Nasz artykuł HIPAA Objaśnione dostarcza informacji na temat ustawy o przenoszeniu i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA), najnowszych zmian w ustawie w 2013 r. oraz tego, jak przepisy w ramach ustawy obecnie wpływają na pacjentów, branżę opieki zdrowotnej jako całość i osoby, które w niej pracują.
- HIPAA Uproszczona historia
- HIPAA objaśnione w prostych słowach
- HIPAA for Dummies
- Kto jest objęty przepisami HIPAA?
- HIPAA Wyjaśnione po 2013
- Wymagane i adresowalne zabezpieczenia HIPAA wyjaśnione
- Wpływ HIPAA do pacjentów
- Jak wyjaśnić HIPAA pacjentom
- Wpływ HIPAA do organizacji opieki zdrowotnej
- Jak wytłumaczyć pracownikom przepisy HIPAA
- Nowe technologie a zasady HIPAA dotyczące prywatności i bezpieczeństwa
HIPAA Uproszczona historia
Pierwotnie zaproponowana w 1996 r. w celu umożliwienia pracownikom przenoszenia praw do ubezpieczenia i opieki zdrowotnej pomiędzy miejscami pracy, nasza uproszczona historia HIPAA pokazuje, że od tego czasu Ustawa rozwinęła się w akt prawny, który reguluje również oszustwa w zakresie ubezpieczeń zdrowotnych i przepisy podatkowe dotyczące medycznych kont oszczędnościowych, a także zapewnia akceptację pracowników z istniejącymi wcześniej schorzeniami do systemów ubezpieczeń zdrowotnych w miejscu pracy. Przede wszystkim jednak, HIPAA dotyczy prywatności i bezpieczeństwa informacji zdrowotnych pacjenta.
HIPAA (poprzez HITECH Act) został również wykorzystany do zachęcenia branży opieki zdrowotnej do komputeryzacji zapisów papierowych. Doprowadziło to do obaw związanych z nieuprawnionymi ujawnieniami „chronionych informacji zdrowotnych” (PHI) i spowodowało opracowanie kolejnych regulacji dotyczących prywatności i bezpieczeństwa w 2013 roku. Przepisy te dotyczyły postępu technologicznego w branży opieki zdrowotnej od czasu uchwalenia oryginalnych przepisów i rozszerzyły odpowiedzialność za integralność PHI na współpracowników biznesowych.
Regulacje HIPAA są egzekwowane przez U.S. Department of Health & Human Services´ Office for Civil Rights, podczas gdy prokuratorzy generalni stanów mogą również podejmować działania przeciwko stronom, które odkryto, że nie są zgodne z HIPAA. Biuro Praw Obywatelskich jest uprawnione do nakładania kar pieniężnych na podmioty objęte obowiązkiem ubezpieczenia i partnerów biznesowych za naruszenia PHI, chyba że strona naruszająca może wykazać niskie prawdopodobieństwo, że informacje zdrowotne pacjenta zostały narażone.
HIPAA objaśnione w prostych słowach
Połączony tekst wszystkich rozporządzeń dotyczących uproszczeń administracyjnych HIPAA został połączony przez HHS w jeden dokument liczący 115 stron, co sprawia, że jest on bardzo długi, ale możliwe jest podsumowanie HIPAA w kilku zdaniach i wyjaśnienie HIPAA w prostych słowach.
HIPAA była próbą Kongresu, aby poprawić wydajność w opiece zdrowotnej, wyeliminować marnotrawstwo, zwalczać oszustwa i zapewnić, że informacje zdrowotne, które mogą być związane z osobą i pozwoliłyby na ich identyfikację, są chronione i utrzymywane w tajemnicy i poufności.
HIPAA wprowadziła zestaw nowych standardów dla organizacji opieki zdrowotnej do naśladowania, aby zapewnić, że każdy śpiewa z tego samego arkusza hymnu. Standardowe kody i identyfikatory zostały stworzone, aby ułatwić wymianę informacji zdrowotnych, a świadczeniodawcy, ubezpieczyciele zdrowotni i ich partnerzy biznesowi byli zobowiązani do używania tych samych kodów w transakcjach elektronicznych, aby zapewnić sprawną wymianę danych. Pozwoliło to zaoszczędzić wiele czasu, wysiłku i przyniosło znaczne oszczędności kosztów.
