Notice of Privacy Practices (NPP) – die Verbindung der meisten Menschen zu HIPAA
Wenn Sie HIPAA erwähnen, beziehen sich die meisten Menschen auf die Notice of Privacy Practices (NPP), die sie im Krankenhaus, beim Arzt, Zahnarzt oder Augenarzt erhalten haben.
Die NPP ist ein Dokument, das Ihre Patienten, Mitarbeiter oder Kunden darüber informiert, wie ihre Gesundheitsinformationen verwendet und weitergegeben werden dürfen, und ihre Datenschutzrechte in Bezug auf geschützte Gesundheitsinformationen (PHI) auflistet. Es ist ein Teil der HIPAA Privacy Rule und eine wichtige Anforderung für Ihre Organisation. Diese Woche werden wir die Anforderungen an eine NPP überprüfen.
Ist Ihre Organisation verpflichtet, eine NPP zu erstellen und zu verteilen?
Sie haben schon einmal eine Notice of Privacy Practices (NPP) erhalten, als Sie zum Arzt gegangen sind. Sie haben eine erhalten, aber ist Ihre Organisation dafür verantwortlich, eine NPP für andere zu erstellen und zu verteilen?
Seit dem 14. April 2003 sind medizinische und zahnmedizinische Anbieter verpflichtet, Patienten eine Kopie einer Notice of Privacy Practices (NPP) zur Verfügung zu stellen.
Als Krankenversicherungsagentur, Geschäftspartner oder Arbeitgebergruppe, die einen Gruppenkrankenversicherungsplan anbietet, müssen Sie nach HIPAA ab 2004 eine Notice of Privacy Practices erstellen und verteilen.
Was genau Sie Ihren Kunden in einer NPP zur Verfügung stellen, ist sehr spezifisch und wie Sie sie verteilen, hängt von Ihrer Branche ab. Unabhängig von Ihrer Größe oder Ihrem Fachgebiet müssen Sie Ihren Patienten, Mitarbeitern oder Kunden eine Notice of Privacy Practices (NPP) zur Verfügung stellen, und diese muss auf Anfrage jederzeit verfügbar sein.
Erstellung der Notice of Privacy Practices (NPP)
Am einfachsten erstellen Sie eine Notice of Privacy Practices (NPP), indem Sie eine Vorlage verwenden; diese kann sicherstellen, dass Sie die Sprache und Informationen enthalten, die das HIPAA-Gesetz verlangt.
Abhängig von Ihrer Branche wird Ihre Notice of Privacy Practices (NPP) unterschiedlich ausfallen. Sie werden viele verschiedene Quellen für Vorlagen finden, aber Vorsicht: nicht alle sind gleich. Sie müssen sich vergewissern, dass die Vorlage aus einer seriösen Quelle stammt und die erforderlichen Informationen enthält. Zum Beispiel können Gesundheitsdienstleister oder Verantwortliche für einen Gesundheitsplan auf der Website des HHS eine Mustervorlage für einen NPP-Hinweis finden.1
Total HIPAA hat eine Notice of Privacy Practices (NPP) erstellt, um die unterschiedlichen Anforderungen für die fünf Märkte, die wir bedienen, zu berücksichtigen.
Für Versicherungsträger und Agenturen sollte Ihr NPP eine Formulierung enthalten, die sich auf den Gramm-Leach-Bliley Financial Modernization Act (auch GLB Act genannt) sowie den HITECH Act bezieht.
Während es Ihnen freisteht, Ihre eigenen NPP-Formate zu entwickeln, die den erforderlichen Text und die erforderlichen Informationen enthalten, stellt Total HIPAA NPP-Vorlagen bereit, die alle erforderlichen Bundeskomponenten sowie einzelstaatliche oder andere Gesetze enthalten, die möglicherweise größere Einschränkungen bei der Offenlegung erfordern.
Außerdem wurden unsere NPPs mit Verbrauchern auf Verständlichkeit und Attraktivität des Designs getestet.
Unabhängig von der Branche muss Ihr NPP eine benutzerfreundliche Sprache und spezifische Informationen enthalten:
- Für alle NPP-Anforderungen verweisen Sie auf die HIPAA-Vorschriften in 45 CFR 164.520(b).
- Kopfzeile: Alle NPPs müssen die Überschrift haben: „Dieser Hinweis beschreibt, wie medizinische Informationen über Sie verwendet und offengelegt werden können und wie Sie Zugang zu diesen Informationen erhalten können. Bitte lesen Sie ihn sorgfältig durch.“
- Erklärung(en) zur Verwendung, Offenlegungen:
- Beschreiben Sie die Arten von Verwendungen oder Offenlegungen von PHI, die ohne Genehmigung der Person erlaubt sind.
- Beschreiben Sie die Arten von Verwendungen oder Offenlegungen, die eine Genehmigung erfordern oder denen die Person widersprechen kann:
- Psychotherapie-Notizen
- Verwendung von PHI für Marketingzwecke
- Der Verkauf von PHI
- Andere Verwendungen und Offenlegungen, die nicht in der NPP beschrieben sind, können nur mit der Autorisierung des Individuums gemacht werden.
