HHS公民权利办公室(“ 光学字符识别”)在4月份结束时对HIPAA民事罚款(“ CMP”)限制进行了一些更新,并澄清了OCR关于隐私规则适用于电子保护健康信息传输的立场(“ ePHI”)到第三方应用程序和应用程序编程接口(“ API”)。

基于强制裁量的差异CMP上限

根据现行的《 HIPAA实施规则》,HHS根据HITECH法案采用了四个等级的罪责等级。这四个级别对应于适当的CMP范围,以涵盖涵盖的实体和业务伙伴违反HIPAA隐私和安全规则的行为。根据2015年《联邦民事罚款通货膨胀调整法改进法案》中规定的生活费用公式,对这些罚款等级进行通货膨胀调整。

例如,如果某人不知道并且通过合理的努力不会知道该人违反了适用的HIPAA规定,则每起相同的违法行为,该人可能被征收的CMP范围为$ 100- $ 50,000,最高每年针对所有此类违规行为支付150万美元(扣除通货膨胀因素后)。 CMP每年针对HIPAA违反规定的150万美元的上限适用于所有四个层级,即使每个层级的最低罚款额也有所增加。

但是,自HHS开始使用这种四层结构以来,一直存在关于《 HITECH法案》是否规定每个层都有不同的年度CMP上限的争论。 光学字符识别的2019年4月30日 联邦公报公告 更改了HHS对此的先前立场,现在针对违反HIPAA的CMP设置以下年度上限:

  • $ 25,000(1级–不知道)
  • $ 100,000(第2级–合理​​原因)
  • $ 250,000(等级3 –故意疏忽/改正)
  • 150万美元(第4级-故意忽略/未更正)。

奇怪的是,自《联邦公报》发布之日起,每层的最高罚款仍为50,000美元。鉴于第1层违规的年度上限为$ 25,000,这似乎没有道理。尽管如此,HHS仍将按照这种结构“直到另行通知”,这意味着仍有一些清理工作要做。

新的常见问题解答,以明确HIPAA下的患者使用权

光学字符识别于2019年4月18日发布了对 五个常见问题 (以下简称“常见问题解答”)中有关患者通过第三方应用程序和API访问其ePHI的权利的分析。涵盖实体在回应以下内容时应考虑这些常见问题解答 建议的信息屏蔽规则 由国家健康信息技术协调员办公室(“ ONC”)和医疗保险中心发布& 医疗补助 Services’ 关于互操作性和患者访问的拟议规则, 哪个是 现在到期2019年6月3日。这些拟议的规则鼓励患者通过API访问ePHI,而FAQ试图解决OCR收到的有关如何通过ePHI的新传输和存储方式平衡HIPAA遵从性和患者访问的一些问题。

总体而言,常见问题解答阐明了受覆盖实体遵守患者根据45 CFR§164.524将其ePHI定向给第三方的要求的责任范围,以及在该ePHI传输后违反该ePHI所承担的责任。涵盖实体应从常见问题解答中收集的要点是:

  • 涵盖实体 不能 由于担心该应用程序将如何使用或披露其接收到的ePHI,因此拒绝向个人选择的应用程序披露ePHI。
  • 涉及的实体或其业务伙伴(例如,EHR系统开发人员) 没有 开发或提供“代表受保护实体创建接收,维护或传输ePHI的”第三方应用程序:
      • 不需要 与第三方应用程序或API开发人员订立业务关联协议(“ BAA”);和
      • 不承担责任 根据HIPAA规则,第三方应用程序或API随后不允许进行披露。
  • 涵盖实体 不会负责 在传输到第三方应用程序或API时,即使通过不安全的方式或不安全的渠道进行了传输,也可以未经授权访问个人的ePHI。

随着患者越来越多地寻求通过与涵盖实体提供的移动应用程序和设备不同的移动应用程序和设备来随时访问其ePHI和相关数据,新的常见问题解答变得非常必要。受保护实体非常谨慎,通常拒绝将ePHI发送给第三方应用程序和API,因为他们担心在转移任何ePHI后可能会违反ePHI。

通过这些新的常见问题解答,涵盖实体及其业务伙伴可以更加清楚地了解其在HIPAA隐私规则下的义务。此外,可以说,常见问题解答的发布会向涉及的实体提供建设性的通知,而第三方应用程序和API的开发人员如果从事与OCR的响应相抵触的做法,则可能构成信息屏蔽,我们对此进行了分析。 以前的大量帖子.