Vores HIPAA Explained-artikel indeholder oplysninger om Healthcare Insurance Portability and Accountability Act (HIPAA), de seneste ændringer af loven i 2013, og hvordan bestemmelserne i loven i øjeblikket påvirker patienter, sundhedssektoren som helhed og de personer, der arbejder inden for den.
- HIPAA forenklet historie
- HIPAA forklaret i enkle vendinger
- HIPAA for Dummies
- Hvem er omfattet af HIPAA?
- HIPAA Explained Post 2013
- De krævede og adresserbare sikkerhedsforanstaltninger i HIPAA forklaret
- HIPAA’s konsekvenser for patienterne
- Hvordan forklarer man HIPAA til patienterne
- Den betydning HIPAA har for sundhedsorganisationer
- Hvordan man forklarer HIPAA til medarbejdere
- Ny teknologi og HIPAA Privacy and Security Rules
HIPAA forenklet historie
Originalt blev loven foreslået i 1996 for at arbejdstagere kunne overføre forsikrings- og sundhedsrettigheder mellem forskellige job, og vores forenklede HIPAA-historik viser, at loven siden er blevet udvidet til en retsakt, der også regulerer sundhedsforsikringssvindel og skattebestemmelser for medicinske opsparingskonti og sikrer accept af arbejdstagere med forudbestående lidelser i erhvervstilknyttede sundhedsforsikringsordninger. HIPAA vedrører dog først og fremmest privatlivets fred og sikkerhed for patienters sundhedsoplysninger.
HIPAA (via HITECH Act) blev også brugt til at tilskynde sundhedssektoren til at datamatisere papirjournaler. Dette førte til bekymring over uautoriseret videregivelse af “beskyttede sundhedsoplysninger” (PHI) og resulterede i udviklingen af yderligere regler om beskyttelse af privatlivets fred og sikkerhed i 2013. Reglerne tog højde for de teknologiske fremskridt i sundhedssektoren siden den oprindelige lovgivning blev vedtaget, og udvidede ansvaret for integriteten af PHI til at omfatte Business Associates.
HIPAA-reglerne håndhæves af det amerikanske sundhedsministerium & Human Services´ Office for Civil Rights, mens statslige statsadvokater også kan skride ind over for parter, der afsløres i at ikke overholde HIPAA. Office for Civil Rights har beføjelse til at pålægge bøder til omfattede enheder og forretningsforbindelser i tilfælde af brud på PHI, medmindre den ulovlige part kan påvise en lav sandsynlighed for, at patienters sundhedsoplysninger er blevet kompromitteret.
HIPAA forklaret i enkle vendinger
Den samlede tekst af alle HIPAA Administrative Simplification Regulations er blevet samlet i et enkelt dokument på 115 sider af HHS, hvilket gør det til en meget langvarig læsning, men det er muligt at opsummere HIPAA i få sætninger og forklare HIPAA i enkle vendinger.
HIPAA var et forsøg fra Kongressen på at forbedre effektiviteten i sundhedsvæsenet, eliminere spild, bekæmpe svindel og sikre, at sundhedsoplysninger, der kan knyttes til en person og ville gøre det muligt at identificere vedkommende, beskyttes og holdes private og fortrolige.
HIPAA introducerede et sæt nye standarder, som sundhedsorganisationer skulle følge for at sikre, at alle sang fra samme sangskjuler. Der blev indført standardkoder og identifikatorer for at gøre det lettere at udveksle sundhedsoplysninger, og sundhedsudbydere, sygesikringsvirksomheder og deres samarbejdspartnere skulle anvende de samme koder til elektroniske transaktioner for at sikre, at data kunne udveksles effektivt. Dette sparede en masse tid og kræfter og resulterede i betydelige omkostningsbesparelser.
HIPAA fastsatte de tilladte anvendelser og videregivelser af sundhedsoplysninger og begrænsede, hvem der har adgang til sundhedsoplysninger og under hvilke omstændigheder. HIPAA gav amerikanerne ret til at få kopier af deres helbredsoplysninger for at kontrollere deres helbredsoplysninger for fejl og til at dele deres oplysninger med hvem som helst, de ønsker det. HIPAA fastsatte også standarder for beskyttelse af sundhedsdata for at gøre det sværere for personer, der ikke havde ret til at se oplysningerne, at få adgang til sundhedsoplysninger.
