Tuotteisiin on sisällyttävä käyttäjän mahdollisuus valita, tallentaako järjestelmä asiaankuuluvan sisäisen toiminnan (tai ainakin käyttäjän on nimenomaisesti annettava suostumuksensa tällaiseen tallentamiseen).

Organisaation on annettava potilaalle 12 kuukauden aikana ensimmäinen selvitys luovutuksista maksutta. Jos sama potilas esittää 12 kuukauden aikana uusia pyyntöjä, potilaalle on ilmoitettava etukäteen mahdollisista kohtuullisista, kustannusperusteisista maksuista ja annettava potilaalle mahdollisuus muuttaa tai peruuttaa pyyntö ennen maksujen perimistä.

Protected Health Information (PHI) may be disclosed to law enforcement officials under specific legal conditions, including:

• Responding to court orders, warrants, subpoenas, or other lawful processes
• Reporting known or suspected crimes or suspicious deaths occurring on facility premises
• Assisting in the identification or location of suspects, victims, or witnesses

Such disclosures balance individual privacy with public safety and justice needs.

Organisaatio voi käyttää tai luovuttaa suojattuja terveystietoja yksilöimättömien tietojen luomiseen tai luovuttaa niitä liikekumppanille tätä tarkoitusta varten. Jos anonymisoituja tietoja yksilöidään uudelleen, niihin sovelletaan jälleen HIPAA:n mukaista täydellistä yksityisyyden suojaa.

Protected Health Information (PHI) may be disclosed to health oversight agencies conducting legally authorized audits, investigations, inspections, licensure or disciplinary proceedings, compliance reviews, and civil rights enforcement activities. These disclosures are necessary for maintaining accountability in healthcare delivery and ensuring compliance with professional standards, healthcare regulations, and civil rights protections.

Suojattuja terveystietoja (PHI) voidaan luovuttaa tutkimustarkoituksiin ilman yksilöllistä suostumusta, jos seuraavat ehdot täyttyvät: IRB:n (Institutional Review Board) tai tietosuojaneuvoston hyväksyntä, yksityisyyden suojaan liittyvien riskien minimoimiseksi toteutettavat suojatoimet, suostumuksen poikkeaminen tai muuttaminen minimiriskikriteerien mukaisesti sekä tiukat tarpeellisuus- ja rajoitusvaatimukset kuolleisiin henkilöihin kohdistuvalle tutkimukselle ja valmistelututkimukselle. Tutkimusluovutukset tukevat lääketieteen kehitystä noudattaen eettisiä ja tietosuojaa koskevia normeja.

Säänneltyjen tahojen on poistettava suojattujen terveystietojen (PHI) henkilöllisyyden tunnistetiedot ennen tietojen käyttämistä tai luovuttamista HIPAA:n suojan ulkopuolella. Tämä voidaan toteuttaa poistamalla kaikki 18 tunnistetietoa Safe Harbor -menetelmän mukaisesti tai käyttämällä asiantuntijamääritystä, jossa pätevä asiantuntija toteaa, että uudelleentunnistamisen riski on hyvin pieni. Molemmat menetelmät on dokumentoitava. Asianmukainen tunnistetietojen poistaminen mahdollistaa tietojen toissijaisen käytön rikkomatta Tietosuojasääntöä.

PHI voidaan luovuttaa henkilön tai yleisön terveyteen tai turvallisuuteen kohdistuvan vakavan ja välittömän uhan estämiseksi tai vähentämiseksi. Tällaiset luovutukset tehdään vilpittömässä mielessä henkilöille tai yhteisöille, jotka pystyvät kohtuudella estämään tai vähentämään uhkaa, ja ne ovat välttämättömiä yleisen suojelun ja hätätilanteisiin vastaamisen kannalta.

