In ons artikel HIPAA toegelicht vindt u informatie over de Healthcare Insurance Portability and Accountability Act (HIPAA), de meest recente wijzigingen van de wet in 2013 en hoe bepalingen in de wet momenteel van invloed zijn op patiënten, de gezondheidszorgsector als geheel en de mensen die erin werken.
- HIPAA vereenvoudigde geschiedenis
- HIPAA uitgelegd in eenvoudige bewoordingen
- HIPAA voor Dummies
- Wie valt onder HIPAA?
- HIPAA uitgelegd na 2013
- De vereiste en adresseerbare beschermingsmaatregelen van HIPAA uitgelegd
- De implicaties van de HIPAA voor patiënten
- Hoe HIPAA aan patiënten uit te leggen
- De gevolgen van de HIPAA voor organisaties in de gezondheidszorg
- Hoe HIPAA uit te leggen aan werknemers
- Nieuwe technologie en HIPAA-privacy- en beveiligingsregels
HIPAA vereenvoudigde geschiedenis
Oorspronkelijk voorgesteld in 1996 om werknemers in staat te stellen verzekerings- en zorgrechten van de ene baan naar de andere over te dragen, toont onze HIPAA vereenvoudigde geschiedenis aan dat de wet sindsdien is uitgegroeid tot een wet die ook ziekteverzekeringsfraude en belastingbepalingen voor medische spaarrekeningen regelt, en zorgt voor acceptatie van werknemers met reeds bestaande aandoeningen in beroepsmatige zorgverzekeringsregelingen. In de eerste plaats heeft de HIPAA echter betrekking op de privacy en veiligheid van gezondheidsinformatie van patiënten.
HIPAA werd (via de HITECH Act) ook gebruikt om de gezondheidszorgindustrie aan te moedigen papieren dossiers te automatiseren. Dit leidde tot bezorgdheid over ongeoorloofde openbaarmakingen van “Protected Health Information” (PHI) en resulteerde in de ontwikkeling van verdere privacy- en beveiligingsvoorschriften in 2013. De voorschriften hadden betrekking op de technologische vooruitgang in de gezondheidszorg sinds de oorspronkelijke wetgeving werd aangenomen, en breidden de verantwoordelijkheid voor de integriteit van PHI uit tot Business Associates.
De HIPAA-voorschriften worden gehandhaafd door het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid & Human Services, terwijl procureurs-generaal van staten ook actie kunnen ondernemen tegen partijen waarvan is ontdekt dat ze de HIPAA niet naleven. Het Office for Civil Rights heeft de bevoegdheid om boetes op te leggen aan Covered Entities en Business Associates voor inbreuken op PHI, tenzij de overtredende partij kan aantonen dat de waarschijnlijkheid klein is dat gezondheidsinformatie van de patiënt werd gecompromitteerd.
HIPAA uitgelegd in eenvoudige bewoordingen
De gecombineerde tekst van alle HIPAA Administrative Simplification Regulations is door de HHS samengevoegd tot één document van 115 pagina’s, waardoor het erg lang is om te lezen, maar het is mogelijk om HIPAA in een paar zinnen samen te vatten en HIPAA in eenvoudige bewoordingen uit te leggen.
HIPAA was een poging van het Congres om de efficiëntie in de gezondheidszorg te verbeteren, verspilling te elimineren, fraude te bestrijden en ervoor te zorgen dat gezondheidsinformatie die aan een individu kan worden gekoppeld en waarmee deze kan worden geïdentificeerd, wordt beschermd en privé en vertrouwelijk wordt gehouden.
HIPAA introduceerde een reeks nieuwe normen die organisaties in de gezondheidszorg moesten volgen om ervoor te zorgen dat iedereen van hetzelfde lijster zong. Er werden standaardcodes en -identificatiecodes gecreëerd om de uitwisseling van gezondheidsinformatie te vergemakkelijken en zorgverleners, zorgverzekeraars en hun zakenpartners werden verplicht dezelfde codes te gebruiken voor elektronische transacties om ervoor te zorgen dat gegevens efficiënt konden worden uitgewisseld. Dit bespaarde veel tijd en moeite, en resulteerde in aanzienlijke kostenbesparingen.
