HIPAA Explained -artikkelimme tarjoaa tietoa terveydenhuoltovakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevasta laista (Healthcare Insurance Portability and Accountability Act, HIPAA), lakiin vuonna 2013 tehdyistä viimeisimmistä muutoksista ja siitä, miten lain säännökset vaikuttavat tällä hetkellä potilaisiin, terveydenhuoltoalaan kokonaisuutena ja siinä työskenteleviin henkilöihin.
- HIPAA:n yksinkertaistettu historia
- HIPAA selitettynä yksinkertaisin termein
- HIPAA for Dummies
- Ketä HIPAA koskee?
- HIPAA Explained Post 2013
- The Required and Addressable Safeguards of HIPAA Explained
- HIPAA:n vaikutukset potilaille
- Miten HIPAA:ta selitetään potilaille
- HIPAA:n vaikutukset terveydenhuolto-organisaatioihin
- Kuinka HIPAA:ta voi selittää työntekijöille
- Uusi teknologia ja HIPAA:n tietosuoja- ja turvallisuussäännöt
HIPAA:n yksinkertaistettu historia
Alun perin vuonna 1996 ehdotettu laki, jonka tarkoituksena oli, että työntekijät voisivat siirtää vakuutus- ja terveydenhuolto-oikeuksiaan työpaikkojen välillä, HIPAA:n yksinkertaistettu historiamme osoittaa, että laki on sittemmin laajentunut lainsäädännöksi, jolla säännellään myös sairausvakuutuspetoksia ja sairaanhoitosäästötilien verosäännöksiä sekä varmistetaan, että työntekijät, joilla on jo ennestään olemassa olevia sairauksia, hyväksytään työterveyshuollon sairaanhoitovakuutusjärjestelmiin. Ensisijaisesti HIPAA koskee kuitenkin potilaiden terveystietojen yksityisyyttä ja turvallisuutta.
HIPAA:ta (HITECH-lain kautta) käytettiin myös kannustamaan terveydenhuoltoalaa tietokoneistamaan paperitiedot. Tämä johti huoliin ”suojattujen terveystietojen” (Protected Health Information, PHI) luvattomasta luovuttamisesta ja johti uusien tietosuoja- ja tietoturvasäännösten laatimiseen vuonna 2013. Asetuksissa otettiin huomioon terveydenhuoltoalalla alkuperäisen lainsäädännön antamisen jälkeen tapahtuneet teknologiset edistysaskeleet ja laajennettiin vastuuta PHI:n eheydestä liikekumppaneihin.
HIPAA-säädöksiä valvoo Yhdysvaltain terveysministeriön & Human Services´ Office for Civil Rights, ja osavaltioiden syyttäjäviranomaiset voivat myös ryhtyä toimiin niitä osapuolia vastaan, joiden havaittiin laiminlyöneen HIPAA:n noudattamisen. Office for Civil Rights -virastolla on valtuudet määrätä sakkoja suojattaville yksiköille ja liiketoimintayhteistyökumppaneille PHI-tietojen tietoturvaloukkauksista, ellei rikkomuksen tehnyt osapuoli pysty osoittamaan, että potilaan terveystiedot ovat vaarantuneet vain pienellä todennäköisyydellä.
HIPAA selitettynä yksinkertaisin termein
HHS on yhdistänyt kaikkien HIPAA:n hallinnollista yksinkertaistamista koskevien asetusten yhteenlasketun tekstin yhdeksi 115-sivuiseksi asiakirjaksi, mikä tekee siitä hyvin pitkäluonteisen, mutta HIPAA:n voi tiivistää muutamaan lauseeseen ja selittää yksinkertaisin termein.
HIPAA oli kongressin yritys tehostaa terveydenhuoltoa, poistaa hukkaa, torjua petoksia ja varmistaa, että terveystiedot, jotka voidaan yhdistää yksilöön ja joiden avulla hänet voidaan tunnistaa, suojataan ja pidetään yksityisinä ja luottamuksellisina.
