คำชี้แจงของ HIPAA
สารบัญ
1. HIPAA- กฎความเป็นส่วนตัว
2. นิติบุคคลที่ครอบคลุม
3. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
4. การใช้งานและการเปิดเผยที่ได้รับอนุญาต
5. HIPAA – กฎความปลอดภัย
6. ข้อมูลใดบ้างที่ได้รับการคุ้มครอง?
7. ข้อมูลนี้ได้รับการคุ้มครองอย่างไร?
8. กฎความเป็นส่วนตัวให้สิทธิ์อะไรแก่ฉันเกี่ยวกับข้อมูลสุขภาพของฉัน
9 ติดต่อเรา
1. HIPAA – กฎความเป็นส่วนตัว
พระราชบัญญัติพกพาและความรับผิดชอบในการประกันสุขภาพ พ.ศ. 1996 (HIPAA) เป็นกฎหมายของรัฐบาลกลางที่กำหนดให้มีการสร้างมาตรฐานแห่งชาติเพื่อปกป้องข้อมูลด้านสุขภาพที่ละเอียดอ่อนของผู้ป่วยจากการถูกเปิดเผยโดยไม่ได้รับความยินยอมหรือความรู้จากผู้ป่วย กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา (HHS) ได้ออก HIPAA กฎความเป็นส่วนตัวเพื่อดำเนินการตามข้อกำหนดของ HIPAA. HIPAA กฎความปลอดภัยจะปกป้องส่วนย่อยของข้อมูลที่ครอบคลุมโดยกฎความเป็นส่วนตัว มาตรฐานกฎความเป็นส่วนตัวกล่าวถึงการใช้และการเปิดเผยข้อมูลสุขภาพของบุคคล (เรียกว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองหรือ PHI) โดยหน่วยงานที่อยู่ภายใต้กฎความเป็นส่วนตัว บุคคลและองค์กรเหล่านี้เรียกว่า
2. หน่วยงานที่ครอบคลุม
บุคคลและองค์กรประเภทต่อไปนี้อยู่ภายใต้กฎความเป็นส่วนตัวและถือว่าเป็นนิติบุคคลที่ครอบคลุม:
ผู้ให้บริการด้านการดูแลสุขภาพ: ผู้ให้บริการด้านการดูแลสุขภาพทุกราย ไม่ว่าจะมีธุรกิจขนาดใด ที่ส่งข้อมูลด้านสุขภาพทางอิเล็กทรอนิกส์โดยเชื่อมโยงกับแพลตฟอร์มของเราที่ Cruz Médika.
บริการเหล่านี้รวมถึง:
o การให้คำปรึกษา
o สอบถาม
o คำขออนุญาตการอ้างอิง
o การทำธุรกรรมอื่น ๆ ที่เราได้กำหนดมาตรฐานไว้ภายใต้ HIPAA กฎการทำธุรกรรม
แผนสุขภาพ:
แผนสุขภาพประกอบด้วย:
o ผู้ประกันตนด้านสุขภาพและยาตามใบสั่งแพทย์
o องค์กรบำรุงรักษาสุขภาพ (HMOs)
o Medicare, Medicaid, Medicare + Choice และ Medicare ประกันเสริม
o ผู้เอาประกันการดูแลระยะยาว (ไม่รวมนโยบายการชดใช้ค่าสินไหมทดแทนแบบคงที่ของบ้านพักคนชรา)
o แผนสุขภาพกลุ่มที่นายจ้างสนับสนุน
o แผนสุขภาพที่รัฐบาลและโบสถ์สนับสนุน
o แผนสุขภาพสำหรับนายจ้างหลายคน
ยกเว้น:
แผนสุขภาพแบบกลุ่มที่มีผู้เข้าร่วมน้อยกว่า 50 คนซึ่งบริหารงานโดยนายจ้างที่จัดตั้งและดูแลแผนแต่เพียงผู้เดียวนั้นไม่ใช่หน่วยงานที่ครอบคลุม
