国外的HIPAA隐私讲解

国外的HIPAA隐私讲解新团队成员入职培训HIPAA背景《健康保险流通与责任法案》（HIPAA）是一项联邦立法，旨在解决从健康保险覆盖范围到医疗保健提供者标准标识符等一系列问题——我们都听说过它，但它究竟意味着什么？就本文而言，我们主要关注法律中有关保护健康数据隐私和安全的部分，HIPAA将这些数据称为受保护的健康信息(PHI)。2什么是受保护的健康信息（PHI）？3PHI（受保护的健康信息）是指以任何媒介（书面、电子、口头）传输或保存的任何信息，包括人口统计数据。由受监管实体或业务伙伴创建/接收过去、现在或未来的身体或精神健康状况有关；或与过去、现在或未来的医疗保健费用有关；以及可用于识别患者示例书面文件/纸质记录口头和语言信息，包括语音邮件留言电子数据库和任何电子信息，包括研究信息存储在电脑、智能手机、存储卡、U盘等设备上的PHI（个人健康信息）。摄影图像音频和视频录制受保护健康信息的要素4姓名比州更小的细分人口单位（街道地址、城市、县、邮政编码）出生日期、死亡日期、入院日期、治疗日期、出院日期电话号码和传真号码电子邮件地址、IP地址、网址社会安全号码医疗记录号、账号、医疗保险受益人号码正面照片及任何类似照片证书/许可证号码车辆识别码(VIN)和序列号，包括车牌号设备标识符和序列号生物识别信息，包括指纹和声纹任何其他唯一识别号码、特征或代码根据《健康保险流通与责任法案》(HIPAA)患者的权利患者会收到一份《隐私惯例通知》。患者可能要求：对PHI披露情况的统计对其医疗记录的修改PHI的保密和/或替代通信对PHI的进一步限制修改PHI就潜在的隐私问题提出投诉5如何使用PHI？当使用PHI（受保护的健康信息）时，无需获得患者的授权。治疗（T）付款(P)医疗运营（O），例如质量改进、资质认证、合规性、患者安全6你可能会听到它被称为TPO。HIPAA授权除TPO（治疗、支付、医疗保健运营）用途外，任何其他用途或披露均需获得签署的HIPAA授权。授权必须采用书面形式，并包含具体要素。患者必须收到一份副本，并且在某些情况下可以书面撤销授权。研究不属于医疗保健运营范畴。需要授权的情况示例患者要求向外部实体或个人披露PHI（受保护的健康信息）发布与就业相关的考试信息心理治疗记录和其他敏感信息某些筹款或营销活动7什么是违规行为？未经授权获取、访问、使用或披露PHI（受保护的健康信息），从而危及信息的安全或隐私。我们必须尽快通知受影响的个人（或其近亲），但最迟不得超过发现违规行为后60天。我们还需向北卡罗来纳州卫生与公共服务部(NCDHHS)报告违规行为。如果违规行为涉及500人或以上通知个人通知卫生与公众服务部媒体报道必须立即报告任何泄露个人健康信息的事件！8什么会让我们面临违规风险？9敌人一号——纸出院文件、就诊总结或处方给错病人。不安全的记录受保护的健康信息被丢在走廊、餐厅、停车场等地。处置不当将受保护的健康信息丢进垃圾桶而不是碎纸箱。什么会让我们面临违规风险？10搜索使用Epic查找某人（例如同事、家人、邻居、朋友等）的电话号码、地址、出生日期或房间号等信息，用于个人用途。此外，如未锁定计算机工作站，您将对访问权限承担责任。使用您的账号！记住，Epic不是谷歌！！！访问EPIC应该做的：仅在有工作需要时才访问医疗记录。禁忌：电子健康记录（EPIC）访问您自己的医疗记录或家庭成员的医疗记录要访问您自己的医疗记录，您必须使用MyChart。要访问家庭成员的病历，该家庭成员必须授权您访问，并提供登录凭证才能访问其“我的病历”（MyChart）。不当访问医疗记录违反了《健康保险流通与责任法案》(HIPAA)，可能导致受到纠正措施。11只访问你工作所需的内容！

就这么简单。

如果不用它也能完成工作，就不要使用它。12普罗滕斯ECUHealth使用名为Protenus的工具来识别可能不当的电子健康记录访问。Protenus会审查对电子健康记录的每一次访问。识别潜在的不当访问同事们家庭成员新闻媒体人士13什么会让我们面临违规风险？14闲聊告知患者的诊断结果、治疗方案等。避免在公共场所或公共区域（如走廊、电梯、餐厅等）谈论涉及个人健康信息的话题。信息发布未经患者同意，向访客透露受保护的健康信息。什么会让我们面临违规风险？15丢失和被盗设备将装有PHI（受保护的健康信息）的便携式设备留在不安全的地方，例如餐厅、洗手间或未上锁的汽车内。IT部门已实施安全措施以减少个人手机上PHI（受保护的健康信息）的丢失。如果您的设备丢失，请联系IT部门以获取删除PHI的帮助。误发的传真请核实收件人的传真号码，并确认您拨打的号码正确。选择正确的订购提供商以接收结果什么会让我们面临违规风险？16未加密数据包含PHI（受保护的健康信息）的电子邮件应使用[secure]进行加密，并在邮件主题行中注明。什么会让我们面临违规风险？联系患者尽一切努力直接与患者沟通。切勿留下包含有关病情、检查结果、治疗细节等信息的语音留言。如果您必须留言，请仅留下您的姓名、ECUHealth和电话号码——无需留下具体部门或办公地点。通话原因17什么会让我们面临违规风险？发布/评论/留言/图片，内容涉及特定患者任何可能识别出患者身份的共享图像。回复评论并包含任何PHI标识符未经患者同意，在任何社交论坛（包括私人群组）分享PHI（受保护的健康信息）都是不被允许的。承认对方是病人（“很高兴那天见到您”，或者“很高兴您就诊愉快。”）社交媒体社交媒体……底线19，任何形式的PHI（受保护的健康信息）均不得在社交媒体上分享。如果您不确定发布某些内容是否可能违反HIPAA法规，别发！HIPAA和照片哪些图片属于PHI（受保护的健康信息）？任何包含患者个人身份信息的照片均被视为PHI（受保护的健康信息）。患者的面部特征、姓名或首字母缩写、出生日期、治疗日期或胎记、痣或纹身以及其他识别特征的照片备受瞩目的特定伤情患者（鲨鱼咬伤）HIPAA和照片贮存包含PHI（受保护健康信息）的照片不应无限期地存储在任何设备上，所有设备在离开办公室之前都应清除所有PHI照片。通讯对于包含PHI（受保护的健康信息）的照片，团队成员和医护人员必须谨慎，切勿在未使用适当的加密软件的情况下通过电子邮件、短信或其他方式发送。皮尔特恩和俳句违规行为、制裁、处罚受ECUHealth管辖的个人如不遵守HIPAA规则，将受到纠正措施。纠正措施的程度取决于违规行为的严重程度、意图、不当行为的模式或做法等因素，其范围从书面辅导/绩效谈话到离职不等。此外，还可能适用民事和/或刑事处罚。22HIPAA违规示例未注销计算机导致不当访问将PHI（受保护的健康信息）留在不安全的地方走廊里不恰当的谈话未经授权访问