hospitais e outros prestadores de cuidados de saúde devem proteger a privacidade de " informações de identificação individual de saúde ", seja no papel, comunicada verbalmente ou em formato electrónico . As organizações devem ter políticas em vigor para definir acesso baseado em função de informações pessoais de saúde para fins de tratamento, pagamento ou operações. Somente os membros da equipe com a necessidade de saber informações específicas podem ter acesso aos registros eletrônicos de pacientes .
Interesse Público e de Benefícios Atividades
HIPAA permite a divulgação de informações de saúde protegidas para dispositivos médicos recall .
Organizações devem familiarizar-se com as prioridades nacionais designados que permitem a divulgação de informações de saúde protegidas sem o consentimento do paciente ou de seu representante. HIPAA identifica 12 " fins de interesse público ", cada um dos quais tem limitações e condições destinadas a equilibrar o interesse público com a privacidade pessoal . Algumas divulgações permitidas enumerados como fins de interesse público incluem recalls de dispositivos médicos aprovados pela FDA , a protecção das vítimas de violência doméstica, abuso e negligência , casos envolvendo suspeita de atividade criminosa e as respostas às ordens judiciais .
empregadores
Empregadores com uma enfermeira no local devem estar de acordo com os requisitos da HIPAA.
empregadores podem receber informações médicas confidenciais sobre lesão on- the-job de um empregado. Se um empregador fornece uma enfermeira de saúde dos funcionários no local, oferece um programa de bem-estar empregado ou tem um plano de seguro de auto-seguro , o empregador deve fornecer as mesmas proteções de privacidade e segurança para registros pessoais de saúde como para registros em hospitais e consultórios médicos .
formação contínua
organizações devem fornecer treinamento HIPAA para os funcionários apropriados.
empregadores sujeitos a HIPAA deve treinar os novos contratados e fornecer treinamento sobre atualizações HIPAA quando implementadas . Os empregadores devem também fornecer treinamento no rescaldo de quaisquer violações HIPAA.
Organizações que oferecem contas de despesas flexíveis
empregadores que oferecem clientes flexíveis da despesa deve ter administradores de planos HIPAA conformes.
Se um empregador oferece uma conta de despesas flexíveis (FSA ), que permite que os funcionários a deixar de lado dólares antes de impostos para despesas médicas fora do bolso , o empregador deve garantir que o administrador da FSA atende às diretrizes de conformidade HIPAA. Os empregadores também podem precisar de um acordo de HIPAA- compliant " colega de trabalho " com o administrador do FSA .
Escrito Procedimento para investigação de queixa
O procedimento escrito facilita uma revisão completa de uma queixa HIPAA .
As organizações devem ter um plano escrito para investigar denúncias HIPAA. Regras HIPAA não o mandato de um procedimento escrito; no entanto , as organizações podem utilizar os seus planos escritos como parte de sua documentação sobre as medidas tomadas para investigar, corrigir e resolver as reclamações . A documentação investigativo também pode evitar a recorrência de processos problemáticos . HIPAA pode conceder 30 dias para as organizações para corrigir uma infração HIPAA não intencional.
Multas
Um HIPAA violação intencional pode resultar em uma multa.
As organizações que não cumprem mandatos HIPAA para proteger a privacidade ea segurança das informações médicas confidenciais podem enfrentar multas de US $ 100 a US $ 50.000 ou mais por infração. O Escritório de Direitos Civis devem notificar a organização de não cumprir com os requisitos da HIPAA , ea organização receberá oportunidades para fornecer evidência de que pode reduzir a pena .