s
NY.gov Portal State Agency Listing Search all of NY.gov
Michael F. Hogan, Ph.D., уполномоченный
Andrew M. Cuomo, губернатор

Тревожные расстройства

Вариант Акробата Самана Взгляда  |  Читатель Акробата Самана Download оставляя OMH сайта

HIPAA Правила конфиденциальности в целях защиты информации о физическом и психическом здоровье пациентов

(Разъяснение: нижеследующая информация является обзорной и предназначена только для общего ознакомления. Лицам, работающим в сфере охраны психического здоровья и другим заинтересованным лицам не следует рассматривать данный обзор в качестве юридического пособия. По всем юридическим вопросам необходима консультация адвоката или работника HIPAA.)

Введение:

Данный документ является руководством по применению требований Закона об охране и ответственности за информацию, полученную в результате медицинского страхования (HIPAA). Это федеральное законодательство, принятое в 1996 году, требует обеспечения конфиденциальности историй болезни и данных о пациентах (включая психиатрических больных). Согласно закону, HIPAA Министерство здравоохранения и социального обеспечения обязано разработать правила внедрения данных требований, называемых Правила конфиденциальности, которые вступили в силу 14 апреля 2003 года. Более жесткие законодательные акты отдельных штатов, обеспечивающие защиту конфиденциальности в области здравоохранения, остаются в силе даже после принятия правил HIPAA. Именно поэтому данный документ включает несколько соответствующих ссылок на требования Закона о конфиденциальности психиатрической информации штата Нью-Йорк (параграф 33.13 Закона о психогигиене.)

Общие положения:

Правила конфиденциальности HIPAA (45 CFR, часть 160 и 164) впервые обеспечивают всеобъемлющую защиту конфиденциальности информации о физическом и психическом состоянии больных на федеральном уровне. Данные правила предназначены обеспечить серьезную юридическую защиту информации о здоровье пациента, не влияя на план лечения, работу здравоохранительных учреждений или качество лечения.

Правила конфиденциальности распространяются на организации, которые в основном состоят из здравоохранительных учреждений и медицинских работников, передающих информацию о состоянии пациента в электронном формате. Организации включают в себя почти всех работников области здравоохранения и психиатрии, которые обслуживают больницы или поликлиники, или же предоставляют амбулаторное лечение, а также другие лица или организации, которые выставляют счета и получают оплату за обеспечение здравоохранения.

Основные принципы Правил конфиденциальности:

  1. Правила конфиденциальности защищают интересы так называемой "закрытой информации о состоянии здоровья" (PHI), особенно те данные, которые находятся в распоряжении или пересылаются организациями в любом виде: будь-то электронный формат, письменное или устное сообщение, и по которым можно опознать конкретную личность.
  2. Основной задачей Правил конфиденциальности является выявление и пресечение таких обстоятельств, при которых индивидуальные данные PHI могут быть использованы или разглашены организацией. Как правило, организации, не имеют права использовать или разглашать PHI, за исключением тех случаев, когда:

    Правила конфиденциальности этого требуют или разрешают, а также, если;

    Сам пациент, являющийся объектом данной информации (или его личный представитель), не имеют возражений. При этом разрешение должно быть составлено в соответствии с нормами HIPAA и содержать конкретную информацию, требуемую Правилами конфиденциальности.

  3. Организации обязаны предоставить самому пациенту (или его представителю) доступ к закрытым личным данным (PHI), а также сведения о случаях выдачи личной информации по запросу других лиц или организаций, за исключением тех случаев, когда есть правомочные обоснования для отказа.
  4. Правила конфиденциальности заменяют собой законодательные акты штата. Однако законодательный акт штата, обеспечивающий большую степень защиты закрытой информации о состоянии здоровья и предоставляющий пациентам более широкий доступ к их собственной информации, остается в силе.

(Примечание: Для определения правомерности разглашения медицинской информации в данной конкретной ситуации следует консультироваться не только с правилами HIPAA, но и с другими федеральными законами по охране конфиденциальности (например, с правилами, относящимися к Medicaid и программе лечения токсикомании, субсидируемой за счет федеральных средств), а также с законами штата о конфиденциальности (включая Закон о психогигиене, часть 33.13, Закон об общественном здравоохранении, условии выдачи лицензий в законе об образовании, а также законодательств и положений по гражданскому праву).

Использование или разглашение информации PHI без разрешения пациента допускается в следующих случаях:

Правила конфиденциальности подробно описывают условия и обстоятельства, при которых организация имеет право использовать или разглашать PHI без разрешения пациента, являющегося объектом данной информации. К этим условиям относятся следующие случаи:

  1. Организация имеет право передать информацию PHI самому пациенту, являющемуся объектом данной информации.
  2. Организация имеет право пользоваться и разглашать PHI информацию для проведения "курса лечения, оплаты и организационно-лечебной деятельности".
    1. Лечение подразумевает обеспечение курса лечения и связанных с этим рекомендаций и направлений для пациента. Лечение также включает медицинский консилиум или направление к другому специалисту.
    2. Оплата подразумевает действия медицинской организации, направленные на получение оплаты или компенсации за обеспечение курса лечения.
    3. Организационно-лечебная деятельность включает в себя: (а) оценку качества и экспертизу; (b) профессиональную аттестацию, включая оценку проведенной работы, получение профессиональной квалификации и аттестации; (с) медицинские и другие проверки или юридические услуги; (d) страховые обязанности; и (e) планирование, руководство и общее администрирование.
  3. Разрешение может быть получено от самого пациента, являющегося объектом информации, а также в тех случаях, когда очевидно, что данное лицо способно запретить разглашение информации, однако предпочитает этого не делать. Медицинские работники имеют право полагаться на неформальное согласие пациента и предоставить закрытую информацию членам семьи, родственникам, близким друзьям или другим лицам, названным пациентом-объектом информации, при условии, что закрытая информация относится непосредственно только к данному пациенту.
  4. Когда пациент является недееспособным или в случае неотложной помощи, разглашение или использование информации PHI возможно без разрешения пациента. При этом медицинским работникам необходимо быть уверенным, что данную информацию можно использовать только для непосредственных интересов пациента. В этом случае информация ограничена и включает в себя имя, фамилию, местонахождение пациента в медицинском учреждении и лимитированную информацию относительно общего состояния больного.
  5. Информация PHI может быть использована без разрешения в тех случаях, когда это требуется по закону, что включает Законодательный акт штата или постановление суда.
  6. В большинстве случаев информация PHI может быть открыта представителям штатных или федеральных органов здравоохранения в случаях необходимости предотвращения распространения заболевания, травмы или недееспособности. Информация также может быть предоставлена представителям властей, уполномоченных реагировать в случаях насилия над ребенком или невыполнении родительских обязанностей.
  7. Информация PHI может быть открыта соответствующим представителям властей в ограниченных случаях, связанных с жертвами издевательств, небрежного отношения или насилия в семье.
  8. Информация может быть предоставлена органам проверки медицинских учреждений (в том числе государственным органам, ответственным за выдачу медицинских лицензий) для проведения утвержденных проверок, таких, например, как бухгалтерская ревизия или расследование.
  9. Информация PHI может быть предоставлена во время судебных или административных слушаний в случаях предоставления запроса по постановлению суда, судебной повестке или других юридических процедур (нужно отметить, что в таких случаях более "строгий" Закон о психогигиене штата Нью-Йорк требует постановления суда для разглашения информации о психическом состоянии).
  10. В большинстве случаев информация PHI может быть предоставлена правоохранительным органам в случаях, если:
    1. Информация затребована в соответствии с законом или по постановлению суда, судебной повестке или "административному запросу", таким как судебное ходатайство или повестка о привлечении. (Примечание: в таких случаях более "строгий" Закон о психогигиене штата Нью-Йорк раздел 33.13 требует постановления суда). Затребованная информация должна быть непосредственно связана с делом и ограничена его сущностью.
    2. Информация необходима для опознания подозреваемого, лица, скрывающегося от правосудия, свидетеля или пропавшего без вести человека. (Примечание: согласно Закону о психогигиене штата Нью-Йорк раздел 33.13 информация ограничивается "сведениями по госпитализации").
    3. По требованию правоохранительных органов в связи с жертвой преступления (Примечание: согласно Закону о психогигиене штата Нью-Йорк раздел 33.13 информация ограничивается "сведениями по госпитализации").
    4. Для того, чтобы сообщить правоохранительным органам о преступлении на территории организации, действующей в соответствии с HIPAA.
  11. Информация может быть открыта медицинскими работниками в случае, когда такое разглашение необходимо для предотвращения или снижения:
    1. серьезной и неотвратимой физической угрозы человеку или многим лицам в случае, когда медицинские работники уверены в том, что данная информация способна предотвратить или уменьшить угрозу (включая жертву угрозы).
  12. Разрешение для открытия информации не требуется для определенных государственных
    1. программ, связанных с социальным обеспечением или необходимых для получения государственного пособия,
    2. программ, когда обмен информацией предусмотрен или разрешен законодательством или постановлением, или в иных конкретных ситуациях.

Правило "Необходимого Минимума":

Организации, разрешающие доступ к информации, должны приложить все необходимые усилия, чтобы использовать, затребовать или раскрыть только тот минимум информации PHI, который необходим для достижения конкретной цели. При применении стандарта необходимого минимума организации не имеют права разглашать, передавать или запрашивать полную историю болезни. Данное требование должно быть специально оговорено.

Стандарт необходимого минимума не применяется в следующих обстоятельствах:

  1. использование медицинским персоналом для проведения лечения;
  2. разглашение информации лицу (или его личному представителю), которое является объектом данной информации;
  3. использование или разглашение информации в соответствии с разрешением данного лица (или его личного представителя);
  4. использование или разглашение, требуемое по закону;
  5. разглашение представителям Министерства здравоохранения и социального обеспечения (HHS) при расследованиях, проверках исполнения или контрольных ревизиях.

Штраф за нарушение HIPAA

  1. Гражданские денежные штрафы: за нарушение данных Правил Конфиденциальности HHS имеет право оштрафовать ответственное лицо на сумму в $100 – суммарный годовой штраф за многократные нарушения требования Правил не может превысить $25 000. В большинстве случаев HHS не налагает гражданские денежные штрафы, когда ответственное лицо допустило нарушение по уважительным причинам, при отсутствии "умышленного пренебрежения", а также при условии, что нарушение было исправлено в течение 30 дней со дня, когда об этом стало известно (или должно было быть известно).
  2. Уголовные штрафы. Лицу, умышленно получившему или разгласившему информацию о состоянии здоровья конкретного пациента в нарушение Правил HIPAA, грозит штраф на сумму $50 000 и тюремное заключение на срок до одного года. В случае, если данное нарушение включает мошенничество, уголовное денежное наказание может возрасти до $100 000, а тюремное заключение до пяти лет. Штраф в размере до $250 000 и тюремное заключение до десяти лет грозит в случае, когда данное нарушение включает в себя намерение продать, передать или использовать информацию о конкретном пациенте с целью получения "коммерческой выгоды, личного обогащения или нанесения умышленного вреда".

Полный текст Правил конфиденциальности, а также дополнительную информацию о том, как они применяются, можно найти на сайте HHS, в разделе гражданских прав: www.hhs.gov/ocr/hipaa оставляя OMH сайта.