HIPAA określiła dozwolone sposoby wykorzystania i ujawniania informacji zdrowotnych, ograniczając kto może uzyskać dostęp do informacji zdrowotnych i w jakich okolicznościach. HIPAA dała Amerykanom prawo do uzyskania kopii ich danych zdrowotnych w celu sprawdzenia ich dokumentacji zdrowotnej dla błędów i do dzielenia się swoimi rekordami z kimkolwiek chcą. HIPAA ustanowił również standardy ochrony danych zdrowotnych, aby utrudnić dostęp do informacji zdrowotnych osobom, które nie miały prawa do przeglądania informacji.
HIPAA for Dummies
Ale może to być uważane za nieuprzejme, aby zatytułować sekcję tego artykułu „HIPAA for Dummies”, nadal istnieją pewne osoby nieświadome tego, co informacje zdrowotne pacjenta jest „chronione”. Aby wyjaśnić, co uważa się za „Chronione informacje zdrowotne”, poniżej wymieniliśmy osiemnaście „identyfikatorów osobowych”, które indywidualnie – lub w połączeniu z jakimkolwiek innym identyfikatorem osobowym – mogłyby ujawnić tożsamość osoby, jej historię medyczną lub historię płatności:
| Nazwiska lub części nazwisk | Dowolna inna unikalna cecha identyfikująca | |
| Identyfikatory geograficzne | Daty. bezpośrednio związane z osobą fizyczną | |
| Numery telefonów | Numery faksów | |
| Adresy e-mail | Numery ubezpieczenia społecznego | |
| Dane osobowe | ||
| Numery kartotek medycznych | Numery beneficjentów ubezpieczeń zdrowotnych | |
| Numery kont | Numery certyfikatów lub licencji | |
| Numery pojazdów | Numery rejestracyjne pojazdów | Numery identyfikacyjne i numery seryjne urządzeń |
| Adresy URL stron internetowych | Adresy IP | |
| Odciski palców, odciski palców, siatkówki oka i głosu | Pełna twarz lub inne porównywalne obrazy fotograficzne |
Kto jest objęty przepisami HIPAA?
Przed przystąpieniem do wyjaśnienia HIPAA najlepiej jest wyjaśnić, do kogo stosuje się to ustawodawstwo. Praktycznie wszystkie plany zdrowotne, clearinghouses opieki zdrowotnej, dostawców opieki zdrowotnej i zatwierdzonych sponsorów Medicare recepty karty dyskontowej narkotyków są uważane za „HIPAA objętych podmiotów” w ramach ustawy. Zazwyczaj są to podmioty, które regularnie stykają się z Chronionymi Informacjami Zdrowotnymi.
„Współpracownicy” są również objęci HIPAA. Są to podmioty, które nie tworzą, nie otrzymują, nie przechowują ani nie przekazują Chronionych Informacji Zdrowotnych w ramach swojego podstawowego zajęcia, ale które świadczą usługi dla osób trzecich i prowadzą działalność na rzecz Objętych Podmiotów, w trakcie której zetkną się z PHI. Before to undertaking a service or activity on behalf of a Covered Entity, a Business Associate must sign a Business Associate Agreement guaranteeing to ensure the integrity of any PHI to which it has access.
A grey are exists with regard to self-insured single employer group health plans and employers who act as intermediaries between employees and health care providers. HIPAA stwierdza, że pracodawcy nie są podmiotami objętymi ubezpieczeniem, chyba że charakter ich działalności spełnia kryteria podmiotu objętego ubezpieczeniem (np. zatrudniające Centrum Medyczne byłoby podmiotem objętym ubezpieczeniem). Jednakże, jako pracodawcy samoubezpieczający się i pośredniczący w obsłudze PHI, które są chronione przez HIPAA Privacy Rule, są uważane za „Podmioty wirtualne” i podlegają zgodności z HIPAA.
HIPAA Wyjaśnione po 2013
Uwaga: Aby uzyskać informacje dotyczące HIPAA przed 2013 r. i jego związku z ustawą HITECH Act z 2009 r., zapoznaj się z naszą stroną „Historia HIPAA”. Więcej szczegółów dotyczących zasad prywatności i bezpieczeństwa HIPAA znajduje się w naszej „Liście kontrolnej zgodności z HIPAA”.
