Articolul nostru HIPAA Explained oferă informații despre Healthcare Insurance Portability and Accountability Act (HIPAA), despre cele mai recente modificări aduse legii în 2013 și despre modul în care prevederile din cadrul legii afectează în prezent pacienții, industria sănătății în ansamblu și persoanele care lucrează în cadrul acesteia.
- Historia simplificată a HIPAA
- HiPAA explicată în termeni simpli
- HIPAA for Dummies
- Cine este acoperit de HIPAA?
- Explicații privind HIPAA după 2013
- Explicarea măsurilor de protecție obligatorii și adresabile din HIPAA
- Implicațiile HIPAA pentru pacienți
- Cum să explicăm HIPAA pacienților
- Implicațiile HIPAA pentru organizațiile din domeniul sănătății
- Cum să explicați HIPAA angajaților
- Noua tehnologie și regulile de confidențialitate și securitate HIPAA
Historia simplificată a HIPAA
Propusă inițial în 1996 pentru ca lucrătorii să poată transfera drepturile de asigurare și de asistență medicală de la un loc de muncă la altul, istoria noastră simplificată a HIPAA arată că, de atunci, legea s-a extins într-un act legislativ care reglementează, de asemenea, frauda în domeniul asigurărilor de sănătate și dispozițiile fiscale pentru conturile de economii medicale și asigură acceptarea lucrătorilor cu afecțiuni preexistente în sistemele profesionale de asigurare medicală. Cu toate acestea, în primul rând, HIPAA se referă la confidențialitatea și securitatea informațiilor medicale ale pacienților.
HiPAA (prin intermediul HITECH Act) a fost, de asemenea, utilizată pentru a încuraja industria medicală să informatizeze înregistrările pe hârtie. Acest lucru a condus la preocupări legate de divulgarea neautorizată a „informațiilor medicale protejate” (PHI) și a dus la elaborarea de noi reglementări privind confidențialitatea și securitatea în 2013. Reglementările au abordat progresele tehnologice din industria sănătății de la adoptarea legislației inițiale și au extins responsabilitatea pentru integritatea PHI la asociații de afaceri.
Reglementările HIPAA sunt puse în aplicare de către Biroul pentru drepturi civile al Departamentului de Sănătate al SUA pentru & Servicii Umane, în timp ce procurorii generali ai statelor pot, de asemenea, să ia măsuri împotriva părților descoperite ca nerespectând HIPAA. Biroul pentru Drepturi Civile are autoritatea de a impune amenzi entităților acoperite și asociaților comerciali pentru încălcări ale informațiilor medicale personale, cu excepția cazului în care partea contravenientă poate demonstra o probabilitate scăzută ca informațiile medicale ale pacienților să fi fost compromise.
HiPAA explicată în termeni simpli
Textul combinat al tuturor regulamentelor de simplificare administrativă HIPAA a fost combinat într-un singur document de 115 pagini de către HHS, ceea ce face ca acesta să fie o lectură foarte lungă, dar este posibil să se rezume HIPAA în câteva fraze și să se explice HIPAA în termeni simpli.
HIPAA a fost o încercare a Congresului de a îmbunătăți eficiența în domeniul asistenței medicale, de a elimina risipa, de a combate frauda și de a se asigura că informațiile privind sănătatea care pot fi legate de o persoană și care ar permite identificarea acesteia sunt protejate și păstrate private și confidențiale.
HIPAA a introdus un set de noi standarde pe care organizațiile din domeniul sănătății trebuie să le urmeze pentru a se asigura că toată lumea cântă din aceeași partitură de imn. Au fost create coduri și identificatori standard pentru a facilita schimbul de informații medicale, iar furnizorii de servicii medicale, asiguratorii de sănătate și asociații lor comerciali au fost obligați să utilizeze aceleași coduri pentru tranzacțiile electronice pentru a se asigura că datele pot fi schimbate în mod eficient. Acest lucru a economisit mult timp, efort și a dus la economii substanțiale de costuri.
