HIPAA magyarázata

A HIPAA magyarázata című cikkünk az egészségügyi biztosítási hordozhatósági és elszámoltathatósági törvényről (HIPAA), a törvény legutóbbi, 2013-as változásairól, valamint arról nyújt tájékoztatást, hogy a törvény rendelkezései jelenleg hogyan érintik a betegeket, az egészségügyi ágazat egészét és a benne dolgozókat.

HIPAA egyszerűsített története

A törvényt eredetileg 1996-ban javasolták annak érdekében, hogy a munkavállalók munkahelyek között átvihessék a biztosítási és egészségügyi ellátási jogokat, a HIPAA egyszerűsített története azt mutatja, hogy a törvény azóta olyan jogszabállyá bővült, amely az egészségbiztosítási csalást és az egészségügyi megtakarítási számlákra vonatkozó adózási rendelkezéseket is szabályozza, valamint biztosítja a már meglévő betegségekkel rendelkező munkavállalók elfogadását a munkahelyi egészségbiztosítási rendszerekbe. Elsősorban azonban a HIPAA a betegek egészségügyi adatainak védelmére és biztonságára vonatkozik.

A HIPAA-t (a HITECH-törvényen keresztül) arra is felhasználták, hogy az egészségügyi ágazatot a papír alapú nyilvántartások számítógépesítésére ösztönözzék. Ez a “védett egészségügyi információk” (Protected Health Information, PHI) jogosulatlan nyilvánosságra hozatalával kapcsolatos aggodalmakhoz vezetett, és 2013-ban további adatvédelmi és biztonsági előírások kidolgozását eredményezte. A rendeletek az egészségügyi ágazatban az eredeti jogszabály elfogadása óta bekövetkezett technológiai fejlődéssel foglalkoztak, és a PHI sértetlenségéért való felelősséget kiterjesztették az üzleti partnerekre.

A HIPAA-szabályokat az Egyesült Államok Egészségügyi Minisztériumának & Emberi Szolgáltatások Polgári Jogi Hivatala hajtja végre, míg az állami főügyészek is felléphetnek a HIPAA-nak nem megfelelőnek bizonyult felekkel szemben. A Polgári Jogok Hivatala jogosult bírságot kiszabni az érintett szervezetekre és üzleti társult vállalkozásokra a PHI megsértése miatt, kivéve, ha a jogsértő fél bizonyítani tudja, hogy a beteg egészségügyi adatai csak kis valószínűséggel kerültek veszélybe.

A HIPAA egyszerű fogalmakkal magyarázva

A HHS a HIPAA összes adminisztratív egyszerűsítési szabályzatának összesített szövegét egyetlen 115 oldalas dokumentumba foglalta össze, ami igen hosszadalmas olvasmány, de a HIPAA néhány mondatban összefoglalható, és a HIPAA egyszerű fogalmakkal magyarázható.

A HIPAA a Kongresszus kísérlete volt az egészségügyi ellátás hatékonyságának javítására, a pazarlás megszüntetésére, a csalás elleni küzdelemre, valamint annak biztosítására, hogy az egyénhez köthető és azonosítását lehetővé tevő egészségügyi információk védelmet élvezzenek, magánjellegűek és bizalmasak legyenek.

A HIPAA egy sor új szabványt vezetett be az egészségügyi szervezetek számára, amelyeket követniük kellett, hogy mindenki ugyanabból a zsoltárból énekeljen. Az egészségügyi információk cseréjének megkönnyítése érdekében szabványos kódokat és azonosítókat hoztak létre, és az egészségügyi szolgáltatóknak, az egészségbiztosítóknak és üzleti partnereiknek ugyanazokat a kódokat kellett használniuk az elektronikus tranzakciókhoz az adatok hatékony cseréjének biztosítása érdekében. Ez rengeteg időt és erőfeszítést takarított meg, és jelentős költségmegtakarítást eredményezett.

A HIPAA előírta az egészségügyi információk megengedett felhasználását és nyilvánosságra hozatalát, korlátozva, hogy ki és milyen körülmények között férhet hozzá az egészségügyi információkhoz. A HIPAA jogot adott az amerikaiaknak arra, hogy másolatot kapjanak egészségügyi adataikról, hogy ellenőrizhessék egészségügyi adataik hibáit, és hogy bárkivel megoszthassák adataikat. A HIPAA az egészségügyi adatok védelmére vonatkozó szabványokat is meghatározott, hogy megnehezítse az egészségügyi információkhoz való hozzáférést olyan személyek számára, akiknek nem volt joguk az információk megtekintésére.

