ONC 的信息屏蔽法规适用于对电子健康信息 (EHI)的访问、交换或使用的干扰(45 CFR 第 171 部分),并定义了信息屏蔽定义的某些例外情况。因此,受信息屏蔽法规约束的人员(医疗保健提供者、经认证的健康 IT 开发商和健康信息网络/交换(统称为“参与者”))必须了解法规涵盖的健康信息。那么,EHI 到底是什么?
什么是 EHI?
EHI被定义为可包含在指定记录集 (DRS)中的电子受保护健康信息 (ePHI),无论该记录组是否由涵盖实体使用或维护。EHI 定义结合了根据1996 年《健康保险流通与责任法案》(经修订)(本文中通常称为HIPAA )发布的条例(规则)定义的术语(ePHI 和 DRS) 。但是,EHI 的定义特别排除了HIPAA 规则中定义的心理治疗记录和为应对法律诉讼而编写的信息,这与 HIPAA 规则中个人的“访问权”标准一致。EHI 依赖于 HIPAA 规则定义为 DRS 的电子部分。使用 HIPAA 规则定义的术语(“HIPAA 定义的术语”)可为医疗保健行业提供熟悉度并使跨条例保持一致。
值得注意的是,受信息阻止法规约束的某些医疗保健提供者(以及支持他们的任何其他参与者)可能不是 HIPAA 规则下的涵盖实体或业务伙伴。这些参与者需要熟悉 HIPAA 定义的术语,并评估他们拥有的哪些信息可以与 DRS 中包含的记录相一致(即用于对个人做出决定)。但是,大多数受信息阻止法规约束的参与者也是 HIPAA 下的涵盖实体或业务伙伴。鉴于这种关系,并为了告知那些不受 HIPAA 约束的参与者,我们希望深入研究 EHI 定义如何与众所周知的 HIPAA 定义的术语保持一致。
描述 EHI 与 USCDI V1 关系的图像
EHI 与 HIPAA 术语和定义的关系
我们发布了一个信息图表和情况说明书 [PDF- 346 KB], 其中说明了信息阻止法规下的 EHI 定义与 HIPAA 定义的术语和美国互操作性核心数据 ( USCDI v1 ) ( 45 CFR 171.103(b))之间的关系,我们也将在下文中更详细地讨论这一点。
1. 信息首先必须符合电子受保护健康信息的定义。首先,受保护健康信息 (PHI) 通常是可识别或合理用于识别个人的健康信息(个人可识别健康信息),但某些情况除外,例如《家庭教育权利和隐私法案》 (FERPA) 教育或治疗记录以及受保实体的就业记录。其次,此类健康信息不仅可以识别个人,例如人口统计信息,还与个人过去、现在或未来的身体或精神健康或状况有关;为个人提供的医疗保健;或护理费用。最后,信息可以以任何形式或媒体(例如电子、纸质或口头)保存或传输。
任何以电子形式保存或传输的 PHI均为ePHI。
举个例子来说明这些概念,当健康社会决定因素 (SDOH)信息由受保实体的医疗保健提供者收集,用于告知个人的治疗决定时,这些信息就是 PHI。如果这些信息以电子形式保存或传输,则为 ePHI。
2. 信息还必须符合指定记录集的定义。HIPAA 赋予个体患者合法权利,以访问实体DRS中维护的其健康信息。DRS 可能包含纸质和电子记录,但 HIPAA 涵盖的实体或业务伙伴持有的 EHI 只是电子子集(即 DRS 中以电子方式维护的那部分)。因此,信息阻止法规适用的 HIPAA 涵盖实体或业务伙伴持有的信息与患者已有合法访问权的信息相同。如果组织是行为者但不受 HIPAA 约束,则行为者现在必须确定他们持有的哪些信息符合 EHI 的条件。
记录是包含 PHI 的任何信息项、信息集合或信息分组,由 HIPAA 涵盖实体或业务伙伴维护、收集、使用或传播。HIPAA DRS 是由涵盖实体或为涵盖实体维护的一组记录,它们是:1) 涵盖医疗保健提供者或为涵盖实体维护的个人医疗记录和账单记录;2) 健康计划或为健康计划维护的登记、付款、索赔裁决和案例或医疗管理记录系统;或 3) 涵盖实体对个人做出决策的全部或部分。作为参与者的 HIPAA 涵盖实体或业务伙伴可能拥有不属于 DRS 的 ePHI,因此也不是 EHI,因为这些信息不用于对个别患 零售电子邮件列表 者做出决策。这方面的示例包括电子同行评审文件、提供者绩效评估和仅用于做出业务决策的管理记录。
HIPAA 规则确定了某些类型的记录,这些记录始终是受保实体的 DRS 的一部分。HHS 还发布了指南,描述了通常会从 DRS 中排除的一些信息类别。但是,HIPAA 规则并未指定构成 DRS 的特定信息。
3. 受 HIPAA 监管的实体应该已经知道他们维护的哪些信息是 EHI。自2000 年发布 HIPAA 隐私规则以来,HIPAA 涵盖的实体及其业务伙伴就必须识别和记录哪些记录属于其 DRS。对于这些实体,EHI 只是 DRS 中属于 ePHI 的一部分。由于 DRS 的定义并不特定于组织维护信息的特定系统或技术平台,因此 EHI 的定义也是如此。例如,EHI 不仅限于经过认证的 电子健康记录 (EHR)中的内容。如果行为者在 DRS 中维护的信息属于 ePHI,并且他们是 HIPAA 涵盖的实体或业务伙伴,则该信息属于 EHI,并受信息阻止法规的约束。
还有时间,但无需等待
自 2021 年 4 月 5 日起,信息屏蔽法规生效并适用于所有参与者。为了让人们有时间适应,信息屏蔽定义仅适用于 EHI 的一个子集,即由USCDI v1标识的数据元素表示的EHI。USCDI数据元素是 USCDI 中用于交换的数据的最细粒度级别(例如,患者出生日期、药物或手术记录)。
但从 2022 年 10 月 6 日开始,行为者将受到 EHI 全范围的信息阻止索赔(如上所述),除非适用信息阻止例外情况或法律要求不得共享信息。
无需等到 10 月 6 日。任何准备分享 USCDI v1 以上内容的人都欢迎并鼓励在适用法律允许的范围内这样做。
我们希望这篇博客、信息图和情况说明书能够帮助您了解 EHI 是什么以及它与现有的 HIPAA 定义术语的关系。要了解有关 EHI 的更多信息,请查看我们最近发布的EHI 相关常见问题解答。
有关信息阻止的更多信息,包括情况说明书、网络研讨会和常见问题解答的链接,