健康信息隐私(HIPAA)

保单号码: 1.11

政策部分: 机构事务

修订日期: 2019年12月16日

1.  定义

本合同中使用的大写术语的定义见附录A. 本政策中未定义的其他术语应具有HIPAA条例中定义的含义.

2.  目的

本政策的目的是解决大学遵守1996年健康保险流通与责任法案(“HIPAA”)的问题。.

3.  政策声明

大学的政策是遵守1996年的《威尼斯人娱乐城》(“HIPAA”)。, 公共法111-5中的卫生信息技术促进经济和临床卫生法(“HITECH法案”), 及其颁布的规章(统称), 《威尼斯人娱乐城》), 其中包括, 不时修订, (i)隐私标准, 由秘书在摄氏45度颁布的规定及规格.F.R. 第160及164部A及E子部(“私隐规则”), (ii)保安标准, 由秘书在摄氏45度颁布的规定及规格.F.R. 第160及164部A及C子部(“保安规则”), (iii)违约通知标准, 由HITECH法案副标题D制定并由部长在45°C颁布的要求和规格.F.R. 第164部分D子部分(“违约通知规则”). 该政策进一步解决了大学作为HIPAA隐私规则和违规通知规则下的混合实体的指定.

HIPAA规定了“受保护的健康信息”的使用和披露, HIPAA特别排除了1974年“家庭教育权利和隐私法案”(“FERPA”)所涵盖的记录以及大学以雇主身份保存的任何就业记录. 本政策不适用于FERPA涵盖的记录或大学保存的任何就业记录.

4.  混合实体名称

  1. HIPAA法规适用于有资格成为“覆盖实体”的组织.” Covered entities include (1) health plans; (2) health care clearinghouses; 和 (3) health care providers who conduct certain electronic transactions, 比如医疗保健索赔的传播, 医疗费用, 参加健康计划. 虽然大学并不主要从事这些活动, 大学内的一些单位确实履行符合承保实体定义的职能. 根据隐私规则, 该大学已被指定为HIPAA下的混合实体, 如45 C所规定.F.R. § 164.103℃和45℃.F.R. § 164.105.
  2. “混合实体”被定义为作为受保实体的单一法律实体, 执行业务活动,包括涵盖的和未涵盖的功能, 并按照《威尼斯人博彩》的规定指定其医疗保健组成部分. 如果承保实体是混合实体, 《威尼斯人博彩》一般只适用于其指定的医疗保健组成部分. The University has designated the following units as health care components based upon one or more of the following criteria: (1) a component that would meet the definition of a covered entity if it were a separate legal entity; (2) a component that performs covered functions; or (3) a component that performs activities that would make it a business associate if it were a separate entity. 每个指定的医疗保健组件都将遵守HIPAA要求, 如适用于卫生保健部分及其涵盖的职能. 提供业务伙伴服务的指定医疗保健组件将遵循适用于为其提供业务伙伴服务的指定医疗保健组件的HIPAA法规.

5.  HIPAA条例所涵盖的大学单位

大学的下列单位已被指定为保健组成部分, 统称为“覆盖组件”,,并被要求遵守HIPAA的要求:

  1. 的博士. 鲍勃史密斯健康中心在南威尼斯人娱乐城-卫生保健提供者.
  2. 新大药房-医疗保健提供者.
  3. 新大家庭咨询中心——医疗保健提供者, 适用于本中心进行HIPAA所涵盖的交易.
  4. 人力资源办公室——维护员工自我保险健康福利计划.
  5. 法律事务办公室——在向大学提供服务时, 如果是大学外部的, 会使它成为HIPAA的商业伙伴吗.
  6. 合规和内部审计办公室-为大学提供服务时, 如果是大学外部的, 会使它成为HIPAA的商业伙伴吗.
  7. 信息技术办公室——在为大学提供服务的时候, 如果是大学外部的, 会使它成为HIPAA的商业伙伴吗.
  8. 风险管理办公室-在为大学提供服务时, 如果是大学外部的, 会使它成为HIPAA的商业伙伴吗.

