目录

政策 400.14 – 受保护的健康信息隐私

分享到print

保单号码:
400.14

通过: 
6.13.2017

董事会政策

  1. The District’s Protected Health Information Privacy Policy is designed to comply with the provisions of the Health Insurance Portability and Accountability Act of 1996 (HIPAA). HIPAA restricts the District’s ability to use and disclose protected health information.
  2. 董事会授权总监和地区管理局制定与此政策相一致的行政法规。

行政法规:
400.14-1

批准:
6.13.2017

Definitions - 400.14-1

  1. 受保护的健康信息(PHI):本计划创建或接收的,与参与者的过去,现在或将来的身体或精神健康或状况相关的信息,该信息可以标识参与者或有合理的基础相信该信息可用于识别参与者。受保护的健康信息包括生活或死亡者的信息。
  2. 劳动力:学区的劳动力包括根据HIPAA被视为劳动力一部分的个人,例如员工,志愿者,培训师以及其他工作表现均受学区直接控制的人员,无论他们是否由学区支付薪水。
  3. 员工:包括上面列出的所有类型的员工。
  4. 隐私官员:对于对自己的PHI隐私有疑问,疑虑或投诉的参与者,隐私官员将充当联系人。

行政法规:
400.14-2

批准:
6.13.2017

Regulation - 400.14-2

  1. 峡谷学区(学区)自行执行团体健康计划(该计划)。学区工作人员可以访问计划参与者的个人身份信息(1)代表计划本身;或(2)代表地区,以执行计划的行政职能。可以使用PHI的学区员工必须遵守本隐私政策。本政策不涵盖第三方权利,包括但不限于计划参与者,受益人,受抚养的家属或业务伙伴的权利。学区保留随时(甚至追溯)修改或更改本政策的权利,恕不另行通知。

行政法规:
400.14-3

批准:
6.13.2017

Plan’s Responsibilities as Covered Entity - 400.14-3

  1. 隐私权官员和联系人
    1. 保险协调员应为计划的隐私权官员。
  2. 劳动力培训
    1. 有权使用PHI的员工将接受有关隐私政策和程序的培训。将制定培训计划,以便所有能够使用PHI的员工都接受必要且适当的培训,以使他们能够在计划中履行职责。
  3. 技术和物理保障与防火墙
    1. 将实施防止PHI违反HIPAA要求而有意或无意地使用或披露PHI的技术和物理保护措施。技术保护措施包括通过创建计算机防火墙来限制对信息的访问。物理防护措施包括上锁的门或文件柜。
  4. 隐私声明
    1. 隐私通知将发送给计划参与者,通知他们该地区可以使用其计划管理功能访问PHI。隐私通知还将告知他们学区的投诉程序,联系人的姓名和电话号码以及通知的日期。
    2. 有关隐私惯例的通知将放置在学区的网站上。该通知还将单独发送给所有参与者:
      1. 个人加入计划时
      2. 给要求通知的人;和
      3. 对通知进行重大更改后的60天内。
    3. 该计划还将至少每三年提供一次隐私声明的通知。
  5. 投诉投诉
    1. 保险协调员将是计划的投诉受理人。
  6. 违反隐私政策的制裁
    1. 违反本HIPAA隐私政策使用或披露PHI的制裁将根据地区政策实施,直至终止为止。
  7. 缓解无意间泄露受保护的健康信息
    1. 由于个人PHI的未经授权的披露而造成的任何有害影响将在可能的范围内减轻。如果员工意识到本计划的员工或外部顾问/承包商的披露受保护的健康信息不符合本政策,则应与隐私权官员联系,以便采取适当的措施来减轻隐私风险。可以对参与者造成伤害。
  8. 没有恐吓或报复行为;不放弃HIPAA隐私
    1. 对于行使个人提出申诉,参加调查或反对HIPAA下的任何不当行为的权利,不会对个人采取任何恐吓,歧视或其他报复行动。
    2. 根据HIPAA,不得要求任何人放弃其隐私权作为治疗,付款,入学或资格的条件。
  9. 计划文件
    1. 计划文件应包括描述PHI管理目的的允许和要求的用途和披露的规定。
    2. 具体而言,计划文件应要求学区:
      1. 未经计划文件允许或法律要求,不得使用或进一步披露PHI;
      2. 确保从计划中收到的由其提供PHI的任何代理商或分包商都同意适用于学区的相同限制和条件;
      3. 不得将PHI用于雇佣相关的行为或与任何其他员工福利计划有关的使用或披露;
      4. 向隐私官员报告与许可使用或披露不一致的任何信息使用或披露;
      5. 向计划参与者提供PHI,考虑他们的修改,并根据要求向他们提供PHI披露的说明;
      6. 根据要求,将本计划中收到的有关PHI使用和披露的PHI的内部实践和记录提供给卫生和公共服务部(DHHS);和
      7. 在可行的情况下,退还或销毁该计划所收到的,仍由该学区保留的任何形式的所有PHI,并且在不再出于披露目的而不再需要时,不保留此类信息的副本,除非该归还或销毁不是在可行的情况下,将进一步的使用和披露限制在使信息返回或销毁不可行的目的上。
      8. 计划文件还必须要求学区(1)向隐私权官员证明计划文件已被修改为包括上述限制,并且学区同意这些限制; (2)提供足够的防火墙。
  10. 文献资料
    1. 隐私政策和程序应形成文件并保存至少六年。应根据法律,标准,要求和实施规范的变化(包括法规的变化和修正)对政策和程序进行必要或适当的更改。
    2. 如果法律变更影响隐私声明,则应修改隐私政策并使其可用。但是,此类更改仅对在通知生效日期之后创建或接收的PHI有效。
    3. 任何政策和程序,行动,活动和名称的文档都可以书面或电子形式保存。该计划将此类文档保存至少六年。