HIPAA for Dummies

Noha talán nem tekinthető kedvesnek a cikk egy szakaszának a “HIPAA for Dummies” címet adni, még mindig vannak olyanok, akik nincsenek tisztában azzal, hogy a betegek egészségügyi információi “védettek”. Annak tisztázása érdekében, hogy mit tekintünk “védett egészségügyi információnak”, az alábbiakban felsoroljuk azt a tizennyolc “személyes azonosítót”, amelyek önmagukban – vagy bármely más személyes azonosítóval összekapcsolva – felfedhetik az egyén személyazonosságát, kórtörténetét vagy fizetési előzményeit:

Nevek vagy névrészek	Minden más egyedi azonosító jellemző
Geográfiai azonosítók	Dátumok. egy személyhez közvetlenül kapcsolódó adatok
Telefonszámok	Faxszámok
Email címek	Társadalombiztosítási számok
Egészségügyi nyilvántartási számok	Egészségbiztosítási kedvezményezettek számai
Számlaszámok	Bizonyítvány vagy engedély számai
Járművek rendszámtáblái	Készülékek azonosítói és sorozatszámai
Web URL-ek	IP-címek
ujjlenyomatok, retina- és hanglenyomatok	Teljes arc vagy bármely hasonló fényképes kép

Ki tartozik a HIPAA hatálya alá?

Mielőtt belekezdenénk a HIPAA magyarázatába, a legjobb, ha tisztázzuk, hogy kire vonatkozik a jogszabály. A törvény értelmében gyakorlatilag minden egészségügyi terv, egészségügyi elszámolóház, egészségügyi szolgáltató és a Medicare vényköteles gyógyszer-kedvezménykártya támogatott szponzorai “HIPAA hatálya alá tartozó szervezetnek” minősülnek. Ezek jellemzően olyan szervezetek, amelyek rendszeresen kapcsolatba kerülnek védett egészségügyi információkkal.

A HIPAA hatálya alá tartoznak az “üzleti partnerek” is. Ezek olyan szervezetek, amelyek főtevékenységük keretében nem hoznak létre, nem fogadnak, nem tartanak fenn és nem továbbítanak védett egészségügyi információkat, de olyan harmadik félként nyújtott szolgáltatásokat és tevékenységeket végeznek az Érintett szervezetek számára, amelyek során találkoznak a PHI-vel. Mielőtt az üzleti partner az Érintett Entitás nevében szolgáltatást vagy tevékenységet végez, alá kell írnia egy üzleti partneri megállapodást, amelyben garantálja, hogy biztosítja minden olyan PHI sértetlenségét, amelyhez hozzáférhet.

A szürke szféra létezik az önbiztosított, egy munkáltatói csoportos egészségügyi tervek és a munkavállalók és az egészségügyi szolgáltatók között közvetítőként eljáró munkáltatók tekintetében. A HIPAA kimondja, hogy a munkáltatók nem minősülnek fedezett szervezetnek, kivéve, ha üzleti tevékenységük jellege megfelel a fedezett szervezet kritériumainak (pl. egy foglalkoztató egészségügyi központ fedezett szervezetnek minősülne). Mivel azonban az önbiztosító és közvetítő munkáltatók a HIPAA adatvédelmi szabálya által védett PHI-t kezelnek, “virtuális entitásoknak” minősülnek, és a HIPAA-nak való megfelelés hatálya alá tartoznak.

HIPAA magyarázata 2013 után

Figyelem: A 2013 előtti HIPAA-val kapcsolatos információkért, valamint a 2009. évi HITECH-törvénnyel való kapcsolatáért kérjük, olvassa el a “HIPAA története” című oldalunkat. A HIPAA adatvédelmi és biztonsági szabályainak részletesebb leírását a “HIPAA megfelelőség-ellenőrzési listánk” tartalmazza.

