Notice of Privacy Practices (NPP) – het verband tussen de meeste mensen en HIPAA
Wanneer u het hebt over HIPAA, verwijzen de meeste mensen naar de Notice of Privacy Practices (NPP) die ze hebben ontvangen in het ziekenhuis, bij de dokter, tandarts of oogarts.
De NPP is een document waarin uw patiënten, werknemers of klanten wordt verteld hoe hun gezondheidsinformatie mag worden gebruikt en gedeeld en waarin hun privacyrechten met betrekking tot Protected Health Information (PHI) worden opgesomd. Het is een onderdeel van de HIPAA-privacyregel en een belangrijke vereiste voor uw organisatie. Deze week bekijken we de vereisten voor een NPP.
Is uw organisatie verplicht een NPP op te stellen en te verspreiden?
U hebt wel eens een Notice of Privacy Practices (NPP) ontvangen toen u naar de dokter ging. U hebt er een ontvangen, maar is uw organisatie verantwoordelijk voor het opstellen en verspreiden van een NPP voor anderen?
Sinds 14 april 2003 zijn medische en tandheelkundige zorgverleners verantwoordelijk voor het verstrekken aan patiënten van een exemplaar van een Notice of Privacy Practices (NPP).
Als ziektekostenverzekeraar, business associate, of een werkgeversgroep die een collectief ziektekostenplan aanbiedt, bent u volgens de HIPAA vanaf 2004 verplicht een Notice of Privacy Practices op te stellen en te verspreiden.
Wat u precies in een NPP aan uw cliënten moet verstrekken, is zeer specifiek en hoe u het verspreidt, hangt af van uw bedrijfstak. Ongeacht uw grootte of specialiteit moet u uw patiënten, werknemers of cliënten een Verklaring van Privacy Practices (NPP) verstrekken en deze moet op verzoek te allen tijde beschikbaar worden gesteld.
Maken van de Verklaring van Privacy Practices (NPP)
De eenvoudigste manier om een Verklaring van Privacy Practices (NPP) op te stellen is gebruik te maken van een sjabloon; dit kan ervoor zorgen dat u de taal en informatie opneemt die de HIPAA-wet vereist.
Uw Notice of Privacy Practices (NPP) zal verschillen afhankelijk van uw branche. U vindt veel verschillende bronnen voor sjablonen, maar let op: ze zijn niet allemaal gelijk. U moet er zeker van zijn dat het sjabloon afkomstig is van een gerenommeerde bron en dat het de vereiste informatie bevat. Zorgaanbieders of degenen die verantwoordelijk zijn voor een gezondheidsplan kunnen bijvoorbeeld de website van de HHS raadplegen voor een model voor een NPP-kennisgeving.1
Total HIPAA heeft een Notice of Privacy Practices (NPP) opgesteld om de afzonderlijke vereisten weer te geven voor de vijf markten die wij bedienen.
Voor verzekeringsmaatschappijen en -agentschappen moet uw NPP taal bevatten die verwijst naar de Gramm-Leach-Bliley Financial Modernization Act (Aka GLB Act), evenals de HITECH Act.
Hoewel het u vrij staat uw eigen NPP-formats te ontwikkelen die de vereiste tekst en informatie bevatten, biedt Total HIPAA NPP-sjablonen die alle vereiste federale componenten bevatten, evenals staats- of andere wetten die grotere beperkingen op openbaarmakingen kunnen vereisen.
Daarnaast zijn onze NPP’s getest bij consumenten op begrijpelijkheid en aantrekkelijkheid van het ontwerp.
Gelijk in welke branche, uw NPP moet gebruikersvriendelijke taal en specifieke informatie bevatten:
- Voor alle NPP-vereisten, referentie HIPAA-regelgeving in 45 CFR 164.520(b).
- Header: Alle NPP’s moeten de koptekst hebben: “Deze kennisgeving beschrijft hoe medische informatie over u kan worden gebruikt en openbaar gemaakt en hoe u toegang tot deze informatie kunt krijgen. Gelieve deze zorgvuldig te lezen.”
- Gebruiksverklaring(en), Openbaarmakingen:
- Schrijf de soorten gebruik of openbaarmaking van PHI die zijn toegestaan zonder toestemming van de persoon.
- Schrijf de soorten gebruik of openbaarmaking die toestemming vereisen of waarvoor de persoon kan kiezen om af te zien:
- Psychotherapienotities
- Gebruik van PHI voor marketingdoeleinden
- De verkoop van PHI
Andere gebruiken en openbaarmakingen die niet in het NPP zijn beschreven, kunnen alleen worden gedaan met toestemming van de persoon.
- Individuen dat ze zich kunnen afmelden voor fondsenwervende communicatie.
