公民权利办公室(OCR)继续认真对待所有侵犯HIPAA访问患者病历的权利的指控。如前所述 博客,OCR通过​​对未能及时向患者提供病历信息的医疗保健提供者采取执法行动,来执行患者权利 45 CFR§164.524(b)。提供商必须立即采取措施以避免将来的处罚。就本文而言,该术语“provider” refers to a “Covered Entity”在HIPAA中,包括健康计划,医疗保健提供者(例如,医生,医院)和医疗保健信息交换所。

OCR已解决了16项执法行动(请参阅下面的七个最新行动图表以及上面提到的我们先前的博客,总结了最初的九个)。所有人都要求向OCR支付和解金额,并且各方同意纠正行动计划,该计划通常为期一到两年。

在对所有16项纠正措施进行审查后,我们提出了OCR一贯认为对运作良好的提供商组织至关重要的条款。下表列出了最常见的纠正措施计划要求,尽管并非每项以下规定都包含全部十六个措施计划。然而,在不幸的事件中,如果指控未能遵守访问权标准,则尽可能多地执行这些规定可以减轻潜在的处罚。

我们鼓励提供者查看此列表,并确保在受到指控的情况下,每个项目都可以“checked off” by OCR.

指定隐私官员

提供者必须指定一名负责该实体开发和实施的隐私权官员’的政策和程序,并负责接收隐私投诉。隐私官员还应确保制定和实施政策和程序,并监督合规性。

如果实践很小,则不需要单独雇用。人力资源或办公室经理可以被指定为隐私官员。但是,仅在不施加和执行适用职责的情况下将标题添加到现有员工是不够的。

指定一名个人以查看业务合作伙伴协议(“BAA”) Compliance

指定一个或多个个人,其中可以包括隐私权官员,负责确保与业务伙伴的BAA正确执行。业务伙伴是指执行涉及使用或披露受保护的健康信息(“PHI”)代表提供者。例如,业务伙伴可以是协助索赔处理的第三方,也可以是对提供商进行使用情况审查的顾问。

指定的人员还应负责审查业务伙伴的绩效,并终止与未能允许提供商遵守其政策和程序的业务伙伴的关系。

  • 案子:一家骨科公司支付了75万美元来了结其释放患者的指控’将X射线胶片拍摄给签订合同的实体,该实体可以在不执行BAA的情况下将图像传输到电子媒体。还要求该惯例修改其政策和程序,包括但不限于以下内容:建立评估实体是否为业务伙伴的程序;创建标准模板BAA;建立维持BAA的标准流程。
  • 案子: 一家诊断成像公司支付了300万美元,以了结指控其违反了300,000位患者的PHI的指控。光学字符识别’的调查发现,该公司与供应商(包括其IT支持供应商和第三方数据中心提供商)之间没有适当的BAA。
  • 案子:一家儿科诊所支付了31,000美元,原因是该诊所或其业务合伙人(合同存储该诊所的实体)均未被发现’包含PHI的记录,能够找到已签名的BAA。

制定并实施所需的政策和程序

有必要制定和实施符合管理PHI隐私的联邦法律的书面政策和程序。这些政策和程序应包括但不限于以下内容:

