Powiadomienie o praktykach ochrony prywatności (NPP) – związek większości ludzi z HIPAA
Gdy wspomnisz o HIPAA, większość ludzi odniesie się do Powiadomienia o praktykach ochrony prywatności (NPP), które otrzymali w szpitalu, u lekarza, dentysty lub okulisty.
NPP to dokument, który mówi Twoim pacjentom, pracownikom lub klientom, w jaki sposób ich informacje zdrowotne mogą być wykorzystywane i udostępniane oraz wymienia ich prawa do prywatności związane z chronionymi informacjami zdrowotnymi (PHI). Jest to część HIPAA Privacy Rule i kluczowy wymóg dla Twojej organizacji. W tym tygodniu przeanalizujemy wymagania dotyczące NPP.
Czy Twoja organizacja jest zobowiązana do tworzenia i rozpowszechniania NPP?
Byłeś na końcu otrzymywania Zawiadomienia o praktykach ochrony prywatności (NPP), kiedy poszedłeś do lekarza. Otrzymałeś ją, ale czy Twoja organizacja jest odpowiedzialna za stworzenie i dystrybucję NPP dla innych?
Od 14 kwietnia 2003 r. dostawcy usług medycznych i stomatologicznych są zobowiązani do dostarczenia pacjentom kopii Powiadomienia o praktykach ochrony prywatności (NPP).
Jako agencja ubezpieczeń zdrowotnych, partner biznesowy, lub grupa pracodawców, która zapewnia grupowy plan zdrowotny, HIPAA wymaga od Ciebie stworzenia i rozpowszechniania Powiadomienia o praktykach ochrony prywatności od 2004 roku.
Dokładnie to, co przekazujesz swoim klientom w NPP jest bardzo specyficzne, a sposób dystrybucji zależy od Twojej branży. Niezależnie od wielkości lub specjalizacji, musisz zapewnić swoim pacjentom, pracownikom lub klientom Zawiadomienie o praktykach ochrony prywatności (NPP) i musi być ono dostępne na żądanie w dowolnym czasie.
Tworzenie Zawiadomienia o praktykach ochrony prywatności (NPP)
Najprostszym sposobem na stworzenie Zawiadomienia o praktykach ochrony prywatności (NPP) jest użycie szablonu; może to zapewnić, że uwzględnisz język i informacje wymagane przez prawo HIPAA.
Twoje Powiadomienie o praktykach ochrony prywatności (NPP) będzie się różnić w zależności od branży. Można znaleźć wiele różnych źródeł dla szablonów, ale uwaga: nie wszystkie są równe. Należy upewnić się, że szablon pochodzi z renomowanego źródła i że zawiera wymagane informacje. Na przykład, dostawcy usług zdrowotnych lub osoby odpowiedzialne za plan zdrowotny mogą odwołać się do strony internetowej HHS, gdzie znajduje się wzór zawiadomienia NPP.1
Total HIPAA stworzył zawiadomienie o praktykach ochrony prywatności (NPP), aby odzwierciedlić odrębne wymagania dla pięciu rynków, które obsługujemy.
Dla przewoźników i agencji ubezpieczeniowych, Twoje NPP powinno zawierać język odnoszący się do Gramm-Leach-Bliley Financial Modernization Act (Aka GLB Act), jak również HITECH Act.
Mimo, że mogą Państwo swobodnie opracowywać własne formaty NPP, które zawierają wymagany tekst i informacje, Total HIPAA dostarcza szablony NPP, które zawierają wszystkie wymagane elementy federalne, jak również stanowe lub inne prawa, które mogą wymagać większych ograniczeń w zakresie ujawniania informacji.
Ponadto, nasze NPP zostały przetestowane z udziałem konsumentów pod kątem łatwości zrozumienia i atrakcyjności projektu.
Niezależnie od branży, Twoje NPP musi zawierać przyjazny dla użytkownika język i określone informacje:
- W zakresie wszystkich wymagań dotyczących NPP, odnieś się do przepisów HIPAA w 45 CFR 164.520(b).
- Nagłówek: Wszystkie NPP muszą mieć nagłówek: „Niniejsze zawiadomienie opisuje, w jaki sposób informacje medyczne na Państwa temat mogą być wykorzystywane i ujawniane oraz w jaki sposób mogą Państwo uzyskać dostęp do tych informacji. Prosimy o uważne zapoznanie się z jego treścią.”
- Oświadczenie(a) o wykorzystywaniu, ujawnianiu:
- Opisanie rodzajów zastosowań lub ujawnień PHI, które są dozwolone bez upoważnienia osoby fizycznej.
- Opisanie rodzajów zastosowań lub ujawnień, które wymagają upoważnienia lub z których osoba fizyczna może zrezygnować:
- Notatki psychoterapeutyczne
- Używanie PHI do celów marketingowych
- Sprzedaż PHI
- Inne zastosowania i ujawnienia, które nie zostały opisane w NPP, mogą być dokonywane wyłącznie za zgodą osoby fizycznej.
- Osoby fizyczne, które mogą zrezygnować z otrzymywania informacji o pozyskiwaniu funduszy.
