HIPPA-privacybeleid

    Inhoud

    1. Inleiding

    XTM International Inc voert diensten uit voor Covered Entities waarbij soms Protected Health Information wordt gebruikt of openbaar wordt gemaakt. XTM International Inc wordt beschouwd als een business associate onder de Health Insurance Portability and Accountability Act van 1996 (HIPAA).

    Beschermde gezondheidsinformatie (PHI) is informatie die door XTM International Inc wordt gecreëerd, ontvangen of bijgehouden van of namens de Covered Entity en die betrekking heeft op de vroegere, huidige of toekomstige fysieke of mentale gezondheid of toestand van een persoon; de verlening van gezondheidszorg aan een persoon; of de vroegere, huidige of toekomstige betaling voor de verlening van gezondheidszorg aan een persoon; en waarmee de persoon kan worden geïdentificeerd of waarvan redelijkerwijs kan worden aangenomen dat de informatie kan worden gebruikt om de persoon te identificeren. PGI omvat informatie over levende personen of personen die minder dan 50 jaar geleden zijn overleden.

    XTM International Inc stelt alles in het werk om te goeder trouw te voldoen aan de voorwaarden van de business associate-overeenkomsten die het aangaat met Covered Entities. Daartoe moeten alle personeelsleden van XTM International Inc zich houden aan dit privacybeleid.

    Het is niet de bedoeling dat dit beleid rechten van derden creëert. XTM International Inc behoudt zich het recht voor dit beleid te allen tijde en zonder voorafgaande kennisgeving te wijzigen. Voor zover in dit beleid eisen en verplichtingen worden vastgesteld die verder gaan dan de eisen en verplichtingen die voortvloeien uit HIPAA of een overeenkomst met een zakenpartner, is het beleid een streefwaarde en niet bindend voor XTM International Inc. Dit beleid heeft geen betrekking op vereisten op grond van andere federale wetten of staatswetten.

    2 Verantwoordelijkheden als Business Associate

    2.1 Privacyfunctionaris en contactpersoon

    Claire-Louise Cook is de Privacy Officer voor XTM International Inc. De Privacy Official is verantwoordelijk voor het toezicht op de business associate-overeenkomsten die XTM International Inc is aangegaan met Covered Entities. Daarnaast is de Privacy Official verantwoordelijk voor het toezicht op de naleving door XTM International Inc van de voorwaarden van deze business associate-overeenkomsten.

    2.2 Training van werknemers

    De Privacy Official is ervoor verantwoordelijk dat alle personeelsleden de training krijgen die nodig en passend is om te voldoen aan de voorwaarden van de HIPAA-overeenkomsten met zakelijke partners.

    2.3 Beveiligingen en firewall

    XTM International Inc zal passende administratieve, technische en fysieke waarborgen instellen om te voorkomen dat PHI opzettelijk of onopzettelijk wordt gebruikt of openbaar wordt gemaakt in strijd met de HIPAA-vereisten. Administratieve beveiligingen omvatten het implementeren van procedures voor gebruik en openbaarmaking van PHI. Technische beveiligingen omvatten het beperken van de toegang tot informatie. Fysieke beveiligingen omvatten het vergrendelen van deuren.

    2.4 Klachten

    De Privacy Officer is de contactpersoon voor het ontvangen van klachten. Elke persoon die van mening is dat dit beleid of de voorwaarden van een overeenkomst met een businesspartner zijn geschonden, moet een dergelijke schending melden aan de Privacyfunctionaris.

    2.5 Sancties voor schendingen van het privacybeleid

    Sancties voor het gebruik of de openbaarmaking van PHI in strijd met dit beleid of een overeenkomst met een businesspartner worden opgelegd door XTM International Inc. Sancties kunnen bestaan uit berisping, schorsing of beëindiging van het dienstverband.

    2.6 Beperking van onopzettelijke openbaarmakingen van PHI

    XTM International Inc zal de schadelijke gevolgen van het gebruik of de openbaarmaking van PHI in strijd met dit beleid of een overeenkomst met een business associate zoveel mogelijk beperken. Dientengevolge, als een individu zich bewust wordt van een ongeautoriseerd gebruik of een ongeautoriseerde openbaarmaking van PHI, moet het individu onmiddellijk contact opnemen met de Privacyofficial zodat passende stappen kunnen worden ondernomen om de schade te beperken.