Kun anonymisoituja tietoja tunnistetaan uudelleen, säänneltyjen tahojen on toteutettava valvontatoimia yksityisyyden suojaamisen varmistamiseksi. Tähän sisältyy yksilöllisen koodin tai tunnisteen antaminen, jota ei voida johtaa suojatuista terveystiedoista (PHI) tai joka ei liity suojattuihin terveystietoihin, sekä uudelleentunnistamiseen käytettävän avaimen säilyttäminen turvallisesti ja erillään.

Organisaation on varmistettava, että se käyttää ja luovuttaa suojattuja terveystietoja (PHI) vain sallittuihin tarkoituksiin.

Sallittuihin tarkoituksiin kuuluvat:

• hoito
• maksu
• terveydenhuollon toiminta
• yleisen edun mukaiset toimet
• lain noudattaminen
• tutkimus

Käyttö ja luovuttaminen ovat mahdollisia rekisteröidyn nimenomaisella suostumuksella, edellyttäen HIPAA:n määrittelemien suojatoimien ja sopimusrajoitusten noudattamista.

The organization may disclose PHI to report cases of abuse, neglect, or domestic violence. Disclosures and exceptions to this requirement should be promptly informed to individuals.

Such disclosures can be made when required or permitted by law, and when the disclosure is necessary to protect the individual or others from harm. These measures are critical for safeguarding vulnerable individuals who may not be able to protect themselves.

To comply with HIPAA, the organization and business associate must limit the use, disclosure, or request of protected health information to the minimum necessary to achieve the intended purpose.

• when the disclosure is for treatment
• when information is disclosed to the individual
• when the information disclosure is authorized, or is legally required.

Organisaatio voi käyttää ja luovuttaa suojattuja terveystietoja (PHI) ilman yksilön lupaa keskeisiin tarkoituksiin, kuten hoitoon, maksamiseen ja terveydenhuollon toimintaan. Jos pelkkä suostumus ei kuitenkaan riitä, esimerkiksi PHI:n käyttämiseksi markkinointiin, useimmille tutkimustoimille on saatava yksilöltä nimenomainen HIPAA:n mukainen lupa. Tietojen luovuttaminen toiselle suojatulle yhteisölle on sallittua vain, jos kyseisellä yhteisöllä on suora suhde henkilöön ja jos PHI liittyy tähän suhteeseen. Kaikki käyttötarkoitukset ja luovutukset on rajoitettava asianmukaisesti välttämättömään vähimmäismäärään, ja ne on dokumentoitava potilaan odotusten ja HIPAA-standardien mukaisesti.

Kun organisaatio vastaanottaa luovuttamista koskevan selvityspyynnön, sen on laadittava ja toimitettava selvitys potilaalle 60 päivän kuluessa. Jos 60 päivän määräaikaa ei pystytä noudattamaan, potilaalle on annettava kirjallinen selitys viivästyksestä ja uusi odotettu valmistumispäivä alkuperäisen 60 päivän määräajan kuluessa, jolloin voidaan käyttää yhtä 30 päivän pidennystä.

Suojattuja terveystietoja (PHI) voidaan luovuttaa kansanterveysviranomaisille valtuutettuja kansanterveystoimia varten. Tähän sisältyy toimintaa, joka liittyy seuraaviin:

• tautien ehkäisyyn
• terveysvalvontaan
• kansanterveysuhkien tutkimiseen
• haittatapahtumien seurantaan

Tällaiset luovutukset tukevat yhteisön terveyttä ja hyvinvointia mahdollistamalla tehokkaan reagoinnin terveysriskeihin.

PHI may be shared with coroners, medical examiners, and funeral directors for purposes such as determining cause of death or enabling them to carry out their legal duties.

Additionally, information may be disclosed to organ procurement organizations to support organ, eye, or tissue donation processes.

