คำชี้แจงของ HIPAA

สารบัญ

1. HIPAA- กฎความเป็นส่วนตัว 

2. นิติบุคคลที่ครอบคลุม

3. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

4. การใช้งานและการเปิดเผยที่ได้รับอนุญาต

5. HIPAA – กฎความปลอดภัย

6. ข้อมูลใดบ้างที่ได้รับการคุ้มครอง?

7. ข้อมูลนี้ได้รับการคุ้มครองอย่างไร?

8. กฎความเป็นส่วนตัวให้สิทธิ์อะไรแก่ฉันเกี่ยวกับข้อมูลสุขภาพของฉัน

9 ติดต่อเรา

1. HIPAA – กฎความเป็นส่วนตัว

พระราชบัญญัติพกพาและความรับผิดชอบในการประกันสุขภาพ พ.ศ. 1996 (HIPAA) เป็นกฎหมายของรัฐบาลกลางที่กำหนดให้มีการสร้างมาตรฐานแห่งชาติเพื่อปกป้องข้อมูลด้านสุขภาพที่ละเอียดอ่อนของผู้ป่วยจากการถูกเปิดเผยโดยไม่ได้รับความยินยอมหรือความรู้จากผู้ป่วย กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา (HHS) ได้ออก HIPAA กฎความเป็นส่วนตัวเพื่อดำเนินการตามข้อกำหนดของ HIPAA. HIPAA กฎความปลอดภัยจะปกป้องส่วนย่อยของข้อมูลที่ครอบคลุมโดยกฎความเป็นส่วนตัว มาตรฐานกฎความเป็นส่วนตัวกล่าวถึงการใช้และการเปิดเผยข้อมูลสุขภาพของบุคคล (เรียกว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองหรือ PHI) โดยหน่วยงานที่อยู่ภายใต้กฎความเป็นส่วนตัว บุคคลและองค์กรเหล่านี้เรียกว่า

2. หน่วยงานที่ครอบคลุม

บุคคลและองค์กรประเภทต่อไปนี้อยู่ภายใต้กฎความเป็นส่วนตัวและถือว่าเป็นนิติบุคคลที่ครอบคลุม:

ผู้ให้บริการด้านการดูแลสุขภาพ: ผู้ให้บริการด้านการดูแลสุขภาพทุกราย ไม่ว่าจะมีธุรกิจขนาดใด ที่ส่งข้อมูลด้านสุขภาพทางอิเล็กทรอนิกส์โดยเชื่อมโยงกับแพลตฟอร์มของเราที่ Cruz Médika. 

บริการเหล่านี้รวมถึง:

o การให้คำปรึกษา

o สอบถาม

o คำขออนุญาตการอ้างอิง

o การทำธุรกรรมอื่น ๆ ที่เราได้กำหนดมาตรฐานไว้ภายใต้ HIPAA กฎการทำธุรกรรม

แผนสุขภาพ:

แผนสุขภาพประกอบด้วย:

o ผู้ประกันตนด้านสุขภาพและยาตามใบสั่งแพทย์

o องค์กรบำรุงรักษาสุขภาพ (HMOs)

o Medicare, Medicaid, Medicare + Choice และ Medicare ประกันเสริม

o ผู้เอาประกันการดูแลระยะยาว (ไม่รวมนโยบายการชดใช้ค่าสินไหมทดแทนแบบคงที่ของบ้านพักคนชรา)

o แผนสุขภาพกลุ่มที่นายจ้างสนับสนุน

o แผนสุขภาพที่รัฐบาลและโบสถ์สนับสนุน

o แผนสุขภาพสำหรับนายจ้างหลายคน

ยกเว้น: 

แผนสุขภาพแบบกลุ่มที่มีผู้เข้าร่วมน้อยกว่า 50 คนซึ่งบริหารงานโดยนายจ้างที่จัดตั้งและดูแลแผนแต่เพียงผู้เดียวนั้นไม่ใช่หน่วยงานที่ครอบคลุม

