно широко и включает в себя любую часть медицинской карты или истории платежей лица. Охватываемые субъекты должны раскрывать PHI лицу в течение 30 дней по запросу. [24] Они также должны раскрывать PHI, когда это требуется по закону, например, сообщая о подозрении на жестокое обращение с детьми в государственные органы по защите детей. [25]

Охваченные субъекты могут раскрывать защищенную информацию о состоянии здоровья должностным лицам правоохранительных органов в целях обеспечения соблюдения закона, как того требует закон (включая постановления суда, судебные ордера, повестки) и административные запросы; или для установления личности или местонахождения подозреваемого, беглеца, важного свидетеля или пропавшего без вести человека. [26]

Защищенная организация может раскрывать PHI определенным сторонам для содействия лечению, оплате или операциям по оказанию медицинской помощи без прямого письменного разрешения пациента. [27] Любое другое раскрытие PHI требует от защищаемой организации получения письменного разрешения от лица на раскрытие. [28] В любом случае, когда защищаемая организация раскрывает любую PHI, она должна приложить разумные усилия, чтобы раскрыть только минимально необходимую информацию, требуемую для достижения ее цели. [29]

Правило о конфиденциальности дает отдельным лицам право просить охваченную организацию исправить любую неточную PHI. [30] Кроме того, оно требует от охваченных организаций предпринять некоторые разумные шаги для обеспечения конфиденциальности общения с отдельными лицами. [31] Например, лицо может попросить, чтобы ему звонили на рабочий номер вместо домашнего или мобильного телефона.

Правило конфиденциальности требует, чтобы организации, на которые распространяется действие, уведомляли отдельных лиц об использовании их PHI. [32] Организации, на которые распространяется действие, также должны отслеживать раскрытие PHI и документировать политику и процедуры конфиденциальности. [33] Они должны назначить должностное лицо по вопросам конфиденциальности и контактное лицо [34], ответственное за прием жалоб, и обучить всех членов своей рабочей силы процедурам, касающимся PHI. [35]

Лицо, считающее, что Правило конфиденциальности не соблюдается, может подать жалобу в Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб. [36] [37] В 2006 году The Wall Street Journal сообщила, что OCR имеет большой объем нерассмотренных дел и игнорирует большинство жалоб. «Жалобы на нарушение конфиденциальности накапливаются в Министерстве здравоохранения и социальных служб. В период с апреля 2003 года по ноябрь 2006 года агентство получило 23 886 жалоб, связанных с правилами конфиденциальности медицинской информации, но оно до сих пор не предприняло никаких мер принудительного характера против больниц, врачей, страховщиков или кого-либо еще за нарушение правил. Представитель агентства говорит, что оно закрыло три четверти жалоб, как правило, потому что не нашло никаких нарушений или после того, как предоставило неофициальные указания вовлеченным сторонам». [38] Однако в июле 2011 года Калифорнийский университет в Лос-Анджелесе согласился выплатить 865 500 долларов в качестве урегулирования в отношении потенциальных нарушений HIPAA. Расследование Управления по гражданским правам Министерства здравоохранения и социальных служб США показало, что с 2005 по 2008 год несанкционированные сотрудники неоднократно и без законных на то оснований просматривали электронную защищенную информацию о состоянии здоровья многочисленных пациентов UCLAHS. [39]

Ошибочно полагать, что Правило конфиденциальности создает право для любого лица отказаться раскрывать любую медицинскую информацию (например, данные о хронических заболеваниях или прививках) по запросу работодателя или компании. Требования Правила конфиденциальности HIPAA просто налагают ограничения на раскрытие информации субъектами, на которых распространяется действие, и их деловыми партнерами без согласия лица, чьи записи запрашиваются; они не налагают никаких ограничений на запрос медицинской информации непосредственно у субъекта этой информации. [40] [41] [42]

Обновление окончательного правила Omnibus Rule 2013

В январе 2013 года HIPAA был обновлен с помощью Final Omnibus Rule. [43] Обновления включали изменения в разделах Security Rule и Breach Notification Act HITECH. Наиболее существенные изменения касались расширения требований для включения деловых партнеров, тогда как изначально только охватываемые субъекты должны были соблюдать эти разделы закона. [ необходима цитата ]

Кроме того, определение «значительного вреда» для отдельного лица при анализе нарушения было обновлено, чтобы обеспечить более тщательный контроль за охватываемыми субъектами с целью раскрытия нарушений, о которых ранее не сообщалось. Раньше организациям требовалось доказательство того, что вред был нанесен, тогда как теперь организации должны доказать, что вред не был нанесен.

Защита PHI была изменена с бессрочной на 50 лет после смерти. Также были одобрены более суровые наказания за нарушение требований конфиденциальности PHI. [44]

Правило конфиденциальности HIPAA может быть отменено во время стихийных бедствий. Ограниченные отмены были выданы в таких случаях, как ураган Харви в 2017 году. [45]

Акт HITECH: требования конфиденциальности

См. раздел «Конфиденциальность» Закона об использовании медицинских информационных технологий в экономических и клинических целях ( Закон HITECH ).