HIPAA bepaalde het toegestane gebruik en de toegestane openbaarmaking van gezondheidsinformatie, en beperkte wie toegang mag krijgen tot gezondheidsinformatie en onder welke omstandigheden. HIPAA gaf Amerikanen het recht om kopieën van hun gezondheidsgegevens te krijgen om hun gezondheidsdossiers te controleren op fouten en om hun dossiers te delen met wie ze maar willen. HIPAA stelde ook normen vast voor de bescherming van gezondheidsgegevens om het moeilijker te maken voor gezondheidsinformatie om te worden geraadpleegd door personen die geen recht hadden om de informatie in te zien.
HIPAA voor Dummies
Hoewel het als onaardig kan worden beschouwd om een deel van dit artikel de titel “HIPAA voor Dummies” te geven, zijn er nog steeds enkele mensen die niet weten welke gezondheidsinformatie van patiënten “beschermd” is. Om te verduidelijken wat wordt beschouwd als “Beschermde Gezondheidsinformatie”, hebben we hieronder de achttien “persoonlijke identificatoren” opgesomd die individueel – of gekoppeld aan een andere persoonlijke identificator – de identiteit van een individu, hun medische geschiedenis of betalingsgeschiedenis zouden kunnen onthullen:
| Namen of delen van namen | Elk ander uniek identificerend kenmerk |
| Geografische identificatiemiddelen | Data die rechtstreeks verband houden met een persoon |
| telefoonnummers | faxnummers |
| Emailadressen | Socialezekerheidsnummers |
| Nummers medisch dossier | Nummers begunstigden ziektekostenverzekering |
| Rekeningnummers | Certificaat- of licentienummers |
| Kentekenplaatnummers van voertuigen | Identificatie- en serienummers van apparaten |
| Web-URL’s | IP-adressen |
| Vingerafdrukken, netvlies- en stemafdrukken | Volledig gezicht of vergelijkbare fotografische beelden |
Wie valt onder HIPAA?
Voordat we ingaan op de HIPAA, is het goed om uit te leggen op wie de wetgeving van toepassing is. Vrijwel alle gezondheidsplannen, clearinghouses voor gezondheidszorg, zorgverleners en ondersteunde sponsors van de Medicare-kortingskaart voor geneesmiddelen op recept worden beschouwd als “HIPAA Covered Entities” onder de wet. Doorgaans zijn dit entiteiten die regelmatig in contact komen met Beschermde Gezondheidsinformatie.
“Business Associates” vallen eveneens onder de HIPAA. Dit zijn entiteiten die in hun hoofdberoep geen beschermde gezondheidsinformatie creëren, ontvangen, bijhouden of doorgeven, maar die voor de gedekte entiteiten diensten en activiteiten van derden verrichten, waarbij zij in contact komen met PHI. Alvorens een dienst of activiteit namens een gedekte entiteit te verrichten, moet een Business Associate een Business Associate Agreement ondertekenen waarin wordt gegarandeerd dat de integriteit van alle PHI waartoe hij toegang heeft, wordt gewaarborgd.
Er bestaat een grijze zone met betrekking tot collectieve ziektekostenverzekeringen voor één enkele werkgever en werkgevers die als tussenpersoon optreden tussen werknemers en zorgverleners. Volgens de HIPAA zijn werkgevers geen gedekte entiteiten, tenzij de aard van hun activiteiten binnen de criteria valt om een gedekte entiteit te zijn (d.w.z. een werkend medisch centrum zou een gedekte entiteit zijn). Aangezien zelfverzekerde en intermediaire werkgevers echter PHI verwerken die wordt beschermd door de HIPAA-privacyregel, worden zij beschouwd als “Virtuele entiteiten” en zijn zij onderworpen aan HIPAA-naleving.
HIPAA uitgelegd na 2013
Let op: voor informatie met betrekking tot HIPAA vóór 2013, en de relatie met de HITECH Act van 2009, raadpleegt u onze pagina “HIPAA-geschiedenis”. Meer details over de HIPAA-privacy- en -beveiligingsregels zijn te vinden in onze “HIPAA Compliance Checklist”.