6.  隐私官

  1. 受保组件已指定一名私隐主任监督本私隐政策的制定和实施. 隐私官的职责包括协调与保护隐私有关的活动,并监督受保组件的HIPAA隐私计划以遵守适用法律, 规则, 法规. 这些活动包括, 但不限于, 发展, 培训, 以及与隐私政策和程序有关的执法. 私隐主任亦担任主要联络人,处理与个人有关的私隐事宜, 商业伙伴, 公众, 隐私执法机构.
  2. 隐私官将是所有关于隐私和保密的关注和投诉的联络人.
  3. 员工必须配合隐私官在保护PHI和实施这些政策方面的工作.
  4. 受保组件已指定以下个人担任私隐主任:
    1. 卫生服务执行主任
    2. 人力资源高级副总监

7.  PHI的允许使用和披露

受保组件的政策是仅以HIPAA隐私规则允许的方式或经相关个人授权的方式使用或披露PHI. 承保组件不会向任何非承保组件披露PHI, 如果此类披露将被禁止向实体披露, 根据《威尼斯人娱乐城》及本政策,哪些是独立于大学的. 如果隐私规则不允许使用或披露, 受保组件必须根据隐私规则的要求获得个人书面授权. 以下是受保组件在未经个人授权的情况下使用和披露PHI的不同方式:

  1. 用于治疗、支付和卫生保健业务. 有关这些用途的进一步详细信息载于受保护组件的隐私实践通知.
  2. Give个别参与者或患者沟通.
  3. 向美国国务卿披露的信息.S. 卫生与公众服务部. 在根据此类要求发布任何PHI之前,应咨询新大总法律顾问和法律事务办公室.
  4. 为某些公共卫生活动. PHI可以向法律授权收集或接收信息的公共卫生当局披露.
  5. 虐待、忽视或家庭暴力. 关于虐待受害者的PHI, 忽视, 或者家庭暴力可以向根据州法律授权接受虐待报告的政府机构披露, 忽视, 或者家庭暴力. 在根据此类要求发布任何PHI之前,应咨询新大法律事务办公室.
  6. 卫生监督. PHI可能会被披露Give卫生监督机构,以便政府机构可以监控或监督医疗保健系统和政府福利计划,并确保某些医疗保健实体遵守监管计划或民权法律. 在根据此类要求发布任何PHI之前,应咨询新大法律事务办公室.
  7. 司法及行政程序. PHI可能会在司法和行政程序(包括所有法院命令)的过程中披露, 传票, 披露请求或其他合法程序. 披露PHI之前, 请求必须根据HIPAA隐私规则的要求进行审查和回答. 在根据此类要求发布任何PHI之前,应咨询新大法律事务办公室.
  8. 用于军事和情报需求. PHI可能会在回应与美国政府有关的要求时披露.S. 武装部队,外国军队,或为国家安全或情报活动的目的. 在根据此类要求发布任何PHI之前,应咨询新大法律事务办公室.
  9. 在威胁健康或安全的情况下. 在极少数情况下, 工作人员可能会意识到个人对他人或公众的健康或安全构成威胁的情况. 如果可能的话, 这种情况应立即向法律事务厅报告, 谁将决定采取适当的行动.
  10. 致执法部门. 在极少数情况下, 如果联邦或州法律出于执法目的要求,PHI可能会被披露. 在根据此类要求发布任何PHI之前,应咨询新大法律事务办公室.
  11. 隐私规则允许的其他用途和披露. 这些用途和披露包括向验尸官披露, 法医, or funeral director about a deceased person; to an organ procurement organization in limited circumstances; for workers’ compensation or other similar benefit programs; to the University’s benefit plan sponsor; to notify, 或协助通知, 家庭成员, 个人的个人代表, 或另一个负责照顾该个人的人, 一般情况或死亡.

