Czy pytanie o status szczepień przeciwko COVID-19 jest naruszeniem ustawy HIPAA?

Teraz, gdy w pełni zaszczepione osoby nie muszą już nosić masek na twarz ani ćwiczyć fizycznego dystansu w większości miejsc, wiele firm pyta klientów o status szczepień przeciwko COVID-19, zanim pozwolą im wejść lub pozwolić im być bez masek. Jednak niektórzy twierdzą, że ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA) zabrania tego firmom, co jest całkowicie fałszywe.

To błędne przekonanie jest niebezpieczne, ponieważ może potencjalnie wprowadzać w błąd osoby, które nie w pełni rozumieją, co faktycznie pociąga za sobą HIPAA. Aby zrozumieć, dlaczego pytanie o czyjś status szczepień nie stanowi naruszenia prywatności, ważne jest, aby wiedzieć, jakie informacje są chronione na mocy ustawy HIPAA, jakie podmioty są zobowiązane do przestrzegania jej zasad i jakie okoliczności mają zastosowanie.

Co to jest HIPAA?

HIPAA to prawo federalne, które ma na celu ochronę Twojej prywatności poprzez ograniczenie sposobu wykorzystywania lub ujawniania poufnych informacji o Twoim zdrowiu. Daje Ci również prawo do zbadania i uzyskania kopii Twojej dokumentacji medycznej.

„Kiedy ludzie odnoszą się do HIPAA, zwykle mają na myśli Zasadę prywatności opracowaną przez HHS zgodnie z autoryzacją Kongresu za pośrednictwem samej ustawy”, James G. Hodge, Jr., JD, LLM, dyrektor Centrum Prawa i Polityki Zdrowia Publicznego w Arizonie State University, mówi Verywell. „W tym celu Zasada Prywatności HIPAA zapewnia obszerne normy prywatności i ochronę identyfikowalnych informacji zdrowotnych przechowywanych przez podmioty objęte ubezpieczeniem”.

Wbrew powszechnemu przekonaniu, HIPAA nie zapewnia ochrony wszelkiego rodzaju informacji w każdej sytuacji. Ponadto nie wszystkie osoby i organizacje są zobowiązane do jej przestrzegania.

Objęte podmioty

Tylko niektóre osoby i organizacje, które mają dostęp do Twoich informacji medycznych, podlegają Zasadom Prywatności HIPAA, takim jak:

• Świadczeniodawcy, tacy jak świadczeniodawcy podstawowej opieki zdrowotnej, lekarze specjaliści lub psychologowie
• Plany zdrowotne, takie jak firmy ubezpieczeniowe lub organizacje opieki zdrowotnej (HMO)
• Biura informacyjne opieki zdrowotnej, które obejmują podmioty publiczne lub prywatne, które przetwarzają niestandardowe informacje zdrowotne
• Współpracownicy biznesowi podmiotów objętych ubezpieczeniem, którzy pomagają im w wykonywaniu czynności i funkcji związanych z opieką zdrowotną, np. transkrypcjonerzy medyczni lub konsultanci

Odpowiedzialność za ochronę chronionych informacji zdrowotnych spoczywa wyłącznie na tych podmiotach, mówi Verywell Michael S. Sinha, MD, JD, MPH, adiunkt w Northeastern University School of Law i wizytujący naukowiec w NUSL Center for Health Policy and Law. Jeśli podmiot nie jest objęty HIPAA, nie musi przestrzegać jego standardów prywatności.

Chronione informacje zdrowotne (PHI)

Podmioty objęte ubezpieczeniem rutynowo zbierają i wykorzystują informacje zdrowotne w celu świadczenia opieki zdrowotnej. Takie zapisy są chronione na mocy HIPAA, która obejmuje:

• Dane osobowe, takie jak imię i nazwisko, adres, numer ubezpieczenia społecznego, numer beneficjenta planu zdrowotnego, numery telefonów lub zdjęcia
• Dokumentacja medyczna, opisy przypadków klinicznych, wyniki badań, diagnozy lub recepta
• Informacja ubezpieczeniowa
• Systemy dokumentacji medycznej prowadzonej przez lub dla planu zdrowotnego
• Ewidencja rozliczeń i płatności

„HIPAA chroni tylko niektóre rodzaje informacji w określonych warunkach opieki zdrowotnej, a nie wszystkie informacje we wszystkich ustawieniach” – mówi Sinha. Informacje o szczepieniach i karty szczepień mogą być sklasyfikowane jako PHI, ale pytanie o czyjś status nie skutkuje automatycznie naruszeniem HIPAA.

Czy pytanie o czyjś status szczepień jest naruszeniem HIPAA?

