• Share on Google+
提存公证_怎么选择_知识产权使用权
名成文樊 2021-01-19

2013年1月17日,卫生和公共服务部发布了期待已久的最终条例,实施了《高科技法案》的隐私、安全和违反通知条款以及《遗传信息非歧视法》("GINA")的规定。1该条例修订了HIPAA隐私、安全,并最终确定经修改的HIPAA违约通知规则,该规则自2009年起临时生效。2综合规则所做的最重要的改变包括:扩展"业务伙伴"的定义包括广泛的分包商、个人健康记录供应商,患者安全组织、健康信息组织、电子处方网关和其他有助于数据传输的实体;最终确定业务伙伴根据安全规则和隐私规则的许多规定负有直接责任的规则;修订隐私规则,要求提供新的和更广泛的隐私做法通知,加强对出于营销和筹资目的使用和披露受保护健康信息的限制,扩大个人接收健康记录电子副本的权利;将GINA要求纳入隐私规则,禁止受保健康计划(提供长期护理的计划除外)使用或披露遗传信息用于承保目的;最终确定违反通知规则,并制定新的规定,以建立可反驳的假设,即任何未经授权的获取、访问、使用,或者披露受保护的健康信息构成了违反,可以通过证明"信息被泄露的可能性很低"来反驳这一点;并修改强制执行规则以增加处罚和限制肯定性防御措施新规定将于3月26日生效,但是,受保实体和业务关联方通常要到9月23日才能达到合规性。3扩展的"业务伙伴"定义和流程细化要求aa目前将"业务伙伴"定义为不属于"受保实体"劳动力的个人或组织(健康计划,卫生保健信息交换所,以及传输电子健康信息的医疗保健提供者4,并代表,或涉及使用或披露受保护健康信息("PHI")的涵盖实体。5最终综合规则扩大了业务伙伴的定义,包括"创建、接收、维护,或代表适用实体为特定服务和功能传输"PHI"。6最终综合规则明确规定,"业务伙伴"包括(i)代表另一业务伙伴创建、接收、维护或传输PHI的业务关联分包商;7(ii)个人健康记录供应商;8(iii)患者安全组织;9和(iv)健康信息组织、电子处方网关和其他经常访问和传输PHI的实体。10另一方面,业务伙伴不包括PHI的"管道",如邮件递送服务和ISP,11家只提供支付处理和类似服务的金融机构,12和许多第三方研究人员。13最后综合规则增加的"分包商"定义的两个方面特别值得注意:(a)它包括作为商业伙伴的代理人履行涉及PHI的职能的所有个人或实体,无论这种关系是否由书面合同定义;14和(b)它涵盖所有层级的分包商。15因此,最终的综合规则,即实施《高科技法案》的授权,要求商业伙伴与其分包商签订书面商业伙伴协议("BAA"),其中包括"令人满意的保证",即PHI将受到保护,"无论信息流的‘链条’有多远。"16《安全和隐私规则》的修正案最终综合规则实施了《高科技法案》的规定,即商业伙伴直接受整个安全规则(仅涉及电子PHI)的约束,以及适用于PHI的隐私规则的许多条款表格17隐私规则的一个核心原则现在直接适用于商业伙伴和分包商,要求使用和披露PHI必须限于达到预期目的所需的"最低限度"。18隐私规则的其他变化包括:受保护实体必须修改其隐私通知告知个人他们有权被告知违规行为,并且他们必须授权实体使用和披露其PHI用于销售、营销、筹资和某些其他目的的做法。19覆盖实体和业务伙伴在披露PHI以获取"报酬"之前,还必须获得患者的授权当披露不是为了病人治疗时。20如果电子记录随时可用,修订后的隐私规则还实施了个人审查或接收其个人个人隐私信息副本的权利。21最后,修订后的隐私规则要求受保护实体向第三方提供个人个人隐私信息副本的访问权限根据个人签署的书面请求,PHI。