Náš článek HIPAA Explained poskytuje informace o zákoně o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), o nejnovějších změnách zákona v roce 2013 a o tom, jak ustanovení zákona v současnosti ovlivňují pacienty, zdravotnictví jako celek a osoby, které v něm pracují.
- Zjednodušená historie zákona HIPAA
- HIPAA vysvětleno jednoduše
- HIPAA pro hlupáky
- Koho se týká HIPAA?
- Vysvětlení HIPAA po roce 2013
- Vysvětlení požadovaných a adresných ochranných opatření HIPAA
- Důsledky zákona HIPAA pro pacienty
- Jak vysvětlit pacientům předpisy HIPAA
- Důsledky HIPAA pro zdravotnické organizace
- Jak vysvětlit HIPAA zaměstnancům
- Nové technologie a pravidla ochrany soukromí a bezpečnosti HIPAA
Zjednodušená historie zákona HIPAA
Původně byl zákon HIPAA navržen v roce 1996, aby si pracovníci mohli přenášet práva na pojištění a zdravotní péči mezi zaměstnáními, naše zjednodušená historie zákona HIPAA ukazuje, že se od té doby rozšířil na právní předpis, který upravuje také podvody v oblasti zdravotního pojištění a daňová ustanovení pro účty zdravotního spoření a zajišťuje přijímání pracovníků s již existujícími chorobami do systémů zaměstnaneckého zdravotního pojištění. Primárně se však HIPAA týká ochrany soukromí a bezpečnosti zdravotních informací pacientů.
HIPAA (prostřednictvím zákona HITECH) byl také využit k tomu, aby povzbudil zdravotnický průmysl k elektronizaci papírových záznamů. To vedlo k obavám z neoprávněného zpřístupnění „chráněných zdravotních informací“ (Protected Health Information, PHI) a v roce 2013 vyústilo ve vypracování dalších předpisů o ochraně soukromí a bezpečnosti. Předpisy se zabývaly technologickým pokrokem ve zdravotnictví od přijetí původních právních předpisů a rozšířily odpovědnost za integritu PHI na obchodní partnery.
Předpisy HIPAA prosazuje Úřad pro občanská práva ministerstva zdravotnictví USA & Human Services´ Office for Civil Rights, zatímco generální prokurátoři jednotlivých států mohou rovněž podniknout kroky proti stranám, u nichž zjistí, že nedodržují předpisy HIPAA. Úřad pro občanská práva má pravomoc ukládat pokuty zahrnutým subjektům a obchodním partnerům za porušení ochrany informací o pacientech, pokud strana, která se dopustila porušení, neprokáže nízkou pravděpodobnost, že došlo k ohrožení zdravotních informací o pacientech.
HIPAA vysvětleno jednoduše
Kombinovaný text všech předpisů HIPAA pro zjednodušení administrativy spojilo HHS do jediného dokumentu o 115 stranách, což z něj činí velmi zdlouhavé čtení, ale je možné shrnout HIPAA do několika vět a vysvětlit HIPAA jednoduše.
HIPAA byl pokusem Kongresu zvýšit efektivitu ve zdravotnictví, eliminovat plýtvání, bojovat proti podvodům a zajistit, aby informace o zdravotním stavu, které lze vztáhnout k jednotlivci a které by umožnily jeho identifikaci, byly chráněny a uchovávány v soukromí a důvěrnosti.
HIPAA zavedl soubor nových standardů, kterými se měly zdravotnické organizace řídit, aby bylo zajištěno, že všichni budou zpívat ze stejné noty. Byly vytvořeny standardní kódy a identifikátory, aby se usnadnila výměna zdravotnických informací, a poskytovatelé zdravotní péče, zdravotní pojišťovny a jejich obchodní partneři museli používat stejné kódy pro elektronické transakce, aby se zajistila efektivní výměna dat. To ušetřilo mnoho času, úsilí a vedlo ke značným úsporám nákladů.