8.  电子 & 传真传输

  1. 传真传输:不鼓励通过传真传输PHI,应尽量减少使用. 所有包含PHI的传真应包括以下语言:

    2. 机密通知

    本传真附带的文件包含法律上享有特权的机密信息. 这些信息仅供上述收件人使用. 如果你误收到了这份传真, 请立即电话通知我们并销毁文件. 特此通知您,任何披露, 复制, 严格禁止根据本传真信息的内容分发或采取任何行动.

  2. 电子邮件传播:不鼓励通过电子邮件传播PHI,应尽量减少使用. 所有包含PHI的电子邮件通信应包括以下内容:

    3. 机密通知

    此信息仅供接收信息的个人或实体使用,可能包含机密和/或特权信息. 任何评论, 重传, 传播, 或严格禁止预期接收方以外的个人或实体根据此信息采取任何行动. 如果你误收到这封邮件,请联系我.

9.  市场营销

当可适用, 受保护组件将获得用于构成营销的使用或披露的必要授权, 该术语由隐私规则定义. 根据私隐规则, 保修组件进行的面对面通信或涉及保修组件提供的名义价值促销礼品的通信不需要授权.g.、钢笔、钥匙链等.).

10.  出售PHI

当可适用, 对于构成PHI销售的任何PHI披露,受保组件将获得个人的授权, 如私隐规则所界定.

11.  健康信息隐私权

  1. 查阅记录. 除了一些例外, 个人有权审查和复制其PHI,但需支付复制费用, 邮件, 或与此请求相关的其他供应. 所涵盖的组件将参考45 C中概述的要求.F.R. § 164.524在处理查阅记录的请求时.
  2. 要求披露账目. 个人有权获得受保组件向其披露其PHI的人员列表. 有一些披露信息没有包括在清单中, 例如, 向个人披露他或她自己的PHI. 受保组件将参考隐私规则45°C中概述的要求.F.R. § 164.528 .处理要求披露帐目的要求时.
  3. 修订要求. 如果PHI不正确或不完整,个人有权要求修改PHI. 在某些情况下, 受保组件可拒绝修改记录的请求,且拒绝将以书面形式提供. 所涵盖的组件将参考45 C中概述的要求.F.R. 164.在处理修改请求时.
  4. 私隐限制要求. 个人有权要求限制其PHI的使用或披露. 受保组件将尽最大努力遵守所有已批准的请求,并在请求被拒绝或先前同意的限制被撤销时提供书面解释. 所涵盖的组件将参考45 C中概述的要求.F.R. § 164.522在处理隐私限制请求时.
  5. 保密或替代通信请求. 个人有权规定与他们的通信应以特定方式进行或指向某一地点. 受保组件将尽力满足进行保密通信的所有合理要求. 所涵盖的组件将参考45 C中概述的要求.F.R. § 164.522 .处理保密通信请求时.

12.  私隐实务通知

在某种程度上,被覆盖的组件作为被覆盖的实体发挥作用, 受保护的组件将, 符合45 C的规定.F.R. § 164.520, 就适用的受保组件如何使用和披露PHI向个人和请求人提供隐私实践通知, 个人权利, 以及适用的受保组件对该等信息的法律义务. 《威尼斯人娱乐城》将按照《威尼斯人博彩》的规定编制和分发.

13.  PHI的最低必要使用、披露和请求

  1. 受保组件将努力使用所需的最小PHI值,以实现预期的使用目的, 信息披露, 或请求. 在切实可行的范围内, 保修组件将限制任何使用, 信息披露, 或PHI对有限数据集的请求, 如HIPAA隐私规则所述.
  2. The minimum necessary requirements do not apply to the use 和 信息披露 of PHI: (1) for treatment purposes; (2) for information requested by the Individual for his or her own PHI; (3) for information requested pursuant to a valid authorization by the Individual or his or her personal re现在ative; (4) for required 信息披露s to 秘书 for monitoring or enforcement purposes; (5) for instances required by law, 包括符合HIPAA要求的使用和披露.

