HIPAA exige que todos os provedores de saúde oferecer aos pacientes uma Notificação de Práticas de Privacidade antes de usar seus dados. O provedor deve obter a assinatura do paciente , indicando que o paciente leu e compreendeu todas as informações na notificação.
O Aviso de Práticas de Privacidade proporciona ao paciente com informações sobre como suas informações serão protegidas . Ele também inclui informações sobre a forma como os pacientes podem gerenciar suas informações de saúde, incluindo detalhes sobre como ter acesso às suas informações de saúde, como receber avisos de como a informação de saúde tem sido utilizada pelo fornecedor e como solicitar que o acesso aos registos de saúde ser limitada . A notificação deve incluir também informações sobre como fazer correções de erros de informação , como solicitar que as comunicações a respeito de informações de saúde ser feitas de forma confidencial e como apresentar uma queixa, se o paciente acredita que sua privacidade foi violada .
Saúde seguradoras também são obrigados a fornecer periodicamente aos seus clientes com uma Notificação de Práticas de Privacidade indicando suas políticas de privacidade de dados. Eles não são obrigados a recolher assinaturas de pacientes quando o fazem .
Mínimo necessário Padrão
Todos os usos e divulgações de informação médica devem seguir o princípio da norma mínima necessária . A regra padrão mínimo necessário determina que apenas a quantidade mínima de informação que é necessário para as práticas de tratamento de sucesso ou de negócios podem ser divulgados ou disponibilizados a qualquer funcionário de saúde dada ou associado . Regras para a manutenção de práticas mínimos padrões necessários deve ser claro nas políticas da empresa e deve ser aplicada usando controles de acesso ao computador .
Autorização para Uso Adicionais
Se um provedor de saúde, seguradora ou outra entidade pretende usar a informação médica de um paciente para um propósito , tais como pesquisa , de marketing ou de angariação de fundos , então musa obter a autorização suplementar para uso de dados. Deve proporcionar ao paciente uma declaração sobre quais dados serão utilizados e como sua privacidade será protegida. A entidade só poderá utilizar os dados dos pacientes para estes usos adicionais se o paciente retorna um formulário de autorização assinado .
Psicoterapia Privacidade
Notas obtidas durante o curso de uma sessão de psicoterapia são protegida por regras de privacidade mais fortes do que a informação médica normal. Qualquer entidade de saúde que deseja obter ou usar notas de psicoterapia deve obter um formulário de autorização assinado suplementar do participante , a menos que o uso está isento de normas de privacidade da HIPAA.
Exceções Privacidade
Há certos casos em que os dados médicos privados podem ser divulgados ou utilizados sem consentimento. Restrições de privacidade são isentos para fins de saúde pública, vigilância da saúde , a segurança pública ou a segurança nacional . Qualquer informaton que é necessário para a investigação de abuso, negligência ou violência doméstica processos ou outros procedimentos judiciais também não é protegido por HIPAA . Saúde informação sobre pessoas mortas também não está protegido.
Assurances
As empresas que trabalham com informações de saúde , que são coletadas por um prestador de serviços médicos não são obrigados a obter uma assinatura paciente ao executar funções de negócios com os dados. No entanto, eles devem assinar uma garantia contratual, que indica que todos os funcionários da empresa vão seguir as regras e regulamentos da HIPAA.
Privacy Officer
Cada entidade de cuidados de saúde deve designar um diretor de privacidade , que é responsável pela definição e aplicação de normas de privacidade HIPAA conformes. O Aviso de Práticas de Privacidade que é fornecido aos pacientes deve incluir informações sobre como entrar em contato com o oficial de privacidade em caso de dúvida ou reclamação .
HIPAA e Leis Estaduais
HIPAA estabelece um nível mínimo para os padrões de privacidade de dados médica nacional. Todas as leis estaduais que criam padrões de privacidade mais severas podem suplantar as exigências federais que são ditadas pela HIPAA .
Penalidades Violação HIPAA
legislação HIPAA inclui disposições que abrangem as penalidades que pode ser imposta a um indivíduo que violar as políticas de privacidade da HIPAA. Violações que resultam da negligência acidental são geralmente punível com uma multa de US $ 100, enquanto as violações intencionais que resultam em ganho pessoal ou danos aos pacientes pode ser punido com até 250.000 dólares a multa e dez anos de prisão .