HIPAA stanovil přípustné použití a zpřístupnění zdravotních informací a omezil, kdo a za jakých okolností smí ke zdravotním informacím přistupovat. HIPAA dal Američanům právo získat kopie svých zdravotních údajů, aby mohli zkontrolovat, zda v jejich zdravotních záznamech nejsou chyby, a sdílet své záznamy s kýmkoli si přejí. HIPAA také stanovil standardy pro ochranu zdravotních údajů, aby ztížil přístup ke zdravotním informacím osobám, které neměly právo tyto informace prohlížet.
HIPAA pro hlupáky
Ačkoli může být považováno za nevlídné nazvat část tohoto článku „HIPAA pro hlupáky“, stále existují lidé, kteří nevědí, jaké zdravotní údaje pacientů jsou „chráněny“. Abychom objasnili, co se považuje za „chráněné zdravotní informace“, uvádíme níže seznam osmnácti „osobních identifikátorů“, které by samostatně – nebo ve spojení s jakýmkoli jiným osobním identifikátorem – mohly odhalit totožnost jednotlivce, jeho zdravotní historii nebo platební historii:
Jména nebo části jmen | Jakýkoli jiný jedinečný identifikační znak |
Geografické identifikátory | Data přímo související s jednotlivcem |
Telefonní čísla | Faxová čísla |
Emailové adresy | Čísla sociálního pojištění |
Čísla zdravotních záznamů | Čísla příjemců zdravotního pojištění |
Čísla účtů | Čísla osvědčení nebo licencí |
Registrační čísla vozidel | Identifikátory zařízení a sériová čísla |
Webové adresy URL | IP adresy |
Otisky prstů, otisky sítnice a hlasu | Celé tváře nebo jakékoli srovnatelné fotografické snímky |
Koho se týká HIPAA?
Než se pustíme do vysvětlování HIPAA, je nejlepší si ujasnit, koho se tato legislativa týká. Prakticky všechny zdravotní plány, zúčtovací střediska zdravotní péče, poskytovatelé zdravotní péče a schválení sponzoři slevové karty na léky na předpis Medicare jsou podle zákona považováni za „subjekty, na které se vztahuje HIPAA“. Obvykle se jedná o subjekty, které pravidelně přicházejí do styku s chráněnými zdravotními informacemi.
HIPAA se vztahuje také na „obchodní partnery“. Jedná se o subjekty, které nevytvářejí, nepřijímají, neuchovávají ani nepředávají chráněné zdravotní informace v rámci svého hlavního zaměstnání, ale které pro zahrnuté subjekty poskytují služby a činnosti třetích stran, při nichž se setkají s PHI. Před zahájením služby nebo činnosti jménem krytého subjektu musí obchodní partner podepsat dohodu o obchodním partnerovi, v níž se zaručí, že zajistí integritu všech PHI, k nimž má přístup.
Šedá je situace v případě samopojištěných skupinových zdravotních plánů jednoho zaměstnavatele a zaměstnavatelů, kteří působí jako zprostředkovatelé mezi zaměstnanci a poskytovateli zdravotní péče. HIPAA uvádí, že zaměstnavatelé nejsou Krytými subjekty, pokud povaha jejich činnosti nesplňuje kritéria pro to, aby byli Krytým subjektem (tj. zaměstnavatelské zdravotnické středisko by bylo Krytým subjektem). Jelikož však zaměstnavatelé, kteří se sami pojišťují a zprostředkovávají, nakládají s PHI, které jsou chráněny pravidly ochrany soukromí HIPAA, jsou považováni za „virtuální subjekty“ a podléhají dodržování pravidel HIPAA.
Vysvětlení HIPAA po roce 2013
Upozornění: Informace týkající se HIPAA před rokem 2013 a jeho vztahu k zákonu HITECH z roku 2009 naleznete na naší stránce „Historie HIPAA“. Podrobnější informace o pravidlech ochrany soukromí a bezpečnosti HIPAA jsou obsaženy v našem „Kontrolním seznamu shody s HIPAA“.