HIPAA a stipulat utilizările și dezvăluirile permise ale informațiilor medicale, limitând cine are voie să acceseze informațiile medicale și în ce circumstanțe. HIPAA le-a oferit americanilor dreptul de a obține copii ale datelor lor de sănătate pentru a verifica dacă există erori în dosarele lor de sănătate și de a-și împărtăși dosarele cu oricine doresc. De asemenea, HIPAA a stabilit standarde de protecție a datelor de sănătate pentru a îngreuna accesul la informațiile de sănătate de către persoane care nu aveau dreptul de a le vizualiza.
HIPAA for Dummies
Deși poate fi considerat nepoliticos să intitulăm o secțiune a acestui articol „HIPAA for Dummies”, există încă unele persoane care nu știu ce informații de sănătate ale pacienților sunt „protejate”. Pentru a clarifica ceea ce se consideră a fi „informații medicale protejate”, am enumerat mai jos cei optsprezece „identificatori personali” care, individual – sau legați cu orice alt identificator personal – ar putea dezvălui identitatea unei persoane, istoricul medical sau istoricul plăților:
| Nume sau părți ale numelui | Cu orice altă caracteristică unică de identificare | |
| Identificatori geografici | Date direct legate direct de o persoană | |
| Numerele de telefon | Numerele de fax | |
| Adresele de e-mail | Numerele de securitate socială | |
| Numerele de evidență medicală | Numerele beneficiarilor de asigurări de sănătate | |
| Numerele de cont | Numerele certificatelor sau licențelor | |
| Numerele plăcuțelor de înmatriculare ale vehiculelor | Numerele de identificare și numerele de serie ale dispozitivelor | |
| URL-uri web | Adrese IP | |
| Aprente digitale, amprente retiniene și vocale | Fața completă sau orice alte imagini fotografice comparabile |
Cine este acoperit de HIPAA?
Înainte de a ne lansa în explicații despre HIPAA, este mai bine să clarificăm cui se aplică legislația. Practic, practic toate planurile de sănătate, centrele de compensare a asistenței medicale, furnizorii de asistență medicală și sponsorii avizați ai cardului de reducere pentru medicamente pe bază de prescripție medicală Medicare sunt considerați a fi „entități acoperite de HIPAA” în conformitate cu legea. În mod obișnuit, acestea sunt entități care intră în contact cu informații medicale protejate în mod regulat.
„Asociații de afaceri” sunt, de asemenea, acoperiți de HIPAA. Acestea sunt entități care nu creează, nu primesc, nu păstrează și nu transmit informații medicale protejate în cadrul ocupației lor principale, dar care prestează servicii și activități de terță parte pentru entitățile acoperite, în cursul cărora vor intra în contact cu informațiile medicale protejate. Înainte de a întreprinde un serviciu sau o activitate în numele unei Entități Acoperite, un Asociat de Afaceri trebuie să semneze un Acord de Asociat de Afaceri prin care garantează că va asigura integritatea oricărei ISP la care are acces.
Un gri există în ceea ce privește planurile de sănătate de grup cu un singur angajator autoasigurat și angajatorii care acționează ca intermediari între angajați și furnizorii de servicii medicale. HIPAA prevede că angajatorii nu sunt entități acoperite decât dacă natura activității lor se încadrează în criteriile pentru a fi o entitate acoperită (de exemplu, un centru medical angajator ar fi o entitate acoperită). Cu toate acestea, având în vedere că angajatorii care se asigură singuri și intermediarii gestionează informații medicale protejate de regula de confidențialitate a HIPAA, aceștia sunt considerați „entități virtuale” și sunt supuși conformității cu HIPAA.
Explicații privind HIPAA după 2013
Vă rugăm să rețineți: Pentru informații referitoare la HIPAA înainte de 2013 și la relația sa cu Legea HITECH din 2009, vă rugăm să consultați pagina noastră „Istoricul HIPAA”. Mai multe detalii cu privire la regulile de confidențialitate și securitate ale HIPAA sunt cuprinse în „Lista noastră de verificare a conformității HIPAA”.