行政法规:
400.14-4

批准:
6.13.2017

Policies on Use and Disclosure of PHI - 400.14-4

  1. 定义的使用和披露:地区和计划将仅在HIPAA允许的范围内使用和披露PHI。术语“使用”和“公开”定义如下:
    1. 使用:由在该地区的保险办公室工作或在该地区的保险工作的任何人,或该计划的业务助理共享,雇用,应用,利用,检查或分析可单独识别的健康信息。
    2. 披露:对于受保护健康信息的信息,披露是指对未由地区保险办公室雇用或未与该地区保险办公室合作的人员的任何释放,转让或以任何其他方式泄露个人可识别的健康信息。
  2. 员工必须遵守学区的政策和程序
    1. 所有有权使用PHI的员工都必须遵守此政策。
  3. 仅限某些员工可以使用PHI:以下员工可以使用PHI:
    1. 保险协调员,直接代表团体健康计划执行职能。
    2. 区域保险办公室的员工可以代表区域使用PHI并在履行日常职责时使用
    3. 这些员工可以使用和披露PHI的计划管理功能,也可以将PHI披露给有权访问计划管理功能的其他员工。具有访问权限的员工不得向其他员工透露PHI,除非已获得授权或该披露符合本政策。
  4. 允许的使用和披露:
    1. 支付和医疗保健运营:PHI可能会出于该受保实体的付款目的而披露给另一受保实体。付款:付款包括为获得计划供款或确定或履行计划在计划下提供福利的责任,或获取或提供医疗保健报销的活动。付款还包括:
      1. 资格和覆盖范围的确定,包括协调或利益以及对健康利益主张的裁决或代位;
      2. 根据入学者身份和人口特征进行风险调整;和
      3. 计费,理赔管理,托收活动,根据再保险合同获得付款(包括止损保险和超额损失保险)以及相关的医疗数据处理。
    2. 可能出于计划本身的医疗保健运营目的而披露PHI。如果另一个受保护实体与参与者和PHI有(或具有)关系,则可能会将PHI披露给另一个受保护实体,以用于另一个受保护实体的质量评估和改进,案件管理或医疗欺诈和滥用检测程序。所要求的与该关系有关。
      1. 医疗保健运营:医疗保健运营是指与计划管理相关的以下任何活动[需要根据计划职能进行调整]:
        1. 进行质量评估和改进活动;
        2. 审查卫生计划的绩效;
        3. 承保和保费评级;
        4. 进行或安排医疗检查,法律服务和审计职能;
        5. 业务计划与发展;和
        6. 企业管理和一般行政活动。
  5. 没有出于非健康计划目的披露PHI:
    1. 除非参与者已提供使用或披露PHI的授权,否则不得将PHI用于支付或运营学区的“非健康”福利(例如,残疾,工人补偿,人寿保险等)。 (如“根据授权的披露”中所述)或适用的州法律要求此类使用或披露,并且符合HIPAA的特定要求。
  6. PHI的强制性披露:向个人和卫生与公共服务部(DHHS)披露:在两种情况下,必须按照HIPAA的要求披露特定的PHI:
    1. 本公开内容是针对作为信息主体的个人的(请参阅随后的“获取受保护信息并提出修改请求”的政策)。
    2. 为了执行HIPAA,向DHHS公开了本公开。
  7. 在满足特定要求的情况下,PHI可能会在以下情况下未经参与者授权而公开:
    1. 关于受虐待,忽视或家庭暴力的受害者;
    2. 用于司法和行政诉讼;
    3. 出于执法目的;
    4. 用于公共卫生活动;
    5. 进行有关死者的健康监督活动;
    6. 用于尸体器官,眼睛或组织的捐赠;
    7. 为了某些有限的研究目的;
    8. 避免严重威胁健康或安全;
    9. 用于专门的政府职能;和
    10. 这与工人的赔偿计划有关。
  8. 根据授权披露PHI
    1. 如果参与者提供授权,则可以出于任何目的披露PHI。根据签署的授权书进行的所有使用和披露都必须与授权书的条款和条件一致。
  9. 符合“最低必要”标准:使用或披露PHI时,通常必须将披露的数量限制为“最低必要”,以实现使用或披露的目的。
    1. “最低要求”标准不适用于以下任何一项:
    2. 对个人的使用或披露;
    3. 根据有效授权进行的使用或披露;
    4. 向劳工部(DOL)作出的披露;
    5. 法律要求的使用或披露;和
    6. 遵守HIPAA要求的使用或披露。
  10. 所有其他披露必须与隐私权官员逐一进行审查,以确保所披露的信息量是实现披露目的所需的最少信息。
  11. PHI向业务伙伴的披露
    1. PHI可能会披露给计划的业务伙伴,并允许计划的业务伙伴代表其创建或接收PHI。但是,在这样做之前,计划必须首先从业务伙伴那里获得保证,它将适当保护信息。
      1. 业务伙伴是以下实体:
      2. 执行或协助执行计划功能或活动,涉及使用和披露受保护的健康信息,包括理赔处理或行政管理,数据分析,承保等。
      3. 提供法律,会计,精算,咨询,数据汇总,管理,鉴定或金融服务,其中,此类服务的性能涉及使服务提供商能够访问PHI。
  12. 取消识别信息的披露
    1. 该计划可以自由使用和披露已被取消识别的信息。取消标识的信息是无法识别个人的健康信息,并且没有合理的依据可认为该信息可用于识别个人。

