HIPAA商业伙伴隐私政策

Hipaa隐私政策

我们非常重视隐私. 我们与承保实体共同承诺，根据商业合作协议条款和1996年《火狐体育手机》(“HIPAA”)，保护我们获得的受保护健康信息的隐私和机密性。, 修订的, 包括, 但不限于, 《火狐体育手机》修正案(统称为《火狐体育手机》), “HIPAA /高科技”).

提供本隐私政策是为了帮助您更好地了解我们如何使用, 披露, 并根据业务合作协议的条款保护受保护的健康信息.

定义

• “业务伙伴”(“BA”)系指代表承保实体执行功能或活动的实体，当这些服务涉及访问, 的使用或披露, 受保护的运行状况信息.
• “业务合作协议”(“BAA”)系指广管局与承保实体之间的正式书面合同，该合同要求广管局遵守与PHI相关的具体要求.
• “承保实体”指健康计划, 医疗服务提供者, 或必须遵守HIPAA隐私规则的医疗保健信息交换中心.
• “受保护的健康信息”(“PHI”)是指受保护实体以任何形式或媒介传输或维护的所有“个人可识别的健康信息”. 个人可识别的健康信息是已创建的可用于识别个人的任何信息, 使用, 或在提供诊断或治疗等保健服务过程中披露的信息, 或与提供保健服务的付款有关. 

PHI的使用和披露

• 我们可能代表…使用或披露PHI, 或为…提供服务, 用于履行我们在服务协议项下对适用实体的义务, 前提是此类使用或披露是适用的业务伙伴协议允许或要求的，并且不会违反HIPAA/HITECH, 包括适用于业务伙伴的隐私规则或安全规则.
• 我们可能会在内部使用PHI作为我们自己的内部管理, 政府, 数据汇总和法律义务, 但仅在适用的业务伙伴协议允许或要求的范围内使用PHI，并且不会违反HIPAA/HITECH, 包括适用于业务伙伴的隐私规则或安全规则.
• 我们可能会根据法律要求或响应有效传票，出于执法目的披露个人信息.
• We may 披露 PHI to downstream subcontractors or agents that provide supporting services to us; however, 我方将要求该等分包商和代理遵守适用的商业伙伴协议和PHI项下适用于我方的相同条款和条件, 包括执行和维持所需的保障措施.
• 本隐私政策中未描述的其他使用和披露将仅在您明确书面授权的情况下进行.

撤销您对使用和披露PHI的同意

只有在您明确同意的情况下，才有可能使用和披露PHI. 对于非用于治疗的PHI的任何使用或披露，都需要您的书面授权, 支付或医疗保健业务, 或隐私规则允许或要求的. 需要您授权的披露的例子包括为承保目的向人寿保险公司披露, 向雇主披露受雇前的体检或化验结果, 为了营销目的向制药公司披露的信息, 以及心理治疗记录的披露. 关于心理治疗记录披露的授权要求是例外的. 一个例外是，产生票据的承保实体可以将其用于治疗. 另一个例外是受保实体可能使用或披露, 未经您授权, 心理治疗是为了自己的训练, 并在笔记所涉及的个人提起的法律诉讼中为自己辩护, 为了美国.S. 卫生与公众服务部调查或确定受保实体遵守《火狐体育手机官网》的情况, 避免对公众健康或安全造成严重和迫在眉睫的威胁, 给卫生监督机构对心理治疗记录的作者进行合法监督, 供死因裁判官或法医进行合法活动之用, 或者按照法律的要求. 如上所述, 承保实体必须获得您的授权，才能使用或披露您的PHI用于营销和承保实体提供名义价值的促销礼品. 承保实体与个人之间的面对面营销通信不需要您的授权. 除了, 您的授权不需要进行属于营销定义例外的通信. 这些例外情况是描述与健康有关的产品或服务的通信, 或者支付给他们, provided by or included in a benefit plan of the Covered Entity making the communication; communications about participating providers in a provider or health plan network, 替换或加强健康计划, 健康相关的产品或服务只提供给健康计划的参保人，增加价值, 但不属于, the benefits plan; communications for treatment of the individual; and communications for case management or care coordination for the individual, 或指导或推荐替代疗法, 治疗方法, 卫生保健提供者, 或者对个人的护理设置.

您可随时通过向我们发送书面撤销同意处理您的个人信息的邮件，撤销您对使用和披露您个人信息的同意 HIPAA.隐私@sztafl.net. 在我们收到您的撤销同意之前处理的所有PHI将被视为在您的同意下合法处理. 除了, 您可以通过向我们发送书面请求，要求从我们的系统和流程中删除和销毁您的所有数据  HIPAA.隐私@sztafl.net. 收到您的请求后, 我们将采取一切必要措施，彻底且永久地删除您的所有PHI，除非我们因法律原因无法这样做, 合规, 或者其他正当理由.

你的权利

你可索取以下资料:

• 我们使用和披露您的个人信息的目的;
• 您的个人信息和个人信息披露的法律依据;
• PHI的类别及有关主题;
• 有关您的个人信息可能被披露的第三方类型或身份的信息以及所提供的保护;
• The source of the PHI (if you didn’t provide it directly to us); and
• 它将被存储多久.