Od zavedení Final Omnibus Rule, který v roce 2013 uzákonil nové předpisy v rámci HIPAA, byly vydány nové pokyny, jakým způsobem musí být PHI zpřístupňovány a sdělovány v prostředí souvisejícím se zdravotnictvím. Revidovaný zákon dává pacientům další práva znát a kontrolovat, jak jsou jejich zdravotní informace používány, a rozšiřuje kontroly subjektů, na které se vztahuje HIPAA, a obchodních partnerů na to, jak jsou informace o pacientech zpřístupňovány a sdělovány.
Subjekty, na které se vztahuje HIPAA, a obchodní partneři musí zavést mechanismy pro omezení toku informací v rámci soukromé sítě, monitorovat činnost v síti a přijmout opatření, která zabrání neoprávněnému zveřejnění PHI za hranicemi sítě. Větší pozornost musí být věnována provádění hodnocení rizik a byly vypracovány nové postupy pro hlášení případů narušení bezpečnosti údajů.
Revize bezpečnostních pravidel HIPAA nařizují podmínky („ochranná opatření“), které musí být zavedeny pro uchovávání a sdělování ePHI v souladu s HIPAA. Tato „ochranná opatření“ jsou v bezpečnostním pravidle HIPAA popsána jako „povinná“ nebo „adresná“. Ve skutečnosti jsou všechna ochranná opatření obecně vyžadována – bez ohledu na to, jak jsou popsána – jak vysvětluje následující část.
Úřad pro občanská práva provádí audity subjektů, na které se vztahuje HIPAA, aby zajistil, že dodržují předpisy. V případě zjištění porušení ePHI, kterému se dalo předejít, má Úřad pro občanská práva pravomoc ukládat finanční sankce a vznášet trestní obvinění proti nedbalému subjektu.
Vysvětlení požadovaných a adresných ochranných opatření HIPAA
Jednou z oblastí HIPAA, která vedla k určitým nejasnostem, je rozdíl mezi „požadovanými“ a „adresnými“ ochrannými opatřeními. V podstatě každé zabezpečení podle zákona HIPAA je „povinné“, pokud neexistuje ospravedlnitelný důvod pro nezavedení zabezpečení nebo pokud není zavedena vhodná alternativa k zabezpečení, která dosahuje stejného cíle.
Scénářem, ve kterém by zavedení adresného zabezpečení mohlo být zbytečné, je šifrování elektronické pošty. E-maily obsahující PHI – buď v těle, nebo jako přílohu – musí být šifrovány pouze v případě, že jsou odesílány mimo interní server chráněný firewallem. Pokud zdravotnická organizace používá e-mail pouze jako interní formu komunikace – nebo má od pacienta oprávnění posílat jeho informace nešifrovaně – není třeba toto adresné zabezpečení zavádět.
Rozhodnutí nezavádět šifrování e-mailu bude muset být podloženo posouzením rizik a písemně zdokumentováno. Dalšími faktory, které může být nutné vzít v úvahu, je strategie organizace pro zmírnění rizik a další ochranná opatření zavedená na ochranu integrity PHI. Jak vysvětluje poznámka pod čarou k tomuto konkrétnímu oddílu zákona HIPAA, doporučuje se šifrování PHI v klidu a při přenosu.
Důsledky zákona HIPAA pro pacienty
Důsledky zákona HIPAA pro pacienty spočívají v tom, že s informacemi o jejich zdravotní péči se zachází citlivěji a poskytovatelé zdravotní péče k nim mají rychlejší přístup. Elektronicky uložené zdravotní informace jsou nyní lépe chráněny, než kdy byly chráněny papírové záznamy, a zdravotnické organizace, které zavedly mechanismy pro dodržování předpisů HIPAA, jsou svědky vyšší efektivity. To se projevuje – pokud jde o pacienty – jako vyšší úroveň zdravotní péče.