Sinds de invoering van de Final Omnibus Rule, die in 2013 nieuwe voorschriften binnen HIPAA vaststelde, zijn er nieuwe richtlijnen uitgevaardigd over hoe PHI moet worden geraadpleegd en gecommuniceerd in een medisch-gerelateerde omgeving. De herziene wet geeft patiënten meer rechten om te weten en te controleren hoe hun gezondheidsinformatie wordt gebruikt en breidt de controles op HIPAA-gedekte entiteiten en Business Associates uit tot de manier waarop patiënteninformatie wordt benaderd en gecommuniceerd.
HIPAA-gedekte entiteiten en Business Associates moeten mechanismen implementeren om de informatiestroom te beperken tot binnen een privénetwerk, de activiteit op het netwerk te monitoren en maatregelen te nemen om de ongeoorloofde openbaarmaking van PHI buiten de grenzen van het netwerk te voorkomen. Er moet meer aandacht worden besteed aan het uitvoeren van risicobeoordelingen, en er zijn nieuwe meldingsprocedures ontwikkeld voor inbreuken op de gegevens.
De herzieningen van de HIPAA-veiligheidsregel schrijven de voorwaarden (“waarborgen”) voor die moeten worden vervuld voor HIPAA-conforme opslag en mededeling van ePHI. Deze “veiligheidsmaatregelen” worden in de HIPAA Security Rule omschreven als “vereist” of “aan te pakken”. In feite zijn alle waarborgen in het algemeen vereist – ongeacht hoe zij worden beschreven – zoals in het volgende punt wordt uitgelegd.
Het Bureau voor burgerrechten voert audits uit bij de HIPAA-gedekte entiteiten om ervoor te zorgen dat zij aan de voorschriften voldoen. Wanneer vermijdbare inbreuken op ePHI worden ontdekt, heeft het Office for Civil Rights de bevoegdheid om financiële sancties op te leggen en strafrechtelijke vervolging in te stellen tegen de nalatige entiteit.
De vereiste en adresseerbare beschermingsmaatregelen van HIPAA uitgelegd
Een gebied van HIPAA dat tot enige verwarring heeft geleid, is het verschil tussen “vereiste” en “adresseerbare” beschermingsmaatregelen. In feite is elke waarborg van HIPAA “vereist”, tenzij er een gerechtvaardigde reden is om de waarborg niet te implementeren of er een geschikt alternatief voor de waarborg wordt geïmplementeerd waarmee hetzelfde doel wordt bereikt.
Een scenario waarin de implementatie van een adresseerbare waarborg onnodig kan zijn, is de encryptie van e-mail. E-mails die PHI bevatten – hetzij in de body, hetzij als bijlage – behoeven alleen te worden versleuteld als zij buiten een afgeschermde, interne server worden verzonden. Als een organisatie in de gezondheidszorg e-mail alleen als een interne vorm van communicatie gebruikt – of van een patiënt toestemming heeft gekregen om zijn informatie onversleuteld te verzenden – hoeft deze adresseerbare beveiliging niet te worden geïmplementeerd.
Het besluit om e-mailversleuteling niet te implementeren, moet worden ondersteund door een risicobeoordeling en schriftelijk worden vastgelegd. Andere factoren waarmee eventueel rekening moet worden gehouden, zijn de risicobeperkingsstrategie van de organisatie en andere waarborgen die zijn ingevoerd om de integriteit van PHI te beschermen. Zoals in een voetnoot bij deze specifieke sectie van de HIPAA wordt uitgelegd, wordt de encryptie van PHI in ruste en in transit aanbevolen.
De implicaties van de HIPAA voor patiënten
De implicaties van de HIPAA voor patiënten zijn dat hun gezondheidsinformatie gevoeliger wordt behandeld en sneller door hun zorgverleners kan worden geraadpleegd. Elektronisch opgeslagen gezondheidsinformatie is nu beter beschermd dan papieren dossiers ooit waren, en organisaties in de gezondheidszorg die mechanismen hebben ingevoerd om aan de HIPAA-voorschriften te voldoen, zien een verbeterde efficiëntie. Dit manifesteert zich – wat de patiënten betreft – als een hogere standaard van gezondheidszorg.