14.  保障措施

所涵盖的组件将实现适当的管理, 技术, 以及物理防护措施,以防止在违反承保组件的政策和程序或适用法律的情况下有意或无意地使用或披露PHI. 员工应采取合理设计的措施,切实保护PHI的隐私.

15.  个人代表及身份核实

被覆盖的组件承认这一点, 关于HIPAA隐私规则和PHI, 个人的私人代表应被视为该个人代表. 受保组件将验证请求访问PHI的个人或实体的身份和权限,该个人或实体将被视为个人代表.

16.  不采取恐吓或报复行为

承保组件应避免进行恐吓, 威胁, 强迫, 歧视, 或在HIPAA隐私规则禁止的情况下与PHI相关的任何其他报复行为.

17.  放弃权利

受保组件不具备享受福利或待遇的资格, 付款, 或以放弃个人权利为条件的健康计划的登记. 如果该信息用于承保或风险评级目的,则大学的健康计划或计划发起人可能需要对PHI进行某些授权, 只有在法律允许的情况下.

18.  投诉

它是受保护组件要接收的策略, 回复, 并解决有关个人不当使用或披露PHI的投诉, 其他承保实体, 商业伙伴, 或员工. 投诉应提交Give隐私官.

19.  商业伙伴

在隐私官和/或法律事务办公室认为必要的范围内, 大学将签订商业合作协议, 或者类似的协议, 与协助执行承保组件的操作并有资格成为业务伙伴的供应商和承包商进行合作, 如45°C所定义.F.R. § 160.103. 当业务伙伴代表承保组件与PHI合作时,业务伙伴协议将涉及HIPAA的义务和保护.

20.  缓解

在被覆盖组件已知的范围内, 承保组件承诺遵守HIPAA和其他适用的法律要求,以减轻不当使用或披露PHI的有害影响.

21.  劳动力培训

  1. 所涵盖的组件将培训访问的员工, 根据受保组件保护PHI的政策和程序使用和披露PHI, 在必要和适当的情况下,为每个这样的劳动力成员履行其在HIPAA下的工作职能.
  2. 在适用范围内, 所涵盖的组件和其他适用的大学部门还将根据需要培训员工,以遵守德克萨斯州医疗记录隐私法, 特克斯. 健康 & 《威尼斯人博彩》第181章.
  3. 应保存培训材料和员工参加培训的记录

22.  报告违反

所有员工都有责任立即报告违反或可能违反HIPAA隐私规则和本政策的行为. 员工可以向他们的主管报告违规行为, 私隐主任, 或向私隐主任指定接收该等报告的雇员举报.

23.  制裁

  1. 受保组件和大学期望所有处理PHI的员工遵守大学和受保组件关于PHI保护的政策和程序,并将对违反这些政策和程序的员工进行制裁. 被发现违反规定的员工将根据大学政策受到纪律处分.1、《威尼斯人博彩》.17、教员处分和解雇程序标准.23、个人行为,视情况而定. 所采取的纪律措施应与违例行为和每一案件的情况相称,并可包括谴责, 暂停受雇, 或终止雇佣关系.
  2. 在适用范围内, 被发现违反此政策的学生将根据新大社区生活政策和/或新大学生行为准则受到纪律处分.

24.  记录管理

受保组件将保留所有必需的HIPAA文件至少六(6)年, 保持适当的存储措施以保护包含PHI或EPHI的文件, 建立适当和安全的销毁记录程序.

25.  向局长披露的资料

所涵盖的组件将提供美国秘书.S. 在HIPAA条例和部长要求的时间和方式内,向卫生与公众服务部提供副本和/或查阅记录. 大学和受保单位将与秘书合作, 如果秘书对HIPAA政策进行调查或合规性审查, 程序, 或实践.