Право на доступ к своей PHI

Правило конфиденциальности требует, чтобы поставщики медицинских услуг предоставляли лицам доступ к их PHI. [46] После того, как лицо запросило информацию в письменной форме (обычно с использованием формы поставщика для этой цели), у поставщика есть до 30 дней, чтобы предоставить копию информации лицу. Лицо может запросить информацию в электронной форме или на бумажном носителе, и поставщик обязан попытаться соответствовать запрошенному формату. Для поставщиков, использующих систему электронных медицинских карт ( EHR ), сертифицированную с использованием критериев CEHRT (Certified Electronic Health Record Technology), лицам должно быть разрешено получать PHI в электронной форме. Поставщикам рекомендуется предоставлять информацию оперативно, особенно в случае запросов на электронные записи.

Отдельные лица имеют широкое право на доступ к информации, связанной со здоровьем, включая медицинские записи, заметки, изображения, результаты лабораторных исследований, а также информацию о страховании и выставлении счетов. [47] Явно исключены личные психотерапевтические заметки поставщика услуг и информация, собранная поставщиком для защиты от судебного иска. [48]

Поставщики могут взимать разумную сумму, которая соотносится с их стоимостью предоставления копии, однако, никакая плата не допускается при предоставлении данных в электронном виде из сертифицированной EHR с использованием функции «просмотр, загрузка и передача», которая требуется для сертификации. При доставке лицу в электронной форме, лицо может разрешить доставку с использованием зашифрованной или незашифрованной электронной почты, доставку с использованием носителя (USB-накопитель, CD и т. д., что может быть сопряжено с платой), прямой обмен сообщениями (безопасная технология электронной почты, широко используемая в отрасли здравоохранения) или, возможно, другими способами. При использовании незашифрованной электронной почты лицо должно понимать и принимать риски для конфиденциальности с использованием этой технологии (информация может быть перехвачена и изучена другими лицами). Независимо от технологии доставки, поставщик должен продолжать полностью защищать PHI, находясь в своей системе, и может отклонить метод доставки, если он представляет дополнительный риск для PHI, находясь в его системе. [49]

Человек может также запросить (в письменной форме), чтобы его защищенная информация о состоянии здоровья была передана назначенной третьей стороне, например поставщику услуг по уходу за больными.

Пациент также может запросить (в письменной форме), чтобы поставщик отправил PHI в назначенную службу, используемую для сбора или управления его записями, например, в приложение Personal Health Record. Например, пациентка может запросить в письменной форме, чтобы ее поставщик акушера-гинеколога передал в цифровом виде записи о ее последнем дородовом посещении в приложение для самостоятельного ухода за беременностью, которое установлено на ее мобильном телефоне.

Раскрытие информации родственникам

Согласно их толкованию HIPAA, больницы не будут раскрывать информацию по телефону родственникам госпитализированных пациентов. В некоторых случаях это затрудняло поиск пропавших без вести. После крушения рейса 214 авиакомпании Asiana Airlines в Сан-Франциско некоторые больницы неохотно раскрывали личности пассажиров, которых они лечили, что затрудняло для Asiana и родственников их поиск. [50] В одном случае мужчина в штате Вашингтон не смог получить информацию о своей раненой матери. [51]

Джанлори Голдман, директор правозащитной группы Health Privacy Project, заявила, что некоторые больницы проявляют «чрезмерную осторожность» и неправильно применяют закон, сообщает Times. Больница Suburban в Бетесде, штат Мэриленд, интерпретировала федеральное постановление, которое требует от больниц разрешать пациентам отказываться от включения в больничный справочник, как то, что пациенты хотят, чтобы их не включали в справочник, если они специально не заявляют об обратном. В результате, если пациент находится без сознания или иным образом не может выбрать включение в справочник, родственники и друзья могут не найти его, сказал Голдман. [52]

Правило транзакций и кодовых наборов

HIPAA был призван сделать систему здравоохранения в Соединенных Штатах более эффективной путем стандартизации медицинских транзакций. HIPAA добавил новую Часть C под названием «Административное упрощение» в Раздел XI Закона о социальном обеспечении. [53] Предполагается, что это упростит медицинские транзакции, требуя от всех медицинских планов участвовать в медицинских транзакциях стандартизированным образом.

Положение HIPAA/EDI ( электронный обмен данными ) должно было вступить в силу с 16 октября 2003 года с продлением на один год для некоторых «малых планов». Однако из-за широко распространенной путаницы и трудностей в реализации правила Центры услуг Medicare и Medicaid (CMS) предоставили продление на один год всем сторонам. [54] 1 января 2012 года вступили в силу новые версии, ASC X12 005010 и NCPDP D.0, заменив предыдущие мандаты ASC X12 004010 и NCPDP 5.1. [55] Версия ASC X12 005010 предоставляет механизм, позволяющий использовать ICD-10-CM, а также другие улучшения.

Согласно HIPAA, медицинские планы, охватываемые HIPAA, теперь обязаны использовать стандартизированные электронные транзакции HIPAA. См. 42 USC § 1320d-2 и 45 CFR Часть 162. Информацию об этом можно найти в окончательном правиле для стандартов электронных транзакций HIPAA (74 Fed. Reg. 3296, опубликовано в Федеральном реестре 16 января 2009 г.) и на веб-сайте CMS. [56]

Набор транзакций по претензиям в сфере здравоохранения EDI (837) используется для отправки информации о выставлении счетов за претензии в сфере здравоохранения, информации о встречах или и того, и другого, за исключением претензий в сфере розничной аптеки (см. EDI Retail Pharmacy Claim Transaction). Он может быть отправлен поставщиками медицинских услуг плательщикам напрямую или через посредников-выставителей счетов и расчетные центры претензий. Он также может использоваться для передачи информации о претензиях в сфере здравоохранения и платежных поручениях между плательщиками с различными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для контроля за оказанием, выставлением счетов и/или оплатой медицинских услуг в определенном сегменте отрасли здравоохранения/страхования.