Aan de negatieve kant zijn gezondheidszorgorganisaties niet alleen bezorgd over de standaard van gezondheidszorg die zij kunnen bieden aan individuele patiënten. Gezondheidszorgorganisaties willen hun dienstverlening uitbreiden, de kwaliteit van de zorg verhogen en de veiligheid van patiënten verbeteren door onderzoek. Onderzoek wordt echter beperkt door HIPAA en beperkte toegang tot PHI heeft het potentieel om de snelheid waarmee verbeteringen in de gezondheidszorg kunnen worden aangebracht, te vertragen.
Er moet ook een prijs worden betaald voor een betere gegevensbeveiliging, en hoewel de vaststelling van het Meaningful Use-programma financiële stimulansen voor zorgverleners bood om papieren dossiers te automatiseren, kan de uitvoering van de nodige controles om ePHI te beveiligen een aanzienlijke kostprijs met zich meebrengen. Het verhogen van de financiering voor naleving heeft het potentieel om het niveau van patiëntenzorg te verminderen, terwijl de administratieve last die HIPAA-compliance van gezondheidszorgorganisaties legt, de beperkte beschikbare middelen verder onder druk zet.
Hoe HIPAA aan patiënten uit te leggen
Aangezien zorgverleners nu wettelijk verplicht zijn om patiënten een kennisgeving van hun Privacybeleid te geven, zal het nodig zijn om HIPAA aan patiënten uit te leggen omdat ze een kopie van het beleid moeten ondertekenen om te zeggen dat ze het hebben ontvangen. De beste manier om de HIPAA aan patiënten uit te leggen is de relevante informatie in het privacybeleid op te nemen, en de patiënten vervolgens een samenvatting te geven van wat het beleid inhoudt. Leg bijvoorbeeld aan de patiënt uit:
- Zij hebben het recht om hun medische gegevens op te vragen wanneer zij dat willen.
- Zij hebben het recht om u te vragen hun medische gegevens te wijzigen wanneer dat nodig is.
- Zij hebben het recht om te beperken wie toegang heeft tot hun persoonlijke gezondheidsinformatie.
- Zij hebben het recht om te kiezen hoe zorgverleners met hen communiceren.
- Zij hebben ook het recht om een klacht in te dienen over de ongeoorloofde openbaarmaking van hun PHI.
Zonder wanneer de patiënt fysieke of financiële schade heeft geleden als gevolg van de ongeoorloofde openbaarmaking van hun PHI, kunnen zij geen civiele vordering instellen tegen de nalatige partij. Gedekte entiteiten en zakenpartners die de HIPAA schenden voor persoonlijk gewin, valse voorwendselen of ander persoonlijk gewin, krijgen echter strafrechtelijke sancties opgelegd door het Office for Civil Rights, die kunnen leiden tot een gevangenisstraf van maximaal tien jaar.
De gevolgen van de HIPAA voor organisaties in de gezondheidszorg
Als de privacy en beveiliging van gegevens niet wordt aangepakt, kan het Office for Civil Rights boetes opleggen voor niet-naleving. Inbreuken op gegevens die te voorkomen waren, zullen waarschijnlijk leiden tot aanzienlijke financiële sancties. Volgens de boetestructuur die door HITECH is geïntroduceerd, kunnen overtredingen leiden tot boetes tot $ 1,5 miljoen door het OCR, terwijl rechtszaken kunnen worden aangespannen door zowel procureurs-generaal als – zoals hierboven vermeld – de slachtoffers van datalekken.
De hoge waarschijnlijkheid dat organisaties in de gezondheidszorg het doelwit worden van cybercriminelen en de exorbitante kosten van het aanpakken van datalekken – het uitgeven van breukmeldingen, het aanbieden van kredietmonitoringdiensten en het dekken van de OCR-boetes – is veel hoger dan de kosten van het bereiken van volledige naleving. Maar hoewel de initiële investeringskosten in de nodige technische, fysieke en administratieve beveiligingen om patiëntengegevens te beveiligen hoog kunnen zijn, kunnen de verbeteringen na verloop van tijd resulteren in kostenbesparingen als gevolg van verbeterde efficiëntie.