HIPAA:lla otettiin käyttöön joukko uusia standardeja, joita terveydenhuollon organisaatioiden oli noudatettava, jotta varmistettaisiin, että kaikki laulavat samasta virsikirjasta. Terveystietojen vaihdon helpottamiseksi luotiin standardikoodit ja -tunnisteet, ja terveydenhuollon tarjoajien, sairausvakuutusyhtiöiden ja niiden liikekumppaneiden edellytettiin käyttävän samoja koodeja sähköisissä tapahtumissa sen varmistamiseksi, että tietoja voidaan vaihtaa tehokkaasti. Tämä säästi paljon aikaa ja vaivaa ja johti huomattaviin kustannussäästöihin.
HIPAA:ssa säädettiin terveystietojen sallituista käyttötavoista ja luovutuksista ja rajoitettiin, kuka saa käyttää terveystietoja ja missä olosuhteissa. HIPAA antoi amerikkalaisille oikeuden saada kopioita terveystiedoistaan, jotta he voivat tarkistaa terveystietonsa virheiden varalta ja jakaa tietonsa kenelle tahansa. HIPAA:ssa asetettiin myös standardit terveystietojen suojaamiselle, jotta vaikeutettaisiin sellaisten henkilöiden pääsyä terveystietoihin, joilla ei ole oikeutta nähdä tietoja.
HIPAA for Dummies
Vaikka voidaankin pitää epäystävällisenä sitä, että tämän artikkelin eräs osa otsikoidaan nimellä ”HIPAA for Dummies” (HIPAA for Dummies), jotkut eivät vieläkään ole tietoisia siitä, mitä potilaan terveystietoja on ”suojattu”. Selventääksemme, mitä pidetään ”suojattuina terveystietoina”, olemme luetelleet alla kahdeksantoista ”henkilötunnusta”, jotka yksinään – tai yhdistettynä johonkin muuhun henkilötunnukseen – voivat paljastaa henkilön henkilöllisyyden, sairaushistorian tai maksuhistorian:
| Nimet tai nimien osat | Mikä tahansa muu yksilöllinen tunnistetieto |
| Geografiset tunnisteet | Päivämäärät. jotka liittyvät suoraan henkilöön |
| Puhelinnumerot | Faksinumerot |
| Sähköpostiosoitteet | Sosiaaliturvatunnukset |
| Sairauskertomusnumerot | Sairausvakuutuksen edunsaajanumerot |
| Tilinumerot | Todistuksen tai lisenssin numerot |
| Ajoneuvojen rekisterikilpien numerot | Laitteiden tunnisteet ja sarjanumerot |
| Web-URL:t | IP-osoitteet |
| Sormenjäljet, verkkokalvo- ja äänijäljet | Kokonaiset kasvot tai muut vastaavat valokuvat |
Ketä HIPAA koskee?
Ennen HIPAA:n selittämisen aloittamista on parasta selventää, keitä lainsäädäntö koskee. Käytännöllisesti katsoen kaikki terveydenhuoltosuunnitelmat, terveydenhuollon selvityskeskukset, terveydenhuollon tarjoajat ja Medicare-reseptilääkkeiden alennuskortin hyväksytyt sponsorit katsotaan lain nojalla ”HIPAA:n soveltamisalaan kuuluviksi yksiköiksi”. Tyypillisesti nämä ovat yhteisöjä, jotka joutuvat säännöllisesti kosketuksiin suojattujen terveystietojen kanssa.
Myös ”liikekumppanit” kuuluvat HIPAA:n soveltamisalaan. Nämä ovat yhteisöjä, jotka eivät luo, vastaanota, ylläpidä tai välitä suojattuja terveystietoja pääasiallisena toimintanaan, mutta jotka tarjoavat suojattaville yhteisöille kolmannen osapuolen palveluja ja toimintoja, joiden aikana ne kohtaavat suojattavia terveystietoja. Ennen kuin yritysyhteistyökumppani ryhtyy suorittamaan palvelua tai toimintaa suojatun yksikön puolesta, sen on allekirjoitettava yritysyhteistyösopimus, jossa se takaa, että se varmistaa kaikkien niiden PHI:iden koskemattomuuden, joihin se pääsee käsiksi.