Например, государственное агентство по охране психического здоровья может обязать всех медицинских страховых случаев, поставщиков и медицинские планы, которые обмениваются профессиональными (медицинскими) страховыми случаями в электронном виде, использовать стандарт 837 Health Care Claim: Professional для отправки страховых случаев. Поскольку существует множество различных бизнес-приложений для страховых случаев в сфере здравоохранения, могут быть небольшие отклонения для покрытия страховых случаев, включающих уникальные страховые случаи, например, для учреждений, специалистов, мануальных терапевтов, стоматологов и т. д.

EDI Retail Pharmacy Claim Transaction ( NCPDP Telecommunications) используется для подачи претензий на услуги розничной аптеки плательщикам специалистами здравоохранения, которые отпускают лекарства, напрямую или через посредников-выставителей счетов и центры обработки претензий. Он также может использоваться для передачи претензий на услуги розничной аптеки и информации о платежах по счетам между плательщиками с различными платежными обязанностями, когда требуется координация льгот, или между плательщиками и регулирующими органами для контроля за оказанием, выставлением счетов и/или оплатой услуг розничной аптеки в сегменте фармацевтической отрасли здравоохранения/страхования.

Набор транзакций EDI Health Care Claim Payment/Advice (835) можно использовать для осуществления платежа, отправки пояснения по льготам (EOB), отправки извещения о переводе пояснения по платежам (EOP) или осуществления платежа и отправки извещения о переводе EOP только от медицинской страховой компании поставщику медицинских услуг напрямую или через финансовое учреждение.

Набор для регистрации и обслуживания льгот EDI (834) может использоваться работодателями, профсоюзами, государственными учреждениями, ассоциациями или страховыми агентствами для регистрации членов плательщика. Плательщиком является организация здравоохранения, которая оплачивает претензии, администрирует страховку или льготы или продукты. Примерами плательщиков являются страховая компания, медицинский работник (HMO), организация предпочитаемого поставщика (PPO), государственное учреждение (Medicaid, Medicare и т. д.) или любая организация, которая может быть нанята одной из этих бывших групп.

EDI Payroll Deducted и еще одна группа, Premium Payment for Insurance Products (820), представляет собой набор транзакций для осуществления страхового платежа за страховые продукты. Его можно использовать для того, чтобы поручить финансовому учреждению произвести платеж получателю платежа.

Запрос EDI о праве на получение медицинской помощи/льгот (270) используется для запроса информации о медицинских льготах и ​​правах, связанных с абонентом или иждивенцем.

Ответ на запрос EDI о праве на получение медицинской помощи/льгот (271) используется для ответа на запрос о медицинских льготах и ​​праве на них, связанных с абонентом или иждивенцем.

Запрос статуса претензии по медицинской помощи EDI (276) — это набор транзакций, который может использоваться поставщиком, получателем медицинских продуктов или услуг или их уполномоченным агентом для запроса статуса претензии по медицинской помощи.

Уведомление о статусе претензии по медицинской помощи EDI (277) — это набор транзакций, который может использоваться плательщиком медицинских услуг или уполномоченным агентом для уведомления поставщика, получателя или уполномоченного агента о статусе претензии или обращения за медицинской помощью или для запроса дополнительной информации от поставщика относительно претензии или обращения за медицинской помощью. Этот набор транзакций не предназначен для замены набора транзакций по оплате/консультации по претензии по медицинской помощи (835) и, следовательно, не используется для проводки платежей по счету. Уведомление находится на уровне сводки или детализации строки обслуживания. Уведомление может быть запрошено или незапрошено.

Информация об обзоре услуг здравоохранения EDI (278) — это набор транзакций, который может использоваться для передачи информации об услугах здравоохранения, такой как данные об абоненте, пациенте, демографические данные, данные о диагнозе или лечении, с целью запроса на обзор, сертификацию, уведомление или отчет о результатах обзора услуг здравоохранения.

EDI Functional Acknowledgement Transaction Set (997) — это набор транзакций, который может использоваться для определения структур управления для набора подтверждений, чтобы указать результаты синтаксического анализа электронно-кодированных документов. Хотя он конкретно не назван в законодательстве HIPAA или окончательном правиле, он необходим для обработки набора транзакций X12. Закодированные документы — это наборы транзакций, которые сгруппированы в функциональные группы, используемые при определении транзакций для обмена бизнес-данными. Этот стандарт не охватывает семантическое значение информации, закодированной в наборах транзакций.