Na druhé straně se zdravotnické organizace nezabývají pouze úrovní zdravotní péče, kterou mohou poskytovat jednotlivým pacientům. Zdravotnické organizace chtějí rozšířit služby, které mohou poskytovat, chtějí zvýšit kvalitu péče a zlepšit bezpečnost pacientů prostřednictvím výzkumu. Výzkum je však omezen zákonem HIPAA a omezený přístup k PHI má potenciál zpomalit tempo, jakým lze ve zdravotní péči dosáhnout zlepšení.
Zdokonalení zabezpečení dat má také svou cenu, a přestože uzákonění programu Meaningful Use poskytlo poskytovatelům zdravotní péče finanční pobídky k elektronizaci papírových záznamů, zavedení nezbytných kontrolních mechanismů k zabezpečení ePHI může znamenat značné náklady. Zvýšení finančních prostředků na zajištění souladu s předpisy má potenciál snížit úroveň péče o pacienty, zatímco administrativní zátěž, kterou dodržování předpisů HIPAA klade na zdravotnické organizace, dále zatěžuje omezené dostupné zdroje.
Jak vysvětlit pacientům předpisy HIPAA
Jelikož poskytovatelé zdravotní péče jsou nyní ze zákona povinni seznámit pacienty se svými zásadami ochrany osobních údajů, bude nutné jim předpisy HIPAA vysvětlit, protože musí podepsat kopii těchto zásad, že je obdrželi. Nejlepším způsobem, jak pacientům vysvětlit HIPAA, je uvést příslušné informace v zásadách ochrany osobních údajů a poté pacientům poskytnout přehled toho, co zásady obsahují. Pacientům například vysvětlete:
- Mají právo vyžádat si své zdravotní záznamy, kdykoli chtějí.
- Mají právo požadovat, abyste v případě potřeby změnili jejich zdravotní záznamy.
- Mají právo omezit, kdo má přístup k jejich osobním zdravotním údajům.
- Mají právo zvolit si, jak s nimi budou poskytovatelé zdravotní péče komunikovat.
- Mají také právo stěžovat si na neoprávněné zpřístupnění svých PHI.
Pokud pacient neutrpěl fyzickou nebo finanční újmu v důsledku neoprávněného zpřístupnění svých PHI, nebude moci podat občanskoprávní žalobu na nedbalou stranu. Krytým subjektům a obchodním partnerům, kteří poruší HIPAA za účelem osobního prospěchu, falešné záminky nebo jiného osobního prospěchu, však Úřad pro občanská práva uloží trestní sankce, které mohou vyústit až v desetiletý trest odnětí svobody.
Důsledky HIPAA pro zdravotnické organizace
Pokud se ochrana osobních údajů a jejich zabezpečení neřeší, může Úřad pro občanská práva udělit pokuty za nedodržení předpisů. Za porušení ochrany údajů, kterému lze předejít, budou pravděpodobně uděleny značné finanční sankce. Podle struktury sankcí zavedené směrnicí HITECH může úřad OCR za porušení předpisů udělit pokuty až do výše 1,5 milionu dolarů, přičemž žaloby mohou podávat jak generální prokurátoři, tak – jak bylo uvedeno výše – oběti narušení bezpečnosti údajů.
Vysoká pravděpodobnost, že se zdravotnické organizace stanou terčem kyberzločinců, a přemrštěné náklady na řešení narušení bezpečnosti údajů – vydávání dopisů s oznámením o narušení bezpečnosti, nabídka služeb monitorování kreditu a úhrada pokut úřadu OCR – značně převyšují náklady na dosažení plného souladu s předpisy. Ale i když počáteční náklady na investice do nezbytných technických, fyzických a administrativních ochranných opatření k zabezpečení údajů pacientů mohou být vysoké, zlepšení mohou časem vést k úsporám nákladů v důsledku vyšší efektivity.
