2020年,民权办公室(OCR)兑现了前一年作出的承诺,即"大力保障"患者获取并掌控其医疗记录的权利。仅自2020年9月以来,OCR已就十起"获取权"调查达成和解。 和解对象涵盖各类受监管实体,从大型医疗系统到小型专业心理健康服务机构,和解金额差异显著,从3,500美元到160,000美元不等。
除金钱赔偿外,所有涉案实体均须执行详细的整改计划(CAPs),其中包含由民权办公室(OCR)为期一至两年的监督。值得注意的是,迄今所有达成和解的调查案件,均始于当事人向民权办公室投诉无法获取记录。在若干案例中,当事人因无法获取所请求记录,曾多次向民权办公室提出投诉。
本文末尾将详细概述每项和解协议,但核心要点在于:相关实体必须在收到个人访问请求后30天内予以回应。迄今为止的所有和解协议,至少部分涉及未能在规定时限内作出回应的情况。
请注意,美国财政部税务行政办公室(OCR)昨日发布了拟议规则,若最终通过,将影响下文所述多项获取权条款。敬请关注福里律师事务所即将发布的关于该拟议规则的博客文章。
HIPAA访问权限摘要
《健康保险流通与责任法案》(HIPAA)规定,除极少数例外情况外,受管辖实体必须允许个人查阅并获取其指定记录集中保存的受保护健康信息(PHI)副本。45 CFR § 164.524。美国卫生与公众服务部民权办公室(OCR)已就该访问权发布补充指南,明确该权利具有广泛性。 鉴于OCR近期对该领域执法的关注,承保实体应确保其政策、程序及实践符合HIPAA要求,保障个人访问权,包括以下方面。需注意:若州法律赋予个人的访问权限超出HIPAA规定,承保实体除遵守HIPAA外,还须遵循州法律。
- 响应时限。承保实体必须在收到请求后30天内采取行动:(i) 提供所要求的访问权限;(ii) 若符合《健康保险流通与责任法案》(HIPAA)规定则拒绝请求;或(iii) 根据HIPAA要求通知个人需延长处理时间。美国卫生与公众服务部民权办公室(OCR)在其访问指南中明确指出:"30个日历日为最终期限,鼓励承保实体尽快响应。" OCR进一步指出,当覆盖实体在日常运营中采用健康信息技术时,可为个人提供"通过个人健康记录、网络门户或类似电子手段获取所请求PHI的近乎即时或极快速电子访问权限",且"个人有合理理由期待覆盖实体能在更短时间内作出响应"。
- 指定记录集范围。个人有权访问存储于"指定记录集"中的个人健康信息(PHI)。"指定记录集"的定义范围广泛,包括由医疗服务提供者维护或代其维护的医疗记录与账单记录、由健康计划维护或代其维护的参保与支付记录,或任何用于对个人作出决策的记录——无论这些记录是否实际用于对提出访问请求的特定个人作出决策。45 C.F.R. § 164.501。受保护实体应在其政策和程序中明确定义"指定记录集"所包含的信息范围。
- 要求的形式和格式。承保实体必须以个人要求的形式和格式提供个人健康信息(PHI)访问权限,前提是该形式和格式可轻松生成。若PHI无法按要求形式和格式轻松生成,承保实体与个人需协商确定其他形式和格式。若个人要求承保实体无法提供的电子副本形式,承保实体必须提供其系统可用的其他电子格式。 仅当个人拒绝所有受保实体提供的电子格式时,受保实体方可提供PHI纸质副本以满足请求。需注意,OCR已声明"所有受保实体均应视为可随时提供邮寄及电子邮件形式的PHI"。
- 费用。 《健康保险流通与责任法案》(HIPAA)对个人获取自身个人健康信息(PHI)时可收取的费用设定了非常具体的限制。个人仅需承担以下费用的成本:
- 复制所请求的个人健康信息(无论纸质或电子形式)所需的人工成本。此项不包括识别、检索、收集、汇编或整理所请求个人健康信息所需的任何人工成本;
- 若个人要求通过可移动介质获取信息,则需提供制作纸质副本或响应式电子介质(如CD-ROM或USB)所需的材料;
- 个人要求邮寄纸质副本的邮资;以及
- 仅在请求方事先同意该摘要及相关费用时,方可准备响应性个人健康信息的说明或摘要。
其他费用不得收取,即使州法律允许亦然。请注意,这些收费限制不适用于个人要求承保实体将记录直接传输给第三方的情况。
- 书面请求。 受保护实体可控制个人提出访问请求的方式。 例如,受保护实体可要求个人以书面形式提出访问请求,前提是已向个人告知此类要求。受保护实体还可要求个人使用其提供的表格提交请求,并/或为个人提供通过电子方式(如电子邮件或安全网络门户)提交请求的机会。但受保护实体不得实施任何妨碍个人行使访问权或不合理延迟其获取个人健康信息(PHI)的请求要求。
请注意,受保护实体不应要求个人填写完整的HIPAA授权书来行使HIPAA规定的访问权。由于HIPAA授权书所要求的信息超出了个人行使访问权所需或可能相关的范围,美国卫生与公众服务部民权办公室(OCR)指出,强制签署HIPAA授权书可能对行使该权利构成不允许的障碍。