Краткое изложение правил обновления транзакций и кодовых наборов 5010
  1. Набор транзакций (997) будет заменен на «отчет о подтверждении» набора транзакций (999).
  2. Размер многих полей {элементов сегмента} будет увеличен, что приведет к необходимости для всех ИТ-поставщиков расширить соответствующие поля, элементы, файлы, графический интерфейс, бумажные носители и базы данных.
  3. Некоторые сегменты были удалены из существующих наборов транзакций.
  4. В существующие наборы транзакций было добавлено множество сегментов, что позволяет лучше отслеживать и сообщать о расходах и обращениях пациентов.
  5. Добавлена ​​возможность использовать обе версии «Международной классификации болезней»: 9 (МКБ-9) и 10 (МКБ-10-КМ). [57] [58]

Правило безопасности

Окончательное правило о стандартах безопасности было выпущено 20 февраля 2003 года. Правило безопасности дополняет Правило конфиденциальности. В то время как Правило конфиденциальности касается всей защищенной медицинской информации (PHI), включая бумажную и электронную, Правило безопасности касается конкретно электронной защищенной медицинской информации (EPHI). Оно устанавливает три типа мер безопасности, необходимых для соответствия: административные, физические и технические. [59] Для каждого из этих типов Правило определяет различные стандарты безопасности, и для каждого стандарта оно называет как требуемые, так и адресуемые спецификации реализации. Требуемые спецификации должны быть приняты и администрированы в соответствии с Правилом. Адресуемые спецификации более гибкие. Отдельные охваченные субъекты могут оценить свою собственную ситуацию и определить наилучший способ внедрения адресуемых спецификаций. Некоторые защитники конфиденциальности утверждают, что эта «гибкость» может предоставлять слишком большую свободу охваченным субъектам. [60] Были разработаны программные средства для оказания помощи охваченным субъектам в анализе рисков и отслеживании исправления. Стандарты и спецификации следующие:

Правило уникальных идентификаторов (национальный идентификатор поставщика)

Субъекты, подпадающие под действие HIPAA, такие как поставщики, осуществляющие электронные транзакции, центры обмена информацией в сфере здравоохранения и крупные медицинские планы, должны использовать только национальный идентификатор поставщика (NPI) для идентификации охватываемых поставщиков медицинских услуг в стандартных транзакциях до 23 мая 2007 года. Небольшие медицинские планы должны использовать только NPI до 23 мая 2008 года. Начиная с мая 2006 года (с мая 2007 года для небольших медицинских планов) все охватываемые субъекты, использующие электронные коммуникации (например, врачи, больницы, компании медицинского страхования и т. д.), должны использовать один новый NPI. NPI заменяет все другие идентификаторы, используемые медицинскими планами, Medicare, Medicaid и другими государственными программами. [61] Однако NPI не заменяет номер DEA поставщика, номер государственной лицензии или налоговый идентификационный номер. NPI состоит из 10 цифр (может быть буквенно-цифровым), причем последняя цифра является контрольной суммой. NPI не может содержать никакой встроенной информации; другими словами, NPI — это просто число, которое само по себе не имеет никакого дополнительного значения. NPI является уникальным и национальным, никогда не используется повторно, и за исключением учреждений, поставщик обычно может иметь только один. Учреждение может получить несколько NPI для разных «подразделений», таких как отдельно стоящий онкологический центр или реабилитационный центр.

Правило исполнения

16 февраля 2006 года HHS выпустило Окончательное правило относительно обеспечения соблюдения HIPAA. Оно вступило в силу 16 марта 2006 года. Правило обеспечения соблюдения устанавливает гражданские денежные штрафы за нарушение правил HIPAA и устанавливает процедуры расследований и слушаний по нарушениям HIPAA. В течение многих лет было мало судебных преследований за нарушения. [62]

Это могло измениться с наложением штрафа в размере 50 000 долларов на хоспис Северного Айдахо (HONI) как первую организацию, оштрафованную за потенциальное нарушение правил безопасности HIPAA, затронувшее менее 500 человек. Рэйчел Сигер, пресс-секретарь HHS, заявила: «HONI не проводила точный и тщательный анализ риска конфиденциальности ePHI [электронной защищенной медицинской информации] в рамках своего процесса управления безопасностью с 2005 года по 17 января 2012 года». Это расследование было начато с кражи из служебного автомобиля незашифрованного ноутбука, содержащего 441 запись о пациентах. [63]

В Wikisource есть оригинальный текст, относящийся к этой статье:
Закон о восстановлении и реинвестировании в американскую экономику 2009 г./Раздел A/Раздел XIII/Подзаголовок D

По состоянию на март 2013 года Министерство здравоохранения и социальных служб США (HHS) расследовало более 19 306 случаев, которые были разрешены путем требования внесения изменений в практику конфиденциальности или путем принятия корректирующих мер. Если HHS определяет несоблюдение, организации должны применять корректирующие меры. Жалобы были расследованы в отношении многих различных типов предприятий, таких как национальные аптечные сети, крупные медицинские центры, страховые группы, сети больниц и другие мелкие поставщики. Было 9 146 случаев, когда расследование HHS установило, что HIPAA соблюдался правильно. Было 44 118 случаев, когда HHS не нашло приемлемых оснований для принудительного исполнения; например, нарушение, которое началось до начала действия HIPAA; дела, отозванные преследователем; или деятельность, которая фактически не нарушает Правила.

Раздел III: Налоговые положения в области здравоохранения, регулирующие медицинские сберегательные счета

Раздел III стандартизирует сумму, которую можно сэкономить на человеке на счете медицинского сбережения до уплаты налогов . Начиная с 1997 года, медицинский сберегательный счет («MSA») стал доступен для сотрудников, охваченных спонсируемым работодателем планом с высокой франшизой, к которым относятся мелкие работодатели и самозанятые лица.