- (Tylko dostawca) NPP musi stwierdzać, że osoby fizyczne mają możliwość ograniczenia niektórych ujawnień PHI do planu opieki zdrowotnej, gdy osoba fizyczna płaci w całości z własnej kieszeni za przedmiot lub usługę opieki zdrowotnej.
- Prawa jednostki: Należy opisać konkretne prawa jednostki zgodnie z Zasadami Prywatności. Prawa te obejmują prawo do żądania ograniczenia wykorzystania lub ujawnienia PHI, prawo do wglądu, kopiowania i zmiany PHI.
- Obowiązki podmiotu objętego ochroną: The NPP must specify the covered entity’s duties, which include the requirement, under the law, to maintain the privacy of individuals' PHI.
- Additional considerations:
- Data wejścia w życie NPP musi być częścią powiadomienia. Data ta nie może być wcześniejsza niż data publikacji 14 kwietnia 2003 r. lub 2004 r. dla małych planów zdrowotnych. Nazwisko lub tytuł i numer telefonu osoby w planie zdrowotnym lub dostawcy, do której można kierować pytania, muszą być zawarte.
- Informacja o tym, jak złożyć skargę do organizacji musi być dostarczona. Chociaż NPP musi również informować ludzi, że skargi mogą być składane do HHS, NPP nie musi szczegółowo opisywać, jak to zrobić.
- Ostateczne Zasady Prywatności wymagają, aby NPP zawierały oświadczenie informujące osoby o prawie do bycia powiadomionym po naruszeniu niezabezpieczonych PHI.
Dystrybucja Zawiadomienia o praktykach ochrony prywatności (NPP)
Przy dystrybucji NPP, istnieją ogólne wymagania, które każda branża powinna znać:
- Każdy, kto prosi o kopię, musi ją otrzymać.
- Podmioty objęte obowiązkiem muszą w widocznym miejscu zamieścić swoje NPP w fizycznej lokalizacji.
- Postawić na swojej stronie internetowej, jeżeli strona ta zawiera informacje o usługach lub korzyściach dla klienta.
Odnieś się do poniższych punktów, aby zapoznać się z wymaganiami branżowymi dotyczącymi dystrybucji NPP:
Dostawcy medyczni i stomatologiczni:
- Mieć jeden egzemplarz wywieszony w widocznym miejscu w biurze, na swojej stronie internetowej (jeżeli praktyka ją posiada) i udokumentowane, że każdy pacjent go otrzymał.
Agencje ubezpieczeniowe:
- Jeśli agencja zapewnia grupowy plan zdrowotny w organizacji, jeden musi trafić do każdego pracownika.
- Agencja musi rozprowadzić wśród osób indywidualnych (tylko jeden egzemplarz na rodzinę, bez względu na to, ile osób jest objętych ubezpieczeniem rodzinnym), a jeśli jest to plan grupowy, agencja musi dostarczyć kopię do firmy (jako klienta), a firma jest odpowiedzialna za rozprowadzenie jej wśród każdego pracownika.
Grupy pracodawców:
- Rozprowadzić NPP wśród pracowników, którzy są częścią oferowanego Grupowego Planu Zdrowotnego.
Podmioty współpracujące:
- Jeśli podmiot współpracujący zapewnia grupowy plan zdrowotny, jeden egzemplarz musi trafić do każdego pracownika.
Potwierdzenie otrzymania NPP
Prawo HIPAA wymaga od lekarzy, szpitali i innych podmiotów świadczących usługi opieki zdrowotnej prowadzenia dokumentacji potwierdzającej, że klienci lub pracownicy otrzymali zawiadomienie. Można to zrobić uzyskując podpis potwierdzający, że dana osoba otrzymała NPP lub prowadząc datowany dziennik dystrybucji NPP.
- Podpis nie oznacza, że klient/pracownik zgodził się na jakiekolwiek specjalne wykorzystanie lub ujawnienie (udostępnienie) dokumentacji zdrowotnej.
- Odmowa podpisania potwierdzenia nie uniemożliwia świadczeniodawcy lub planowi wykorzystania lub ujawnienia informacji zdrowotnych w sposób dozwolony przez HIPAA.
- Jeżeli klient lub pacjent odmówi podpisania potwierdzenia, świadczeniodawca musi odnotować ten fakt.
- Jako dostawca usług zdrowotnych, możesz poprosić pacjenta, który po raz pierwszy podpisał, że otrzymał NPP, a następnie zeskanować podpisany dokument do jego akt osobowych.
- Poproś daną osobę, aby przejrzała i podpisała zgodę na otrzymywanie NPP drogą elektroniczną, gdy otrzyma NPP do przyszłych powiadomień.
Aktualizacja i utrzymanie NPP
Powinno się aktualizować NPP co najmniej raz na trzy lata. W szczególności:
- Pacjentom dostawcy usług medycznych należy przypomnieć o istnieniu NPP i poinformować ich o sposobie uzyskania kopii, jeśli chcą ją otrzymać.
- Przewoźnicy ubezpieczeniowi i agencje muszą wysyłać NPP co roku, tak długo jak trwa relacja z klientem.
.