- Individuen, dass sie sich aus der Werbung heraushalten können.
- (Nur für Anbieter) Der NPP muss angeben, dass Individuen die Möglichkeit haben, bestimmte Offenlegungen von PHI gegenüber einem Gesundheitsplan einzuschränken, wenn das Individuum den Artikel oder die Dienstleistung der Gesundheitsversorgung vollständig aus eigener Tasche bezahlt.
- Individuelle Rechte: Spezifische individuelle Rechte gemäß der Privacy Rule müssen beschrieben werden. Zu diesen Rechten gehören das Recht, Beschränkungen für die Verwendung oder Weitergabe von PHI zu verlangen, das Recht auf Einsicht, Kopie und Änderung von PHI.
- Verantwortlichkeiten der betroffenen Einrichtung: Der NPP muss die Pflichten der betroffenen Einrichtung spezifizieren, zu denen die gesetzliche Verpflichtung gehört, die Privatsphäre der PHI von Einzelpersonen zu schützen.
- Zusätzliche Überlegungen:
- Das Datum des Inkrafttretens des NPP muss Teil der Mitteilung sein. Der Name oder Titel und die Telefonnummer einer Person beim Gesundheitsplan oder Anbieter, an die Fragen gerichtet werden können, müssen enthalten sein.
- Informationen darüber, wie man eine Beschwerde bei der Organisation einreichen kann, müssen bereitgestellt werden. Obwohl die NPP auch darüber informieren muss, dass Beschwerden beim HHS eingereicht werden können, muss die NPP nicht detailliert beschreiben, wie dies zu tun ist.
- Die endgültige Datenschutzrichtlinie verlangt, dass die NPP eine Erklärung enthält, die Einzelpersonen über das Recht informiert, nach einer Verletzung von ungesicherten PHI benachrichtigt zu werden.
Verteilung der Notice of Privacy Practices (NPP)
Bei der Verteilung Ihrer NPP gibt es allgemeine Anforderungen, die jede Branche kennen sollte:
- Jeder, der um eine Kopie bittet, muss eine erhalten.
- Versicherte Unternehmen müssen ihre NPP deutlich sichtbar am physischen Standort aushängen.
- Sie müssen es auf ihrer Website aushängen, wenn die Seite Informationen über Kundendienste oder Vorteile bietet.
In den folgenden Punkten finden Sie branchenspezifische Anforderungen für die Verteilung des NPP:
Medizinische und zahnmedizinische Anbieter:
- Sie müssen ein Exemplar an gut sichtbarer Stelle in der Praxis aushängen, auf Ihrer Website (wenn die Praxis eine hat) und dokumentieren, dass jeder Patient eines erhalten hat.
Versicherungsagenturen:
- Wenn die Agentur einen Gruppenkrankenversicherungsplan innerhalb der Organisation anbietet, muss jeder Mitarbeiter eine erhalten.
- Die Agentur muss an Einzelpersonen verteilen (nur ein Exemplar pro Familie, egal wie viele Personen in der Familienversicherung sind) und wenn es sich um einen Gruppenplan handelt, muss die Agentur ein Exemplar an das Unternehmen (als Kunde) geben und das Unternehmen ist für die Verteilung an jeden Mitarbeiter verantwortlich.
Arbeitgebergruppen:
- Verteilen Sie das NPP an Mitarbeiter, die Teil des angebotenen Gruppengesundheitsplans sind.
Geschäftspartner:
- Wenn der Geschäftspartner einen Gruppengesundheitsplan anbietet, muss ein Exemplar an jeden Mitarbeiter gehen.
Bestätigung des NPP
Das HIPAA-Gesetz verlangt von Ärzten, Krankenhäusern oder anderen Gesundheitsdienstleistern, Aufzeichnungen darüber zu führen, dass Kunden oder Mitarbeiter den Hinweis erhalten haben. Sie können dies tun, indem Sie sich eine Unterschrift geben lassen, die bestätigt, dass die Person den NPP erhalten hat, oder ein datiertes Protokoll über die Verteilung des NPP führen.
- Eine Unterschrift bedeutet nicht, dass der Kunde/Mitarbeiter einer besonderen Verwendung oder Weitergabe (Sharing) von Gesundheitsdaten zugestimmt hat.
- Die Weigerung, eine Bestätigung zu unterschreiben, hindert einen Anbieter oder Plan nicht daran, Gesundheitsdaten so zu verwenden oder offenzulegen, wie es der HIPAA erlaubt.
- Wenn Ihr Kunde oder Patient sich weigert, eine Bestätigung zu unterschreiben, muss der Anbieter diese Tatsache aufzeichnen.
Aktualisierung und Pflege des NPP
Sie sollten Ihren NPP mindestens einmal alle drei Jahre aktualisieren. Im Einzelnen:
- Die Patienten eines Gesundheitsdienstleisters müssen an die Existenz des NPP erinnert und darüber informiert werden, wie sie eine Kopie erhalten können, wenn sie es wünschen.
- Versicherungsträger und Agenturen müssen jährlich einen NPP versenden, solange die Kundenbeziehung andauert.