有许多联邦法规管理人类受试者 研究活动中的保护措施. 大多数研究都是这样 有三套规章制度: 健康与人类 服务, 食物 和药物管理局，和 教育部. 有很多 在有关规定中有重叠之处，但又不完全相同 在有限的情况下，它们之间存在着重大差异. 为这些规定提供指导的主要联邦机构是 的 办公室 人类研究保护 (OHRP).

隐私规则规定了某些医疗保健组织， 被称为《博天堂官方》涵盖实体的组织或企业， 处理称为的可单独识别的运行状况信息 受保护的健康信息 (φ). 研究人员 应该知道隐私规则，因为它建立了 受保实体可以使用或披露φ的条件 有很多用途，包括研究. 尽管不是所有的研究人员 必须遵守《博天堂官方》 保护φ的规则可能会影响研究的某些方面.

重要的是要明白，许多研究机构 处理个人可识别的健康信息则不必 遵守私隐规则，因为他们不会被包括在内.  大峡谷州立大学不是一个覆盖实体，而是一个 混合的实体. 也就是说，涵盖了GVSU的某些组成部分 比如学生健康中心，心理咨询中心 护士管理着诊所 . 隐私规则不会直接监管研究人员 从事研究的组织，不包括实体 尽管他们可能会收集、生成、访问和分享个人信息 健康信息. 例如，赞助健康的实体 研究或创建和/或维护健康信息数据库可以 本身不是被覆盖的实体，因此可能不会直接被覆盖 受私隐规则规限. 然而，研究人员可能会依赖于覆盖 实体研究支持或作为来源的个人 可识别的健康信息将包括在研究中 存储库或研究数据库. 隐私规则可能会影响这些 独立研究者，因为这会影响他们与 涉及实体.

φ是指以任何形式传播或维护的健康信息 媒介:

1. 识别或可用于识别个人的; 和
2. 是由受保实体(如医疗保健机构)创建或接收的 提供者、健康计划、雇主或医疗保健交流中心;和
3. 与过去、现在或将来的身体或精神健康有关 or condition of an 个人; 的 provision of health care to an 个人; or 的 past, present or future payment for 的 provision 对个人的医疗保健.

个人自愿披露的健康信息 并且不能通过访问健康记录来验证 不 φ 因此不受HIPAA法规的约束. 

如果出现以下任何情况，则将健康相关信息视为φ 是真实的:

1. 研究人员直接从供应商、健康计划、 健康资料交换所或雇主(个别有关纪录除外) 就业状况);
2. 记录是由“1”中的任何实体创建的 研究人员从中间来源获得记录 哪些不是与学校记录或雇主记录单独相关的 employment status; OR
3. 研究者直接从研究对象中获取信息 为受试者提供治疗的过程.

1. 学校保存的学生档案;
2. 雇主保存的与雇佣有关的雇员记录 status; OR
3. 如果研究不涉及治疗，则直接与研究对象联系.

以下记录甚至不受φ定义的约束 虽然它们可能包含与健康有关的信息:

1. 由教育机构保存的学生档案
2. 由雇主保存的与雇佣状况有关的雇佣记录.

如果你的研究使用这些类型的记录，它不受 HIPAA. 但是，可能还有其他适用的规则，例如 州就业法或FERPA.  现行的内部审查委员会有关通知的规则 同意和保密仍然适用.

1. 获得研究参与者的授权-使用 授权表单，其中包括所需的HIPAA授权 语言. (它必须在使用前得到IRB的批准-类似于 同意书)——建议
2. 获得IRB豁免或更改主体授权-如果 研究对受试者的风险最小，符合豁免标准 或者变更.
3. 使用有限数据集- φ，排除的直接标识符 的个人或亲属、雇主或家庭成员 个人.  这可能需要一份数据使用协议.
4. 使用去标识数据-不标识的运行状况信息 一个没有合理依据的个人 相信这些信息可以用来识别一个人 个人.  这可能需要一个数据共享协议.
5. 在工作准备中使用(不披露)φ research-feasibility 审查 only; NOT pilot studies.  φ不能 离开承保实体.
6. 使用或披露遗属的φ是可以接受的，没有#1或 #2，但这需要研究人员完成一个 认证.  更多信息请联系ORCI: (电子邮件保护) or (616) 331-3197.

如果一个使用/披露φ的研究打算使用/披露这个φ 主体授权的方式(最常见和推荐) )，你应留意以下事项:

• 授权表格需要提交给IRB 审查. 使用我们的 授权表单模板 填充 你的研究细节.
• 签署的授权书副本必须提供给 主题.  原件保存在研究人员的档案中. 
• 研究者有责任保存这些信息 学习后3年的授权书记录 完成并确保正确完成.