A 2013-ban a HIPAA-n belül új szabályokat hatályba léptető Final Omnibus Rule bevezetése óta új irányelvek születtek a PHI elérésének és közlésének módjára vonatkozóan az orvoslással kapcsolatos környezetben. A felülvizsgált törvény további jogokat biztosít a betegeknek az egészségügyi információik felhasználásának megismeréséhez és ellenőrzéséhez, és kiterjeszti a HIPAA hatálya alá tartozó szervezetekre és üzleti társult vállalkozásokra vonatkozó ellenőrzéseket a beteginformációk elérésének és közlésének módjára.

A HIPAA hatálya alá tartozó szervezeteknek és üzleti társult vállalkozásoknak olyan mechanizmusokat kell bevezetniük, amelyek korlátozzák az információáramlást egy magánhálózaton belülre, figyelemmel kísérik a hálózaton belüli tevékenységet, és intézkedéseket hoznak a PHI-nek a hálózat határain kívüli jogosulatlan közlésének megakadályozására. Nagyobb figyelmet kell fordítani a kockázatértékelések elvégzésére, és új jelentési eljárásokat dolgoztak ki az adatvédelmi incidensekre vonatkozóan.

A HIPAA biztonsági szabályának módosításai előírják azokat a feltételeket (“biztosítékokat”), amelyeknek fenn kell állniuk az ePHI HIPAA-konform tárolásához és továbbításához. Ezeket a “biztosítékokat” a HIPAA biztonsági szabálya “kötelező” vagy “kezelhető” formában írja le. Valójában minden biztosíték általában kötelező – függetlenül attól, hogy hogyan írják le őket -, amint azt a következő szakasz kifejti.

A Polgári Jogok Hivatala auditokat végez a HIPAA hatálya alá tartozó szervezeteknél annak biztosítása érdekében, hogy azok megfeleljenek az előírásoknak. Ha az ePHI elkerülhető megsértésére derül fény, a Polgári Jogi Hivatalnak jogában áll pénzbírságot kiszabni és büntetőeljárást indítani a gondatlan szervezet ellen.

A HIPAA kötelező és címezhető biztosítékainak magyarázata

A HIPAA egyik olyan területe, amely némi zavart okozott, a “kötelező” és a “címezhető” biztosítékok közötti különbség. Gyakorlatilag a HIPAA minden biztosítéka “kötelező”, kivéve, ha igazolható oka van annak, hogy a biztosítékot nem kell alkalmazni, vagy ha a biztosíték helyett olyan megfelelő alternatívát alkalmaznak, amely ugyanazt a célt szolgálja.

Az e-mail titkosítása olyan forgatókönyv, amelyben a címezhető biztosíték alkalmazása szükségtelen lehet. A PHI-t tartalmazó e-maileket – akár a testben, akár csatolmányként – csak akkor kell titkosítani, ha azokat egy tűzfalas, belső szerveren kívülre küldik. Ha egy egészségügyi szervezet az e-mailt csak belső kommunikációs formaként használja – vagy a beteg felhatalmazással rendelkezik arra, hogy adatait titkosítatlanul küldje -, akkor nincs szükség e címezhető biztosíték bevezetésére.

Az e-mail titkosítás mellőzéséről szóló döntést kockázatértékeléssel kell alátámasztani és írásban dokumentálni. Egyéb tényezők, amelyeket figyelembe kell venni, a szervezet kockázatcsökkentési stratégiája és a PHI integritásának védelme érdekében bevezetett egyéb biztosítékok. Amint a HIPAA ezen szakaszának lábjegyzete elmagyarázza, a PHI titkosítása nyugalmi állapotban és szállítás közben ajánlott.

A HIPAA következményei a betegek számára

A HIPAA következményei a betegek számára az, hogy egészségügyi információikat érzékenyebben kezelik, és egészségügyi szolgáltatóik gyorsabban hozzáférhetnek hozzájuk. Az elektronikusan tárolt egészségügyi információk ma már jobban védettek, mint a papíralapú nyilvántartások valaha is voltak, és azok az egészségügyi szervezetek, amelyek mechanizmusokat vezettek be a HIPAA-szabályoknak való megfelelés érdekében, a hatékonyság javulását tapasztalják. Ez – a betegek szempontjából – az egészségügyi ellátás magasabb színvonalában nyilvánul meg.