- 向第三方直接传输记录的权利。HIPAA的 访问权规定,个人有权要求承保实体将其电子个人健康信息直接传输至由请求方指定的第三方。此类请求必须以书面形式提出,由请求方签署,并明确标注指定第三方及信息发送目的地。
正如民权办公室主任罗杰·塞韦里诺所言:"获取患者医疗记录本不应需要联邦调查,但当医疗服务提供者未能认真履行《健康保险流通与责任法案》义务时,这种情况却屡见不鲜。民权办公室目前正在全国范围内开展多项获取权调查,并将继续大力执行这项权利,以更好地赋予患者权力。"
| # | 结算日 | 涉嫌违规行为 | 事实摘要 | 和解 |
| 1 | 2019年9月 | – 及时获取 | – 未及时向母亲提供其未出生孩子的医疗记录。 – 记录在初次申请后超过9个月才提供。 – 获取权“延伸至寻求未成年子女医疗信息的父母,本案中即指寻求胎儿健康记录的母亲”。 |
85,000美元+上限,含1年监测期 |
| 2 | 2019年12月 |
– 及时获取 |
–尽管多次要求,仍未能及时以第三方要求的电子格式提供患者医疗记录。 – 收取费用超过《健康保险流通与责任法案》允许的合理成本基准费用。 – 公民权利办公室(OCR)就如何纠正问题提供协助并结案。 –在OCR第二次干预后,记录于两个月后提供。 |
85,000美元+上限,含1年监测期 |
| 3 | 2020年9月 | – 及时获取 | – 未向患者提供其医疗记录副本。 – OCR提供技术协助并结案。 – OCR收到第二份投诉,称患者仍未收到记录。 –四个月后记录被提供。 |
38,000美元 + 1年监测期上限 |
| 4 | 2020年9月 | – 及时获取 | – 拒绝患者查阅并获取其病历副本的请求。 – 在OCR启动调查16个月后才寄送患者病历。 |
15,000美元+上限,含2年监测期 |
| 5 | 2020年9月 | – 及时获取 | – 未回应个人代表要求查阅其父亲医疗记录的请求。 –在OCR启动调查8个月后才提供记录。 |
70,000美元+上限,含1年监测期 |
| 6 | 2020年9月 | – 及时获取 | – 未回应个人获取其医疗记录的请求。 – OCR提供技术协助并结案。 – OCR收到第二份投诉,称患者仍未收到其记录。 – 该个人在23个月后获得其医疗记录。 |
3,500美元 + 2年监测期上限 |
| 7 | 2020年9月 | – 及时获取 | – 未向个人代表提供其未成年子女医疗记录的访问权限。 – OCR提供技术协助并结案。 – OCR收到第二次投诉,称个人代表仍未收到记录。 – 记录延迟18个月后才发送。 |
10,000美元+上限,含1年监测期 |
| 8 | 2020年10月 | – 及时获取 | – 自2018年1月起,未能向个人代表提供未成年子女的医疗记录访问权限。 – 尽管个人代表在2018年3月、4月和5月多次跟进要求,仍仅提供部分而非全部所需记录。 – 所有要求的医疗记录直至2019年12月才提供,距首次申请已逾22个月。 |
160,000美元+上限,含2年监测期 |
| 9 | 2020年10月 | – 及时获取 | – 该患者多次申请获取其医疗记录副本。 – 提供了部分记录,但未提供其特别要求的诊断影像。 – 所有申请的医疗记录在首次申请16个月后才提供。 |
100,000美元+上限,含2年监测期 |
| 10 | 2020年11月 | – 及时获取心理治疗记录 – 合理拒绝获取心理治疗记录 |
– 尽管患者多次要求,仍未向其提供医疗记录副本。 – OCR提供技术协助并结案。 – OCR收到第二份投诉,称患者仍未收到记录。 – 被投诉机构声称因所要求记录包含心理治疗笔记,故无需满足查阅请求。 – 但该机构未遵循HIPAA关于拒绝查阅特定记录的规定,且未提供其他所有要求记录的查阅权限。 – 除心理治疗笔记外,所有要求医疗记录在初次申请20个月后最终提供给患者。 |
25,000美元 + 2年监测期上限 |
| 11 | 2020年11月 | – 及时获取 | – 未向患者提供其医疗记录的访问权限。 – OCR提供技术协助并结案。 – OCR收到第二份投诉,称患者仍未收到记录。 – 所有请求的医疗记录在初次申请26个月后提供。 |
15,000美元+上限,含2年监测期 |
| 12 | 2020年11月 | – 及时获取 – 向第三方传输 – 表格/格式 |
– 未按要求及时以电子格式向第三方提供患者医疗记录。 – 患者权利包括要求及时向第三方传输电子记录的权利。 – 调查认定该覆盖实体未按要求及时提供记录。 – 记录在初始请求6个月后才收到。 |
65,000美元+上限,含2年监测期 |