HIPAA for Dummies
Selv om det kan betragtes som uvenligt at give et afsnit af denne artikel titlen “HIPAA for Dummies”, er der stadig nogle mennesker, der ikke er klar over, hvad patienters sundhedsoplysninger er “beskyttet”. For at præcisere, hvad der betragtes som “beskyttede sundhedsoplysninger”, har vi nedenfor anført de atten “personlige identifikatorer”, som hver for sig – eller sammenkoblet med andre personlige identifikatorer – kan afsløre en persons identitet, hans eller hendes medicinske historie eller betalingshistorik:
Navne eller dele af navne | Alle andre unikke identifikationskarakteristika | ||
Geografiske identifikatorer | Datoer direkte relateret til en person | ||
Telefonnumre | Faxnumre | ||
E-mailadresser | Socialsikringsnumre | ||
Lægejournalenumre | Sygesikringsmodtagernumre | ||
Kontonumre | Numre på certifikater eller licenser | ||
Køretøjsnummerplader | Enhedsidentifikatorer og serienumre | ||
Web-URL’er | IP-adresser | ||
Fingeraftryk, nethinde- og stemmeaftryk | Fuldt ansigt eller andre sammenlignelige fotografiske billeder |
Hvem er omfattet af HIPAA?
Hvor vi går i gang med at forklare HIPAA, er det bedst at få afklaret, hvem lovgivningen gælder for. Praktisk talt alle sundhedsplaner, clearinghuse for sundhedsydelser, sundhedsudbydere og godkendte sponsorer af Medicare rabatkortet for receptpligtig medicin anses for at være “HIPAA-dækkede enheder” i henhold til loven. Typisk er der tale om enheder, der regelmæssigt kommer i kontakt med beskyttede sundhedsoplysninger.
“Business Associates” er også omfattet af HIPAA. Det er enheder, som ikke skaber, modtager, opbevarer eller overfører beskyttede sundhedsoplysninger i deres primære erhverv, men som leverer tredjepartstjenester og -aktiviteter for de omfattede enheder, hvor de vil komme i kontakt med PHI. Inden en Business Associate påtager sig en tjeneste eller aktivitet på vegne af en Covered Entity, skal den underskrive en Business Associate Agreement, der garanterer at sikre integriteten af alle PHI, som den har adgang til.
Der findes en gråzone med hensyn til selvforsikrede gruppesundhedsplaner for en enkelt arbejdsgiver og arbejdsgivere, der fungerer som mellemmænd mellem ansatte og sundhedsplejeudbydere. HIPAA fastslår, at arbejdsgivere ikke er dækkede enheder, medmindre arten af deres virksomhed falder ind under kriterierne for at være en dækket enhed (dvs. et ansættende medicinsk center ville være en dækket enhed). Da selvforsikrende og formidlende arbejdsgivere imidlertid håndterer PHI, der er beskyttet af HIPAA Privacy Rule, betragtes de som “virtuelle enheder” og er underlagt HIPAA-overholdelse.
HIPAA Explained Post 2013
Bemærk venligst: For oplysninger vedrørende HIPAA før 2013 og dets forhold til HITECH Act fra 2009 henvises til vores side “HIPAA History” (HIPAA-historik). Mere detaljerede oplysninger om HIPAA’s regler om beskyttelse af personlige oplysninger og sikkerhed findes i vores “HIPAA Compliance Checklist”.
Siden indførelsen af den endelige Omnibus Rule, som vedtog nye regler inden for HIPAA i 2013, er der blevet udstedt nye retningslinjer for, hvordan PHI skal tilgås og kommunikeres i et medicinsk relateret miljø. Den reviderede lov giver patienterne yderligere rettigheder til at kende og kontrollere, hvordan deres sundhedsoplysninger anvendes, og udvider kontrollen af HIPAA-dækkede enheder og Business Associates til at omfatte den måde, hvorpå patientoplysninger tilgås og kommunikeres.
HIPAA-dækkede enheder og Business Associates skal implementere mekanismer til at begrænse informationsstrømmen til inden for et privat netværk, overvåge aktivitet på netværket og træffe foranstaltninger til at forhindre uautoriseret videregivelse af PHI uden for netværkets grænser. Der skal lægges større vægt på at foretage risikovurderinger, og der er udviklet nye rapporteringsprocedurer for at dække databrud.
Revisionerne af HIPAA Security Rule dikterer de betingelser (“safeguards”), der skal være på plads for HIPAA-kompatibel opbevaring og kommunikation af ePHI. Disse “sikkerhedsforanstaltninger” beskrives i HIPAA-sikkerhedsreglen som enten “påkrævet” eller “kan behandles”. Faktisk er alle sikkerhedsforanstaltningerne generelt påkrævet – uanset hvordan de beskrives – som det forklares i det følgende afsnit.
Office for Civil Rights gennemfører revisioner af HIPAA-dækkede enheder for at sikre, at de overholder reglerne. Når der opdages undgåelige brud på ePHI, har Office for Civil Rights beføjelse til at pålægge økonomiske sanktioner og rejse straffesager mod den forsømmelige enhed.