    2.7 Geen intimiderende of vergeldingsacties

    Geen enkele persoon mag personen intimideren, bedreigen, dwingen, discrimineren of andere vergeldingsmaatregelen nemen omdat ze hun rechten uitoefenen, een klacht indienen, deelnemen aan een onderzoek of zich verzetten tegen ongepaste praktijken onder HIPAA.

    2.8 Documentatie

    Het privacybeleid en de privacyprocedures van XTM International Inc worden gedocumenteerd en ten minste zes jaar na de datum waarop ze voor het laatst van kracht waren, bewaard. Het beleid en de procedures moeten waar nodig of passend worden gewijzigd om te voldoen aan wijzigingen in de wet, normen, vereisten en implementatiespecificaties (met inbegrip van wijzigingen en aanpassingen in de regelgeving). Wijzigingen in beleid of procedures moeten onmiddellijk worden gedocumenteerd.


    3. Beleid inzake gebruik en openbaarmaking van beschermde gezondheidsinformatie

    3.1 Toegestaan gebruik en openbaarmaking namens de Covered Entity

    XTM International Inc mag de PGI die het namens de Covered Entity creëert of ontvangt, of die het van de Covered Entity (of een andere business associate van de Covered Entity) ontvangt, gebruiken en openbaar maken en namens de Covered Entity om PGI verzoeken (gezamenlijk "PGI van de Covered Entity") om diensten voor de Covered Entity te verrichten.

    3.2 Toegestaan gebruik en openbaarmaking voor activiteiten van XTM International Inc

    XTM International Inc mag de PGI van de Covered Entity gebruiken voor goed beheer en administratie of om wettelijke verantwoordelijkheden uit te voeren, op voorwaarde dat, met betrekking tot de openbaarmaking van de PGI van de Covered Entity: (A) de openbaarmaking wettelijk verplicht is; of (B) XTM International Inc redelijke zekerheid verkrijgt van elke persoon of entiteit aan wie XTM International Inc de PGI van de Covered Entity openbaar zal maken, dat de persoon of entiteit:

    • De PHI van de Covered Entity vertrouwelijk zal houden.

    • De PGI van de Covered Entity alleen zal gebruiken of openbaar zal maken voor het doel waarvoor de Business Associate de PGI van de Covered Entity aan de persoon of entiteit heeft bekendgemaakt of zoals wettelijk vereist.

    • XTM International Inc (die op haar beurt de Covered Entity zal informeren in overeenstemming met de bepalingen inzake kennisgeving van inbreuk) onmiddellijk op de hoogte stellen van elk geval waarvan de persoon of entiteit kennis krijgt en waarbij de vertrouwelijkheid van de PGI van de Covered Entity is geschonden.

    3.2 Voldoen aan de minimumnormen

    XTM International Inc zal zich bij het uitvoeren van de hierboven gespecificeerde functies, activiteiten, diensten en activiteiten redelijkerwijs inspannen om alleen de minimale hoeveelheid PGI van de Covered Entity te gebruiken, openbaar te maken en op te vragen die redelijkerwijs nodig is om het beoogde doel van het gebruik, de openbaarmaking of het verzoek te verwezenlijken, met dien verstande dat XTM International Inc niet verplicht is om aan deze minimaal noodzakelijke beperking te voldoen als noch XTM International Inc noch de Covered Entity verplicht is om het gebruik, de openbaarmaking of het verzoek tot het minimaal noodzakelijke te beperken. De zinsnede "minimaal noodzakelijk" wordt geïnterpreteerd in overeenstemming met HIPAA en de bijbehorende uitvoeringsvoorschriften.

    3.3 Openbaarmaking van PGI aan onderaannemers en tussenpersonen

    XTM International Inc eist van al haar onderaannemers en agenten dat zij redelijke zekerheid verschaffen dat die onderaannemer of agent zich met betrekking tot de PGI en/of Elektronische PGI van de Covered Entity aan dezelfde privacy- en beveiligingsverplichtingen houdt als XTM International Inc.

