Seit dem Inkrafttreten der Bundesgesetze zum Schutz der Privatsphäre in den Jahren 1996 und 2003 hat New Jersey die nationalen Standards zum Schutz individueller Gesundheitsinformationen eingehalten und sogar übertroffen. Statuten, von Richtern geschaffenes Gesetz und Entscheidungen von Exekutivagenturen haben im Laufe der Zeit die allgemeinen Mandate des HIPAA (Health Insurance Portability and Accountability Act - HIPAA), die auf die "staatlichen Stellen" des Staates anwendbar sind, als öffentliche oder private Körperschaft definiert Dadurch werden Gesundheitsinformationen elektronisch gepflegt und verteilt. Diese Interpretationen bildeten die rechtliche Grundlage dafür, dass die in New Jersey ansässigen Unternehmen die HIPAA und die gesetzlichen Bestimmungen zum Schutz der Privatsphäre des Landes einhalten.
Hinweise zu Datenschutzpraktiken
New Jersey verlangt, dass die betroffenen Unternehmen schriftliche Mitteilungen erstellen, in denen bestätigt wird, dass sie verpflichtet sind, die Informationen der Patienten zu schützen und ihre diesbezüglichen Verfahren zu erläutern. Häufig werden die Bekanntmachungen in Büros mit Sicht auf die Patienten und im Internet veröffentlicht. In den Mitteilungen der örtlichen Gesundheitsabteilungen wird angegeben, für welche Offenlegungen von Informationen die Genehmigung des Patienten erforderlich ist und welche nicht. Website-Postings von großen Versicherern versichern den Verbrauchern, dass die von ihnen gesammelten Informationen nur aus vertrauenswürdigen Quellen stammen und Patienten die Nutzung einschränken können.
Gesetzgebung
Obwohl seine HIPAA-Bestimmungen nicht in einem umfassenden Gesetz vorhanden sind, hat New Jersey diese Bestimmungen in separaten Gesetzen behandelt. In diesen Statuten werden Datenschutzgesetze nach Art der Einrichtung, Anbieter, Informationen und Regierungsprogramm zusammengefasst. Beispielsweise beschränken einrichtungsspezifische Codes die Offenlegung von Informationen in einem Akutkrankenhaus und verlangen, dass ambulante Pflegeeinrichtungen Möglichkeiten finden, um zu verhindern, dass medizinische Daten verloren gehen. Anbieterspezifische Codes erlauben es Ärzten, unter besonderen Umständen vertrauliche Informationen auch ohne Zustimmung des Patienten offenzulegen.
Durchsetzung
Nach dem Inkrafttreten des Bundesgesetzes warnte New Jersey die Gesundheitsdienstleister vor der strengen Einhaltung der Datenschutzbestimmungen der HIPAA. Staatliche Gerichte und Exekutivagenturen haben manchmal strengere Standards als die nationale Regierung vorschlägt. Zum Beispiel setzt New Jersey strengere Beschränkungen für das Recht einer Grand Jury auf Zugang zu den Aufzeichnungen der beschuldigten Person ohne dessen Zustimmung. Berufungsrichter haben auch das Recht eines Krankenhauses erweitert, Dritte zu verklagen, die illegale Mittel zur Sicherung von Patientendaten verwenden.
Berechtigungen
Die von New Jersey abgedeckten Unternehmen verwenden Berechtigungsformulare, die ihnen den Zugang zu Gesundheitsinformationen des Patienten ermöglichen. Mit der Unterzeichnung der Formulare stimmt eine natürliche Person zu, dass eine Krankenversicherung, eine staatliche Behörde, ein Rechtsanwalt oder ein Gesundheitsdienstleister vertrauliche Daten unter eingeschränkten Bedingungen verwenden und offenlegen darf. In den Formularen wird häufig angegeben, welche Dokumente geschützte Gesundheitsinformationen (PHI) darstellen. Einige erlauben dem Unterzeichner, die Autorisierung zu widerrufen. Jede betroffene Einheit, die vertrauliche Gesundheitsinformationen ohne ausgeführte Autorisierung verwendet und veröffentlicht, kann gegen die Datenschutzbestimmungen von HIPAA und New Jersey verstoßen.
Aufsicht
Zusätzlich zu den staatlichen Stellen, die HIPAA durchsetzen, bestimmen die betroffenen Stellen Datenschutzbeauftragte mit Aufsichtsbehörden in ihren jeweiligen Unternehmen. Im Allgemeinen entwickeln diese Personen Datenschutzpraktiken, reagieren auf Beschwerden über mutmaßliche Verstöße und ergreifen bei Bedarf Abhilfemaßnahmen. Hinweise zu Datenschutzpraktiken enthalten häufig Kontaktinformationen für den Datenschutzbeauftragten der Einrichtung.