„Proszę o [vaccination] status sam w sobie nie jest naruszeniem HIPAA, ponieważ nie ujawniono żadnych PHI” – mówi Verywell Jonathan Ishee, JD, MPH, MS, LLM, adiunkt informatyki biomedycznej na Uniwersytecie w Teksasie. Naruszenie miałoby miejsce tylko wtedy, gdy podmiot objęty ubezpieczeniem ujawni PHI osobie nieuprawnionej bez Twojej zgody.

Każdy może zapytać lekarza o stan szczepień, ale byłoby to naruszeniem tylko wtedy, gdyby ujawnił go bez pozwolenia. Gdy podmioty nieobjęte ubezpieczeniem, takie jak rodzina lub przyjaciele, pytają Cię bezpośrednio o Twój status, nie stanowi to naruszenia. Możesz również sam ujawnić te informacje.

„Amerykanie często myślą, że HIPAA Privacy Rule chroni prywatność ich danych zdrowotnych w wielu sytuacjach, w których nie ma ona zastosowania” – mówi Hodge. „Jeśli powiesz sąsiadowi o swoim statusie szczepień przeciwko COVID-19, Reguła nie ma zastosowania. Jeśli powiesz o tym swojemu pracodawcy, ponownie Reguła nie ma zastosowania bezpośrednio”.

Inną kwestią, o której należy pamiętać, jest to, że HIPAA nie zabrania firmom, firmom, szkołom lub liniom lotniczym pytania, czy zostałeś zaszczepiony. Jeśli poproszą o status szczepień przed wejściem do placówki, uczęszczaniem na zajęcia lub przyjściem do pracy osobiście, a nawet zarezerwowaniem lotu, nie stanowi to naruszenia. Nadal od Ciebie zależy, czy chcesz udostępnić te informacje.

„Pracodawcy mają prawo pytać pracowników o stan szczepień lub wymagać dowodu szczepienia jako warunku dalszego zatrudnienia”, mówi Sinha. „Podobnie uczelnie i uniwersytety mogą wymagać dowodu szczepienia dla wykładowców, personelu i studentów. Oznacza to, że dana osoba może stracić pracę lub zrezygnować z przyjęcia do college’u, jeśli odmówi ujawnienia swojego statusu szczepień. HIPAA nie odgrywa żadnej roli w tej wymianie informacji”.

W jakich okolicznościach dojdzie do naruszenia HIPAA?

Naruszenie HIPAA miałoby miejsce tylko wtedy, gdyby podmiot objęty ubezpieczeniem ujawnił status szczepienia osoby podmiotowi nieobjętemu bez jego zgody. Na przykład świadczeniodawca nie może ujawnić pracodawcy statusu szczepień bez jego zgody.

„Jeśli lekarz poinformuje media o stanie szczepień jej znanego pacjenta z COVID, bez pisemnej zgody pacjenta, prawdopodobnie doszło do naruszenia” – mówi Hodge. „Jeśli witryna medialna zawiera te same informacje o celebrycie, nie doszło do naruszenia Zasad Prywatności HIPAA, ponieważ witryna medialna nie jest »podmiotem objętym« w ramach tej zasady. Witryna mogła naruszać inne normy prywatności, ustawowe, regulacyjne lub nałożone przez sąd, ale nie samą Zasadę prywatności”.

W niektórych sytuacjach korzystnych dla dobra publicznego, takich jak postępowanie sądowe i administracyjne, podstawowe funkcje rządowe lub działalność w zakresie zdrowia publicznego, podmioty objęte ubezpieczeniem mogą wykorzystywać lub ujawniać PHI podmiotowi nieobjętemu bez zezwolenia. Jeśli dzielą się czyimś statusem szczepień z nieuprawnioną osobą – przyjacielem, sąsiadem lub współpracownikiem – poza tymi dozwolonymi ujawnieniami, prawdopodobnie jest to naruszenie HIPAA.

„Podczas gdy zasada prywatności HIPAA zapewnia solidną ochronę prywatności w ustawieniach opieki zdrowotnej, nie zapewnia niezawodnej ochrony prywatności poza tymi określonymi ustawieniami” – mówi Hodge.

Podczas tej pandemii COVID-19 zrozumiałe jest odczuwanie potrzeby ochrony prywatności i informacji zdrowotnych. Należy jednak pamiętać, że HIPAA nie zabrania nikomu pytania o stan szczepień, ponieważ nie narusza prywatności medycznej ani praw osobistych. Nadal możesz odmówić ujawnienia swojego statusu szczepień.

„HIPAA nie jest czymś, co jednostka może próbować powołać jako tarczę, jeśli pracodawcy lub szkoły zapytają o status szczepień”, mówi Sinha. „To wygodne — i często błędnie zapisane — słowo kluczowe, ale nie ma znaczenia w tym kontekście”.

Informacje zawarte w tym artykule są aktualne na podany dzień, co oznacza, że ​​po przeczytaniu mogą być dostępne nowsze informacje. Aby uzyskać najnowsze informacje o COVID-19, odwiedź naszą stronę z wiadomościami o koronawirusie.