• สำนักหักบัญชีด้านการดูแลสุขภาพ: หน่วยงานที่ประมวลผลข้อมูลที่ไม่เป็นมาตรฐานที่ได้รับจากหน่วยงานอื่นให้เป็นมาตรฐาน (เช่น รูปแบบมาตรฐานหรือเนื้อหาข้อมูล) หรือในทางกลับกัน ในกรณีส่วนใหญ่ สำนักหักบัญชีด้านการดูแลสุขภาพจะได้รับข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ก็ต่อเมื่อพวกเขาให้บริการการประมวลผลเหล่านี้แก่แผนสุขภาพหรือผู้ให้บริการด้านสุขภาพในฐานะผู้ร่วมธุรกิจ

• ผู้ร่วมธุรกิจ: บุคคลหรือองค์กร (นอกเหนือจากสมาชิกของพนักงานของหน่วยงานที่ครอบคลุม) ใช้หรือเปิดเผยข้อมูลสุขภาพที่สามารถระบุตัวบุคคลได้เพื่อดำเนินการหรือจัดหาฟังก์ชัน กิจกรรม หรือบริการสำหรับหน่วยงานที่ครอบคลุม ฟังก์ชัน กิจกรรม หรือบริการเหล่านี้รวมถึง:

o การดำเนินการเรียกร้อง

o การวิเคราะห์ข้อมูล

o การตรวจสอบการใช้งาน

o การเรียกเก็บเงิน

3. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

กฎหมายใหม่กำหนดให้ผู้ควบคุมข้อมูลทั้งคู่ (เช่น Cruz Médika) และผู้ประมวลผลข้อมูล (พันธมิตรในเครือและบริษัทผู้ให้บริการด้านสุขภาพ) เพื่ออัปเดตกระบวนการและเทคโนโลยีของตนให้เป็นไปตามข้อกำหนดที่ระบุ เราเป็นผู้ควบคุมข้อมูลที่เกี่ยวข้องกับผู้ใช้ ผู้ควบคุมข้อมูลคือบุคคลหรือองค์กรที่กำหนดว่าจะดึงข้อมูลใด ใช้เพื่อวัตถุประสงค์ใด และใครได้รับอนุญาตให้ประมวลผลข้อมูล GDPR เพิ่มความรับผิดชอบที่เราต้องแจ้งผู้ใช้และสมาชิกเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาและโดยใคร

4. การใช้งานและการเปิดเผยที่ได้รับอนุญาต

กฎหมายอนุญาตแต่ไม่ได้กำหนดให้หน่วยงานที่เกี่ยวข้องใช้และเปิดเผย PHI โดยไม่ได้รับอนุญาตจากบุคคล เพื่อวัตถุประสงค์หรือสถานการณ์ต่อไปนี้:

• การเปิดเผยต่อบุคคล (หากข้อมูลจำเป็นสำหรับการเข้าถึงหรือการเปิดเผยข้อมูล กิจการต้องเปิดเผยต่อบุคคล)

• การรักษา การจ่ายเงิน และการดำเนินงานด้านสุขภาพ

• โอกาสในการตกลงหรือคัดค้านการเปิดเผยข้อมูล PHI

o กิจการสามารถได้รับอนุญาตอย่างไม่เป็นทางการโดยการถามบุคคลนั้นทันที หรือโดยสถานการณ์ที่เปิดโอกาสให้บุคคลนั้นตกลง ยินยอม หรือคัดค้านอย่างชัดเจน

• เหตุการณ์การใช้และการเปิดเผยที่ได้รับอนุญาตเป็นอย่างอื่น

• ชุดข้อมูลที่จำกัดสำหรับการวิจัย การสาธารณสุข หรือการดำเนินงานด้านการดูแลสุขภาพ

• กิจกรรมเพื่อสาธารณประโยชน์และผลประโยชน์—กฎความเป็นส่วนตัวอนุญาตให้ใช้และเปิดเผย PHI โดยไม่ต้องมีการอนุญาตหรืออนุญาตจากบุคคล เพื่อวัตถุประสงค์สำคัญระดับชาติ 12 ประการ ได้แก่:

ก. เมื่อกฎหมายกำหนด

ข. กิจกรรมสาธารณสุข

ค. เหยื่อของการล่วงละเมิดหรือละเลยหรือความรุนแรงในครอบครัว

ง. กิจกรรมดูแลสุขภาพ

อี การพิจารณาคดีและการบริหาร

ฉ. การบังคับใช้กฎหมาย

กรัม หน้าที่ (เช่น การระบุตัวตน) เกี่ยวกับผู้เสียชีวิต

ชม. การบริจาคอวัยวะ ดวงตา หรือเนื้อเยื่อจากศพ

i. การวิจัยภายใต้เงื่อนไขบางประการ

เจ เพื่อป้องกันหรือลดภัยคุกคามร้ายแรงต่อสุขภาพหรือความปลอดภัย

เค หน้าที่ราชการที่สำคัญ

ล. ค่าชดเชยแรงงาน

5. HIPAA – กฎความปลอดภัย

ในขณะที่ HIPAA กฎความเป็นส่วนตัวปกป้อง PHI กฎความปลอดภัยปกป้องส่วนย่อยของข้อมูลที่ครอบคลุมโดยกฎความเป็นส่วนตัว ชุดย่อยนี้เป็นข้อมูลสุขภาพที่ระบุตัวบุคคลได้ทั้งหมดซึ่งหน่วยงานที่ครอบคลุมสร้าง รับ รักษา หรือส่งในรูปแบบอิเล็กทรอนิกส์ ข้อมูลนี้เรียกว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์หรือ e-PHI. กฎความปลอดภัยใช้ไม่ได้กับ PHI ที่ส่งทางวาจาหรือลายลักษณ์อักษร

เพื่อให้สอดคล้องกับ HIPAA – กฎการรักษาความปลอดภัย หน่วยงานที่อยู่ภายใต้ความคุ้มครองทั้งหมดต้อง:

• ตรวจสอบความลับ ความสมบูรณ์ และความพร้อมใช้งานของ e-PHI ทั้งหมด

• ตรวจจับและป้องกันภัยคุกคามที่คาดว่าจะเกิดขึ้นกับความปลอดภัยของข้อมูล

• ป้องกันการใช้งานที่คาดไม่ถึงหรือการเปิดเผยที่ไม่ได้รับอนุญาตตามกฎ

• รับรองการปฏิบัติตามโดยพนักงานของพวกเขา

หน่วยงานที่ครอบคลุมควรยึดหลักจริยธรรมทางวิชาชีพและวิจารณญาณที่ดีที่สุดเมื่อพิจารณาคำขอสำหรับการใช้และการเปิดเผยที่อนุญาตเหล่านี้ สำนักงาน HHS เพื่อสิทธิพลเมืองบังคับใช้ HIPAA กฎและข้อร้องเรียนทั้งหมดควรรายงานไปยังสำนักงานนั้น HIPAA การละเมิดอาจส่งผลให้ได้รับโทษทางแพ่งหรือทางอาญา

6. ข้อมูลใดบ้างที่ได้รับการคุ้มครอง?.

เราปกป้องข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของเรา เช่น:

• ข้อมูลที่แพทย์ พยาบาล และผู้ให้บริการด้านสุขภาพอื่นๆ ใส่ไว้ในเวชระเบียนของคุณ

• การสนทนากับแพทย์ของคุณเกี่ยวกับการดูแลหรือการรักษาของคุณกับพยาบาลและคนอื่นๆ

• ข้อมูลเกี่ยวกับตัวคุณในระบบคอมพิวเตอร์ของบริษัทประกันสุขภาพของคุณ

• ข้อมูลการเรียกเก็บเงินเกี่ยวกับคุณที่คลินิกของคุณ

• ข้อมูลด้านสุขภาพอื่น ๆ ส่วนใหญ่เกี่ยวกับตัวคุณซึ่งถือโดยผู้ที่ต้องปฏิบัติตามกฎหมายเหล่านี้

7. ข้อมูลนี้ได้รับการคุ้มครองอย่างไร?