• สำนักหักบัญชีด้านการดูแลสุขภาพ: หน่วยงานที่ประมวลผลข้อมูลที่ไม่เป็นมาตรฐานที่ได้รับจากหน่วยงานอื่นให้เป็นมาตรฐาน (เช่น รูปแบบมาตรฐานหรือเนื้อหาข้อมูล) หรือในทางกลับกัน ในกรณีส่วนใหญ่ สำนักหักบัญชีด้านการดูแลสุขภาพจะได้รับข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ก็ต่อเมื่อพวกเขาให้บริการการประมวลผลเหล่านี้แก่แผนสุขภาพหรือผู้ให้บริการด้านสุขภาพในฐานะผู้ร่วมธุรกิจ
• ผู้ร่วมธุรกิจ: บุคคลหรือองค์กร (นอกเหนือจากสมาชิกของพนักงานของหน่วยงานที่ครอบคลุม) ใช้หรือเปิดเผยข้อมูลสุขภาพที่สามารถระบุตัวบุคคลได้เพื่อดำเนินการหรือจัดหาฟังก์ชัน กิจกรรม หรือบริการสำหรับหน่วยงานที่ครอบคลุม ฟังก์ชัน กิจกรรม หรือบริการเหล่านี้รวมถึง:
o การดำเนินการเรียกร้อง
o การวิเคราะห์ข้อมูล
o การตรวจสอบการใช้งาน
o การเรียกเก็บเงิน
3. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
กฎหมายใหม่กำหนดให้ผู้ควบคุมข้อมูลทั้งคู่ (เช่น Cruz Médika) และผู้ประมวลผลข้อมูล (พันธมิตรในเครือและบริษัทผู้ให้บริการด้านสุขภาพ) เพื่ออัปเดตกระบวนการและเทคโนโลยีของตนให้เป็นไปตามข้อกำหนดที่ระบุ เราเป็นผู้ควบคุมข้อมูลที่เกี่ยวข้องกับผู้ใช้ ผู้ควบคุมข้อมูลคือบุคคลหรือองค์กรที่กำหนดว่าจะดึงข้อมูลใด ใช้เพื่อวัตถุประสงค์ใด และใครได้รับอนุญาตให้ประมวลผลข้อมูล GDPR เพิ่มความรับผิดชอบที่เราต้องแจ้งผู้ใช้และสมาชิกเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาและโดยใคร
4. การใช้งานและการเปิดเผยที่ได้รับอนุญาต
กฎหมายอนุญาตแต่ไม่ได้กำหนดให้หน่วยงานที่เกี่ยวข้องใช้และเปิดเผย PHI โดยไม่ได้รับอนุญาตจากบุคคล เพื่อวัตถุประสงค์หรือสถานการณ์ต่อไปนี้:
• การเปิดเผยต่อบุคคล (หากข้อมูลจำเป็นสำหรับการเข้าถึงหรือการเปิดเผยข้อมูล กิจการต้องเปิดเผยต่อบุคคล)
• การรักษา การจ่ายเงิน และการดำเนินงานด้านสุขภาพ
• โอกาสในการตกลงหรือคัดค้านการเปิดเผยข้อมูล PHI
o กิจการสามารถได้รับอนุญาตอย่างไม่เป็นทางการโดยการถามบุคคลนั้นทันที หรือโดยสถานการณ์ที่เปิดโอกาสให้บุคคลนั้นตกลง ยินยอม หรือคัดค้านอย่างชัดเจน
• เหตุการณ์การใช้และการเปิดเผยที่ได้รับอนุญาตเป็นอย่างอื่น
• ชุดข้อมูลที่จำกัดสำหรับการวิจัย การสาธารณสุข หรือการดำเนินงานด้านการดูแลสุขภาพ
• กิจกรรมเพื่อสาธารณประโยชน์และผลประโยชน์—กฎความเป็นส่วนตัวอนุญาตให้ใช้และเปิดเผย PHI โดยไม่ต้องมีการอนุญาตหรืออนุญาตจากบุคคล เพื่อวัตถุประสงค์สำคัญระดับชาติ 12 ประการ ได้แก่:
ก. เมื่อกฎหมายกำหนด
ข. กิจกรรมสาธารณสุข
ค. เหยื่อของการล่วงละเมิดหรือละเลยหรือความรุนแรงในครอบครัว
ง. กิจกรรมดูแลสุขภาพ
อี การพิจารณาคดีและการบริหาร
ฉ. การบังคับใช้กฎหมาย
กรัม หน้าที่ (เช่น การระบุตัวตน) เกี่ยวกับผู้เสียชีวิต
ชม. การบริจาคอวัยวะ ดวงตา หรือเนื้อเยื่อจากศพ
i. การวิจัยภายใต้เงื่อนไขบางประการ
เจ เพื่อป้องกันหรือลดภัยคุกคามร้ายแรงต่อสุขภาพหรือความปลอดภัย
เค หน้าที่ราชการที่สำคัญ
ล. ค่าชดเชยแรงงาน
5. HIPAA – กฎความปลอดภัย
ในขณะที่ HIPAA กฎความเป็นส่วนตัวปกป้อง PHI กฎความปลอดภัยปกป้องส่วนย่อยของข้อมูลที่ครอบคลุมโดยกฎความเป็นส่วนตัว ชุดย่อยนี้เป็นข้อมูลสุขภาพที่ระบุตัวบุคคลได้ทั้งหมดซึ่งหน่วยงานที่ครอบคลุมสร้าง รับ รักษา หรือส่งในรูปแบบอิเล็กทรอนิกส์ ข้อมูลนี้เรียกว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์หรือ e-PHI. กฎความปลอดภัยใช้ไม่ได้กับ PHI ที่ส่งทางวาจาหรือลายลักษณ์อักษร
เพื่อให้สอดคล้องกับ HIPAA – กฎการรักษาความปลอดภัย หน่วยงานที่อยู่ภายใต้ความคุ้มครองทั้งหมดต้อง:
• ตรวจสอบความลับ ความสมบูรณ์ และความพร้อมใช้งานของ e-PHI ทั้งหมด
• ตรวจจับและป้องกันภัยคุกคามที่คาดว่าจะเกิดขึ้นกับความปลอดภัยของข้อมูล
• ป้องกันการใช้งานที่คาดไม่ถึงหรือการเปิดเผยที่ไม่ได้รับอนุญาตตามกฎ
• รับรองการปฏิบัติตามโดยพนักงานของพวกเขา
หน่วยงานที่ครอบคลุมควรยึดหลักจริยธรรมทางวิชาชีพและวิจารณญาณที่ดีที่สุดเมื่อพิจารณาคำขอสำหรับการใช้และการเปิดเผยที่อนุญาตเหล่านี้ สำนักงาน HHS เพื่อสิทธิพลเมืองบังคับใช้ HIPAA กฎและข้อร้องเรียนทั้งหมดควรรายงานไปยังสำนักงานนั้น HIPAA การละเมิดอาจส่งผลให้ได้รับโทษทางแพ่งหรือทางอาญา
6. ข้อมูลใดบ้างที่ได้รับการคุ้มครอง?.
เราปกป้องข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของเรา เช่น:
• ข้อมูลที่แพทย์ พยาบาล และผู้ให้บริการด้านสุขภาพอื่นๆ ใส่ไว้ในเวชระเบียนของคุณ
• การสนทนากับแพทย์ของคุณเกี่ยวกับการดูแลหรือการรักษาของคุณกับพยาบาลและคนอื่นๆ
• ข้อมูลเกี่ยวกับตัวคุณในระบบคอมพิวเตอร์ของบริษัทประกันสุขภาพของคุณ
• ข้อมูลการเรียกเก็บเงินเกี่ยวกับคุณที่คลินิกของคุณ
• ข้อมูลด้านสุขภาพอื่น ๆ ส่วนใหญ่เกี่ยวกับตัวคุณซึ่งถือโดยผู้ที่ต้องปฏิบัติตามกฎหมายเหล่านี้
7. ข้อมูลนี้ได้รับการคุ้มครองอย่างไร?
