在雇主准备应对冠状病毒(COVID-19)可能带来的影响之际,一个重要步骤是审查《健康保险可携带性和问责法》(HIPAA)在危机时期允许和不允许的健康披露类型。
来源:Lightspring / Shutterstock
“联邦隐私法,如HIPAA,可能会给许多计划发起人带来复杂性,因为他们试图权衡感染COVID-19的员工或家属的隐私权利与维护公共安全,包括员工或家属的同事、家人和朋友的隐私,”a博客来自摩根·刘易斯的律师萨吉·法塔希安和米歇尔·麦卡锡
最近的一次公告美国卫生与公众服务部(HHS)澄清了HIPAA隐私规则的适用,包括它们在冠状病毒背景下的公共健康信息披露例外。
“隐私保护的规则不预留在紧急情况下,“但规则仍然允许受保护的健康信息(φ)使用和披露“必要时治疗一个病人,保护国家的公共卫生,和其他重要用途,”美国卫生和公众服务部民权办公室(OCR)解释说。
OCR发布公告“是为了确保HIPAA涵盖的实体及其业务伙伴了解在传染病爆发或其他紧急情况下,根据HIPAA隐私规则可以共享患者信息的方式”。该机构定期发布此类指导,以应对自然灾害、大规模枪击事件和2014年埃博拉疫情等危机。
“最重要的是要记住,即使在公共卫生紧急情况下,HIPAA的基本要求仍然适用,”根据明茨·莱文的律师克里斯汀·马罗塔HIPAA允许受保护实体在未经患者授权的情况下使用和披露PHI进行治疗、支付和医疗保健操作。然而,她指出,公共卫生紧急情况的存在“并不意味着受覆盖的实体可以为其他目的自由披露PHI”。“将PHI泄露给媒体或其他没有参与病人护理的人通常是不允许的。”
最新的OCR公告讨论了HIPAA允许的治疗、公共卫生活动和“防止严重和迫在眉睫的威胁”以及个人的家人或朋友的信息披露。
公共健康信息披露包括向疾病控制和预防中心或州或地方卫生部门披露的信息,这些信息“被法律授权收集或接收这些信息,以预防或控制疾病、伤害或残疾,”OCR说。在国内或外国公共卫生当局的指示下,或经另一项法律授权,向有风险的个人披露PHI。
HIPAA允许向家人、朋友和其他参与个人护理的人披露PHI值,“在必要时确定、定位并通知家人……患者的位置、一般情况或死亡,”OCR继续说。“这可能包括,在必要时通知家人和其他人,警察,新闻界,或广大公众。”
然而,OCR指出,在其他情况下,“向媒体或公众肯定地报道可识别患者的情况,或向公众或媒体披露可识别患者的具体治疗信息”在没有得到其书面授权的情况下仍然是被禁止的。通常,φ必须限制在最低必要披露,尽管“覆盖实体可能依赖表示从卫生行政部门或其他政府官员所请求的信息所必需的最小的目的,当这种依赖是合理的情况下。”
雇主外卖
“由于违反HIPAA的财务和实际成本都可能很高,受保护的实体及其业务伙伴非常有必要认真对待美国卫生与公众服务部的这一提醒。”警告凯文的长费舍尔菲利普斯.“因此,即使在具有挑战性的情况下,确保遵守隐私规则的这些使用和披露细节也是很重要的。”
Fattahian和McCarthy表示,现在是再次强调禁止无合法目的查阅个人健康记录的政策的好时机。他们说:“雇主应该始终警惕雇员窥探,因为这会带来重大的隐私风险,但对那些受HIPAA隐私规则约束的雇主来说,这一点尤其严重。”“我们建议利用人们对COVID-19的好奇心和媒体关注,以此为契机,提醒那些可以接触PHI的员工,他们在HIPAA下应承担的责任。”
 David a .屠杀资深法律内容专家。他专注于提供、编辑和更新与员工福利和隐私合规相关的内容,包括汤普森人力资源福利产品。在来BLR之前,他是汤普森信息服务公司(Thompson Information Services)的员工福利合规编辑。他持有the University of Virginia的法律学位,以及Dartmouth College的学士学位。他是弗吉尼亚州律师协会的准会员。问题吗?评论?大卫在联系dslaughter@blr.com有关此主题的更多信息。 |