亞洲健康互聯
優化產業的推手,生醫商機的GPS!

首頁最新消息生技電影電視劇《芝加哥醫院 Chicago MED》了解 HIPAA 隱私規則

電視劇《芝加哥醫院 Chicago MED》了解 HIPAA 隱私規則

來源 : Summer Weng 整理編輯
update : 2018/04/20
海報取自網路

NBC電視劇《芝加哥醫院 Chicago MED》是《芝加哥烈焰 Chicago Fire》和《芝加哥警署 Chicago PD》衍生的劇集。描述芝加哥一家醫院急診室的忙碌工作和各式挑戰─從醫院的政治角力、經營管理、醫療難題到醫護人員甚至醫病關係等等。透過每集緊湊又帶有張力的劇情,一窺劇中醫院先進的醫療設備、流程管理與醫療法規等。

讓人印象極為深刻的一集是,一位由救護車送至急診室的孕婦病患感染上了「性傳染疾病(STD)」,但因病患的丈夫 (自己也感染上了「性傳染疾病(STD)」,因此也成為該院的病人) ,不願告知妻子自己曾經有過不合適的婚外性行為,而傳染STD給懷孕的妻子在「健康保險可攜性及責任法案」HIPAA (The Health Insurance Portability & Accountability Act) 隱私規則的規範下,醫生無法告知孕婦病患染病原因,只能無奈地目送不願接受治療的丈夫病患,與不明就裡的孕妻病患離開急診室….

雖然台灣已有個人資料保護法,但似乎不像HIPAA在美國對病患隱私保護執行的徹底,或說是對醫療義務的認知不同,推測上述劇情若是發生在台灣,部份醫院管理單位和醫護人員可能會做出與該集不同的選擇。

究竟該如何實際執行
立意良善的法規?今日先不著墨。倒是藉著這集讓人有點吃驚的劇情,了解美國這個讓醫院管理單位和醫護人員都不敢跨越的 「健康保險可攜性及責任法案」HIPAA (The Health Insurance Portability & Accountability Act) 隱私規則:

背景:
該法案是 1996 年通過的美國聯邦法律,要求健康保險(包括心理健康醫療)提供者確保患者紀錄和健康資訊的隱私。HIPAA 要求聯邦衛生與公共服務部(HHS)制定實施這些隱私要求的條例,稱為《隱私規則》,於 2003 4 14 日生效。對於醫療隱私提供更嚴格保護的州法令即使在 HIPAA 之後也繼續有效

一般規定:
HIPPA《隱私規則》(《聯邦法規》第 45 章第 160 164 部分)首次就健康和心理健康資訊隱私提供全面的聯邦保護。《規則》旨在提供有力的法律保護,確保個人健康資訊隱私,而不干預患者獲取治療、醫療運作或護理品質。

《隱私規則》適用於「相關實體」,一般包括以電子形式傳送健康資訊的醫療保險計劃和服務提供者。相關實體幾乎包括所有的門診、居住或住院類的健康和心理健康服務提供者,以及收取醫療服務費用的其他人或組織。

《隱私規則》的基本原則:
1. 《隱私規則》包括所有「受保護的健康資訊」(Protected Health Information, PHI),其中包括相關實體以電子、紙面或口頭陳述形式持有或傳送,可以確定個人身份的健康或心理健康資訊。

2. 《隱私規則》的主要目的是規定和限制相關實體揭露個人 PHI 的情況。一般而言,除以下情形外,相關實體不得使用或向他人揭露PHI
a. 《隱私規則》允許或要求者;或是
b. 健康資訊主體(或私人代表)授權者。符合 HIPAA 要求的授權書必須包含《隱私規則》要求的具體資訊。

3. 相關實體必須應個人(或其私人代表)的請求,允許他們查看自己的PHI(有准許的拒絕理由除外),也必須提供向他人揭露 PHI 的清單。

4. 《隱私規則》取代州法,但提供更大保護或是賦予個人對自己的 PHI更大查看權的州法繼續有效。(注意:欲確定特定情況下是否允許揭露醫療資訊,不僅須查閱 HIPAA,亦須查閱其他相關的聯邦法律(如 Medicaid 及聯邦資助的物質濫用治療計劃相關的條例)及州隱私法律(包括《心理衛生法》第 33.13 款、《公共衛生法》、《教育法》特許條款及《民權政策實施法律和規則》)。

無須授權准許使用或揭露 PHI 的情形:
《隱私規則》有多處規定描述允許相關實體無須取得受保護資訊主體授權使用或揭露 PHI 的情形。這些用途包括但不限於以下各項:

1. 相關實體可向資訊主體揭露 PHI

2. 相關實體可為自己的「治療、付款和醫療運作」使用和揭露受保護的健康資訊。
a. 治療是指提供、協調或管理個人的醫療及相關服務,包括提供者之間會診及向其他醫療提供者轉介。
b. 付款包括醫療提供者根據為個人提供的醫療服務獲得付款或得到報銷的活動。
c. 醫療運作包括以下職能:(a) 品質評估和改進;(b) 能力評估,包括績效評估、證明和認證;(c) 醫療審查、審計或法律服務;(d)指明的保險職能;以及 (e) 業務規劃、管理和一般行政。

3. 可從資訊主體獲得准許,或在情況清楚表明有行為能力的個人有機會反對揭露但沒有表示反對的情況下獲得准許。提供者也可依賴個人的非正式准許向個人的家人、親屬、私人密友或個人指明的其他人揭露健康資訊,但僅限於此人所涉事項直接相關的資訊。

4. 個人喪失行為能力或處於緊急情況時,醫療提供者根據臨床判斷認為符合個人最大利益的條件下,有時可以不經授權使用或揭露 PHI。可依該規定揭露的 PHI 包括患者的姓名、在醫療提供者設施中所處的位置以及關於此人狀況的有限一般資訊。

5. 如果使用或揭露 PHI 是包括州法令或法院命令在內的法律要求,提供者可不經個人授權使用和揭露 PHI

6. 提供者一般可向州和聯邦公共衛生當局揭露 PHI 以防止或控制疾病、傷害或殘障,並可向有權受理兒童虐待和疏忽舉報的政府當局揭露。

7. 提供者可在有限情況下,向適當的政府當局揭露虐待、疏忽或家庭暴力受害人相關的 PHI

8. 提供者可向醫療監管機構(如向提供者頒發執照的政府機構)揭露PHI 用於法律授權的醫療監管活動,如審計和調查。

9. 如果根據法院命令、傳票或其他正當程序(注意:「更嚴格的」紐約州《心理衛生法》規定,在這些情況下,需要揭露心理健康資訊的法院命令)提出請求,可在司法或行政程序中揭露 PHI

10. 以下情況下,提供者一般可向執法機構揭露 PHI
a. 根據法律規定或者法院命令、傳票或「行政請求」,如傳票或傳喚(注意:「更嚴格的」紐約州《心理衛生法》第 33.13 款規定,在這些情況下,需要揭露心理健康資訊的法院命令)。尋求的資訊必須與詢問相關且僅限於詢問。
b. 為了確定嫌疑人、在逃者、重要證人或失蹤者的身份或所在地(注意:根據《心理衛生法》第 33.13 款,這些資訊僅限於「住院相關的身份資料」)。
c. 應執法機構對犯罪受害人資訊的請求(注意:根據《心理衛生法》第 33.13 款,這些資訊僅限於「住院相關的身份資料」)。
d. 為了向執法機構通報在 HIPAA 相關實體設施實施的犯罪行為。

11. 提供者可以揭露他們認為防止或減輕以下各項必需的 PHI
a. 對個人或公共的嚴重、迫近的身體威脅,他們認為向某人揭露這些資訊能夠防止或減輕該威脅(包括威脅目標)。

12. 使用或向某些政府計劃揭露 PHI,無須取得授權:
a. 提供公共福利的計劃,或是登記接受政府福利
b. 如果必須分享資訊或是得到法令或法規明確授權,或是在其他有限情況下揭露。

「最少必要」規則:
相關實體必須採取合理努力,僅使用、請求或向他人揭露實現預定的使用、請求或揭露目的所需的最少量 PHI。適用最少必要標準時,除非相關實體能夠具體顯示需要全部記錄的合理依據,否則不得使用、揭露或請求一個人的全部醫療記錄。

最少必要的標準不適用於以下情形
a. 向醫療提供者揭露用於治療;
b. 向資訊主體(或私人代表)揭露;
c. 根據此人(或私人代表)的授權書使用或揭露;
d. 按法律規定使用或揭露;或是
e. HHS 揭露用於調查、合規審查或執法。

HIPAA 違規處罰:
1. 民事罰款: 相關實體每次違反《隱私規則》要求,HHS 可處以 100 美元民事罰款。一年之內多次違反同一《隱私規則》要求者,不得超過25,000 美元。一般而言,如果違規有合理原因,不存在「惡意疏忽」,而且相關實體在知悉(或應當知悉)違規後 30 日內糾正違規情形者,HHS 不得處以民事罰款。

2. 刑事處罰。明知的情況下違反 HIPAA 獲取或揭露可確定個人身份的健康資訊者,可能面臨 50,000 美元以下罰款和一年以下監禁。如果不當行為涉及「詐騙」,刑罰可提高到 100,000 美元以下罰款和五年以下監禁。如果不當行為以銷售、轉讓或使用可確定個人身份的健康資訊獲取「商業優勢、個人好處或惡意傷害」為目的,可處以 250,000 美元以下罰款和十年以下監禁。

 

資料來源:紐約州 OMH 辦公