2019年6月26日,美国卫生与公众服务部公民权利办公室(OCR)发布两则新常见问题解答(),其中阐明:
- 受保护实体为接收方受保护实体的医疗保健运营共享受保护健康信息(PHI)的参数;以及
- 一旦受保护实体根据《健康保险流通与责任法案》(HIPAA)接收了个人健康信息(PHI),接收方受保护实体可在HIPAA允许的任何方式下使用和披露该信息,且无需个人授权(即使该用途与受保护实体最初接收PHI的原因不同)。
这些常见问题解答虽侧重于健康计划,但为所有受保护实体澄清了以下事项:接收方受保护实体在医疗保健运营过程中可进行的受保护健康信息披露类型,以及受保护实体不受《健康保险流通与责任法案》限制,无需仅限于为最初接收目的使用和披露受保护健康信息。
常见问题1:关于接收方医疗保健运营的披露
首个新增常见问题解答涉及受保护实体向另一受保护实体披露个人健康信息(PHI)以供接收方开展医疗保健运营活动的情形。在当今互联互通的世界中,受保护实体为医疗保健运营目的共享个人健康信息的诉求日益增长,而《健康保险流通与责任法案》(HIPAA)对此类披露设定的规范历来存在诸多误解。
《健康保险流通与责任法案》(HIPAA)允许受保护实体向另一受保护实体披露个人健康信息(PHI),用于接收方的医疗保健运营活动,前提是:
-
每个受保护实体与所请求个人健康信息(PHI)的个人之间存在或曾经存在关系;
-
该PHI涉及此类关系;且
-
该披露旨在实现"医疗保健业务"定义第(1)或(2)款所列目的,或用于医疗保健欺诈与滥用行为的检测或合规工作。
“医疗保健业务”定义的第(1)款和第(2)款包括以下活动:
-
开展质量评估与改进活动,包括结果评估及临床指南制定,前提是此类活动所产生的研究成果不以获取可推广知识为首要目的;患者安全活动;与改善健康状况或降低医疗成本相关的基于人群的活动,包括方案制定、病例管理与护理协调、向医疗服务提供者及患者提供治疗方案信息;以及不涉及治疗的相关职能。
-
审查医疗保健专业人员的资质或资格,评估执业者和提供者的表现、医疗计划的执行效果,开展培训项目——在这些项目中,医疗保健领域的学生、实习生或执业者在监督下学习实践或提升其作为医疗保健提供者的技能,对非医疗保健专业人员进行培训,以及开展认证、执照或资质认证活动。
OCR的常见问题解答明确指出:鉴于病例管理和护理协调属于医疗保健运营定义第(1)款所列活动范畴,若医疗计划A(受保护实体)为某个人提供健康保险,而该个人可通过医疗计划B获得另一计划的医疗服务提供者网络,则医疗计划A可在未经个人授权的情况下向医疗计划B披露个人健康信息,以便医疗计划B协调该个人的护理工作。 OCR同时提醒,此类信息披露仍须符合《健康保险流通与责任法案》规定的"最低必要性"要求。
常见问题解答 2:接收方受保护实体的使用与披露行为与最初接收PHI的原因不符
第二个常见问题解答明确指出:若某受保护实体依据《健康保险流通与责任法案》(HIPAA)接收了个人健康信息(PHI),该接收方实体可在无需个人授权的情况下,依据HIPAA规定使用并披露该信息。即使该实体最初接收PHI的用途不同,此规定依然适用。该解答随后特别提及健康计划将为其他目的接收的PHI用于自身营销传播的情形。
《健康保险流通与责任法案》(HIPAA)禁止受管辖实体在未经授权的情况下,为"营销"目的使用或披露个人的受保护健康信息(PHI),但有限例外情况除外。45 C.F.R. § 164.508(a)(3)。但"营销"定义排除以下情形:向接收方描述由该覆盖实体提供或包含在其福利计划中的健康相关产品或服务(或该产品或服务的支付方式),除非该覆盖实体因进行此类沟通而获得经济报酬。
例如,若健康计划A向健康计划B披露个人健康信息(PHI),则健康计划B可依据《健康保险流通与责任法案》(HIPAA)的规定使用该信息。 HIPAA允许健康计划B在未获得个人授权的情况下,使用该个人的PHI发送关于其产品与服务的通讯(例如可能替代当前健康计划的新方案),前提是健康计划B发送通讯时未收取报酬,且遵守所有适用的业务伙伴协议。
OCR的常见问题解答是理解该办公室如何解读《健康保险流通与责任法案》法规的关键。这些新发布的常见问题解答,未来在覆盖实体为协调医疗护理、实施病例管理及其他目的而使用和披露个人健康信息时,很可能会成为其重要依据。