Säänneltyjen tahojen on varmistettava, että suojattujen terveystietojen (PHI) käyttö, luovuttaminen ja pyytäminen rajoitetaan tarkoituksen saavuttamiseksi välttämättömään vähimmäismäärään. Politiikoissa on arvioitava, mitä tietoja tarvitaan, luokiteltava käyttöoikeustasot rooleihin ja vastuualueisiin perustuen, arvioitava muut kuin rutiininomaiset luovutuspyynnöt erikseen ennalta määriteltyjen kriteerien perusteella luovutettavien tietojen rajoittamiseksi ja koulutettava henkilöstöä soveltamaan tätä periaatetta päivittäisessä toiminnassa.

Jos laki niin vaatii, organisaation on luovutettava suojattuja terveystietoja (PHI). Nämä luovutukset on tehtävä tiukasti sovellettavien liittovaltion, osavaltion tai paikallisten säännösten mukaisesti. Luovutettavien tietojen tulee rajoittua siihen vähimmäismäärään, joka on tarpeen lakisääteisen velvoitteen täyttämiseksi, ja näin varmistetaan, että yksityisyyden suoja säilyy myös pakollisissa luovutuksissa.

Organisaatio tarjoaa rekisteröidylle pyyntöä vastaan selkeän listauksen hänen henkilötietojensa luovutuksista kolmansille osapuolille.

Listauksesta käy ilmi etenkin, mitä henkilötietoja on luovutettu, mille organisaatiolle, millä perusteella ja milloin.

Organisaatio on tunnistanut mahdolliset lainkäyttöalueiden väliset henkilötietojen siirrot.

Henkilötietojen siirroille lainkäyttöalueiden välillä on tunnistetut ja dokumentoidut oikeusperusteet.

Organisaation tulisi määrittää ja dokumentoida valtiot ja kansainväliset organisaatiot, joille henkilötietoja voidaan siirtää.

Valtiot ja kansainväliset organisaatiot, joille normaalitilanteissa voidaan siirtää henkilötietoja, tulee kommunikoida rekisteröidyille.

Organisaation tulisi tallentaa henkilötietojen siirrot kolmanislle osapuolille ja kolmansilta osapuolilta. Organisaation olisi myös varmistettava asiaan kuuluvien tahojen yhteistyö myös tulevaisuudessa rekisteröityihin liittyvien velvotteita koskevien pyyntöjen toteuttamisen mahdollistamiseksi.

Siirtoja koskevissa tallenteissa on huomioitava tietojen minimoinnin periaate ja säilytettävä vain varsinaisesti tarvittu tieto.

Organisaation tulisi tallentaa henkilötietojen luovutusta kolmansille osapuolille koskevat tiedot. Tietoihin kuuluu mitä henkilötietoja, kenelle ja milloin on luovutettu.

Organisaation tulisi hylätä kaikki oikeudellisesti ei-sitovat henkilötietojen luovutuspyynnöt, mutta hyväksyttävä kaikki sopimuksissa määritellyt henkilötietojen luovutuspyynnöt, jotka asiakas on hyväksynyt. Asiaankuuluvalta asiakkaalta on kysyttävä ennen henkilötietojen luovuttamista.

Tietovarannon tiedot ovat lähtökohtaisesti vain kyseisen rekisterinpitäjän käytössä ja samalla vastuulla. Mikäli luovutat tietoja eteenpäin toiselle organisaatiolle muuta käyttöä varten, siitä on informoitava selkeästi ja kerrottava mm. luovutuksen vastaanottaja sekä peruste.

Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:

• Käsittelijän nimen ja sijainnin
• Henkilötietojen käsittelyn luonne ja tarkoitus
• Sopimuksen statuksen

Tietosuoja-asetus määrittelee edellytykset henkilötietojen lainmukaiselle siirtämiselle EU:n tai ETA:n ulkopuolelle.

Organisaatio dokumentoi kaikki tietosiirrot ja niissä sovellettavat siirtoperusteet. Tietosiirtoja voi syntyä esimerkiksi tietojärjestelmän, tietoja käsittelevän kumppanin tai tietoluovutuksen vastaanottajan sijainnin perusteella.