    3.4 Inbreuk op privacy of beveiliging

    XTM International Inc zal aan de Covered Entity melding maken van elk gebruik of openbaarmaking van de PGI van de Covered Entity dat niet is toegestaan onder de business associate-overeenkomst, evenals van elke Breach van onbeveiligde PGI van de Covered Entity. XTM International Inc zal de Inbreuk behandelen als ontdekt in overeenstemming met 45 CFR § 164.410. XTM International Inc doet de melding aan de Privacy Officer van de Covered Entity uiterlijk 30 kalenderdagen nadat XTM International Inc kennis heeft gekregen van een dergelijk ongeoorloofd gebruik of een dergelijke ongeoorloofde openbaarmaking. Indien een wetshandhavingsfunctionaris in overeenstemming met 45 CFR § 164.412 om uitstel verzoekt,

    XTM International Inc kan de kennisgeving aan de Covered Entity gedurende de toepasselijke periode uitstellen. XTM International Inc doet de melding ten minste als volgt

    • De aard van de Inbreuk of ander ongeoorloofd gebruik of ongeoorloofde openbaarmaking vaststellen, met inbegrip van een korte beschrijving van wat er is gebeurd, inclusief de datum van een eventuele Inbreuk en de datum waarop een eventuele Inbreuk werd ontdekt.

    • Identificeren van de PGI van de Verzekerde Entiteit die het voorwerp uitmaakte van het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking of van de Breach (bijvoorbeeld of het gaat om de volledige naam, het burgerservicenummer, de geboortedatum, het thuisadres, het rekeningnummer of andere informatie) op individuele basis.

    • Identificeer wie het ongeoorloofde gebruik of de ongeoorloofde openbaarmaking heeft gemaakt en wie de ongeoorloofde openbaarmaking heeft ontvangen.

    • Identificeer welke corrigerende of onderzoeksmaatregelen XTM International Inc heeft genomen of zal nemen om verder ongeoorloofd gebruik of verdere ongeoorloofde openbaarmaking te voorkomen, schadelijke gevolgen te beperken en bescherming te bieden tegen verdere inbreuken.

    • Aangeven welke stappen de personen die het slachtoffer zijn geworden van een schending, moeten nemen om zichzelf te beschermen.

    • Het verstrekken van alle overige informatie, waaronder een schriftelijk rapport, waar de Verzekerde Entiteit redelijkerwijs om kan verzoeken.

    3.5 Beveiligingsincidenten

    XTM International Inc zal aan de Covered Entity melding doen van elke poging tot of geslaagde (A) ongeoorloofde toegang, ongeoorloofd gebruik, ongeoorloofde openbaarmaking, ongeoorloofde wijziging of ongeoorloofde vernietiging van Elektronische PHI van de Covered Entity of (B) verstoring van de werking van de systemen van XTM International Inc in de informatiesystemen, waarvan XTM International Inc kennis krijgt.

    3.6 Verbod op ongeoorloofd gebruik of ongeoorloofde openbaarmaking

    XTM International Inc zal de PGI van de Covered Entity niet gebruiken of openbaar maken, tenzij dit is toegestaan of vereist op grond van een business associate-overeenkomst of schriftelijk door de Covered Entity, of zoals vereist door de wet. XTM International Inc mag de PGI van de Covered Entity niet gebruiken of openbaar maken op een wijze die in strijd is met de Privacy Rule als de Covered Entity dit zou doen.


    4. Beleid inzake individuele rechten

    4.1 Toegang tot PGI en wijzigingsverzoeken

    XTM International Inc zal binnen 20 kalenderdagen na een verzoek van de Covered Entity aan de Covered Entity of, op aanwijzing van de Covered Entity, aan een individu (of diens persoonlijke vertegenwoordiger) inzage geven in en kopieën laten maken van de PHI van de Covered Entity over de individu die in bewaring of beheer is bij XTM International Inc, zodat de Covered Entity kan voldoen aan haar toegangsverplichtingen op grond van 45 CFR § 164.524. Met ingang van de door de HHS vastgestelde datum heeft de betrokkene, indien de PGI in een elektronisch patiëntendossier is opgeslagen, het recht om van XTM International Inc een kopie van deze informatie in elektronisch formaat te verkrijgen. XTM International Inc zal een dergelijke kopie aan de Covered Entity verstrekken of, als alternatief, rechtstreeks aan de persoon, indien een dergelijke alternatieve keuze duidelijk, opvallend en specifiek door de persoon of Covered Entity is gemaakt.

    4.2 Boekhouding

    XTM International Inc ondersteunt de Covered Entities bij het voldoen aan de verplichtingen met betrekking tot de boekhouding van de openbaarmakingen uit hoofde van 45 CFR § 164.528:
    Disclosures Subject to Accounting. XTM International Inc zal de hieronder gespecificeerde informatie ("Openbaarmakingsinformatie") vastleggen voor elke openbaarmaking van PGI van de Covered Entity die niet is uitgezonderd van de boekhoudkundige verwerking van openbaarmakingen zoals hieronder gespecificeerd, en die XTM International Inc doet aan de Covered Entity of aan een derde.