De krævede og adresserbare sikkerhedsforanstaltninger i HIPAA forklaret
Et område i HIPAA, der har ført til en vis forvirring, er forskellen mellem “krævede” og “adresserbare” sikkerhedsforanstaltninger. Faktisk er alle HIPAA-sikkerhedsforanstaltninger “påkrævet”, medmindre der er en berettiget grund til ikke at gennemføre sikkerhedsforanstaltningerne, eller der gennemføres et passende alternativ til sikkerhedsforanstaltningerne, som opfylder det samme mål.
Et scenario, hvor gennemførelsen af en adresserbar sikkerhedsforanstaltning kan være unødvendig, er kryptering af e-mail. E-mails, der indeholder PHI – enten i kroppen eller som en vedhæftet fil – skal kun krypteres, hvis de sendes ud over en intern server med firewalls. Hvis en sundhedsorganisation kun bruger e-mail som en intern kommunikationsform – eller har tilladelse fra en patient til at sende sine oplysninger ukrypteret – er der ikke behov for at implementere denne adresserbare sikkerhedsforanstaltning.
Den beslutning om ikke at implementere e-mailkryptering skal understøttes af en risikovurdering og dokumenteres skriftligt. Andre faktorer, der muligvis skal tages i betragtning, er organisationens risikobegrænsningsstrategi og andre sikkerhedsforanstaltninger, der er indført for at beskytte PHI’s integritet. Som det fremgår af en fodnote til dette afsnit af HIPAA, anbefales det at kryptere PHI i hvile og under transport.
HIPAA’s konsekvenser for patienterne
HIPAA’s konsekvenser for patienterne er, at deres sundhedsoplysninger behandles mere følsomt og kan tilgås hurtigere af deres sundhedspersonale. Elektronisk lagrede sundhedsoplysninger er nu bedre beskyttet end papirjournaler nogensinde har været, og sundhedsorganisationer, der har indført mekanismer til at overholde HIPAA-bestemmelserne, oplever en forbedret effektivitet. Dette manifesterer sig – for patienternes vedkommende – som en højere standard for sundhedsydelser.
På den negative side er sundhedsorganisationer ikke kun optaget af den standard for sundhedsydelser, de kan tilbyde den enkelte patient. Sundhedsorganisationer ønsker at øge de ydelser, de kan levere, ønsker at hæve kvaliteten af plejen og forbedre patientsikkerheden gennem forskning. Forskning er imidlertid begrænset af HIPAA, og begrænset adgang til PHI har potentiale til at bremse den hastighed, hvormed der kan foretages forbedringer i sundhedsvæsenet.
Der er også en pris at betale for forbedret datasikkerhed, og selv om vedtagelsen af Meaningful Use-programmet gav sundhedsudbydere økonomiske incitamenter til at datamatisere papirjournaler, kan gennemførelsen af de nødvendige kontroller til sikring af ePHI medføre betydelige omkostninger. Øgede midler til overholdelse har potentiale til at reducere niveauet af patientpleje, mens den administrative byrde, som HIPAA-overholdelse pålægger sundhedsorganisationer, yderligere belaster de begrænsede ressourcer, der er til rådighed.
Hvordan forklarer man HIPAA til patienterne
Da sundhedsudbydere nu ved lov er forpligtet til at give patienterne en meddelelse om deres privatlivspolitik, vil det være nødvendigt at forklare HIPAA til patienterne, da de skal underskrive en kopi af politikken for at sige, at de har modtaget den. Den bedste måde at forklare HIPAA til patienterne på er at sætte de relevante oplysninger ind i privatlivspolitikken og derefter give patienterne en oversigt over, hvad politikken indeholder. Forklar f.eks. patienten:
- De har ret til at anmode om deres lægejournaler, når de ønsker det.
- De har ret til at anmode dig om at ændre deres lægejournaler, når det er relevant.
- De har ret til at begrænse, hvem der har adgang til deres personlige sundhedsoplysninger.
- De har ret til at vælge, hvordan sundhedsudbydere kommunikerer med dem.
- De har også ret til at klage over uautoriseret videregivelse af deres PHI.
Medmindre patienten har lidt en fysisk eller økonomisk skade som følge af uautoriseret videregivelse af deres PHI, vil de ikke kunne anlægge et civilt søgsmål mod den forsømmelige part. Imidlertid vil Covered Entities og Business Associates, der overtræder HIPAA for personlig vinding, falsk fortielse eller anden personlig vinding, få pålagt strafferetlige sanktioner af Office for Civil Rights, som kan resultere i op til ti års fængsel.