Organisaties die al mechanismen hebben geïmplementeerd om aan de HIPAA te voldoen, hebben gezien dat de werkstromen van hun werknemers zijn gestroomlijnd, dat er minder tijd wordt verspild aan het spelen van “telefoontikkertje” en dat het personeel productiever is geworden – waardoor organisaties in de gezondheidszorg hun besparingen kunnen herinvesteren en een hogere standaard van gezondheidszorg aan patiënten kunnen leveren.
Hoe HIPAA uit te leggen aan werknemers
Het uitleggen van HIPAA aan werknemers van Covered Entities en Business Associates vereist veel meer inspanning dan het uitleggen van HIPAA aan patiënten. Om aan de HIPAA te voldoen, moeten de Covered Entities en Business Associates een privacy- en beveiligingsbeleid opstellen voor hun personeel, en een sanctiebeleid voor werknemers die zich niet aan de vereisten houden. Daarom is het noodzakelijk om de HIPAA nader aan werknemers uit te leggen.
De beste manier om de HIPAA aan werknemers uit te leggen is in speciale compliance-trainingssessies. Hoewel de HIPAA-voorschriften bepalen dat de training jaarlijks moet worden gegeven, stellen wij voor dat er zoveel is voor werknemers om in zich op te nemen met betrekking tot de beveiliging en privacy van persoonlijke gezondheidsinformatie, dat compliance-trainingssessies kort en frequent moeten zijn. Proberen om de HIPAA aan werknemers uit te leggen in een vier uur durende trainingssessie zal waarschijnlijk geen succes hebben.
Veel van de uitleg zal draaien om het behoud van de integriteit van PHI, maar hoe dit wordt geïmplementeerd zal waarschijnlijk gevolgen hebben voor de werknemers zelf. Zo zullen werknemers de gezondheidszorg voor patiënten niet kunnen bespreken via hun mobiele apparaat, tenzij de communicatie is versleuteld. Gezien het aantal zorginstellingen dat een BYOD-beleid implementeert, zal dit betekenen dat werknemers beveiligde communicatie-apps moeten downloaden naar hun persoonlijke mobiele apparaten.
Nieuwe technologie en HIPAA-privacy- en beveiligingsregels
Er wordt voortdurend nieuwe technologie ontwikkeld om de integriteit van PHI te beschermen. Naleving van de HIPAA-regels voor privacy en beveiliging wordt elke dag eenvoudiger dankzij innovaties zoals webfiltering, veilige e-mailarchivering en veilige berichtoplossingen.
Webfiltering is een uitstekend mechanisme om de risico’s van malware te beperken – met name surveillancemalware die toetsaanslagen kan registreren om gebruikersnamen en wachtwoorden te verkrijgen. Verscheidene recente inbreuken op gegevens zijn het gevolg geweest van het downloaden van malware – waaronder verscheidene die niet zouden hebben plaatsgevonden met de implementatie van een webfiltermechanisme.
Veilig archiveren van e-mail is een ander gebied waarop organisaties in de gezondheidszorg hun online veiligheidspositie kunnen verbeteren. Het bewaren van zes jaar aan e-mails kan een opslagprobleem opleveren. Door gebruik te maken van een externe dienst voor het veilig archiveren van e-mail, kunnen organisaties in de gezondheidszorg echter middelen binnen hun eigen IT-structuur vrijmaken en tegelijkertijd voldoen aan de HIPAA-regels voor privacy en beveiliging.
Eerder in dit HIPAA Uitleg-artikel werd vermeld dat enkele van de meest recente wijzigingen in HIPAA rekening houden met de risico’s van het “Bring Your Own Device”-beleid. Sommige organisaties in de gezondheidszorg hebben de risico’s geëlimineerd door oplossingen voor beveiligd berichtenverkeer te implementeren. Deze oplossingen stellen geautoriseerde gebruikers in staat om ePHI veilig te benaderen en te communiceren vanaf hun persoonlijke mobiele apparaten via veilige messaging-apps.
Zoals bij alle externe dienstverleners, is het aan de gezondheidszorgorganisatie om ervoor te zorgen dat de Business Associate voldoet aan de HIPAA-regels. De kosten van niet-naleving kunnen aanzienlijk zijn, zoals onze infographic HIPAA Uitleg hieronder laat zien.