Раздел IV: Применение и обеспечение соблюдения требований группового медицинского страхования

Раздел IV определяет условия для групповых планов медицинского страхования в отношении покрытия лиц с уже имеющимися заболеваниями и изменяет требования к продолжению покрытия. Он также разъясняет требования к продолжению покрытия и включает разъяснение COBRA .

Раздел V: Вычет доходов, регулирующий налоговые вычеты для работодателей

Раздел V включает положения, касающиеся страхования жизни, принадлежащего компании, для работодателей, предоставляющих премии по страхованию жизни, принадлежащему компании, запрещая налоговые вычеты процентов по кредитам на страхование жизни, пожертвованиям компании или контрактам, связанным с компанией. Он также отменяет правило финансового учреждения о правилах распределения процентов. Наконец, он вносит поправки в положения закона, касающиеся лиц, которые отказываются от гражданства или постоянного места жительства Соединенных Штатов, расширяя налог на экспатриацию , который должен быть оценен в отношении тех, кто, как считается, отказывается от своего статуса в США по налоговым причинам, и делая имена бывших граждан частью публичной записи посредством создания ежеквартальной публикации лиц, которые выбрали экспатриацию . [64]

Влияние на исследования и клиническую помощь

Принятие Правил конфиденциальности и безопасности вызвало серьезные изменения в работе врачей и медицинских центров. Сложная юридическая сторона и потенциально жесткие штрафы, связанные с HIPAA, а также увеличение объема бумажной работы и стоимости ее внедрения, стали причиной беспокойства среди врачей и медицинских центров. Статья в журнале Annals of Internal Medicine за август 2006 года подробно описала некоторые из таких опасений по поводу внедрения и последствий HIPAA. [65]

Влияние на исследования

Ограничения HIPAA для исследователей повлияли на их способность проводить ретроспективные исследования на основе диаграмм, а также на их способность проспективно оценивать пациентов, связываясь с ними для последующего наблюдения. Исследование, проведенное в Мичиганском университете, продемонстрировало, что внедрение правила конфиденциальности HIPAA привело к снижению с 96% до 34% доли последующих опросов, заполненных пациентами исследования, которые наблюдались после сердечного приступа . [66] Другое исследование, подробно описывающее влияние HIPAA на набор для исследования профилактики рака, продемонстрировало, что предписанные HIPAA изменения привели к 73%-ному снижению набора пациентов, утроению времени, затрачиваемого на набор пациентов, и утроению средних затрат на набор. [67]

В соответствии с HIPAA, формы информированного согласия на проведение научных исследований должны документировать, каким образом защищенная информация о состоянии здоровья будет храниться в тайне, что может привести к увеличению барьеров для участия. [65]

Эти данные свидетельствуют о том, что правила конфиденциальности HIPAA могут иметь негативные последствия для стоимости и качества медицинских исследований . Доктор Ким Игл, профессор внутренних болезней Мичиганского университета, был процитирован в статье Annals , который сказал: «Конфиденциальность важна, но исследования также важны для улучшения медицинской помощи. Мы надеемся, что мы разберемся с этим и сделаем это правильно». [65]

Влияние на клиническую помощь

Сложность HIPAA в сочетании с потенциально жесткими наказаниями для нарушителей может привести к тому, что врачи и медицинские центры будут скрывать информацию от тех, кто может иметь на нее право. Обзор внедрения Правила конфиденциальности HIPAA, проведенный Счетной палатой США, показал, что поставщики медицинских услуг «не уверены в своих юридических обязанностях по обеспечению конфиденциальности и часто реагируют на раскрытие информации с чрезмерно осторожным подходом... чем это необходимо для обеспечения соблюдения Правила конфиденциальности». [65] Сообщения об этой неопределенности продолжают поступать. [68]

Стоимость внедрения

В период непосредственно перед принятием законов HIPAA Privacy and Security Acts медицинские центры и медицинские практики были обязаны соблюдать новые требования. Многие практики и центры обращались к частным консультантам за помощью в соблюдении требований. [ необходима цитата ]

Образование и обучение

Образование и обучение поставщиков медицинских услуг являются обязательными условиями для правильной реализации как Правила конфиденциальности HIPAA, так и Правила безопасности. [69] [70]

Ошибка в написанииГИППА

«Люди придумывают, что означает эта аббревиатура».

Девен Макгроу, бывший заместитель директора HHS , цитируется в Vox [71]

Хотя аббревиатура HIPAA совпадает с названием Публичного закона 104-191 1996 года « О переносимости и подотчетности медицинского страхования », HIPAA иногда неправильно называют HIPPA , по-разному утверждая, что это относится к «Закону о конфиденциальности и переносимости медицинской информации», [72] [73] «Закону о защите конфиденциальности медицинской информации», [71] или «Закону о конфиденциальности и защите медицинского страхования». [74] Ошибочное написание HIPPA было замечено среди мошенников, занимающихся COVID-19 . [75]

Нарушения

Диаграмма HIPAA, иллюстрирующая нарушения HIPAA по типу
Анализ нарушений HIPAA, которые привели к незаконному раскрытию личной информации.

