可以访问敏感数据(包括个人身份信息(PII)和受保护健康信息(PHI))的个人必须为所有大学服务注册多因素身份验证。
隐私资源和培训请求
俄亥俄大学通过采取合理和适当的步骤来解决1996年健康保险流通与责任法案(HIPAA)的要求,努力保护受保护的健康信息(PHI)的保密性,完整性和可用性。
为了确保所有校园实体都有必要的工具来遵守HIPAA隐私标准和程序,俄亥俄大学提供了各种资源,包括身份验证应用程序、安全销毁信息和培训。
PHI的安全销毁
根据俄亥俄大学的HIPAA隐私标准和程序,包含PHI的文件将通过粉碎、粉碎或分解文件的方式进行物理销毁。俄亥俄大学已与第三方签订合同,提供安全的文件销毁服务。HIPAA覆盖实体单位将在现场执行所有文件销毁。如果您有关于在您所在地区使用此服务的其他问题,请联系HIPAA隐私官。
电子媒体必须按照俄亥俄大学的HIPAA隐私标准和程序妥善销毁。因此,HIPAA覆盖实体单位将向俄亥俄大学信息技术人员提供包含PHI的电子媒体,以便安全销毁。
培训要求
俄亥俄大学HIPAA覆盖实体单位的所有个人,包括志愿者和学生观察员,或某些健康科学或医学项目的学生,都需要接受与HIPAA隐私和安全规则下的监管义务相关的培训。这种培训需要每年完成一次。
目前,教职员工通过在线培训平台接受HIPAA培训,学生则通过各自所在的学院接受培训。可以通过向隐私合规官发送电子邮件提出培训请求。
涉及个人可识别健康信息的大学项目
俄亥俄大学寻求利用跨学科医学研究和倡议,以促进大学战略途径的共同利益。因此,俄亥俄大学的研究活动、跨学科合作和项目都涉及个人可识别的健康信息。建议将涉及此类信息的项目报告给HIPAA隐私官。
什么是可识别健康信息?
可识别个人身份的健康信息被定义为可识别个人身份或据此可合理利用该信息识别个人身份的健康信息,包括与以下方面有关的人口统计信息:
- 由医疗保健提供者、健康计划、雇主或医疗保健信息交换所创建或接收的信息;
- 个人信息:与个人过去、现在或将来的身体或精神健康或状况有关的信息;
- 向个人提供卫生保健;或
- 向个人提供医疗保健的费用
(来源:https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html)
应该报告哪些项目?
由于大学的研究计划、跨学科合作和项目的复杂性,以及需要遵守与个人可识别健康信息相关的监管要求,建议将涉及此类信息的项目报告给HIPAA隐私官。如果您不确定您的项目是否涉及使用个人可识别的健康信息,HIPAA隐私官可以帮助您做出此决定。
一旦报告,HIPAA隐私官将与您面谈您的项目,以最好地了解监管要求的性质,并确定如何最好地协助任何必要的政策、程序和最佳实践活动,以支持数据的隐私和安全。
可供研究人员打印的资源
根据研究协议和数据元素,研究活动可能包括PHI,因此受HIPAA合规要求的约束。