De la introducerea Regulii finale Omnibus, care a promulgat noi reglementări în cadrul HIPAA în 2013, au fost emise noi orientări cu privire la modul în care trebuie accesate și comunicate informațiile medicale protejate într-un mediu legat de domeniul medical. Legea revizuită oferă pacienților drepturi suplimentare de a cunoaște și de a controla modul în care sunt utilizate informațiile lor medicale și extinde controalele asupra entităților acoperite de HIPAA și a asociaților comerciali la modul în care sunt accesate și comunicate informațiile despre pacienți.
Entitățile acoperite de HIPAA și asociații comerciali trebuie să implementeze mecanisme pentru a restricționa fluxul de informații în interiorul unei rețele private, să monitorizeze activitatea din rețea și să ia măsuri pentru a preveni divulgarea neautorizată a PHI dincolo de limitele rețelei. Trebuie să se acorde mai multă atenție efectuării evaluărilor de risc și au fost elaborate noi proceduri de raportare pentru a acoperi cazurile de încălcare a datelor.
Revizuirile la regula de securitate HIPAA dictează condițiile („garanții”) care trebuie să existe pentru stocarea și comunicarea ePHI în conformitate cu HIPAA. Aceste „garanții” sunt descrise în regula de securitate HIPAA ca fiind fie „obligatorii”, fie „abordabile”. De fapt, toate măsurile de protecție sunt, în general, obligatorii – indiferent de modul în care sunt descrise – după cum se explică în secțiunea următoare.
Oficiul pentru drepturi civile efectuează audituri asupra entităților acoperite de HIPAA pentru a se asigura că acestea respectă reglementările. Atunci când sunt descoperite încălcări evitabile ale ePHI, Biroul pentru Drepturi Civile are autoritatea de a impune sancțiuni financiare și de a înainta acuzații penale împotriva entității neglijente.
Explicarea măsurilor de protecție obligatorii și adresabile din HIPAA
Un domeniu din HIPAA care a dus la o anumită confuzie este diferența dintre măsurile de protecție „obligatorii” și „adresabile”. Practic, fiecare măsură de siguranță din HIPAA este „necesară”, cu excepția cazului în care există un motiv justificabil pentru a nu pune în aplicare măsura de siguranță sau dacă este pusă în aplicare o alternativă adecvată la măsura de siguranță care atinge același obiectiv.
Un scenariu în care punerea în aplicare a unei măsuri de siguranță adresabile ar putea fi inutilă este criptarea e-mailului. E-mailurile care conțin ISP – fie în corpul mesajului, fie ca atașament – trebuie să fie criptate doar dacă sunt trimise dincolo de un server intern cu firewall. Dacă o organizație din domeniul sănătății utilizează e-mailul doar ca formă de comunicare internă – sau dacă are o autorizație din partea unui pacient pentru a trimite informațiile sale necriptate – nu este necesar să implementeze această măsură de siguranță adresabilă.
Decizia de a nu implementa criptarea e-mailurilor va trebui să fie susținută de o evaluare a riscurilor și documentată în scris. Alți factori care ar putea trebui luați în considerare sunt strategia organizației de atenuare a riscurilor și alte măsuri de protecție puse în aplicare pentru a proteja integritatea ISP. După cum a explicat o notă de subsol a acestei secțiuni specifice din HIPAA, se recomandă criptarea PHI în repaus și în tranzit.
Implicațiile HIPAA pentru pacienți
Implicațiile HIPAA pentru pacienți constau în faptul că informațiile lor medicale sunt tratate cu mai multă sensibilitate și pot fi accesate mai rapid de către furnizorii de servicii medicale. Informațiile medicale stocate electronic sunt acum mai bine protejate decât au fost vreodată înregistrările pe suport de hârtie, iar organizațiile de sănătate care au implementat mecanisme pentru a se conforma reglementărilor HIPAA sunt martorele unei eficiențe îmbunătățite. Acest lucru se manifestă – în ceea ce îi privește pe pacienți – ca un standard mai ridicat de asistență medicală.