Den betydning HIPAA har for sundhedsorganisationer
Hvis der ikke tages hånd om databeskyttelse og datasikkerhed, kan Office for Civil Rights udstede bøder for manglende overholdelse. Ved databrud, der kan undgås, vil der sandsynligvis blive udstedt betydelige økonomiske bøder. I henhold til den sanktionsstruktur, der blev indført med HITECH, kan overtrædelser resultere i bøder på op til 1,5 millioner dollars udstedt af OCR, mens der kan anlægges retssager af både statsadvokater og – som nævnt ovenfor – ofrene for databrud.
Den store sandsynlighed for, at sundhedsorganisationer bliver mål for cyberkriminelle, og de eksorbitante omkostninger ved at håndtere databrud – udstedelse af breach notification letters, tilbud om kreditovervågningstjenester og dækning af OCR-bøderne – overstiger langt omkostningerne ved at opnå fuld overholdelse. Men selv om de indledende omkostninger ved at investere i de nødvendige tekniske, fysiske og administrative sikkerhedsforanstaltninger for at sikre patientdata kan være høje, kan forbedringerne resultere i omkostningsbesparelser over tid som følge af øget effektivitet.
Organisationer, der allerede har implementeret mekanismer til at overholde HIPAA, har oplevet, at deres medarbejderes arbejdsgange er blevet strømlinet, at der spildes mindre tid på at lege “telefonfis”, og at arbejdsstyrken er blevet mere produktiv – hvilket gør det muligt for sundhedsorganisationer at geninvestere deres besparelser og levere en højere standard af sundhedsydelser til patienterne.
Hvordan man forklarer HIPAA til medarbejdere
Forklaring af HIPAA til medarbejdere i Covered Entities og Business Associates kræver en langt større indsats end forklaring af HIPAA til patienter. For at overholde HIPAA skal Covered Entities og Business Associates udarbejde politikker for beskyttelse af personlige oplysninger og sikkerhed for deres arbejdsstyrker og en sanktionspolitik for medarbejdere, der ikke overholder kravene. Derfor er det nødvendigt at forklare HIPAA mere detaljeret til medarbejderne.
Den bedste måde at forklare HIPAA til medarbejderne på er ved særlige kurser om overholdelse. Selv om det i HIPAA-bestemmelserne står, at der skal tilbydes uddannelse hvert år, vil vi foreslå, at der er så meget for medarbejderne at tage til sig i forbindelse med sikkerhed og beskyttelse af personlige sundhedsoplysninger, at overensstemmelsesuddannelsesmøderne bør være korte og hyppige. Forsøg på at forklare HIPAA til medarbejderne på en fire timers træningssession vil sandsynligvis være mislykket.
En stor del af forklaringen vil dreje sig om at bevare integriteten af PHI, men hvordan dette implementeres vil sandsynligvis have en indvirkning på medarbejderne selv. Medarbejderne vil f.eks. ikke kunne drøfte patienters sundhedspleje via deres mobile enhed, medmindre kommunikationen er krypteret. På grund af det antal sundhedsfaciliteter, der implementerer BYOD-politikker, vil dette betyde, at medarbejderne skal downloade sikre kommunikationsapps til deres personlige mobile enheder.
Ny teknologi og HIPAA Privacy and Security Rules
Ny teknologi udvikles konstant for at beskytte integriteten af PHI. Overholdelse af HIPAA Privacy and Security Rules bliver lettere hver dag på grund af innovationer som webfiltrering, sikker e-mailarkivering og sikre meddelelsesløsninger.
Webfiltrering er en fremragende mekanisme til at mindske risikoen for malware – især overvågningsmalware, der kan optage tastetryk for at få adgangsoplysninger om brugernavne og adgangskoder. Flere nylige databrud har været resultatet af malware-downloads – herunder flere, som ikke ville være sket med implementeringen af en webfiltreringsmekanisme.
Sikker e-mailarkivering er et andet område, hvor sundhedsorganisationer kan forbedre deres online-sikkerhedssituation. Vedligeholdelse af seks års e-mails kan skabe et lagerproblem. Men ved at bruge en tredjeparts sikker e-mailarkiveringstjeneste frigør sundhedsorganisationer ressourcer inden for deres egen it-struktur, samtidig med at de overholder HIPAA Privacy and Security Rules.
Det blev tidligere nævnt i denne HIPAA Explained-artikel, at nogle af de seneste ændringer af HIPAA tager højde for risiciene fra “Bring Your Own Device”-politikker. Nogle sundhedsorganisationer har elimineret risiciene ved at implementere sikre messaging-løsninger. Disse løsninger gør det muligt for autoriserede brugere at få sikker adgang til og kommunikere ePHI fra deres personlige mobile enheder via sikre messaging-apps.
Som med alle tredjepartstjenesteudbydere er det sundhedsorganisationen, der har ansvaret for at sikre, at Business Associate er HIPAA-kompatibel. Omkostningerne ved at undlade at sikre overholdelse kan være betydelige, som vores HIPAA Explained infografik nedenfor viser.