行政法规:
400.14-5

批准:
6.13.2017

Policies on Individual Rights - 400.14-5

  1. 访问受保护的健康信息并提出修改请求
    1. 参与者有权访问并获取计划(或其业务伙伴)在指定记录集中保存的PHI副本。参与者也可以要求修改其PHI。该计划将提供访问PHI的权限,并将考虑参与者书面提出的修改请求。
    2. “指定记录集”是由学区或为学区保留的一组记录,包括:
      1. 该计划或为该计划保存的个人的注册,付款和索赔裁决记录;要么;
      2. 本计划全部或部分使用的其他PHI或用于计划,以制定有关个人的承保范围决定。
  2. 会计:个人有权对自己的PHI的某些披露进行会计。除以下原因外,此项会计权还适用于最近六年进行的披露:
    1. 进行治疗,付款或保健业务;
    2. 向个人介绍自己的PHI;
    3. 与本来被允许的使用或披露有关的事件;
    4. 根据授权;
    5. 为创建设施目录或为参与患者护理或其他通知目的的人员创建目录;
    6. 作为有限数据集的一部分;要么
    7. 用于其他国家安全或执法目的。
    8. 计划应在60天内回应会计要求。如果该计划无法在60天内提供会计信息,则可以将期限延长30天,前提是该计划可以向参与者发出通知,包括延迟的原因和提供信息的日期。
    9. 会计处理必须包括披露的日期,接收方的名称,披露的信息的简短说明以及披露目的的简短说明,或书面披露要求的副本(如果有)。
    10. 任何12个月内的第一次会计应免费提供。随后的会计将收取时间和材料费。
  3. 要求其他通讯方式或地点
    1. 参与者可以请求通过其他方式或在其他位置接收有关其PHI的通信。例如,参与者可能要求仅在工作而不是在家打电话。如果学区自行决定合理,则可以接受此类请求。但是,如果参加者清楚地提供信息,表明全部或部分信息的公开可能危害参加者,则学区应满足这一要求。
  4. 要求限制使用和披露受保护的健康信息
    1. 参与者可以要求限制其PHI的使用和披露。如果请求合理,则将尝试满足该请求。

展品

没有

形式

没有

文件记录

已修改 – 6.13.2017.  Policy—400.14—Protected Health Information Privacy was revised to update privacy notice language as required by HIPAA for issuing a privacy notice to all participants in District Insurance Plan to inform participants the District has access to Protected Health Information (PHI) as part of the District’s Insurance Plan administrative functions. The privacy notice language includes complaint procedures for unauthorized PHI disclosure, contact information, and content and timing of the privacy notice.
已通过 – 7.1.2009.

 

此在线演示文稿是Canyons学区当前采用的政策手册的电子表示形式。它不反映正在进行的更新活动。官方权威手册可在位于桑迪东300 600号桑迪(South East East)的9361 South 300的总监办公室中查阅。