Harmaita ovat itsevakuutetut yhden työnantajan ryhmämuotoiset terveydenhuoltosuunnitelmat ja työnantajat, jotka toimivat välittäjinä työntekijöiden ja terveydenhuollon tarjoajien välillä. HIPAA:n mukaan työnantajat eivät ole suojattuja yhteisöjä, ellei niiden liiketoiminnan luonne täytä kriteerejä, joiden perusteella ne voivat olla suojattuja yhteisöjä (esim. työnantajana toimiva terveyskeskus olisi suojattu yhteisö). Koska omavakuutus- ja välitystyönantajat kuitenkin käsittelevät HIPAA:n tietosuojasäännön suojaamia PHI-tietoja, niitä pidetään ”virtuaalisina yhteisöinä”, ja niihin sovelletaan HIPAA:n noudattamista.
HIPAA Explained Post 2013
Huomaa: HIPAA:aa ennen vuotta 2013 ja sen suhdetta vuoden 2009 HITECH Act -lakiin koskevat tiedot löytyvät sivulta ”HIPAA:n historia”. Yksityiskohtaisempia tietoja HIPAA:n tietosuoja- ja turvallisuussäännöistä on ”HIPAA:n vaatimustenmukaisuuden tarkistuslistassa”.
Sen jälkeen, kun Final Omnibus Rule -säädös otettiin käyttöön, jolla otettiin käyttöön uusia HIPAA:n säännöksiä vuonna 2013, on annettu uusia ohjeita siitä, miten PHI-tietoja on käytettävä ja miten niistä on tiedotettava lääketieteeseen liittyvässä ympäristössä. Uudistettu laki antaa potilaille lisää oikeuksia tietää ja valvoa, miten heidän terveystietojaan käytetään, ja laajentaa HIPAA:n piiriin kuuluvia yhteisöjä ja liikekumppaneita koskevat valvontatoimet koskemaan sitä, miten potilastietoihin päästään käsiksi ja miten niitä välitetään.
HIPAA:n piiriin kuuluvien yhteisöjen ja liikekumppaneiden on otettava käyttöön mekanismeja, joilla rajoitetaan tiedon kulkua yksityisen verkon sisäpuolella, valvotaan verkon toimintoja ja ryhdytään toimenpiteisiin, joiden avulla estetään PHI-tietojen luvaton luovuttaminen verkon rajojen ulkopuolelle. Riskinarviointeihin on kiinnitettävä enemmän huomiota, ja tietoturvaloukkauksia varten on kehitetty uusia raportointimenettelyjä.
HIPAA:n turvallisuussääntöön tehdyt muutokset määräävät ehdot (”suojatoimet”), jotka on otettava käyttöön HIPAA:n mukaista sähköisen potilastiedon säilyttämistä ja välittämistä varten. Nämä ”suojatoimet” kuvataan HIPAA Security Rule -säännössä joko ”vaadittaviksi” tai ”käsiteltäviksi”. Itse asiassa kaikki suojatoimet ovat yleisesti ottaen pakollisia – riippumatta siitä, miten ne on kuvattu – kuten seuraavassa jaksossa selitetään.
Kansalaisoikeusvirasto (Office for Civil Rights) tekee tarkastuksia HIPAA:n piiriin kuuluviin yksiköihin varmistaakseen, että ne noudattavat säännöksiä. Kun havaitaan vältettävissä olevia ePHI-tietojen tietoturvaloukkauksia, Office for Civil Rights -virastolla on valtuudet määrätä taloudellisia seuraamuksia ja nostaa rikossyytteitä laiminlyönyttä yhteisöä vastaan.
