美国卫生与公共服务部(HHS)最近发布了 最终规则 授予患者及其个人代表访问患者的权限’直接从实验室维护信息的完整实验室测试报告。 《最终规则》,由民权办公室(OCR),医疗保险中心联合发布 &医疗补助服务(CMS)和疾病控制中心(CDC)修改了HIPAA隐私规则和1988年临床实验室改进修正案(CLIA)法规,为患者提供了一条额外的途径,使患者除了可以要求获得实验室测试结果外,还可以来自主治医师的信息。 HIPAA覆盖的实验室将需要修改与向患者发布信息有关的政策,程序和通知,以符合最终规则。

以前,HIPAA隐私规则从患者可访问的信息中排除了CLIA和不受CLIA覆盖的实体实验室持有的受保护健康信息(PHI),从而有效地迫使患者要求其治疗医生提供实验室测试结果。此排除原本是为了避免隐私规则之间的冲突’其他方面的访问规定和CLIA法规要求限制了患者对测试报告的访问。最终规则通过删除此排除条款来修改隐私规则,从而扩大了患者范围’涵盖实体实验室维护的访问PHI的权利。最终规则还修订了CLIA法规,以指定在收到患者或患者的请求后’作为合法授权的代表,CLIA实验室可以提供使用实验室的完整实验室报告的访问权限’的识别过程中,可以识别出属于该患者。重要的是,受CLIA管辖的涵盖实体实验室仍必须验证所讨论的患者是否确实是根据CLIA要求所要求的完整实验室测试报告的对象,并且没有义务发布无法根据最终规则进行认证的报告。此外,根据最终规则,隐私规则’扩展的访问条款优先于州法律的禁止,禁止在没有订购提供者的情况下发布实验室测试信息’根据HIPAA的同意’抢占规定。

该最终规则发布于《 HIPAA综合规则》发布仅一年多之后,其中包括对《 HIPAA隐私,安全和违规通知规则》进行的全面更改。这些更改中包​​括影响承保实体必须满足患者的方式的修订’要求访问其PHI。具体而言,根据《综合规则》,如果承保实体以电子格式维护请求的PHI,并且患者要求其信息的电子副本,则承保实体必须以电子格式提供请求的PHI。另外,如果有病人’的访问请求指示承保实体将请求的PHI传送给该个人指定的另一个人,承保实体必须根据请求将PHI提供给个人’要求是书面的,由患者签名并清楚地标识收件人。受最终法规约束的涵盖实体实验室’扩展的访问条款将需要确保其政策和程序符合这些经修订的隐私规则要求。

涵盖实体实验室还需要修改其隐私惯例通知(NPP),以符合最终规则。具体来说,根据《隐私权规则》,只要NPP中概述的隐私惯例发生重大变化,受保护实体就必须立即修改其NPP。 Omnibus规则包括对涵盖实体的几项重大变更’要求NPP进行修订的义务以及涵盖实体必须在2013年9月23日之前实施这些修订。但是,在《综合规则》发布之后,HHS意识到,上述《最终规则》中包含的其他重大变更将不会最终完成。 2013年9月23日。因此,除非HHS采取行动,否则受这些更改影响的涵盖实体实验室将需要在几个月内多次更新其NPP。 2013年9月19日,HHS发布了 执法延迟 指出,由于另行发布的《综合法规》和《最终法规》之间的距离较近,因此除非另行通知,否则涵盖的实体CLIA和免CLIA实验室修改其NPP以符合《综合法规》的要求不会得到执行。因此,除了《综合规则》要求的变更外,受保实体实验室还必须修订其NPP以包括有关患者的信息’获得访问其实验室测试结果的新权利,并删除所有相反的陈述。

最终规则于2014年4月5日生效,涵盖实体必须在2014年10月2日之前遵守。除修订政策,程序和NPP之外,涵盖实体实验室还需要培训其员工队伍并完善其信息安全实践,以便遵守最终规则。