Od czasu wprowadzenia Final Omnibus Rule, która uchwaliła nowe przepisy w ramach HIPAA w 2013 r., wydano nowe wytyczne dotyczące sposobu, w jaki PHI musi być dostępne i komunikowane w środowisku związanym z medycyną. Znowelizowana ustawa daje pacjentom dalsze prawa do wiedzy i kontroli nad sposobem wykorzystania ich informacji zdrowotnych oraz rozszerza zakres kontroli podmiotów objętych HIPAA i współpracowników biznesowych na sposób dostępu do informacji o pacjencie i ich przekazywania.
Podmioty objęte HIPAA i współpracownicy biznesowi muszą wdrożyć mechanizmy ograniczające przepływ informacji do sieci prywatnej, monitorować aktywność w sieci i podejmować środki zapobiegające nieuprawnionemu ujawnieniu informacji PHI poza granicami sieci. Należy zwrócić większą uwagę na przeprowadzanie oceny ryzyka, a także opracowano nowe procedury raportowania w celu uwzględnienia przypadków naruszenia danych.
Zmiany w HIPAA Security Rule dyktują warunki („zabezpieczenia”), które muszą być wprowadzone w celu przechowywania i przekazywania informacji ePHI zgodnych z HIPAA. Te „zabezpieczenia” są opisane w Zasadach bezpieczeństwa HIPAA jako „wymagane” lub „możliwe do zaadresowania”. W rzeczywistości wszystkie zabezpieczenia są generalnie wymagane – niezależnie od sposobu ich opisania – jak wyjaśnia poniższa sekcja.
Urząd Praw Obywatelskich przeprowadza audyty podmiotów objętych HIPAA w celu zapewnienia, że przestrzegają one przepisów. W przypadku wykrycia możliwych do uniknięcia naruszeń ePHI, Biuro Praw Obywatelskich ma prawo do nakładania kar finansowych i wnoszenia oskarżeń karnych przeciwko podmiotowi, który dopuścił się zaniedbania.
Wymagane i adresowalne zabezpieczenia HIPAA wyjaśnione
Jednym z obszarów HIPAA, który doprowadził do pewnego zamieszania, jest różnica między zabezpieczeniami „wymaganymi” i „adresowalnymi”. Faktycznie każde zabezpieczenie HIPAA jest „wymagane”, chyba że istnieje uzasadniony powód, aby nie wdrażać zabezpieczenia lub wdrożono odpowiednią alternatywę dla zabezpieczenia, która osiąga ten sam cel.
Scenariuszem, w którym wdrożenie adresowalnego zabezpieczenia może być niepotrzebne, jest szyfrowanie wiadomości e-mail. Wiadomości e-mail zawierające PHI – w treści lub jako załącznik – muszą być szyfrowane tylko wtedy, gdy są wysyłane poza wewnętrzny serwer z zaporą ogniową. Jeżeli organizacja opieki zdrowotnej używa poczty elektronicznej tylko jako wewnętrznej formy komunikacji – lub posiada upoważnienie od pacjenta do wysyłania jego informacji w postaci niezaszyfrowanej – nie ma potrzeby wdrażania tego możliwego do zaadresowania zabezpieczenia.
Decyzja o niewdrażaniu szyfrowania poczty elektronicznej będzie musiała być poparta oceną ryzyka i udokumentowana na piśmie. Inne czynniki, które mogą być brane pod uwagę, to strategia ograniczania ryzyka organizacji i inne zabezpieczenia wprowadzone w celu ochrony integralności PHI. Jako przypis do tej konkretnej sekcji HIPAA wyjaśnione, szyfrowanie PHI w spoczynku i w tranzycie jest zalecane.
Wpływ HIPAA do pacjentów
Wpływ HIPAA do pacjentów są, że ich informacje na temat opieki zdrowotnej jest traktowany bardziej wrażliwie i mogą być dostępne szybciej przez ich dostawców opieki zdrowotnej. Elektronicznie przechowywane informacje zdrowotne są obecnie lepiej chronione niż kiedykolwiek były zapisy papierowe, a organizacje opieki zdrowotnej, które wdrożyły mechanizmy zapewniające zgodność z przepisami HIPAA, odnotowują poprawę efektywności. Przejawia się to – jeśli chodzi o pacjentów – jako wyższy standard opieki zdrowotnej.
Po stronie negatywnej, organizacje opieki zdrowotnej nie są wyłącznie zainteresowane standardem opieki zdrowotnej, którą mogą zapewnić poszczególnym pacjentom. Organizacje opieki zdrowotnej chcą zwiększyć zakres usług, które mogą świadczyć, chcą podnieść jakość opieki i poprawić bezpieczeństwo pacjentów poprzez badania. Jednak badania są ograniczone przez HIPAA, a ograniczony dostęp do PHI może potencjalnie spowolnić tempo wprowadzania ulepszeń w opiece zdrowotnej.