Organizace, které již zavedly mechanismy pro dosažení souladu s HIPAA, zaznamenaly zefektivnění pracovních postupů svých zaměstnanců, méně času se ztrácí hraním „telefonních hádanek“ a zaměstnanci se stali produktivnějšími – což umožňuje zdravotnickým organizacím reinvestovat úspory a poskytovat pacientům vyšší standard zdravotní péče.
Jak vysvětlit HIPAA zaměstnancům
Vysvětlení HIPAA zaměstnancům krytých subjektů a obchodních partnerů vyžaduje mnohem více úsilí než vysvětlení HIPAA pacientům. Aby splnily požadavky HIPAA, musí Kryté subjekty a Obchodní partneři sestavit zásady ochrany soukromí a bezpečnosti pro své zaměstnance a zásady sankcí pro zaměstnance, kteří požadavky nedodržují. Proto je nutné zaměstnancům HIPAA podrobněji vysvětlit.
Nejlepším způsobem, jak zaměstnancům vysvětlit HIPAA, jsou speciální školení o dodržování předpisů. Ačkoli předpisy HIPAA uvádějí, že školení by měla být poskytována každoročně, navrhujeme, aby toho zaměstnanci v souvislosti se zabezpečením a ochranou osobních zdravotních údajů pochytili tolik, že by školení o dodržování předpisů měla být krátká a častá. Snažit se zaměstnancům vysvětlit HIPAA během čtyřhodinového školení bude pravděpodobně neúspěšné.
Velká část vysvětlení se bude točit kolem zachování integrity informací o pacientech, ale způsob, jakým to bude provedeno, bude mít pravděpodobně dopad na samotné zaměstnance. Zaměstnanci například nebudou moci diskutovat o zdravotní péči o pacienty prostřednictvím svých mobilních zařízení, pokud komunikace nebude šifrovaná. Vzhledem k počtu zdravotnických zařízení, která zavádějí politiku BYOD, to bude znamenat, že si zaměstnanci budou muset do svých osobních mobilních zařízení stáhnout zabezpečené komunikační aplikace.
Nové technologie a pravidla ochrany soukromí a bezpečnosti HIPAA
Nové technologie jsou neustále vyvíjeny za účelem ochrany integrity PHI. Dodržování pravidel ochrany soukromí a zabezpečení HIPAA je každým dnem snazší díky inovacím, jako je filtrování webových stránek, bezpečná archivace e-mailů a řešení pro bezpečné zprávy.
Filtrování webových stránek je vynikajícím mechanismem pro zmírnění rizik způsobených malwarem – zejména sledovacím malwarem, který může zaznamenávat stisky kláves za účelem získání uživatelských jmen a hesel. Několik nedávných úniků dat bylo důsledkem stažení malwaru – včetně několika, ke kterým by nedošlo po zavedení mechanismu filtrování webu.
Zabezpečená archivace e-mailů je další oblastí, ve které mohou zdravotnické organizace zlepšit svou online bezpečnostní pozici. Udržování šesti let e-mailů může způsobit problém s jejich ukládáním. Využitím služby bezpečné archivace e-mailů třetí strany však zdravotnické organizace uvolní zdroje v rámci vlastní IT struktury a zároveň dodrží pravidla ochrany soukromí a bezpečnosti HIPAA.
Již dříve bylo v tomto článku HIPAA Explained zmíněno, že některé z nejnovějších změn HIPAA zohledňují rizika vyplývající ze zásad „Bring Your Own Device“. Některé zdravotnické organizace eliminovaly tato rizika zavedením řešení pro bezpečné zasílání zpráv. Tato řešení umožňují oprávněným uživatelům bezpečný přístup k ePHI z jejich osobních mobilních zařízení a jejich komunikaci prostřednictvím aplikací pro bezpečné zasílání zpráv.
Stejně jako u všech poskytovatelů služeb třetích stran je na zdravotnické organizaci, aby zajistila, že obchodní partner splňuje požadavky HIPAA. Náklady na nezajištění shody mohou být značné, jak ukazuje naše infografika HIPAA Explained níže.