22最终综合规则还禁止受保健康计划(提供长期护理的计划除外)使用或披露遗传信息用于"承保目的",如确定资格、福利、保险费,以及成本分摊。23通常必须在2013年9月23日之前遵守安全和隐私规则的修订条款,24但在现有BAA下运营的实体可能有权再延长一年的过渡期,以便进行必要的修改以达到合规性。25违约通知要求高科技法案要求制定违约通知规则,最终综合规则修订为最终格式。26根据修订后的违约通知规则,遭受无担保PHI违约的受保实体必须在该实体得知违约的日历年结束后的60天内通知受影响的个人。27如果违反行为影响到500个或更多个人,实体还可能被要求通知卫生和公众服务部部长,在某些情况下,还需要通知媒体。28最终综合规则通过创建一个可反驳的假设来修改"违反"的定义,即未经授权获取、访问、使用或披露PHI构成违约,可以通过证明"PHI受到损害的可能性很小"29予以反驳。29这将取代临时违约通知规则下盛行的主观"损害风险"标准。修订后的规则规定了几个确定PHI是否被泄露的客观因素,包括PHI的性质、获得它的未经授权的人,以及这些信息是否被实际获取。30对执行规则的修正:加大处罚力度,减少防御措施7对于长期以来直接受HIPAA法规约束的受保实体,现在的风险将更大。《高科技法案》将违反HIPAA规定的最高罚款提高到每次5万美元,对一组相同的违规行为处以150万美元。31这些增加的处罚现在将适用于受管辖实体和业务伙伴的违规行为。32修订后的执行规则限制了违规实体的肯定抗辩HIPAA。只有当违法行为不是由于故意疏忽而导致的,并且在被审计单位知道或者通过行使"合理的勤勉"本应知道该违法行为后的三十天内得到纠正,才有充分的抗辩权。33这意味着一个实体单独合理地缺乏对违法行为的了解,将不再构成一个完整的防御,它在过去曾有过。此外,员工或业务伙伴对违规行为的知情权可归责于相关实体。34此外,业务关联公司将对其违规行为承担直接责任。35 HIPAA要求BAA规定,业务关联公司必须在发现任何违规行为时通知相关实体。36新规则还要求业务关联公司对未能提供此类通知承担直接责任。37适用实体或业务伙伴不符合规定如果其知道"其业务伙伴或分包商的活动或实践模式构成了对[BAA]的实质性违反或违反",除非上级采取"合理步骤"纠正违约行为或终止协议。38即使不知道下属的潜在违规行为,如果下属机构是受管辖实体或业务伙伴的"代理人",则监管机构可能会对违规行为负责。39审计2012年12月底,卫生和公众服务部完成了一项对所涉实体遵守HIPAA规则的审计试点计划。40卫生和公众服务部计划在2013年底或年恢复高科技授权的审计计划2014年,并计划将业务伙伴作为潜在的审计对象。41审计将可能侧重于遵守先前存在的要求和新的HIPAA总括最终结果规则。如果审计报告显示"严重的合规问题,"HHS可能会发起进一步的合规性审查。42合规性审查也可能由违规通知和第三方投诉引发。43迄今为止,大多数HIPAA合规性审查的重点是受管辖实体未能充分监控其员工对PHI的处理。44员工的意外损失45和对健康的不当使用记录,46甚至是第三方对此类记录的盗窃47已导致被保险人支付大量款项实体。结论最终综合规则不仅实施了《高科技法案》规定的变更,而且对涵盖的实体和业务伙伴施加了一些新的重大负担。再加上越来越激进的强制执行计划和对违规行为加大的惩罚力度,处理受HIPAA保护的信息的组织可能需要检查他们的信息

分享文章轻松赚奖金!
将连结分享文章给好友或是贴至论坛、社群网站上,只要有人点击你分享的文章连结,就可以赚点击奖金,最棒的是,你还有机会可以再赚到一笔可观的【成交奖金】
分享你的专属连结,让生活更美好!