根据HIPAA隐私规则,个人有权就被涵盖实体如何使用和披露有关该个人的受保护健康信息(PHI)及其权利和被涵盖实体而给予适当通知。’有关该信息的义务。因此,涵盖实体必须制定并向个人提供《隐私惯例通知》(NPP)。参见45 C.F.R. §164.520。根据《隐私规则》,当NPP中声明的任何隐私惯例发生重大变化时,受保护实体还必须立即修改其NPP,以确保个人了解其健康信息的隐私保护和权利。 2013年1月,《最终规则》对HIPAA涵盖的实体的隐私义务进行了许多重大更改,因此,必须对NPP进行修订以反映此类更改。

在2013年9月23日(最终规则遵守日期)的前一周,美国卫生与公共服务部民权办公室(OCR)和国家卫生信息技术协调员办公室(ONC)发布了NPP范本。鼓励医疗保健提供者和健康计划使用示范通知作为更新与患者和计划成员的沟通的指南。这三个模型包括:(1)小册子形式的通知; (2)分层通知,其中第一页的信息摘要以及后续页的全部内容; (3)带有小册子设计元素的告示,但要以整页演示文稿形式出现。还为希望仅使用内容的涵盖实体提供了纯文本版本。

示范国家淘汰计划包括以下《最终规则》变更:

  • 违反通知义务—涵盖实体必须包括有关受影响个人的声明’违反无担保的PHI后的权利;
  • 需要授权的用途和披露的说明,包括:
    • 心理治疗笔记的大多数用途和披露;
    • 出于市场营销目的使用和披露PHI;和
    • 构成PHI销售的披露。
  • 筹款活动—被保险实体在为筹款目的与患者联系之前,必须说明其意图并告知患者选择退出接收此类通信的权利;
  • PHI公开以承保—打算将PHI用于承保目的的健康计划必须在其NPP中包含一项声明,禁止其使用或披露作为个人的PHI’为此目的的遗传信息;和
  • 限制在健康计划中披露PHI—涵盖实体必须遵守个人’如果披露是针对付款或医疗保健操作,并且涉及个人已全额自付的医疗保健项目或服务,则要求将披露范围限制为健康计划。

涵盖实体应对照标准NPP检查其新NPP,以确认是否符合最终规则,并在必要时进行修改。

为确保个人了解其对PHI的使用和披露的权利,涵盖实体必须将其通知提供给提出要求的任何人,并且涵盖实体必须在其任何网站上醒目发布并提供其通知。维护提供有关其客户服务或利益的信息。