Jest również cena, którą trzeba zapłacić za poprawę bezpieczeństwa danych, i chociaż wprowadzenie programu Meaningful Use dostarczyło podmiotom świadczącym opiekę zdrowotną zachęt finansowych do komputeryzacji dokumentacji papierowej, wdrożenie niezbędnych kontroli w celu zabezpieczenia ePHI może wiązać się ze znacznymi kosztami. Zwiększenie funduszy na zgodność z przepisami może potencjalnie obniżyć poziom opieki nad pacjentem, podczas gdy obciążenie administracyjne, jakie zgodność z HIPAA nakłada na organizacje opieki zdrowotnej, dodatkowo nadweręża ograniczone dostępne zasoby.
Jak wyjaśnić HIPAA pacjentom
Jako że podmioty świadczące usługi opieki zdrowotnej są obecnie zobowiązane na mocy prawa do przekazywania pacjentom zawiadomienia o swojej polityce prywatności, konieczne będzie wyjaśnienie HIPAA pacjentom, ponieważ muszą oni podpisać kopię polityki, aby powiedzieć, że ją otrzymali. Najlepszym sposobem, aby wyjaśnić HIPAA do pacjentów jest umieszczenie odpowiednich informacji w Polityce Prywatności, a następnie dać pacjentom streszczenie tego, co zawiera polityka. Na przykład, należy wyjaśnić pacjentowi:
- Mają prawo do żądania dostępu do swojej dokumentacji medycznej, kiedy tylko zechcą.
- Mają prawo do żądania zmiany dokumentacji medycznej, kiedy jest to właściwe.
- Mają prawo do ograniczenia dostępu do swoich osobistych informacji zdrowotnych.
- Mają prawo do wyboru sposobu, w jaki dostawcy usług medycznych komunikują się z nimi.
- Mają również prawo do składania skarg dotyczących nieuprawnionego ujawnienia ich PHI.
Jeśli pacjent nie poniósł szkody fizycznej lub finansowej z powodu nieuprawnionego ujawnienia jego PHI, nie będzie mógł wnieść powództwa cywilnego przeciwko stronie winnej zaniedbania. Jednak Objęte podmioty i współpracownicy, którzy naruszają HIPAA dla osobistego zysku, fałszywych pretekstów lub innych osobistych korzyści będą miały sankcje karne nałożone na nich przez Biuro Praw Obywatelskich, które mogą skutkować do dziesięciu lat pozbawienia wolności.
Wpływ HIPAA do organizacji opieki zdrowotnej
Jeśli prywatność danych i bezpieczeństwo nie jest adresowany, Biuro Praw Obywatelskich może wydać grzywny za brak zgodności. Możliwe do uniknięcia przypadki naruszenia danych będą prawdopodobnie skutkować nałożeniem znacznych kar finansowych. Zgodnie ze strukturą kar wprowadzoną przez HITECH, naruszenia mogą skutkować grzywnami w wysokości do 1,5 miliona dolarów nakładanymi przez OCR, podczas gdy pozwy mogą być składane zarówno przez prokuratorów generalnych, jak i – jak wspomniano powyżej – ofiary naruszeń danych.
Wysokie prawdopodobieństwo, że organizacje opieki zdrowotnej staną się celem cyberprzestępców, a także niebotyczne koszty związane z naruszeniami danych – wydawanie listów powiadamiających o naruszeniu, oferowanie usług monitoringu kredytowego i pokrywanie grzywien OCR – znacznie przewyższają koszty osiągnięcia pełnej zgodności. Ale chociaż początkowy koszt inwestycji w niezbędne zabezpieczenia techniczne, fizyczne i administracyjne w celu zabezpieczenia danych pacjentów może być wysoki, usprawnienia te mogą z czasem przynieść oszczędności w wyniku poprawy efektywności.
Organizacje, które już wdrożyły mechanizmy zapewniające zgodność z przepisami HIPAA, zauważyły, że przepływ pracy ich pracowników został usprawniony, mniej czasu tracono na zabawę w „telefoniczne berety”, a pracownicy stali się bardziej produktywni – co pozwoliło organizacjom opieki zdrowotnej na ponowne zainwestowanie oszczędności i zapewnienie pacjentom wyższego standardu opieki zdrowotnej.