No. 授权与知情同意在这一点上有所不同 授权侧重于隐私风险，并说明如何、为什么和做 谁的个人信息将被用于研究和/或披露. 一个消息灵通的 另一方面，同意为研究对象提供了一个 说明如何保护记录的机密性; 除此之外.

的时候不需要获得HIPAA授权 同意，不过是最实际的时候.

是的. 未成年人的父母或法定监护人必须签署一份 代表未成年人的HIPAA授权. 您可以使用相同的HIPAA 授权给未成年人，而不是成年人. HIPAA没有 对未成年人有额外的同意要求吗.

可以，但受试者必须获得 签署 授权书副本.

是的，被试者可以在任何时间撤销他/她的授权 写作. 根据授权收集的数据可用于 如有必要，在一定程度上保留研究的完整性.

对于研究用途和φ的披露，IRB可以批准一个 全部放弃或更改授权要求或 在某种程度上. 当IRB确定没有时，则完全豁免 被覆盖实体使用和 披露特定研究项目的φ. 如果研究人员 在豁免或变更的情况下，使用或披露φ用于研究 授权，该批准的文件必须由 自研究结束之日起6年.

重要的是要注意，受保护实体可以选择不这样做 接受gvsu签发的HIPAA授权的放弃或变更.  研究人员在以下情况下必须遵守覆盖实体的要求 在受保实体的控制下访问或使用φ.  

(在大多数情况下，豁免或变更将很少获得批准 建议研究人员使用授权表格 使用/披露φ的对象. 这需要人权委员会的批准 授权表——类似于同意表.)以下标准 的使用或披露 受保护的健康信息包括 不超过最低限度 风险 对个人隐私的侵犯，至少基于 具备下列要素:

• 一项足够的计划，以保护标识符不被不当使用和披露;
• 尽早销毁标识符的适当计划 机会与研究行为一致，除非有 保留标识符或的健康或研究理由 such retention is o的rwise required by law; 和
• 充分书面保证受保护的健康信息 不会重复使用或透露给任何其他人或实体; 除非法律有规定，对研究进行授权监督 研究，或为其他研究而使用或披露的 受保护的健康信息将被本部分允许;
• 更改或放弃不会对隐私产生不利影响 个人的权利和福利;
• 如果没有……，这项研究是不可能进行的 alteration or waiver 或者变更; 和
• 这项研究实际上是无法进行的 以及使用受保护的健康信息.

人权事务委员会保留作出最后决定的权力，如果 研究符合上述标准.

在HIPAA下，如果没有任何数据被认为是去识别的 存在以下要素:

1. 名字
2. 所有小于州的地理分区(街道地址， 注:邮政编码或同等信息必须是 删除，但可以保留前3位数字，如果地理单位来 如果邮政编码区域包含多个，则应用哪个邮政编码 20000人
3. 对于与个人直接相关的日期，所有的元素 日期(年份除外). (出生日期、入院日期、出院日期、 死亡日期)
4. 年龄:所有超过89岁的年龄或表明这个年龄的日期
5. 电话号码
6. 传真号码
7. 电子邮件地址
8. 社会安全号码
9. 病历编号
10. 健康计划编号
11. 账号
12. 证书或执照号码
13. 车辆识别/序列号，包括车牌号码
14. 设备标识/序列号
15. 通用资源定位符(URL)
16. 互联网协议地址(IP)
17. 生物标识符
18. 全脸照片和可比图像
19. 其他唯一识别数字、特征或代码

研究人员可以使用或披露健康信息 根据隐私规则不受限制地去识别. 覆盖 寻求发布此运行状况信息的实体必须确定 这些信息已经用统计学方法去识别了 验证去识别或通过移除 私隐规则规定的每条记录的18个标识符.  即使这些数据可以不受限制地使用 隐私规则下，研究人员仍期望保护数据 确保它不会丢失、被盗或被不当访问.  

如果研究人员访问可识别的信息，但只记录 用于分析的去标识数据点、HIPAA授权(或 仍然需要批准豁免/更改).  这是因为 正在访问可识别信息，即使它不是 在适用实体之外披露的信息. 

1. 的名字
2. 除镇/市、州和邮政区号以外的邮政地址信息.
3. 电话号码
4. 传真号码
5. 电子邮件地址
6. 社会保险号
7. 病历编号
8. 健康计划编号
9. 账号
10. 证书或执照号码
11. 车辆识别/序列号，包括车牌号码
12. 设备标识/序列号
13. 通用资源定位符(URL)
14. 互联网协议(IP)地址
15. 生物识别识别，包括指纹和声纹
16. 全脸照片和可比图像