26.  违反无担保PHI:一般

如果发生违反HIPAA违反通知规则所要求的不安全受保护健康信息的事件,受保护组件还必须遵守联邦通知法规. 这些程序规定了员工在识别任何违反不安全PHI的行为以及提供所需的违约通知时必须遵守的要求.

27.  违反无担保PHI:发现

在发现已知或怀疑违反无担保PHI时, 受保组件必须调查该事件并进行风险评估,以确定是否发生了违约. 员工应立即向隐私官报告发现的或怀疑的违规行为. 除非私隐主任指示, 员工不得独立调查可疑的违规行为或Apply风险评估分析来确定是否需要通知.

28.  违反无担保PHI:不允许使用或披露 & 风险评估

除非能证明PHI被泄露的可能性很低,否则不允许使用或披露PHI被推定为违约. 根据风险评估评估PHI被泄露的可能性, 至少必须考虑以下因素:

  1. 涉及PHI的性质和范围, 包括标识符的类型和重新标识的可能性. 为了评估这个因素, 考虑不允许使用或披露的PHI类型, 例如披露是否涉及较敏感的资料. 考虑不允许的使用或披露所涉及的PHI类型,将有助于确定未经授权的接收方以不利于个人的方式使用PHI的可能性,或以其他方式用于促进未经授权的接收方自身利益的可能性.
  2. 未经授权使用PHI或向其披露信息的人员. 为了评估这个因素, 考虑接收信息的未经授权的人是否有义务保护信息的隐私和安全.
    1. 例如, 如果PHI被不允许披露Give受HIPAA或其他联邦或州隐私法监管的另一个实体, PHI被泄露的可能性较低,因为信息的接收方必须以与受保护组件类似的方式保护信息的隐私和安全.
  3. PHI是否被实际获取或查看或, 另外, 如果有机会获取或查看信息就好了.
  4. PHI风险被减轻的程度.

一旦这些因素得到解决, 隐私官必须综合考虑所有因素,评估PHI被泄露的总体可能性. 如果对这些因素的评估不能证明PHI被破坏的可能性很低, 违约通知是必需的. 在发生可能违反无担保PHI的情况时,隐私官应通知总法律顾问和法律事务办公室并与之协商.

29.  违反无担保PHI:风险评估文件

隐私官应记录涉及涉嫌违反不安全PHI的所有事件的风险评估,以及得出不允许获取的结论的依据, 访问, 使用或披露不安全PHI是, 或者不是, 违反或不需要通知,因为PHI已被泄露的可能性很低.

30.  违反无担保PHI:通知

如果确定已经发生违约, 隐私官负责处理所有必要的违约通知,并应咨询管理层和法律顾问, 必要或适当时. 尽可能快, 隐私官将根据《威尼斯人博彩》确定必须满足哪些通知要求. 通知规定包括通知受影响的个人, 秘书, 和, 潜在的, 媒体.

31.  违反无担保PHI:延迟通知

如果执法人员认定是通知, 请注意, 或根据违反通知规则发布将妨碍刑事调查或对国家安全造成损害, 计划将推迟此类通知, 通知或投寄. 延迟应按照违约通知规则进行.

32.  违反无担保PHI:培训

员工应接受有关这些违约通知政策和程序的培训, 在必要和适当的情况下,为员工执行他们的工作职能.

33.  违反无担保PHI:文件保留

隐私官将至少保存六(6)年以下与事件有关的文件:

  1. 有关风险评估或违约定义例外情况的适用的文件;
  2. 所有违反无担保PHI的记录或日志,无论受影响的个人数量如何;
  3. Evidence that all required notifications were made; 和
  4. 关于任何违规通知培训范围的文件, 提供日期, 还有参加培训的人.

附录A:定义

“访问” 是指阅读所必需的能力或手段, 写, 修改, 或通信数据/信息或以其他方式使用任何系统资源.