- (Alleen aanbieder) NPP moet vermelden dat individuen de mogelijkheid hebben om bepaalde openbaarmakingen van PHI aan een gezondheidsplan te beperken wanneer het individu volledig out-of-pocket betaalt voor het gezondheidszorgartikel of de dienst.
- Verantwoordelijkheden van de gedekte entiteit: In het NPP moeten de plichten van de betrokken entiteit worden gespecificeerd, waaronder de wettelijke verplichting om de privacy van de PHI van personen te handhaven.
- Aanvullende overwegingen:
- De ingangsdatum van het NPP moet deel uitmaken van de kennisgeving. De datum kan niet vroeger zijn dan de datum van publicatie van 14 april 2003, of 2004 voor kleine gezondheidsplannen.De naam of titel en het telefoonnummer van een persoon bij het gezondheidsplan of de provider aan wie vragen kunnen worden gericht moet worden opgenomen.
- Informatie over hoe een klacht in te dienen bij de organisatie moet worden verstrekt. Hoewel het NPP mensen ook moet informeren dat klachten kunnen worden ingediend bij HHS, hoeft het NPP niet in detail te beschrijven hoe dit moet worden gedaan.
- De definitieve Privacyregel vereist dat het NPP een verklaring bevat waarin personen worden geïnformeerd over het recht om te worden geïnformeerd na een inbreuk op niet-beveiligde PHI.
Individuele rechten: Specifieke individuele rechten op grond van de Privacy Rule moeten worden beschreven. Deze rechten omvatten het recht om beperkingen op het gebruik of de openbaarmaking van PHI te vragen, het recht om PHI te inspecteren, te kopiëren en te wijzigen.
Distributie van de Notice of Privacy Practices (NPP)
Bij de distributie van uw NPP zijn er algemene vereisten die elke sector moet kennen:
- Iedereen die om een exemplaar vraagt, moet er een krijgen.
- Dekkende entiteiten moeten hun NPP duidelijk zichtbaar ophangen op de fysieke locatie.
- Op hun websites plaatsen als de site informatie over klantendiensten of voordelen biedt.
Refereer naar de onderstaande punten voor sectorspecifieke vereisten met betrekking tot het verspreiden van het NPP:
Medische en tandheelkundige zorgaanbieders:
- Heb er een op een prominente plaats in de praktijk opgehangen, op uw website (als de praktijk er een heeft), en gedocumenteerd dat elke patiënt er een heeft ontvangen.
Verzekeringsinstanties:
- Als de instantie een collectieve ziektekostenregeling binnen de organisatie aanbiedt, moet er een naar elke werknemer gaan.
- Het bureau moet aan individuen distribueren (slechts één exemplaar per gezin, ongeacht het aantal personen in de gezinsdekking) en als het een groepsplan is, moet het bureau een exemplaar aan het bedrijf (als opdrachtgever) verstrekken en is het bedrijf verantwoordelijk voor de distributie aan elke werknemer.
Werkgeversgroepen:
- Distribueer het NPP aan werknemers die deel uitmaken van het aangeboden groepsgezondheidsplan.
Zakelijke partners:
- Als de zakelijke partner een groepsgezondheidsplan aanbiedt, moet elke werknemer een exemplaar ontvangen.
Bevestiging van het NPP
De HIPAA-wet vereist dat artsen, ziekenhuizen of andere zorgverleners bijhouden dat cliënten of werknemers de kennisgeving hebben ontvangen. U kunt dit doen door een handtekening te vragen ter bevestiging dat de persoon het NPP heeft ontvangen of door een gedateerd logboek bij te houden van de verspreiding van het NPP.
- Een handtekening betekent niet dat de cliënt/werknemer heeft ingestemd met speciaal gebruik of openbaarmaking (delen) van gezondheidsdossiers.
- Weigering om een erkenning te ondertekenen weerhoudt een dienstverlener of plan er niet van gezondheidsinformatie te gebruiken of openbaar te maken zoals HIPAA toestaat.
- Als uw cliënt of patiënt weigert een erkenning te ondertekenen, moet de dienstverlener dit feit bijhouden.
- Als zorgverlener kunt u een patiënt die voor het eerst een NPP ontvangt, laten ondertekenen dat hij of zij een NPP heeft ontvangen en het ondertekende document vervolgens in het persoonlijke dossier scannen.
- Laat de betrokkene een machtiging voor het elektronisch ontvangen van het NPP bekijken en ondertekenen wanneer hij of zij het NPP voor toekomstige kennisgevingen krijgt.
Het NPP bijwerken en onderhouden
U dient uw NPP ten minste eens in de drie jaar bij te werken. Specifiek:
- De patiënten van een zorgverlener moeten worden herinnerd aan het bestaan van het NPP en worden geïnformeerd over hoe zij een kopie kunnen krijgen als zij dat willen.
- Verzekeringsmaatschappijen en -agentschappen moeten jaarlijks een NPP sturen zolang de klantrelatie duurt.