Pe partea negativă, organizațiile de asistență medicală nu sunt preocupate doar de standardul de asistență medicală pe care îl pot oferi pacienților individuali. Organizațiile de asistență medicală doresc să sporească serviciile pe care le pot oferi, doresc să crească calitatea îngrijirii și să îmbunătățească siguranța pacienților prin cercetare. Cu toate acestea, cercetarea este restricționată de HIPAA, iar accesul restricționat la ISP are potențialul de a încetini ritmul în care se pot face îmbunătățiri în domeniul asistenței medicale.
Există, de asemenea, un preț de plătit pentru o mai bună securitate a datelor și, deși promulgarea programului „Meaningful Use” a oferit stimulente financiare furnizorilor de asistență medicală pentru a informatiza înregistrările pe suport de hârtie, punerea în aplicare a controalelor necesare pentru a securiza ePHI poate avea un cost substanțial. Creșterea finanțării pentru conformare are potențialul de a reduce nivelul de îngrijire a pacienților, în timp ce povara administrativă pe care conformarea cu HIPAA o impune organizațiilor de asistență medicală tensionează și mai mult resursele limitate disponibile.
Cum să explicăm HIPAA pacienților
Cum furnizorii de asistență medicală sunt acum obligați prin lege să ofere pacienților o notificare a politicii lor de confidențialitate, va fi necesar să le explicăm HIPAA pacienților, deoarece aceștia trebuie să semneze o copie a politicii pentru a spune că au primit-o. Cel mai bun mod de a explica HIPAA pacienților este de a pune informațiile relevante în Politica de confidențialitate, iar apoi de a le oferi pacienților un rezumat al conținutului politicii. De exemplu, explicați-i pacientului:
- Acesta are dreptul de a-și solicita dosarele medicale ori de câte ori dorește.
- Acesta are dreptul de a vă solicita să îi modificați dosarele medicale atunci când este cazul.
- Acesta are dreptul de a limita cine are acces la informațiile medicale personale.
- Aceștia au dreptul de a alege modul în care furnizorii de servicii medicale comunică cu ei.
- Aceștia au, de asemenea, dreptul de a depune o plângere cu privire la divulgarea neautorizată a informațiilor lor medicale personale.
Dacă pacientul nu a suferit un prejudiciu fizic sau financiar din cauza divulgării neautorizate a informațiilor sale medicale personale, acesta nu va putea intenta o acțiune civilă împotriva părții neglijente. Cu toate acestea, entitățile acoperite și asociații comerciali care încalcă HIPAA în interes personal, pentru câștiguri false sau alte câștiguri personale vor fi pasibili de sancțiuni penale impuse de Oficiul pentru Drepturi Civile, care ar putea avea ca rezultat o pedeapsă cu închisoarea de până la zece ani.
Implicațiile HIPAA pentru organizațiile din domeniul sănătății
Dacă nu se abordează problema confidențialității și securității datelor, Oficiul pentru Drepturi Civile poate emite amenzi pentru nerespectare. Încălcările de date care pot fi prevenite sunt susceptibile de a vedea emise sancțiuni financiare considerabile. Conform structurii de sancțiuni introduse de HITECH, încălcările pot duce la amenzi de până la 1,5 milioane de dolari emise de OCR, în timp ce pot fi intentate procese atât de către procurori, cât și – așa cum s-a menționat mai sus – de către victimele încălcărilor de date.
Probabilitatea ridicată ca organizațiile din domeniul sănătății să devină ținte pentru infractorii cibernetici și costul exorbitant al abordării încălcărilor de date – emiterea de scrisori de notificare a încălcărilor, oferirea de servicii de monitorizare a creditului și acoperirea amenzilor OCR – depășește cu mult costul realizării conformității depline. Dar, în timp ce costul inițial al investiției în măsurile de protecție tehnice, fizice și administrative necesare pentru a securiza datele pacienților poate fi ridicat, îmbunătățirile pot duce la economii de costuri în timp, ca urmare a eficienței îmbunătățite.