The Required and Addressable Safeguards of HIPAA Explained
Yksi HIPAA:n osa-alueista, joka on johtanut jonkin verran epäselvyyksiin, on ”vaadittujen” (required) ja ”kohdeltavissa olevien” (addressable) suojatoimien välinen ero. Käytännössä jokainen HIPAA:n mukainen suojatoimenpide on ”vaadittu”, ellei ole perusteltua syytä olla toteuttamatta kyseistä suojatoimenpidettä tai ellei suojatoimenpiteelle ole asianmukaista vaihtoehtoa, jolla saavutetaan sama tavoite.
Skenaario, jossa osoitettavissa olevan suojatoimenpiteen toteuttaminen voi olla tarpeetonta, on sähköpostin salaus. Sähköpostiviestit, jotka sisältävät PHI-tietoja – joko runkona tai liitetiedostona – on salattava vain, jos ne lähetetään palomuurin sisäisen palvelimen ulkopuolelle. Jos terveydenhuolto-organisaatio käyttää sähköpostia vain sisäisenä viestintämuotona – tai jos potilaalla on lupa lähettää tietonsa salaamattomina – tätä osoitteellista suojatoimenpidettä ei tarvitse toteuttaa.
Päätöstä olla toteuttamatta sähköpostin salausta on tuettava riskinarvioinnilla, ja se on dokumentoitava kirjallisesti. Muita tekijöitä, jotka voidaan joutua ottamaan huomioon, ovat organisaation riskinhallintastrategia ja muut suojatoimet, jotka on otettu käyttöön PHI:n eheyden suojaamiseksi. Kuten HIPAA:n tämän nimenomaisen jakson alaviitteessä selitetään, suositellaan, että PHI:n salakirjoitusta levossa ja siirron aikana.
HIPAA:n vaikutukset potilaille
HIPAA:n vaikutukset potilaille ovat, että heidän terveystietojaan kohdellaan herkemmin ja että heidän terveydenhuoltopalvelujen tarjoajansa saavat ne nopeammin käyttöönsä. Sähköisesti tallennetut terveystiedot ovat nyt paremmin suojattuja kuin paperitiedot koskaan olivat, ja terveydenhuollon organisaatiot, jotka ovat ottaneet käyttöön mekanismeja HIPAA-säädösten noudattamiseksi, toteavat tehokkuuden parantuneen. Tämä näkyy – potilaiden kannalta – korkeampana terveydenhuollon tasona.
Negatiivisena puolena terveydenhuolto-organisaatiot eivät ole pelkästään huolissaan siitä, millaista terveydenhuoltoa ne voivat tarjota yksittäisille potilaille. Terveydenhuollon organisaatiot haluavat lisätä palveluja, joita ne voivat tarjota, haluavat nostaa hoidon laatua ja parantaa potilasturvallisuutta tutkimuksen avulla. HIPAA kuitenkin rajoittaa tutkimusta, ja rajoitettu pääsy PHI-tietoihin voi hidastaa terveydenhuollon parantamisvauhtia.
Tietoturvan parantamisella on myös hintansa, ja vaikka Meaningful Use -ohjelman käyttöönotto tarjosi terveydenhuoltopalvelujen tarjoajille taloudellisia kannustimia paperitietojen tietokoneistamiseen, sähköisen tiedon suojaamiseksi tarvittavien valvontatoimien toteuttaminen voi aiheuttaa huomattavia kustannuksia. Vaatimusten noudattamiseen myönnettävän rahoituksen lisääminen saattaa heikentää potilaiden hoidon tasoa, kun taas hallinnollinen taakka, jonka HIPAA-vaatimusten noudattaminen aiheuttaa terveydenhuolto-organisaatioille, rasittaa käytettävissä olevia rajallisia resursseja entisestään.
