什么是HIPAA?

HIPAA是美国前总统克林顿1996年签署的健康保险携带和责任法案(Health Insurance Portability and Accountability Act)的缩写。该法案是继1974年《雇员退休收入保障法案》(“ERISA”)后，最具深远影响的法案，它对多种医疗健康产业都具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。

HIPAA法案的主要目标如下：

保证劳动者在转换工作时，其健康保险可以随之转移;

保护病人的病例记录等个人隐私;

促进美国在医疗健康信息安全方面电子传输的统一标准。

HIPAA如何保护患者的健康信息隐私?

大多数人都认为自己的健康信息属于隐私且应当受到保护，正因如此，美国联邦政府制订HIPAA隐私条例，以保障病人就自身健康信息(无论是何种形式)所享有的权利。HIPAA就哪些人员能够查看及获得病人健康信息做出规定，并赋予病人相关权利，病人有权决定何时可以共享健康信息。HIPAA还规定病人的医生、药剂师和其他医疗服务提供方，以及病人的健康计划向病人解释他所享有的权利和使用或共享他健康信息的方式。

病人的健康信息在什么时候可以共享?

HIPAA 要求医生、护士、医院、疗养院及其他医疗服务提供方保护病人的健康信息隐私，

但在符合下列条件的情况下，医疗服务提供方或健康计划方可能会共享相关信息：

病人允许医疗服务提供方或健康计划机构共享信息。

病人在场且不反对共享信息的做法。

病人不在场，但医疗服务提供方根据专业判断做出对他最有利的决定。

如果病人不在场或者无法提供许可，当医疗服务提供方或健康计划代表基于专业判断认为共享资料对他最为有利时，就可能会共享相关信息。

例如：

病人进行外科手术后仍处于无意识状态。在病人处于无意识状态时，外科医生可能会将情况亲自或通过电话告知他的配偶。

当病人的护理者向医生咨询用药量时，医生可能会与其讨论用药情况。

医生不可能将与目前病情无关的以往医疗问题告知病人的朋友。

电子健康记录(EHR)隐私、益处及安全

【EHR 与病人的健康信息】

电子健康记录(EHR)是病人的医生或其他健康照护提供者办公室内的纸质病历之电子版。EHR 包含病人的病史、笔录以及其他有关他健康的信息，比如病人的症状、诊断、药物、实验室结果、生命体征、免疫和诊断测试报告(如 x 光片)等。EHR可使病人的健康照护提供者更有效地使用信息来改善病人的护理质量和效率，但 EHR 将不会改变适用于病人健康信息的隐私保护措施或安全措施。保护病人健康信息的联邦法律HIPAA同样适用于 EHR 中的信息。

【拥有 EHR 的益处】

经改善的护理质量。当病人的医生开始使用 EHR 并设定与其他提供者安全共享病人健康信息的方式后，每个人都能更轻松地共同协作，确保病人获得所需的护理。例如：

a) 有关病人药物的信息将出现在 EHR 中，以免健康照护提供者向病人提供另一种可能对病人有害的药物。

b) EHR 系统和多数计算机系统一样都有备份，因此如果病人所在区域受灾(如飓风)，病人的健康信息仍可取回。

c) EHR 可在紧急情况下提供。如果病人遇到意外且无法解释病人的病史，配备系统的医院能够造访病人医生的系统。医院将获取有关病人药物、健康问题和测试的信息，以便作出更快速和全面的紧急护理决策。

更有效的护理。使用 EHR 的医生可以更轻松或快速地追踪病人的实验室结果并与病人分享进度。

更便利的护理。到了需要进行特定筛检测试的时候，EHR 可提醒提供者与病人联络。医生、药房、实验室和病人医疗保健团队的其他成员能够共享信息，病人无需再反复填写相同的表格。

【维护电子健康信息的安全】

美国联邦政府设立 HIPAA 安全条例，要求施行特定的保护措施，以保护电子健康信息。其中可对 EHR 系统施行的若干项可能措施包括：

「取用控制」工具，如密码和 PIN 数字，以帮助限制病人的信息仅能由获授权个人取用。

「加密」病人的储存信息。也就是说只能使用带有「密钥」「解密」的系统阅读或解病人的健康信息。

「审计追踪」功能，可记录取用病人信息的人以及作出修改的内容和时间。

HIPAA安全条例将安全标准分为四类，以保护信息系统的保密性、一致性和可用性：

管理流程(Administrative Procedures) ——建立和落实安全策略;

物理防护(Physical Safeguards)——如何保护计算机系统实体以及相关的环境和设备，免受自然灾害或人为破坏;

技术安全服务(Technical Security Services) ——对数据访问的保护和监控;

技术安全机制(Technical Security Mechanisms)——在网络中保护信息和限制数据访问的机制。

在美国，所有涉及医疗保健的机构中，包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等，对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。对于违反HIPAA安全条例的行为，可以处以最高为25万美元的罚款和最长为10年的监禁。

参考资料来源：

美国卫生和人类服务(The U.S. Department of Health & Human Services)政府网站www.hhs.gov/ocr/privacy

来源：好医友