  • 隐私惯例通知:提供者必须制定并向个人提供其隐私惯例通知。该通知应说明提供者如何使用和披露PHI,以及个人对其PHI拥有的权利。应该制定政策来概述这些要求,包括通知的分发方式。
    • 案子: 一家牙科诊所因未充分执行《隐私惯例通知》而向OCR支付了10,000美元。
  • 访问权:必须有针对个人的政策’有权访问他/她的PHI。 HIPAA通常要求提供者在请求后30天内向患者或其法定代表提供检查或获取其病历副本的能力。必须制定程序以确保全面,及时地响应对PHI的请求,并采取符合HIPAA的流程在适当的情况下拒绝PHI请求。如果未制定这些政策和程序,可能会导致执法行动,处以与下表所示类似的罚款。
  • 制裁措施:必须针对不遵守政策和程序的员工制定适当的制裁政策和程序。该程序应要求提供者记录在违反时适用的制裁(如果有)。
    • 案子: 一家医疗机构支付了125,000美元,以了结关于医生未经允许泄露一名患者的指控’记者的PHI。光学字符识别’的调查发现,该做法在未经许可的披露之后未对医生采取任何纪律处分或采取任何纠正措施。
    • 案子:一家卫生系统支付了240万美元,以了结关于未经许可泄露患者的指控’新闻稿中的PHI。 OCR还发现,卫生系统未能及时记录对披露PHI的员工的制裁。
  • 训练:提供商必须就其与HIPAA相关的政策和程序对员工和相关业务伙伴进行培训。 BAA应包含一项要求,即业务伙伴应参加培训并执行政策和程序,以确保其参与培训并与政策和程序合作。
    • 需要参加培训的每个员工和业务伙伴应以电子或书面形式证明自己已接受培训。培训证书还应指定接受培训的日期。
    • 培训材料应至少每年或更长时间(如需要)进行审查和更新。
    • 较大的实体可能有能力向所有员工和相关的业务伙伴提供培训,而较小的实体可能没有足够的资源来致力于这项工作。对于较小的实体的建议是在与商业伙伴的协议中包括合同义务,这要求商业伙伴为自己的员工提供有关必要的HIPPA要求的培训。此外,提供者可能希望考虑聘请能够对员工和/或相关业务伙伴进行有关政策和程序培训的顾问或律师。
      • 案子: 一家骨科诊所支付了150万美元,以了结系统性不遵守HIPAA的指控,包括未向员工提供隐私培训。

更新政策和程序

每年,或者由于情况变化而在适当的时候更频繁地,提供商应评估,更新和修订其政策和程序。指定的隐私权官员应负责确保必要的更新发生。

分发政策和程序

供应商必须向所有员工和相关业务伙伴分发更新后的政策和程序,并保持分发证明(例如,签名或书面证明)。所有员工和相关业务伙伴应及时收到所有更新。

  • 案子: 一家生物遥测公司以250万美元的价格收购了“不了解HIPAA要求。”作为其调查结果的一部分,OCR注意到该实体’政策为草稿形式,尚未执行。

如果提供者避风港’为了实施这些要求,我们敦促他们立即这样做。同时,他们应建立持续的审核流程,以确保员工和业务伙伴遵守提供者的要求’的政策和程序保持一致。审核可以帮助提供者评估是否分发并遵守了政策和程序(例如,是否由所有必要人员签署证书)以及政策,程序和培训是否反映了法律的变化。

针对侵犯访问权的OCR执法是 不是 放慢脚步OCR已在2021年的头两个月宣布了三项和解协议。’OCR总监Roger Severino的第一个执法行动, 陈述: “今年的第一个决议表明,我们的“获取权利倡议”仍在继续发展,并且各种规模的提供者都需要尊重患者有权及时获取其病历的权利。”

尽管超出了本博客的范围,提供者还必须遵守州法律的隐私要求。我们强烈敦促提供商确保已正确实施本博客中讨论的措施以及适用的州要求。否则可能会导致重大的经济处罚。提供者应寻求健康法律顾问,以帮助确定如何最好地进行。

访问权执行权
日期 实体 地点 惩罚 首次请求延迟的近似长度
10/16/20 滨江精神病医疗集团 加利福尼亚里弗赛德 $ 25,000 20个月
10/20/20 Rajendra Bhayani博士(私人执业医生) 纽约富豪公园 $ 15,000 26个月
20/11/12 辛辛那提大学医学中心有限责任公司 俄亥俄州辛辛那提 $ 65,000 6个月
12/17/20 精英初级保健 乔治亚州韦克罗斯 $ 36,000 13个月
1/6/21 标语健康 亚利桑那州凤凰城

亚利桑那州吉尔伯特

$ 200,000 2位患者的要求均延迟5个月
2/2/21 信誉健康, 内华达州里诺 $ 75,000 11个月
2/3/21 Sharp HealthCare d / b / a Sharp Rees-Stealy医疗中心 加利福尼亚圣地亚哥 $ 70,000 6个月