1996 年通过的健康保险流通与责任法案(HIPAA)可以说是美国最重要的患者隐私法。 其要求旨在保护患者医疗记录并保护健康信息免遭不当访问和使用,它的要求重塑了医疗保健提供者处理记录保存和数据共享的方式。 当然,医疗记录有时必须共享,并且某些方有权访问这些记录。问题是:HIPAA 要求组织在授予记录访问权限之前采取哪些步骤来验证请求者的身份和权限? 下面,我们详细了解什么是受保护的健康信息、HIPAA 验证的工作原理以及不同类型请求者的验证要求。 什么是受保护的健康信息 (PHI)? 受保护的健康信息 (PHI)是指受 HIPAA 保护的健康信息。 PHI 被定义为由 HIPAA 涵盖的实体传输或维护的个人可识别健康信息。根据 HIPAA,以下18 个标识符被视为“个人可识别身份”: 姓名 地址 与个人或其护理相关的日期(年份除外)(例如出生日期、入院日期、出院日期) 电话号码 传真号码 电子邮件地址 社会安全号码 病历号 健康计划受益人号码 帐号 证书或执照号码(例如驾驶执照号码) 车辆标识符,包。
括车牌号和序列号 设备
标识符和序列号 包含数字标识符的 Web URL IP地址 指纹和声纹 摄影图像(不限于个人脸部) 任何其他独特的可识别特征 PHI 的示例包括患者的病史、测试结果、医疗扫描、账单信息、预约安排、电话记录以及来自医疗保健提供者的其他通信。 什么是 HIPAA 验证? HIPAA 验证是指验证个人身份 匈牙利 WhatsApp 号码列表 的过程,以确保他们拥有访问 PHI 的合法权利。如果请求者不是患者本人,HIPAA 验证还涉及验证请求者是否有权访问相关信息。 法律要求所涵盖的实体验证 PHI 请求方的身份和权限。但是,它不要求所涵盖的实体实施任何特定类型的身份验证。组织可以在设计 HIPAA 验证流程时运用自己的合理判断和自由裁量权。 因此,HIPAA 验证可以根据情况 包括政府身份验证、文件验证、数据库验证、自拍验证和其他技术的组合。 HIPAA 验证可以在现场或远程环境中进行。随着越来越多的医疗保健提供者和其他涵盖的实体开始在线与患者会面,验证越来越多地通过门户网站和移动应用程序进行。
针对不同请求者的
验证 尽管组织可以根据适合自己的方式定制 HIPAA 验证流程,但它应该根据请求者及其提交 PHI 请求的方式而有所不同。 还需要注意的是,在下面讨论的每种情况下,所涉及的实体都必须将所有 PHI 披露的记录保留至少六年。这包括保 营销清单 留作为验证过程一部分收集的任何信息的记录,以及收集的任何文件或照片的副本。 患者要求 当患者请求访问自己的 PHI 时,验证通常包括收集政府颁发的个人身份证(例如驾驶执照或护照)以及其他身份信息,例如社会安全号码的最后四位日和社会安全号码等敏感信息可能会被非法获取。如果验证以数字 数据库验证:进行数据库检查(例如,提交驾驶执照进行AAMVA 验证)可能是识别伪造品的有效方法。
