FERPA
家庭教育权和隐私权法案(FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99) is a Federal law that protects the privacy of student education records. 这项法律适用于所有接受美国联邦教育资助计划资助的学校.S. 教育部.
有关FERPA的更多信息,请参阅 IRB指引文件 G-17: FERPA在人类受试者研究中的指导,或查看 U.S. 教育部.
HIPAA
1996年的《博天堂官方网页》包括安全电子存储和传输医疗保健信息的强制性标准. 遵守这些标准, 卫生与公众服务部发布了两条新规定, 由民权办公室管理和执行:隐私规则和安全规则.
HIPAA概述
美国.S. 联邦法规通常被称为“HIPAA”或“隐私规则”,为保护个人健康信息的隐私奠定了基础. 本规则不取代任何其他联邦法规, 州或地方法律给予更大的隐私保护, 医疗机构可以自由地采取更多的保护措施.
隐私规则:
- 给病人更多 控制 谁有权获得他们的健康信息,包括直系亲属
- 集 边界 博天堂官方网页健康档案的使用和发布
- 建立了 保障措施 必须做到这一点,以保护受保护的健康信息的隐私
- 监禁侵犯隐私者 负责任的 有民事和刑事处罚
- 找到一种平衡 公共责任 支持披露某些信息,例如,为保护公众健康
HIPAA法规的进一步发展包括解决管理问题的“安全规则”, 电子卫生信息的物理和技术保障要求.
看到的: HIPAA隐私规则概述
HIPAA简史
1996年美国《博天堂官方网页》(HIPAA).S. 公法104-191, 包括制定和采用国家隐私保护标准的要求,以保护存储的个人可识别的个人健康信息和通过电子手段向指定的涵盖实体传输的个人健康信息.
隐私保护标准是由美国政府制定的.S. 卫生与公众服务部(DHHS)和民权办公室(OCR), 于2000年12月公布,经过广泛的公众评论后于2002年8月修改为最终规定. 最后的规则是, 《博天堂官方》,要求在4月14日前完成, 2003年的所谓"承保实体",其中包括有执照的保健提供者, 健康计划, 以及医疗保健结算所. GVSU不是一个受保护的实体,它是一个混合实体. 这意味着只有一些组成部分的办公室和项目受到HIPAA保护保证. 这些包括咨询中心、学生健康中心和护士管理的护理中心.
研究人员在研究中收集本应被归类为受保护健康信息(PHI)的信息。 不 符合HIPAA保护要求.
研究人员对患者现有的医疗记录进行研究,如图表审查研究, 是 受HIPAA隐私规则条款保护.
本规定在45 CFR 164安全与隐私中编纂, 个人可识别健康信息的隐私, 164.500 - 164.534.
这些规定在2003年2月进行了修改和扩充. 在45 CFR 165中增加了一个新部分:子部分C, 电子健康信息保护安全标准, 164.302-164.318. 此子部分通常被称为“安全规则”或“安全标准”,并要求在4月20日之前遵守, 2005.
*根据指南张贴在 U.S. 民权办公室网站,上次修订于2006年5月16日 U.S. 医疗保险和医疗补助中心网站,最后修改于2008年5月6日.
研究意义
HIPAA规定为受保护的健康信息(PHI)如何从受保护的实体(如医疗保健提供者)流出设定了标准, 健康计划, 以及医疗保健信息交换中心,用于病人护理, 记录和支付所提供服务的保险索赔. 研究人员需要为研究目的使用和访问这些PHI信息必须获得每个受影响研究参与者的个人授权, 或负责保护PHI记录的隐私委员会或IRB的放弃.
研究人员将被要求获得文件许可,以以下方式使用和访问这些覆盖实体的PHI:
- 由个人参与者签署的安全签名和注明日期的有效授权表格,或
- 获得机构审查委员会或私隐委员会批准更改或放弃所要求的授权或
- 与受保实体签订有限数据集的合同,其中包含用于特定目的的选定和指定数据,并在研究完成时对数据进行最终处理. 如果下列条件之一与拟议的研究有关,则通常可以获得这些协议:
- PHI OR有文件化的批准数据使用协议
- 提供证据证明未经授权的研究使用是允许的,因为
- 所有研究对象均已去世
- 所需的数据不会识别受试者(它被“去识别”)。
- 这些研究人员受雇于承保实体,并且(I)正在准备进行或支持研究,在进行研究之前进行“可行性调查或其他调查准备”.
对研究人员和IRB成员的意义:
- IRB在定期审查的同时审查与HIPAA相关的研究协议
- De-identification 健康信息 之前 它被推荐给研究人员,作为确保隐私的最佳方式
- 研究人员必须将任何所需的HIPAA授权表格与他们的申请(或更新/修订)表格一起提交给IRB
为什么研究人员应该了解HIPAA隐私规则?
隐私规则规定了某些医疗保健组织的方式, 组织, 或企业, 被称为规则所涵盖的实体, 处理被称为受保护健康信息(PHI)的可单独识别的健康信息. 研究人员应该了解隐私规则,因为它规定了受保护实体可以出于多种目的使用或披露PHI的条件, 包括研究. 尽管不是所有的研究人员都必须遵守隐私规则, 规则保护PHI的方式可能会影响研究的某些方面.
重要的是要了解,许多处理个人可识别健康信息的研究组织不必遵守《博天堂官方》,因为它们不在该规则所涵盖的实体之列. 隐私规则不会直接规范那些在非覆盖实体的组织内从事研究的研究人员,即使他们可能会聚集, 生成, 访问, 分享个人健康信息. 例如, 赞助健康研究或创建和(或)维护健康信息数据库的实体本身可能不包括在内, 因此可能不直接受《博天堂官方》规管. 然而, 研究人员可依赖所涵盖实体提供研究支持,或将其作为纳入研究存储库或研究数据库的个人可识别健康信息的来源. 隐私规则可能会影响这些独立的研究人员, 因为这会影响它们与被覆盖实体的关系.
GDPR
通用数据保护条例(GDPR)是一项欧洲法律, 5月25日生效, 2018, 为欧洲经济区(EEA)国家的个人隐私和个人数据安全提供保护. 所有研究人员收集个人资料, 及/或转移个人资料予, 欧洲国家必须遵守这项新规定.