A negatív oldalon az egészségügyi szervezeteket nem kizárólag az egyes betegek számára nyújtható egészségügyi ellátás színvonala érdekli. Az egészségügyi szervezetek növelni akarják az általuk nyújtható szolgáltatásokat, emelni akarják az ellátás minőségét, és a kutatás révén javítani akarják a betegbiztonságot. A kutatást azonban a HIPAA korlátozza, és a PHI-hez való korlátozott hozzáférés lassíthatja az egészségügyi ellátásban elérhető fejlesztések ütemét.

Az adatbiztonság javításának is ára van, és bár a Meaningful Use program életbe lépése pénzügyi ösztönzőket biztosított az egészségügyi szolgáltatók számára a papír alapú nyilvántartások számítógépesítésére, az ePHI biztonságához szükséges ellenőrzések végrehajtása jelentős költségekkel járhat. A megfelelés finanszírozásának növelése csökkentheti a betegellátás színvonalát, miközben a HIPAA-megfelelés által az egészségügyi szervezetekre rótt adminisztratív teher tovább terheli a rendelkezésre álló korlátozott erőforrásokat.

Hogyan kell elmagyarázni a HIPAA-t a betegeknek

Mivel az egészségügyi szolgáltatóknak mostantól törvényileg kötelesek a betegeknek tájékoztatást adni adatvédelmi szabályzatukról, szükség lesz a HIPAA magyarázatára a betegeknek, mivel a betegeknek alá kell írniuk a szabályzat egy példányát annak igazolására, hogy megkapták azt. A HIPAA-t úgy lehet a legjobban elmagyarázni a betegeknek, ha a vonatkozó információkat az Adatvédelmi szabályzatba foglalják, majd a betegeknek összefoglalót adnak arról, hogy mit tartalmaz a szabályzat. Például magyarázza el a betegnek:

• Joga van ahhoz, hogy bármikor kérje az egészségügyi dokumentációját.
• Joga van ahhoz, hogy adott esetben kérje az egészségügyi dokumentációjának módosítását.
• Joga van ahhoz, hogy korlátozza, hogy ki férhet hozzá a személyes egészségügyi adataihoz.
• Joga van megválasztani, hogy az egészségügyi szolgáltatók hogyan kommunikálnak velük.
• Azt is megilleti őket a jog, hogy panaszt tegyenek a személyes adataik jogosulatlan közlése miatt.

Hacsak a beteg nem szenvedett fizikai vagy pénzügyi kárt a személyes adataik jogosulatlan közlése miatt, nem indíthat polgári pert a gondatlan fél ellen. A HIPAA-t személyes haszonszerzés, hamis színlelés vagy más személyes haszonszerzés céljából megsértő fedezett szervezetek és üzleti partnerek ellen azonban a Polgári Jogi Hivatal büntetőjogi szankciókat szab ki, amelyek akár tíz év szabadságvesztést is eredményezhetnek.

A HIPAA következményei az egészségügyi szervezetekre

Ha nem foglalkoznak az adatvédelemmel és adatbiztonsággal, a Polgári Jogi Hivatal bírságot szabhat ki a szabályok be nem tartása miatt. A megelőzhető adatvédelmi incidensek esetén valószínűleg jelentős pénzbírságok kiszabására kerül sor. A HITECH által bevezetett büntetési struktúra értelmében a jogsértések miatt az OCR akár 1,5 millió dollárig terjedő bírságot is kiszabhat, miközben mind az államügyészek, mind pedig – mint már említettük – az adatvédelmi incidensek áldozatai pert indíthatnak.

Az egészségügyi szervezetek nagy valószínűséggel válnak a kiberbűnözők célpontjává, és az adatvédelmi incidensek kezelésének – az adatvédelmi incidensekről szóló értesítő levelek kibocsátása, hitelfelügyeleti szolgáltatások nyújtása és az OCR bírságainak fedezése – túlzó költségei messze meghaladják a teljes megfelelés elérésének költségeit. De bár a betegadatok védelméhez szükséges technikai, fizikai és adminisztratív biztosítékokba való beruházás kezdeti költségei magasak lehetnek, a fejlesztések a hatékonyság javulása miatt idővel költségmegtakarítást eredményezhetnek.

A HIPAA-nak való megfelelés érdekében már bevezetett mechanizmusokat alkalmazó szervezetek azt tapasztalták, hogy munkatársaik munkafolyamatai egyszerűsödtek, kevesebb időt pazarolnak “telefonálgatásra”, és a munkaerő produktívabbá vált – így az egészségügyi szervezetek újra befektethetik megtakarításaikat, és magasabb színvonalú egészségügyi ellátást biztosíthatnak a betegeknek.