“违反” 指未经授权的收购, 访问, 或在违反HIPAA隐私规则的情况下使用或披露不安全的PHI,从而危及该等信息的安全性或隐私性. Breach does not include: (a) Disclosure of Secured PHI; (b) Situations where a Covered Entity or Business Associate has a good faith belief that the unauthorized person to whom the PHI was disclosed would not reasonably have been able to retain the PHI; (c) the unintentional acquisition, 员工或在承保实体或业务伙伴授权下行事的人员访问或使用PHI, 如果收购, 获取或使用是善意的, 在雇佣关系或职业关系范围内, 和 does not result in further use or 信息披露 in a manner not permitted under the HIPAA Privacy Rule; (d) the inadvertent 信息披露 of PHI from a person who is authorized to 访问 PHI at a Covered Entity or Business Associate to another person authorized to 访问 PHI at the same Covered Entity or Business Associate 和 the information 收到了 is not further used or disclosed in a manner not permitted under the HIPAA Privacy Rule.

“生意伙伴” 指个人或实体, 就承保实体而言, 谁代表受保实体创建, 接收, 维护, 或为受HIPAA隐私规则监管的功能或活动传输PHI. 这些服务包括, 但不限于, claims 处理 or administration; data analysis, 处理, or administration; utilization review; quality assurance; billing; 和 benefit managing. These services also include the provision of legal services; actuarial services; accounting services; consulting services; data aggregation services; management services; administration services; accreditation services; 和 financial services to or for a Covered Entity where the provision of the service involves the 信息披露 of PHI from the Covered Entity or from another Business Associate of the Covered Entity.

“实体”覆盖 means (1) health plans; (2) health care clearinghouses; 和 (3) health care providers who conduct certain electronic transactions, 比如医疗保健索赔的传播, 医疗费用, 参加健康计划.

“发现” 违约行为发生的时间为承保实体或业务伙伴得知该等违约行为的第一天, 或者通过合理的调查就能知道. 如果违约是已知的,则受保组件被视为知晓违约, 或者通过合理的调查就能知道, Give任何人, 除了违约的人以外, 谁是受保组件的员工或代理人.

“受电子保护的健康资讯” 或“EPHI”是指受电子保护的健康信息, 正如所创建的安全规则中定义的那样, 收到了, 由受保实体或代表受保实体保存或传送.

“个人” 指受保护健康信息的主体,并应包括根据第45 C条有资格作为个人代表的人.F.R. § 164.502(g).

“受保护的健康信息” 或“PHI”是关于个人医疗保健的信息,用于识别个人身份或有合理依据相信该信息可用于识别个人身份. 这包括与过去有关的信息, 现在, or future physical or mental health or condition of an Individual; information related to the provision of health care to an Individual; 和 information related to the past, 现在, 或将来支付Give个人的医疗保健费用. 受保护的健康信息可以是任何形式或媒介,包括口头、书面和电子. 以下是PHI的例子(如果是的话), 或者可以是, connected with an Individual 和 his or her health care): name; address; social security number; birth date; telephone number; gender 和 age; health plan elections; subscriber identification number; policy holder number; claim number; claims dollars; medical record information; medical history; diagnosis codes; procedure codes; health status.

“安全” or “担保” 使PHI无法使用, 不可读的, 或未经授权的人员通过部长每年指定的技术或方法无法破译的信息.

“未经授权的” 指在HIPAA隐私规则下不允许使用或披露PHI.

“不安全的受保护健康信息” or “无担保φ” PHI是否不能通过使用部长指定的技术或方法来保护. PHI包括但不限于EPHI.

“劳动力” 就意味着员工, 志愿者, 学员, 以及其他行为, 在为承保实体执行工作时, 是否在该实体的直接控制下, 是否由承保实体支付.

修改后: 2019年12月16日

采用: 2013年9月23日

官方的大学政策手册存放在大学秘书办公室. 大学秘书负责维护新的和更新的政策,并维护本网站. 官方的大学政策手册是否与任何内部政策冲突, 程序, 部门管理规章, 或指导方针, 这可能包含在学校提供的手册中, 部门, 或大学内部的部门, 官方的大学政策手册控制.