По данным Управления по гражданским правам Министерства здравоохранения и социальных служб США, в период с апреля 2003 года по январь 2013 года оно получило 91 000 жалоб на нарушения HIPAA, из которых 22 000 привели к мерам принудительного характера разного рода (от урегулирований до штрафов), а 521 — к направлениям в Министерство юстиции США в качестве уголовных исков. [76] Примеры существенных нарушений защищенной информации и других нарушений HIPAA включают в себя:

По данным Коцкодая и др., 2018 [79], общее число пострадавших с октября 2009 года составляет 173 398 820 человек.

Различия между гражданскими и уголовными санкциями приведены в следующей таблице:

Законодательная информация

В 1994 году президент Клинтон заявил о своих целях по улучшению системы здравоохранения. Однако его реформы не увенчались успехом, скорее всего, из-за отсутствия поддержки. [80] В ежеквартальном альманахе Конгресса за 1996 год объясняется, как два сенатора, Нэнси Кассебаум (республиканец от Канзаса) и Тед Кеннеди (демократ от Массачусетса), объединились и создали законопроект под названием Закон о реформе медицинского страхования 1995 года или более известный как законопроект Кассебаума-Кеннеди. [81] Этот законопроект был заморожен, несмотря на то, что он вышел из Сената. В своем обращении к нации в 1996 году Клинтон настоял на этом вопросе, и это привело к двухпартийному сотрудничеству. [80] После долгих дебатов и переговоров произошел сдвиг в динамике, когда был принят компромисс между Кеннеди и председателем Комитета по путям и средствам Биллом Арчером после того, как были внесены изменения в первоначальный законопроект Кассебаума-Кеннеди. [82] Вскоре после этого законопроект был подписан президентом Клинтоном и получил название Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA).