    • Openbaarmakingen die niet hoeven te worden geadministreerd. XTM International Inc is niet verplicht tot registratie van

    • Openbaarmakingsinformatie te registreren of anderszins verantwoording af te leggen over openbaarmakingen van de PGI van de Covered Entity als de Covered Entity geen verantwoording hoeft af te leggen over dergelijke openbaarmakingen.

    • Openbaarmakingsinformatie. Met betrekking tot elke openbaarmaking door XTM International Inc van de PGI van de Covered Entity die niet is uitgezonderd van de boekhouding van openbaarmakingen, zal XTM International Inc de volgende informatie over openbaarmakingen vastleggen, voor zover van toepassing op het type verantwoordelijke openbaarmaking dat heeft plaatsgevonden:

      • Openbaarmakingsinformatie Algemeen. Met uitzondering van herhaalde openbaarmakingen van PHI van de betrokken entiteit, zoals hieronder gespecificeerd, moet XTM International Inc voor elke verantwoordelijke openbaarmaking de volgende openbaarmakingsinformatie registreren: (i) de datum van openbaarmaking, (ii) de naam en (indien bekend) het adres van de entiteit waaraan XTM International Inc de openbaarmaking heeft verricht, (iii) een korte beschrijving van de openbaar gemaakte PHI van de betrokken entiteit, en (iv) een korte verklaring over het doel van de openbaarmaking.

      • Openbaarmakingsinformatie voor herhaalde openbaarmakingen. Voor herhaalde openbaarmakingen van de PHI van de betrokken entiteit die XTM International Inc voor één doel aan dezelfde persoon of entiteit (waaronder de betrokken entiteit) verricht, is de openbaarmakingsinformatie die XTM International Inc moet vastleggen de hierboven gespecificeerde openbaarmakingsinformatie voor elke verantwoordelijke openbaarmaking, of (i) de hierboven gespecificeerde openbaarmakingsinformatie voor de eerste van de herhaalde verantwoordelijke openbaarmakingen; (ii) de frequentie, periodiciteit of het aantal herhaalde verantwoordelijke openbaarmakingen; en (iii) de datum van de laatste herhaalde verantwoordelijke openbaarmakingen.

      • Beschikbaarheid van informatie over openbaarmaking. XTM International Inc bewaart de informatie over openbaarmakingen gedurende ten minste 6 jaar na de datum van de verantwoordelijke openbaarmaking waarop de informatie over openbaarmakingen betrekking heeft (3 jaar voor openbaarmakingen met betrekking tot een elektronisch patiëntendossier, te rekenen vanaf de door de HHS vastgestelde datum). XTM International Inc zal de informatie over openbaarmaking binnen 30 kalenderdagen na het verzoek van de Covered Entity om deze informatie beschikbaar stellen aan de Covered Entity om te voldoen aan het verzoek van een individu om de openbaarmaking te verantwoorden. Met ingang van de door de HHS gespecificeerde datum zal XTM International Inc met betrekking tot openbaarmakingen die verband houden met een Elektronisch patiëntendossier, de administratie rechtstreeks verstrekken aan een persoon die een dergelijk verzoek om openbaarmaking indient, indien deze persoon om een rechtstreeks antwoord verzoekt.


    4.3 Verzoeken tot beperking van gebruik en openbaarmaking van beschermde gezondheidsinformatie

    XTM International Inc zal zich houden aan elke overeenkomst die de Covered Entity sluit waarbij (i) het gebruik of de openbaarmaking van Beschermde Gezondheidsinformatie van de Covered Entity wordt beperkt overeenkomstig 45 CFR § 164.522(a), of (ii) vertrouwelijke communicatie over Beschermde Gezondheidsinformatie van de Covered Entity wordt vereist overeenkomstig 45 CFR § 164.522(b), mits de Covered Entity XTM International Inc schriftelijk in kennis stelt van de verplichtingen tot beperking of vertrouwelijke communicatie waaraan XTM International Inc zich moet houden. Een Covered Entity zal XTM International Inc onverwijld schriftelijk op de hoogte stellen van de beëindiging van een dergelijke beperkingsovereenkomst of verplichting tot vertrouwelijke communicatie en, in geval van beëindiging van een dergelijke beperkingsovereenkomst, XTM International Inc instrueren of de PHI van de Covered Entity onder de voorwaarden van de beperkingsovereenkomst blijft vallen.