Jak wytłumaczyć pracownikom przepisy HIPAA
Wyjaśnienie przepisów HIPAA pracownikom podmiotów objętych obowiązkiem sprawozdawczym i partnerów biznesowych wymaga znacznie więcej wysiłku niż wyjaśnienie przepisów HIPAA pacjentom. W celu spełnienia wymogów HIPAA, Podmioty Objęte Ochroną i Współpracownicy muszą opracować politykę prywatności i bezpieczeństwa dla swoich pracowników, a także politykę sankcji dla pracowników, którzy nie spełnią wymogów. Dlatego konieczne jest bardziej szczegółowe wyjaśnienie HIPAA pracownikom.
Najlepszym sposobem wyjaśnienia HIPAA pracownikom są specjalne sesje szkoleniowe w zakresie zgodności. Chociaż przepisy HIPAA stanowią, że szkolenia powinny być przeprowadzane corocznie, sugerujemy, że jest tak wiele do przyjęcia dla pracowników w odniesieniu do bezpieczeństwa i prywatności osobistych informacji zdrowotnych, sesje szkoleniowe zgodności powinny być krótkie i częste. Próba wyjaśnienia pracownikom zasad HIPAA podczas czterogodzinnej sesji szkoleniowej prawdopodobnie nie powiedzie się.
Wiele wyjaśnień będzie krążyć wokół utrzymania integralności PHI, ale jak to jest realizowane będzie prawdopodobnie mieć wpływ na samych pracowników. Na przykład, pracownicy nie będą mogli omawiać opieki zdrowotnej pacjentów za pośrednictwem swoich urządzeń mobilnych, chyba że komunikacja będzie zaszyfrowana. Ze względu na liczbę placówek opieki zdrowotnej wdrażających politykę BYOD, będzie to oznaczać, że pracownicy będą musieli pobrać bezpieczne aplikacje komunikacyjne na swoje osobiste urządzenia mobilne.
Nowe technologie a zasady HIPAA dotyczące prywatności i bezpieczeństwa
Nowe technologie są stale rozwijane w celu ochrony integralności PHI. Zgodność z zasadami ochrony prywatności i bezpieczeństwa HIPAA staje się z każdym dniem łatwiejsza dzięki innowacjom, takim jak filtrowanie stron internetowych, bezpieczna archiwizacja poczty elektronicznej i bezpieczne rozwiązania w zakresie wiadomości.
Filtrowanie stron internetowych jest doskonałym mechanizmem ograniczania ryzyka związanego ze złośliwym oprogramowaniem – szczególnie złośliwym oprogramowaniem nadzorującym, które może rejestrować naciśnięcia klawiszy w celu uzyskania nazw użytkowników i haseł. Kilka ostatnich przypadków naruszenia bezpieczeństwa danych było wynikiem pobrania złośliwego oprogramowania – w tym kilka, które nie wystąpiłyby po wdrożeniu mechanizmu filtrowania stron internetowych.
Bezpieczna archiwizacja poczty elektronicznej to kolejny obszar, w którym organizacje opieki zdrowotnej mogą poprawić swoją postawę w zakresie bezpieczeństwa online. Utrzymanie sześciu lat wiadomości e-mail może stworzyć problem z ich przechowywaniem. Jednak korzystając z usługi bezpiecznej archiwizacji poczty elektronicznej strony trzeciej, organizacje opieki zdrowotnej uwalniają zasoby w ramach własnej struktury IT, zachowując zgodność z zasadami ochrony prywatności i bezpieczeństwa HIPAA.
Wcześniej w tym artykule HIPAA Explained wspomniano, że niektóre z najnowszych zmian w HIPAA uwzględniają zagrożenia wynikające z polityki „Bring Your Own Device”. Niektóre organizacje opieki zdrowotnej wyeliminowały to ryzyko, wdrażając rozwiązania bezpiecznego przesyłania wiadomości. Rozwiązania te umożliwiają upoważnionym użytkownikom bezpieczny dostęp i komunikację ePHI z ich osobistych urządzeń mobilnych za pośrednictwem bezpiecznych aplikacji do przesyłania wiadomości.
Tak jak w przypadku wszystkich zewnętrznych dostawców usług, obowiązek zapewnienia zgodności Business Associate z HIPAA spoczywa na organizacji opieki zdrowotnej. Koszty braku zapewnienia zgodności mogą być znaczne, jak pokazuje nasza infografika HIPAA Explained poniżej.