鉴于 COVID-19 爆发,美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 确保 HIPAA 涵盖的实体及其业务伙伴了解患者信息的共享方式在传染病爆发或其他紧急情况下,根据 HIPAA 隐私规则,并提醒人们在紧急情况下不会放弃隐私规则的保护。
背景
1996 年健康保险流通与责任法案 (HIPAA) 隐私规则保护患者健康信息的隐私(受保护的健康信息),但同时确保在治疗患者必要时仍可适当使用和披露信息、保护国家公共卫生以及其他重要目的。
HIPAA 和公共卫生
HIPAA 隐私规则认识到公共卫生当局和其他负责确保公共卫生和安全的人员有必要获取执行其公共卫生使命所需的受保护的健康信息。因此,隐私规则允许所涵盖的实体在未经个人授权的情况下披露所需的受保护健康信息:
法律授权收集或接收此类信息以预防或控制疾病、伤害或残疾的公共卫生机构,例如 CDC 或州或地方卫生部门,例如塔尔萨卫生局。例如,这包括报告疾病或伤害;报告重要事件,例如出生或死亡;进行公共卫生监测、调查或干预。 “公共卫生当局”是美国政府、州、领地、州或领地的政治分区或印第安部落的机构或当局,作为其官方职责的一部分,负责公共卫生事务,例如以及根据公共卫生机构的授权或与公共卫生机构签订的合同行事的个人或实体。请参阅 45 CFR §§ 164.501 和 164.512(b)(1)(i)。例如,涵盖实体可以根据需要持续向 CDC 披露受保护的健康信息,以报告所有先前和未来接触过、疑似或确诊患有新型冠状病毒 (2019-nCoV) 的患者的病例。
披露
向媒体或不参与患者护理/通知的其他人披露:一般情况下,除本公告其他地方描述的有限情况外,向媒体或广大公众肯定性报告可识别的患者,或向未经患者书面授权(或个人代表的书面授权,不得向公众或媒体披露有关可识别患者治疗的具体信息,例如特定测试、测试结果或患者病情的详细信息)合法授权为患者做出医疗保健决定)。有关 HIPAA 授权的要求,请参阅 45 CFR 164.508。如果患者没有反对或限制发布受保护的健康信息,则涵盖的医院或其他医疗保健机构可以根据要求披露有关特定患者姓名的信息,可以发布有限的机构目录信息以确认个人是设施中的患者,并且可以一般性地提供有关患者状况的基本信息(例如,危急或稳定、死亡或已治疗并出院)。如果患者丧失行为能力,并且信息披露被认为符合患者的最佳利益并符合患者之前表达的任何偏好,则涵盖实体也可以披露信息。请参阅 45 CFR 164.510(a)。
对于大多数披露,所涵盖的实体必须做出合理的努力,将披露的信息限制为实现目的的“最低限度必要”。 (最低必要要求不适用于出于治疗目的向医疗保健提供者披露信息。)所涉实体可以依赖公共卫生当局或其他公职人员的陈述,即所请求的信息是达到该目的所需的最低限度(如果这种依赖是合理的)在这种情况下。例如,涵盖实体可能依赖 CDC 的陈述,即 CDC 要求提供的有关所有接触过、疑似或确诊感染新型冠状病毒 (2019-nCoV) 的患者的受保护健康信息是公共卫生目的所需的最低限度。此外,在内部,所涵盖的实体应继续应用其基于角色的访问政策,以将受保护的健康信息的访问权限限制为仅那些需要这些信息来履行职责的员工。请参阅 45 CFR §§ 164.502(b)、164.514(d)。