Hogyan kell elmagyarázni a HIPAA-t az alkalmazottaknak

A HIPAA elmagyarázása az érintett szervezetek és üzleti partnerek alkalmazottainak sokkal több erőfeszítést igényel, mint a HIPAA elmagyarázása a betegeknek. A HIPAA-nak való megfelelés érdekében a Kötelezett szervezeteknek és az üzleti társult vállalkozásoknak adatvédelmi és biztonsági szabályzatot kell összeállítaniuk a munkatársaik számára, valamint szankciós szabályzatot kell kidolgozniuk a követelményeket nem teljesítő alkalmazottak számára. Ezért szükséges a HIPAA-t részletesebben elmagyarázni a munkavállalóknak.

A HIPAA-t a munkavállalóknak legjobban speciális megfelelőségi képzéseken lehet elmagyarázni. Bár a HIPAA-előírások szerint a képzést évente kell tartani, azt javasoljuk, hogy a munkavállalóknak annyi mindent kell elsajátítaniuk a személyes egészségügyi információk biztonságával és védelmével kapcsolatban, hogy a megfelelőségi képzéseknek rövideknek és gyakoriaknak kell lenniük. Ha egy négyórás képzés során megpróbáljuk elmagyarázni a HIPAA-t az alkalmazottaknak, az valószínűleg sikertelen lesz.

A magyarázat nagy része a PHI integritásának megőrzése körül fog forogni, de a végrehajtás módja valószínűleg hatással lesz magukra az alkalmazottakra is. Az alkalmazottak például nem fogják tudni megbeszélni a betegek egészségügyi ellátását a mobileszközükön keresztül, hacsak a kommunikáció nem titkosított. A BYOD-politikát bevezető egészségügyi intézmények száma miatt ez azt fogja jelenteni, hogy az alkalmazottaknak biztonságos kommunikációs alkalmazásokat kell letölteniük személyes mobileszközeikre.

Új technológia és a HIPAA adatvédelmi és biztonsági szabályai

A PHI integritásának védelme érdekében folyamatosan új technológiákat fejlesztenek ki. A HIPAA adatvédelmi és biztonsági szabályainak való megfelelés napról napra könnyebbé válik az olyan innovációknak köszönhetően, mint a webszűrés, a biztonságos e-mail archiválás és a biztonságos üzenetküldési megoldások.

A webszűrés kiváló mechanizmus a rosszindulatú programok – különösen a felügyeleti rosszindulatú programok, amelyek a felhasználónevek és jelszavak megszerzése érdekében rögzíthetik a billentyűleütéseket – jelentette kockázatok mérséklésére. A közelmúltban több adatbetörés is rosszindulatú szoftverek letöltésének eredménye volt – köztük több olyan is, amely nem következett volna be webszűrő mechanizmus bevezetésével.

A biztonságos e-mail archiválás egy másik terület, ahol az egészségügyi szervezetek javíthatják online biztonsági helyzetüket. Hat évnyi e-mail megőrzése tárolási problémát okozhat. Egy harmadik féltől származó biztonságos e-mail archiválási szolgáltatás igénybevételével azonban az egészségügyi szervezetek saját informatikai struktúrájukon belül erőforrásokat szabadítanak fel, miközben megfelelnek a HIPAA adatvédelmi és biztonsági szabályainak.

Ez a HIPAA Explained cikk korábban említette, hogy a HIPAA legújabb módosításai közül néhány figyelembe veszi a “Bring Your Own Device” irányelvekből eredő kockázatokat. Egyes egészségügyi szervezetek a biztonságos üzenetküldési megoldások bevezetésével kiküszöbölték a kockázatokat. Ezek a megoldások lehetővé teszik az engedélyezett felhasználók számára az ePHI biztonságos elérését és kommunikálását személyes mobileszközeikről biztonságos üzenetküldő alkalmazásokon keresztül.

Mint minden külső szolgáltató esetében, az egészségügyi szervezet feladata annak biztosítása, hogy az üzleti partner megfeleljen a HIPAA-nak. A megfelelés biztosításának elmulasztása jelentős költségekkel járhat, amint azt az alábbi HIPAA Explained infografika is mutatja.