Miten HIPAA:ta selitetään potilaille
Koska terveydenhuoltopalvelujen tarjoajien on nyt lain mukaan annettava potilaille ilmoitus tietosuojaperiaatteistaan, HIPAA:ta on tarpeen selittää potilailla, sillä heidän on allekirjoitettava jäljennös menettelytapaohjeista osoittaakseen saaneensa sen. Paras tapa selittää HIPAA:ta potilaille on sisällyttää asiaankuuluvat tiedot tietosuojakäytäntöön ja antaa potilaille sen jälkeen yhteenveto siitä, mitä käytäntö sisältää. Selitä potilaalle esimerkiksi:
- Hänellä on oikeus pyytää potilastietojaan milloin tahansa.
- Hänellä on oikeus pyytää sinua muuttamaan potilastietojaan tarvittaessa.
- Hänellä on oikeus rajoittaa sitä, kenellä on pääsy hänen henkilökohtaisiin terveystietoihinsa.
- Heillä on oikeus valita, miten terveydenhuollon tarjoajat viestivät heille.
- Heillä on myös oikeus valittaa henkilötietojensa luvattomasta luovuttamisesta.
Jos potilas ei ole kärsinyt fyysistä tai taloudellista vahinkoa henkilötietojensa luvattoman luovuttamisen vuoksi, hän ei voi nostaa siviilikannetta huolimattomuuttaan syyllistynyttä vastaan. Kansalaisoikeusvirasto määrää kuitenkin rikosoikeudellisia seuraamuksia, jotka voivat johtaa jopa kymmenen vuoden vankeusrangaistukseen.
HIPAA:n vaikutukset terveydenhuolto-organisaatioihin
Jos tietosuojaan ja tietoturvaan ei kiinnitetä huomiota, kansalaisoikeusvirasto voi määrätä sakkoja sääntöjen noudattamatta jättämisestä. Estettävissä olevista tietomurroista määrätään todennäköisesti huomattavia taloudellisia seuraamuksia. HITECHin käyttöön ottaman rangaistusrakenteen mukaan OCR voi määrätä rikkomuksista jopa 1,5 miljoonan dollarin suuruiset sakot, ja kanteita voivat nostaa sekä oikeusministerit että – kuten edellä mainittiin – tietomurtojen uhrit.
Suurella todennäköisyydellä terveydenhuollon organisaatiot joutuvat tietoverkkorikollisten maalitauluksi ja tietomurtojen käsittelystä – tietomurtoja koskevien ilmoituskirjeiden laatimisesta, luottotietojen seurantapalvelujen tarjoamisesta ja OCR:n sakkojen kattamisesta – aiheutuvat kohtuuttomat kustannukset ylittävät reilusti täydellisen vaatimustenmukaisuuden saavuttamisen kustannukset. Vaikka investoinnit potilastietojen suojaamiseksi tarvittaviin teknisiin, fyysisiin ja hallinnollisiin suojatoimiin voivat olla aluksi kalliita, parannukset voivat ajan mittaan johtaa kustannussäästöihin tehokkuuden parantumisen ansiosta.
Organisaatiot, jotka ovat jo ottaneet käyttöön mekanismeja HIPAA:n noudattamiseksi, ovat huomanneet työntekijöidensä työnkulkujen virtaviivaistuneen, aikaa kuluu vähemmän ”puhelinsoiton” pelaamiseen ja työvoimasta on tullut tuottavampaa, minkä ansiosta terveydenhuollon organisaatiot voivat sijoittaa säästönsä uudelleen ja tarjota korkeatasoisempaa terveydenhuoltoa potilaille.
Kuinka HIPAA:ta voi selittää työntekijöille
HIPAA:n selittäminen suojattujen yksikköjen työntekijöille ja liiketoimintayhteistyökumppaneiden työntekijöille vaatii paljon enemmän vaivaa kuin sen selittäminen potilaille. HIPAA:n noudattamiseksi suojattujen yhteisöjen ja liiketoimintayhteistyökumppaneiden on laadittava tietosuoja- ja tietoturvakäytännöt työntekijöilleen sekä seuraamuskäytännöt niille työntekijöille, jotka eivät noudata vaatimuksia. Siksi HIPAA:ta on tarpeen selittää työntekijöille yksityiskohtaisemmin.