ด้านล่างนี้คือมาตรการที่ใช้เพื่อปกป้องข้อมูลผู้ใช้ทุกคน
• หน่วยงานที่ได้รับความคุ้มครองจะต้องวางมาตรการป้องกันเพื่อปกป้องข้อมูลด้านสุขภาพของคุณ และตรวจสอบให้แน่ใจว่าพวกเขาจะไม่ใช้หรือเปิดเผยข้อมูลด้านสุขภาพของคุณอย่างไม่เหมาะสม
• หน่วยงานที่ครอบคลุมต้องจำกัดการใช้และการเปิดเผยอย่างสมเหตุสมผลให้เหลือน้อยที่สุดที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งใจไว้
• หน่วยงานที่ได้รับความคุ้มครองต้องมีขั้นตอนในการจำกัดผู้ที่สามารถดูและเข้าถึงข้อมูลสุขภาพของคุณ รวมทั้งใช้โปรแกรมการฝึกอบรมสำหรับพนักงานเกี่ยวกับวิธีการปกป้องข้อมูลด้านสุขภาพของคุณ
• ผู้ร่วมธุรกิจต้องวางมาตรการป้องกันเพื่อปกป้องข้อมูลด้านสุขภาพของคุณ และตรวจสอบให้แน่ใจว่าพวกเขาจะไม่ใช้หรือเปิดเผยข้อมูลด้านสุขภาพของคุณอย่างไม่เหมาะสม
8. กฎความเป็นส่วนตัวให้สิทธิ์อะไรแก่ฉันเกี่ยวกับข้อมูลสุขภาพของฉัน
ผู้ประกันสุขภาพและผู้ให้บริการที่เป็นนิติบุคคลตกลงที่จะปฏิบัติตามสิทธิของคุณในการ:
• ขอดูและรับสำเนาบันทึกสุขภาพของคุณ
• สิทธิในการขอแก้ไขข้อมูลด้านสุขภาพของคุณ
• สิทธิในการได้รับแจ้งเกี่ยวกับวิธีการใช้และแบ่งปันข้อมูลด้านสุขภาพของคุณ
• สิทธิ์ในการตัดสินใจว่าคุณต้องการให้การอนุญาตก่อนที่จะสามารถใช้หรือแบ่งปันข้อมูลสุขภาพของคุณเพื่อวัตถุประสงค์บางอย่าง เช่น เพื่อการตลาด
• สิทธิ์ในการร้องขอให้นิติบุคคลที่ครอบคลุมจำกัดวิธีการใช้หรือเปิดเผยข้อมูลสุขภาพของคุณ
• รับรายงานเกี่ยวกับเวลาและสาเหตุที่ข้อมูลสุขภาพของคุณถูกแบ่งปันเพื่อวัตถุประสงค์บางประการ
• หากคุณเชื่อว่าสิทธิ์ของคุณถูกปฏิเสธหรือข้อมูลด้านสุขภาพของคุณไม่ได้รับการคุ้มครอง คุณสามารถทำได้
o ยื่นเรื่องร้องเรียนกับผู้ให้บริการหรือบริษัทประกันสุขภาพของคุณ
o ยื่นเรื่องร้องเรียนกับ HHS
คุณควรทำความรู้จักกับสิทธิที่สำคัญเหล่านี้ ซึ่งจะช่วยคุณปกป้องข้อมูลด้านสุขภาพของคุณ
คุณสามารถถามผู้ให้บริการหรือผู้ประกันสุขภาพของคุณเกี่ยวกับสิทธิของคุณ
9. ติดต่อเรา
หากต้องการส่งคำถาม ข้อคิดเห็น หรือข้อร้องเรียนหรือรับการสื่อสารจากเรา โปรดส่งอีเมลถึงเราโดยใช้ info@Cruzmedika.comcom.
(มีผลวันที่ 1 มกราคม 2023)