Ссылки

  1. ^ Atchinson, Brian K.; Fox, Daniel M. (май–июнь 1997 г.). «Политика Закона о переносимости и подотчетности медицинского страхования» (PDF) . Health Affairs . 16 (3): 146–150. doi :10.1377/hlthaff.16.3.146. PMID  9141331. Архивировано из оригинала (PDF) 2014-01-16 . Получено 2014-01-16 .
  2. ^ "104-й Конгресс, 1-я сессия, S.1028" (PDF) . Архивировано (PDF) из оригинала 2012-06-16.
  3. ^ «Закон о переносимости и подотчетности медицинского страхования 1996 года». Публичное право .
  4. ^ Эдемеконг, Питер Ф.; Аннамараджу, Паван; Хейдел, Мисель Дж. (2023), «Закон о переносимости и подотчетности медицинского страхования», StatPearls , Treasure Island (FL): StatPearls Publishing, PMID  29763195 , получено 15 июня 2023 г.
  5. ^ «Ваши медицинские записи». 19 ноября 2008 г.
  6. ^ "Планы и льготы по медицинскому страхованию: переносимость медицинского страхования". Министерство труда США . 2015-12-09. Архивировано из оригинала 2016-12-20 . Получено 2016-11-05 .
  7. ^ "Обзор". www.cms.gov . 2016-09-13. Архивировано из оригинала 2016-11-02 . Получено 2016-11-05 .
  8. ^ Бергер, Марк К.; Блэк, Дэн А.; Скотт, Фрэнк А. (2004). «Есть ли блокировка работы? Данные из эпохи до HIPAA». Southern Economic Journal . 70 (4): 953–976. doi :10.2307/4135282. ISSN  0038-4038. JSTOR  4135282.
  9. ^ "Информация о названии HIPAA". www.dhcs.ca.gov . Получено 2021-10-31 .
  10. ^ 29 Свод законов США  § 1181(а)(2)
  11. ^ 29 Свод законов США  § 1181(а)(3)
  12. ^ 29 Свод законов США  § 1181(c)(1)
  13. ^ 29 USC  § 1181(c)(2)(A)
  14. ^ (Подпункт B, раздел 111)
  15. ^ «HIPAA для работников здравоохранения: правило конфиденциальности». 2014. doi :10.4135/9781529727890. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  16. ^ 42 Кодекс США  § 1320a-7c
  17. ^ 42 USC  § 1395ddd
  18. ^ 42 Кодекс США  § 1395b-5
  19. ^ ab "42 US Code § 1395ddd - Medicare Integrity Program". LII / Legal Information Institute . Архивировано из оригинала 2018-03-21 . Получено 2018-03-21 .
  20. ^ ab 45 CFR 160.103
  21. ^ «Другие правила упрощения административных процедур». 4 декабря 2015 г.
  22. ^ Терри, Кен «Конфиденциальность пациентов — новые угрозы». Архивировано 20 ноября 2015 г. в журнале Wayback Machine Physicians Practice , том 19, номер 3, год 2009, дата доступа 2 июля 2009 г.
  23. ^ См. 45 CFR Разделы 160.102 и 160.103 Архивировано 12 января 2012 г. на Wayback Machine .
  24. ^ 45 CFR 164.524
  25. ^ 45 Свод федеральных правил 164.512
  26. ^ (OCR), Office for Civil Rights (7 мая 2008 г.). «Краткое изложение правила конфиденциальности HIPAA». Архивировано из оригинала 6 декабря 2015 г.
  27. ^ 45 CFR 164.524
  28. ^ 45 Свод федеральных правил 164.502
  29. ^ 45 Свод федеральных правил 164.502
  30. ^ 45 CFR 164.526
  31. ^ 45 CFR 164.522
  32. ^ Роу, Линда (2005). «Что судебным приставам нужно знать о правиле конфиденциальности HIPAA». Журнал NASPA . 42 (4): 498–512. doi :10.2202/0027-6014.1537. ProQuest  62084860.
  33. ^ 45 Свод федеральных правил 164.528
  34. ^ 45 CFR 164.530
  35. ^ 45 CFR 164.530
  36. ^ "Как подать жалобу о нарушении конфиденциальности медицинской информации в Управление по гражданским правам" (PDF) . Архивировано из оригинала (PDF) 21.12.2016 . Получено 07.10.2017 .
  37. ^ 45 CFR 160.306
  38. ^ «Распространение записей вызывает опасения по поводу нарушения конфиденциальности». Архивировано 10 июля 2017 г. на Wayback Machine , 23 декабря 2006 г., Тео Фрэнсис, The Wall Street Journal
  39. ^ "Университет Калифорнии урегулировал дело о конфиденциальности и безопасности HIPAA с участием учреждений системы здравоохранения Калифорнийского университета в Лос-Анджелесе". Департамент здравоохранения и социальных служб. Архивировано из оригинала 2017-10-12.
  40. ^ Кави, Айшварья (22.07.2021). «Как работает закон HIPAA и почему люди его неправильно понимают». The New York Times . ISSN  0362-4331 . Получено 23.07.2021 .
  41. ^ Чиу, Эллисон (22.05.2021). «Объяснение HIPAA: нет, он не запрещает вопросы о вашем статусе вакцинации». Washington Post . Получено 23.07.2021 .
  42. ^ «Законодатель Марджори Тейлор Грин в десяти словах или меньше полностью неправильно понимает HIPAA». Закон и преступность . 2021-07-21 . Получено 2021-07-23 .
  43. ^ (OCR), Управление по гражданским правам (30 октября 2015 г.). «Общее нормотворчество HIPAA».
  44. ^ Информация о состоянии здоровья умерших лиц, архив 2017-10-19 на Wayback Machine 2013
  45. ^ Коэн, Джессика Ким (30 августа 2017 г.). «HHS выпускает ограниченное освобождение от HIPAA во время урагана Харви: 5 вещей, которые нужно знать». www.beckershospitalreview.com . Получено 19 марта 2024 г.
  46. ^ «Право отдельных лиц в соответствии с HIPAA на доступ к информации о состоянии здоровья». HHS.gov . 2016-01-05. Архивировано из оригинала 2017-12-02 . Получено 2017-12-10 .
  47. ^ Права (OCR), Управление по гражданским делам (24.06.2016). «2042 — Какую личную информацию о здоровье имеют право получать лица в соответствии с HIPAA от своих поставщиков медицинских услуг и планов медицинского страхования?». HHS.gov . Получено 01.09.2021 .
  48. ^ «Право лиц в соответствии с HIPAA на доступ к информации о состоянии здоровья 45 CFR § 164.524». Министерство здравоохранения и социальных служб США. 5 января 2016 г. Получено 10 апреля 2021 г.
  49. ^ Права (OCR), Office for Civil (2009-11-20). "Краткое изложение правил безопасности HIPAA". HHS.gov . Получено 17.03.2021 .
  50. ^ Алерс, Майк М. (25 февраля 2014 г.). "Asiana оштрафована на 500 000 долларов за неспособность помочь семьям — CNN". CNN. Архивировано из оригинала 27.02.2014.
  51. ^ "First Amendment Center | Freedom Forum Institute". Архивировано из оригинала 2016-06-05 . Получено 2016-04-19 .
  52. ^ «New York Times исследует «непреднамеренные последствия» правила конфиденциальности HIPAA». 3 июня 2003 г. Архивировано из оригинала 6 мая 2016 г.