ด้านล่างนี้คือมาตรการที่ใช้เพื่อปกป้องข้อมูลผู้ใช้ทุกคน

• หน่วยงานที่ได้รับความคุ้มครองจะต้องวางมาตรการป้องกันเพื่อปกป้องข้อมูลด้านสุขภาพของคุณ และตรวจสอบให้แน่ใจว่าพวกเขาจะไม่ใช้หรือเปิดเผยข้อมูลด้านสุขภาพของคุณอย่างไม่เหมาะสม

• หน่วยงานที่ครอบคลุมต้องจำกัดการใช้และการเปิดเผยอย่างสมเหตุสมผลให้เหลือน้อยที่สุดที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งใจไว้

• หน่วยงานที่ได้รับความคุ้มครองต้องมีขั้นตอนในการจำกัดผู้ที่สามารถดูและเข้าถึงข้อมูลสุขภาพของคุณ รวมทั้งใช้โปรแกรมการฝึกอบรมสำหรับพนักงานเกี่ยวกับวิธีการปกป้องข้อมูลด้านสุขภาพของคุณ

• ผู้ร่วมธุรกิจต้องวางมาตรการป้องกันเพื่อปกป้องข้อมูลด้านสุขภาพของคุณ และตรวจสอบให้แน่ใจว่าพวกเขาจะไม่ใช้หรือเปิดเผยข้อมูลด้านสุขภาพของคุณอย่างไม่เหมาะสม

8. กฎความเป็นส่วนตัวให้สิทธิ์อะไรแก่ฉันเกี่ยวกับข้อมูลสุขภาพของฉัน

ผู้ประกันสุขภาพและผู้ให้บริการที่เป็นนิติบุคคลตกลงที่จะปฏิบัติตามสิทธิของคุณในการ: 

• ขอดูและรับสำเนาบันทึกสุขภาพของคุณ

• สิทธิในการขอแก้ไขข้อมูลด้านสุขภาพของคุณ

• สิทธิในการได้รับแจ้งเกี่ยวกับวิธีการใช้และแบ่งปันข้อมูลด้านสุขภาพของคุณ

• สิทธิ์ในการตัดสินใจว่าคุณต้องการให้การอนุญาตก่อนที่จะสามารถใช้หรือแบ่งปันข้อมูลสุขภาพของคุณเพื่อวัตถุประสงค์บางอย่าง เช่น เพื่อการตลาด

• สิทธิ์ในการร้องขอให้นิติบุคคลที่ครอบคลุมจำกัดวิธีการใช้หรือเปิดเผยข้อมูลสุขภาพของคุณ

• รับรายงานเกี่ยวกับเวลาและสาเหตุที่ข้อมูลสุขภาพของคุณถูกแบ่งปันเพื่อวัตถุประสงค์บางประการ

• หากคุณเชื่อว่าสิทธิ์ของคุณถูกปฏิเสธหรือข้อมูลด้านสุขภาพของคุณไม่ได้รับการคุ้มครอง คุณสามารถทำได้

o ยื่นเรื่องร้องเรียนกับผู้ให้บริการหรือบริษัทประกันสุขภาพของคุณ

o ยื่นเรื่องร้องเรียนกับ HHS

คุณควรทำความรู้จักกับสิทธิที่สำคัญเหล่านี้ ซึ่งจะช่วยคุณปกป้องข้อมูลด้านสุขภาพของคุณ

คุณสามารถถามผู้ให้บริการหรือผู้ประกันสุขภาพของคุณเกี่ยวกับสิทธิของคุณ

9. ติดต่อเรา

หากต้องการส่งคำถาม ข้อคิดเห็น หรือข้อร้องเรียนหรือรับการสื่อสารจากเรา โปรดส่งอีเมลถึงเราโดยใช้ info@Cruzmedika.comcom. 

(มีผลวันที่ 1 มกราคม 2023)