您有权:

• 访问您的PHI;
• 纠正不准确的PHI;
• 请求删除PHI;
• 限制对PHI的处理;
• 反对处理你们的PHI; 
• 数据可移植性;
• Opt out of PHI being transferred to a third party, unless t在这里 is a legal reason to do so; and
• 选择退出直接营销. 

要行使您的权利，您可以写信给我们的HIPAA合规官 HIPAA.隐私@sztafl.net.

有关PHI的要求

请求访问您的PHI, 要求修改你们的PHI, 或要求对您的PHI披露进行核算，应以书面形式提交给我们的HIPAA合规官，地址为 HIPAA.隐私@sztafl.net. 我们将在收到您的请求后不迟于三十(30)个日历日对您的请求采取行动. 如果我们不能在这段时间内采取行动, 我们将向您提供一份书面声明，说明延迟的原因以及我们将根据您的要求完成我们的行动的日期, 哪个日期将在原来三十(30)天的基础上增加不超过三十(30)个日历日. 

如果我们拒绝任何请求, 答复将包括解释拒绝访问的原因. 拒绝你的请求可能是基于一些原因. 个人无权访问不属于指定记录集的PHI，因为此类信息不用于做出有关个人的决策. 这些信息可能包括某些质量评估或改进记录, 患者安全活动记录, 或者商业计划, 发展, 管理记录更广泛地用于商业决策，而不是对个人做出决策. 例如, 医院的同行评议文件或从业人员或提供者的绩效评估, 或用于改善客户服务或处方开发记录的健康计划的质量控制记录, 可能产生并包括个人的PHI，但可能不在受保实体的指定记录集中，并受个人访问. 此外，有两类信息被明确排除在访问权之外. 一个是心理治疗笔记, 哪些是精神卫生保健提供者记录或分析咨询会议内容的个人笔记, 这些信息与病人的其他医疗记录分开保存. 另一种是在合理预期下编制的信息, 或用于, 民事, 刑事, 或行政行为或程序. 然而, 个人医疗或支付记录或用于生成上述类型被排除的记录或信息的其他记录中的基础PHI仍然是指定记录集的一部分，个人可以访问.

获取PHI

根据BAA的规定, 我们将向受保实体提供必要的信息，使受保实体授予个人访问权, 修正案, 并按照HIPAA规定进行会计核算.

要求, 我们将进行内部实践, 书, 和记录, 包括政策和程序, 有关个人信息的使用和披露, 或由业务伙伴代表承保实体创建或接收的, 可向受保实体或美国商务部部长提供.S. 以确定是否遵守BAA和HIPAA条例的条款.

我们的责任

作为商业伙伴，我们有许多法律责任. 其中包括与受保实体签订书面BAA的责任，该BAA要求我们维护PHI的隐私, 将我们对PHI的使用或披露限制在承保实体授权的目的范围内, and assist Covered Entities in responding to your requests concerning your PHI; the responsibility to amend PHI relating to you when requested by a Covered Entity; the responsibility to make certain disclosures available to a Covered Entity in order for the Covered Entity to fulfill its obligation to you to provide accountings of certain disclosures to you; the responsibility to enter into a BAA with each of our subcontractors who may have access to your PHI; the responsibility to comply with 隐私 Rule provisions, 包括 rules governing the uses and disclosure of PHI and your rights concerning your PHI; the responsibility to perform a 安全 Rule risk analysis; the responsibility to implement 安全 Rule safeguards; the responsibility to train personnel concerning the HIPAA Rules; the responsibility to respond immediately to any security violation or breach; the responsibility to timely report security incidents and breaches; and the responsibility to 维护 required documentation.

保障措施

我们使用适当的保护措施来防止使用或披露除BAA规定之外的个人信息. 我们实施了行政管理, 物理, 以及合理、恰当地保护机密的技术保障措施, 完整性, 以及我们创建的电子保护健康信息的可用性, 收到, 维护, 或代表受保实体传送. 这些保障措施包括:

• 保持适当的通关程序，并提供监督，以确保我们的员工遵守适当的安全程序;
• 为员工提供适当的培训，以确保员工遵守我们的安全政策;
• 在互联网上传输PHI时使用适当的加密;
• 利用适当的存储、备份、处置和再利用程序来保护PHI;
• 利用适当的身份验证和访问控制来保护PHI;
• Utilizing appropriate security incident procedures and providing training to our staff sufficient to detect and analyze security incidents; and
• 维护当前的应急计划和紧急访问计划，以确保我们代表承保实体持有的PHI在需要时可用.

减轻损害

在违反BAA要求的情况下使用或披露PHI, 我们会减轻, 在切实可行的范围内, 因违反规定而产生的任何有害影响. 这种缓解将包括:

• Reporting any use or disclosure of PHI not provided for by the BAA and any security incident of which we become aware to the Covered Entity; and
• 记录PHI的披露以及相关信息，以便受保实体根据HIPAA要求对PHI披露进行会计处理.

更改我们的隐私政策

我们可能会不时更改或更新我们的隐私政策. 我们保留随时更改或更新的权利. 如果我们对你们PHI的处理方式做出重大改变, 我们将通过我们的服务或其他沟通渠道向您提供通知.

如何联络我们

如果您对本隐私政策有任何疑问, 请Contact我们的HIPAA合规官:

助理:法律，HIPAA合规官
ALE美国公司.
企业中心道2000号
千橡市，加州91320
电子邮件: HIPAA.隐私@sztafl.net
电话:(747)388-7468

修订日期:2023年8月24日