  53. ^ Администрация социального обеспечения США. «РАЗДЕЛ XI — Общие положения, экспертная оценка и административное упрощение». www.ssa.gov . Получено 18 июля 2020 г.
  54. ^ Трейнор, Кейт (2002). «Дата соответствия HIPAA для электронных транзакций продлена». American Journal of Health-System Pharmacy . 59 (5): 402. doi :10.1093/ajhp/59.5.402. PMID  11887402. Получено 16.12.2023 .
  55. ^ "Обзор". www.cms.gov . 26 июля 2017 г. Архивировано из оригинала 18 октября 2017 г.
  56. ^ "Обзор". www.cms.gov . 28 марта 2016 г. Архивировано из оригинала 12 февраля 2012 г.
  57. ^ CSM.gov "Услуги Medicare и Medicaid" "Стандарты электронных транзакций - новые версии, новый стандарт и новый набор кодов - окончательные правила"
  58. ^ «Надвигающаяся проблема в электронном обмене данными в здравоохранении: переход на МКБ-10 и HIPAA 5010» 10 октября 2009 г. – Шахид Н. Шах
  59. ^ «Правила безопасности HIPAA и анализ рисков». Американская медицинская ассоциация. 14 декабря 2023 г.
  60. ^ Вафа, Тим (лето 2010 г.). «Как отсутствие предписывающей технической детализации в HIPAA поставило под угрозу конфиденциальность пациентов». Northern Illinois University Law Review . 30 (3). SSRN  1547425.
  61. ^ Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA). Архивировано 08.01.2014 на Wayback Machine Стив Андерсон: HealthInsurance.org.
  62. ^ Закон о врачебной тайне не предусматривает штрафов. Архивировано 13 октября 2017 г. в Wayback Machine Роб Штейн: The Washington Post .
  63. ^ "Федералы усиливают соблюдение HIPAA с помощью урегулирования хосписа - SC Magazine". 7 января 2013 г. Архивировано из оригинала 2013-01-09 . Получено 2013-01-09 .Федералы усиливают контроль за соблюдением HIPAA с помощью урегулирования хосписа
  64. ^ Кирш, Майкл С. (2004). «Альтернативные санкции и федеральное налоговое законодательство: символы, позор и управление социальными нормами как замена эффективной налоговой политике». Iowa Law Review . 89 (863). SSRN  552730.
  65. ^ abcd Wilson J (2006). «Правило конфиденциальности Закона о переносимости и подотчетности медицинского страхования вызывает постоянную обеспокоенность среди врачей и исследователей». Ann Intern Med . 145 (4): 313–6. doi :10.7326/0003-4819-145-4-200608150-00019. PMID  16908928. S2CID  32140125.
  66. ^ Armstrong D, Kline-Rogers E, Jani S, Goldman E, Fang J, Mukherjee D, Nallamothu B, Eagle K (2005). «Потенциальное влияние правила конфиденциальности HIPAA на сбор данных в реестре пациентов с острым коронарным синдромом». Arch Intern Med . 165 (10): 1125–9. doi :10.1001/archinte.165.10.1125. PMID  15911725.
  67. ^ Вольф М., Беннетт С. (2006). «Местная точка зрения на влияние правила конфиденциальности HIPAA на исследования». Cancer . 106 (2): 474–9. doi : 10.1002/cncr.21599 . PMID  16342254.
  68. ^ Гросс, Джейн (3 июля 2007 г.). «Сохранение конфиденциальности данных пациентов даже от родственников». The New York Times . Архивировано из оригинала 12 августа 2017 г. Получено 11 августа 2019 г.
  69. ^ «Федеральный реестр :: Запросить доступ».
  70. ^ «Федеральный реестр :: Запросить доступ».
  71. ^ ab Morrison, Sara (20 апреля 2021 г.). «HIPAA, закон о конфиденциальности в области здравоохранения, который более ограничен, чем вы думаете, объяснен». Vox . Получено 31 октября 2023 г. .
  72. ^ "Окружной суд США" (PDF) . 16 сентября 2010 г. нарушение Закона о конфиденциальности и переносимости медицинской информации. ("HIPPA")
  73. ^ SE Ross (2003). «Эффекты содействия доступу пациентов к медицинским записям: обзор». Журнал Американской ассоциации медицинской информатики . 10 (2): 129–138. doi :10.1197/jamia.M1147. PMC 150366. PMID 12595402.  Закон о конфиденциальности и переносимости медицинского страхования (HIPPA) предусматривает, что ... 
  74. ^ «Нет, спрашивать, вакцинированы ли вы, не является нарушением HIPAA». wtsp.com . 13 сентября 2021 г. . Получено 31 октября 2023 г. .
  75. ^ Лафраньер, Шарон; Хэмби, Крис (5 апреля 2020 г.). «Еще одна вещь, которой стоит бояться: мошенники, занимающиеся коронавирусом» . The New York Times . Получено 31 октября 2023 г.
  76. ^ "Основные моменты правоприменения". Главная страница OCR, Конфиденциальность медицинской информации, Действия и результаты правоприменения, Основные моменты правоприменения . Министерство здравоохранения и социальных служб США. Архивировано из оригинала 5 марта 2014 г. Получено 3 марта 2014 г.
  77. ^ "Нарушения, затрагивающие 500 или более лиц". Главная страница OCR, Конфиденциальность медицинской информации, Устав и правила административного упрощения HIPAA, Правило уведомления о нарушениях . Министерство здравоохранения и социальных служб США. Архивировано из оригинала 15 марта 2015 г. Получено 3 марта 2014 г.
  78. ^ "Civil Money Penalty". Официальный сайт HHS . Министерство здравоохранения и социальных служб США. Октябрь 2010 г. Архивировано из оригинала 8 октября 2017 г. Получено 8 октября 2017 г.
  79. ^ Кочкодай, Вальдемар В.; Мазурек, Мирослав; Стшалка, Доминик; Волни-Доминяк, Алисия; Вудбери-Смит, Марк (01 января 2019 г.). «Нарушения электронных медицинских карт как социальные индикаторы». Исследование социальных показателей . 141 (2): 861–871. doi : 10.1007/s11205-018-1837-z. ISSN  1573-0921. S2CID  255006896.
  80. ^ ab "Закон о переносимости и подотчетности медицинского страхования - LIMSWiki". www.limswiki.org . Получено 10 октября 2021 г.
  81. ^ Кейд, Дозье К. (1951). «Обзор книги: Ежеквартальный альманах Конгресса: 81-й Конгресс, 2-я сессия. Том VI». Journalism Quarterly . 28 (3): 389–390. doi :10.1177/107769905102800313. ISSN  0022-5533. S2CID  164443756.
  82. ^ "Закон о переносимости и подотчетности медицинского страхования (HIPAA) | Colleaga". www.colleaga.org . Архивировано из оригинала 2021-10-10 . Получено 2021-10-10 .

Внешние ссылки