Paras tapa selittää HIPAA:ta työntekijöille on erityiset vaatimustenmukaisuutta koskevat koulutustilaisuudet. Vaikka HIPAA-säännösten mukaan koulutusta olisi järjestettävä vuosittain, ehdotamme, että työntekijöillä on niin paljon omaksuttavaa henkilökohtaisten terveystietojen turvallisuuteen ja yksityisyyden suojaan liittyen, että vaatimustenmukaisuutta käsittelevien koulutustilaisuuksien olisi oltava lyhyitä ja usein toistuvia. HIPAA:n selittäminen työntekijöille neljän tunnin koulutustilaisuudessa ei todennäköisesti onnistu.
Paljon selityksistä pyörii PHI:n eheyden säilyttämisen ympärillä, mutta sillä, miten tämä toteutetaan, on todennäköisesti vaikutusta työntekijöihin itseensä. Työntekijät eivät esimerkiksi voi keskustella potilaiden terveydenhuollosta mobiililaitteella, ellei viestintää ole salattu. Koska monet terveydenhuollon laitokset ottavat käyttöön BYOD-käytäntöjä, tämä tarkoittaa, että työntekijöiden on ladattava suojatut viestintäsovellukset henkilökohtaisiin mobiililaitteisiinsa.
Uusi teknologia ja HIPAA:n tietosuoja- ja turvallisuussäännöt
Uutta teknologiaa kehitetään jatkuvasti PHI:n eheyden suojaamiseksi. HIPAA:n tietosuoja- ja tietoturvasääntöjen noudattaminen helpottuu päivä päivältä innovaatioiden, kuten verkkosuodatuksen, suojatun sähköpostin arkistoinnin ja suojattujen viestiratkaisujen ansiosta.
Web-suodatus on erinomainen mekanismi haittaohjelmista aiheutuvien riskien vähentämiseksi – erityisesti valvontahaittaohjelmista, jotka voivat nauhoittaa näppäinpainalluksia saadakseen haltuunsa käyttäjänimet ja salasanat. Useat viimeaikaiset tietomurrot ovat johtuneet haittaohjelmien lataamisesta – mukaan lukien useat niistä, joita ei olisi tapahtunut, jos verkkosuodatusmekanismi olisi otettu käyttöön.
Turvallinen sähköpostin arkistointi on toinen alue, jolla terveydenhuollon organisaatiot voivat parantaa verkkoturvallisuuttaan. Kuuden vuoden sähköpostien säilyttäminen voi aiheuttaa säilytysongelman. Käyttämällä kolmannen osapuolen turvallista sähköpostin arkistointipalvelua terveydenhuollon organisaatiot kuitenkin vapauttavat resursseja omassa IT-rakenteessaan ja noudattavat samalla HIPAA:n tietosuoja- ja turvallisuussääntöjä.
Tässä HIPAA Explained -artikkelissa mainittiin aiemmin, että joissakin HIPAA:n viimeisimmissä muutoksissa otetaan huomioon ”Bring Your Own Device” -käytäntöihin liittyvät riskit. Jotkin terveydenhuollon organisaatiot ovat poistaneet riskit ottamalla käyttöön turvallisia viestiratkaisuja. Näiden ratkaisujen avulla valtuutetut käyttäjät voivat turvallisesti käyttää ja välittää sähköistä tietoa henkilökohtaisista mobiililaitteistaan suojattujen viestisovellusten avulla.
Kuten kaikkien ulkopuolisten palveluntarjoajien kohdalla, terveydenhuolto-organisaation on varmistettava, että liiketoimintayhteistyökumppani on HIPAA:n vaatimusten mukainen. Vaatimustenmukaisuuden varmistamatta jättämisestä voi aiheutua huomattavia kustannuksia, kuten alla oleva HIPAA Explained -infograafimme osoittaa.