Organizațiile care au implementat deja mecanisme pentru a se conforma cu HIPAA au văzut cum fluxurile de lucru ale angajaților lor au fost simplificate, se pierde mai puțin timp jucând „phone tag”, iar forța de muncă a devenit mai productivă – permițând organizațiilor de asistență medicală să reinvestească economiile realizate și să ofere pacienților un standard mai ridicat de asistență medicală.
Cum să explicați HIPAA angajaților
Explicarea HIPAA angajaților entităților acoperite și asociaților comerciali necesită mult mai mult efort decât explicarea HIPAA pacienților. Pentru a se conforma cu HIPAA, entitățile acoperite și asociații comerciali trebuie să întocmească politici de confidențialitate și securitate pentru forța lor de muncă, precum și o politică de sancțiuni pentru angajații care nu respectă cerințele. Prin urmare, este necesar să se explice HIPAA angajaților mai detaliat.
Cel mai bun mod de a explica HIPAA angajaților este în cadrul unor sesiuni speciale de formare privind conformitatea. Deși reglementările HIPAA stipulează că instruirea ar trebui să fie oferită anual, sugerăm că există atât de multe lucruri pe care angajații trebuie să le asimileze în legătură cu securitatea și confidențialitatea informațiilor personale de sănătate, încât sesiunile de instruire privind conformitatea ar trebui să fie scurte și frecvente. Încercarea de a explica HIPAA angajaților într-o sesiune de formare de patru ore va fi probabil un eșec.
O mare parte din explicații se vor învârti în jurul menținerii integrității PHI, dar modul în care acest lucru este implementat va avea probabil un impact asupra angajaților înșiși. De exemplu, angajații nu vor putea discuta despre asistența medicală a pacienților prin intermediul dispozitivului lor mobil, cu excepția cazului în care comunicațiile sunt criptate. Datorită numărului de unități de asistență medicală care implementează politici BYOD, acest lucru va însemna că angajații vor trebui să descarce aplicații de comunicare securizate pe dispozitivele lor mobile personale.
Noua tehnologie și regulile de confidențialitate și securitate HIPAA
Se dezvoltă în mod constant noi tehnologii pentru a proteja integritatea ISP. Conformitatea cu Regulile de confidențialitate și securitate HIPAA devine mai ușoară în fiecare zi datorită inovațiilor precum filtrarea web, arhivarea securizată a e-mailurilor și soluțiile de securizare a mesajelor.
Filtrarea web este un mecanism excelent pentru a reduce riscurile generate de malware – în special malware-ul de supraveghere care poate înregistra apăsările de taste pentru a obține nume de utilizator și parole. Mai multe încălcări recente ale securității datelor au fost rezultatul descărcărilor de malware – inclusiv câteva care nu ar fi avut loc cu implementarea unui mecanism de filtrare web.
Arhivarea securizată a e-mailurilor este un alt domeniu în care organizațiile din domeniul sănătății își pot îmbunătăți poziția de securitate online. Menținerea a șase ani de e-mailuri poate crea o problemă de stocare. Cu toate acestea, prin utilizarea unui serviciu de arhivare securizată a e-mailurilor de la o terță parte, organizațiile din domeniul sănătății eliberează resurse în cadrul propriei structuri IT, respectând în același timp regulile de confidențialitate și securitate HIPAA.
A fost menționat mai devreme în acest articol HIPAA Explained că unele dintre cele mai recente modificări ale HIPAA țin cont de riscurile generate de politicile „Bring Your Own Device”. Unele organizații din domeniul sănătății au eliminat riscurile prin implementarea unor soluții de mesagerie securizată. Aceste soluții permit utilizatorilor autorizați să acceseze și să comunice în siguranță ePHI de pe dispozitivele mobile personale prin intermediul aplicațiilor de mesagerie securizată.
Ca și în cazul tuturor furnizorilor de servicii terți, revine organizației de asistență medicală sarcina de a se asigura că asociatul comercial este conform cu HIPAA. Costurile neasigurării conformității pot fi substanțiale, după cum demonstrează infograficul nostru HIPAA Explained de mai jos.
.