在2020年4月2日,在健康与人类服务部中美的民权办公室(OCR)发布一个通知与OCR在COVID-19公共卫生突发事件期间执行HIPAA的酌处权有关。立即生效,OCR将不会对违反HIPAA隐私规则某些条款的商业伙伴施加惩罚,因为“商业伙伴出于公共健康和健康监督活动的善意使用和披露PHI。”HIPAA已经允许相关实体提供这些数据。有了OCR的这项新指导,现在商业伙伴可以向某些公共卫生当局披露这些数据,而无需承担HIPAA隐私强制执行行动或罚款的风险。医疗机构应审查这份五页长的通知,因为执行裁量权给了业务伙伴喘息的空间,以协助公共卫生机构应对COVID-19疫情。尽管如此,这个通知不应该被看作是对HIPAA遵守的所有方面的免费通行证。

OCR指出,联邦、州和地方公共卫生当局和卫生监督机构已经要求HIPAA业务伙伴提供PHI或此类PHI的数据分析,作为病毒应对的一部分,但一些业务伙伴由于HIPAA的担忧而无法提供帮助。因此,为了促进公共卫生应对,OCR将在下列情况下行使其执法自由裁量权:

  • 商业伙伴做了一个"善意使用或披露"受保护实体的公共卫生活动和卫生监督活动的荣誉学会[重点补充];和
  • 业务关联人在使用或披露发生(或开始)后十天内通知被涵盖实体正在进行的使用或披露。

该通知特别提到了疾病预防控制中心、州和地方卫生部门以及CMS(或州一级的类似监督机构)等公共卫生部门。重要的是,OCR明确声明,这一强制执行的自由决定权“不延伸到隐私规则下的其他要求或禁止,也不延伸到HIPAA安全和违反通知规则下适用于商业伙伴和被涵盖实体的任何义务。”因此,业务伙伴必须遵守HIPAA安全规则,并采取保障措施,以确保对公共卫生当局的任何请求进行保密和安全的ePHI传输。当然,这份通知并没有改变对非政府机构披露PHI的限制。

普罗斯考尔的跨专业、跨辖区的冠状病毒应对团队专注于支持和解决客户的问题。访问我们的冠状病毒资源中心为指导风险管理措施,企业可以采取的实际步骤和资源,以帮助管理正在进行的业务。