Vår artikel HIPAA Explained ger information om HIPAA (Healthcare Insurance Portability and Accountability Act), de senaste ändringarna av lagen 2013 och hur bestämmelserna i lagen för närvarande påverkar patienter, hälso- och sjukvårdsbranschen som helhet och de personer som arbetar inom den.
- HIPAA förenklad historia
- HIPAA Explained in Simple Terms
- HIPAA for Dummies
- Vem omfattas av HIPAA?
- HIPAA Explained Post 2013
- The Required and Addressable Safeguards of HIPAA Explained
- HIPAA:s konsekvenser för patienterna
- Hur man förklarar HIPAA för patienter
- HIPAA:s konsekvenser för hälso- och sjukvårdsorganisationer
- Hur man förklarar HIPAA för de anställda
- Ny teknik och HIPAA:s sekretess- och säkerhetsregler
HIPAA förenklad historia
Originellt föreslogs HIPAA 1996 för att arbetstagare skulle kunna överföra försäkrings- och hälsovårdsrättigheter mellan olika arbeten, men vår förenklade HIPAA-historia visar att lagen sedan dess har expanderat till en rättsakt som också reglerar bedrägerier inom sjukförsäkringen och skattebestämmelser för medicinska sparkonton, och som säkerställer att arbetstagare med redan existerande sjukdomar kan godkännas i företagshälsovårdsförsäkringssystem. Främst handlar HIPAA dock om sekretess och säkerhet för patienters hälsouppgifter.
HIPAA (via HITECH Act) användes också för att uppmuntra hälso- och sjukvårdsbranschen att datorisera pappersjournaler. Detta ledde till oro för obehörigt utlämnande av ”skyddad hälsoinformation” (Protected Health Information, PHI) och resulterade i utarbetandet av ytterligare bestämmelser om sekretess och säkerhet 2013. Föreskrifterna behandlade de tekniska framstegen inom hälso- och sjukvårdsbranschen sedan den ursprungliga lagstiftningen antogs och utökade ansvaret för PHI:s integritet till Business Associates.
HIPAA-föreskrifterna tillämpas av U.S. Department of Health & Human Services´ Office for Civil Rights, medan delstaternas justitieombudsmän också kan vidta åtgärder mot parter som upptäcks inte följa HIPAA. Office for Civil Rights har befogenhet att utdöma böter för täckta enheter och affärspartner för intrång i PHI om inte den felande parten kan visa att sannolikheten för att patienternas hälsouppgifter har äventyrats är låg.
HIPAA Explained in Simple Terms
Den samlade texten till alla HIPAA Administrative Simplification Regulations har sammanställts i ett enda dokument på 115 sidor av HHS, vilket gör att det blir en mycket långdragen läsning, men det går att sammanfatta HIPAA i några få meningar och förklara HIPAA i enkla termer.
HIPAA var ett försök av kongressen att förbättra effektiviteten inom hälso- och sjukvården, eliminera slöseri, bekämpa bedrägerier och se till att hälsoinformation som kan knytas till en individ och som skulle göra det möjligt att identifiera denne skyddas och förvaras privat och konfidentiellt.
HIPAA införde en uppsättning nya standarder som hälso- och sjukvårdsorganisationerna skulle följa för att se till att alla sjöng från samma psalmblad. Standardkoder och identifierare skapades för att underlätta utbytet av hälsoinformation och vårdgivare, sjukförsäkringsbolag och deras affärspartner var skyldiga att använda samma koder för elektroniska transaktioner för att säkerställa att data kunde utbytas på ett effektivt sätt. Detta sparade mycket tid och arbete och resulterade i betydande kostnadsbesparingar.
HIPAA föreskrev tillåten användning och utlämnande av hälsoinformation och begränsade vem som får tillgång till hälsoinformation och under vilka omständigheter. HIPAA gav amerikanerna rätt att få kopior av sina hälsouppgifter för att kontrollera om deras hälsouppgifter är felaktiga och att dela sina uppgifter med vem de vill. HIPAA fastställde också standarder för att skydda hälsouppgifter för att göra det svårare för hälsouppgifter att komma åt av personer som inte hade rätt att ta del av uppgifterna.
HIPAA for Dummies
Och även om det kan betraktas som otrevligt att ge ett avsnitt av den här artikeln titeln ”HIPAA for Dummies”, så finns det fortfarande en del människor som är omedvetna om vad patienters hälsouppgifter är ”skyddade”. För att klargöra vad som anses vara ”skyddad hälsoinformation” har vi nedan listat de arton ”personliga identifierare” som enskilt – eller i kombination med någon annan personlig identifierare – skulle kunna avslöja en persons identitet, medicinska historia eller betalningshistorik:
| Namn eller delar av namn | Alla andra unika identifierande kännetecken | |
| Geografiska kännetecken | Datum direkt relaterade till en person | |
| Telefonnummer | Faxnummer | |
| E-postadresser | Socialförsäkringsnummer | |
| Läkemedelsnummer | Sjukförsäkringsnummer | |
| Kontonummer | Nummer på intyg eller licens | |
| Företagens registreringsnummer | Enhetsidentifierare och serienummer | |
| Webbetsadresser | IP-adresser | |
| Fingeravtryck, näthinneavtryck och röstavtryck | Fullt ansikte eller jämförbara fotografiska bilder |
Vem omfattas av HIPAA?
För att börja förklara HIPAA är det bäst att klargöra vem lagstiftningen gäller. Praktiskt taget alla hälsoplaner, clearinghus för hälso- och sjukvård, vårdgivare och godkända sponsorer av rabattkortet för receptbelagda läkemedel från Medicare anses vara ”HIPAA Covered Entities” enligt lagen. Vanligtvis är detta enheter som regelbundet kommer i kontakt med skyddad hälsoinformation.
”Business Associates” omfattas också av HIPAA. Detta är enheter som inte skapar, tar emot, upprätthåller eller överför skyddad hälsoinformation i sin huvudsakliga verksamhet, men som tillhandahåller tjänster och aktiviteter åt tredje part för täckta enheter under vilka de kommer att komma i kontakt med skyddad hälsoinformation. Innan en affärspartner utför en tjänst eller verksamhet för en täckt enhets räkning måste han eller hon underteckna ett avtal om affärspartner som garanterar att han eller hon säkerställer integriteten hos all PHI som han eller hon har tillgång till.
Det finns ett grått område när det gäller självförsäkrade grupphälsovårdsplaner för en enskild arbetsgivare och arbetsgivare som agerar som mellanhänder mellan de anställda och vårdgivarna. Enligt HIPAA är arbetsgivare inte täckta enheter om inte deras verksamhet uppfyller kriterierna för att vara en täckt enhet (dvs. ett anställande medicinskt centrum skulle vara en täckt enhet). Eftersom självförsäkrande och förmedlande arbetsgivare hanterar PHI som skyddas av HIPAA Privacy Rule, betraktas de dock som ”virtuella enheter” och måste följa HIPAA.
HIPAA Explained Post 2013
Observera: För information om HIPAA före 2013, och dess förhållande till HITECH Act från 2009, hänvisas till vår sida ”HIPAA History”. Mer detaljerade uppgifter om HIPAA:s sekretess- och säkerhetsregler finns i vår ”HIPAA Compliance Checklist”.
Sedan införandet av Final Omnibus Rule, som införde nya bestämmelser inom HIPAA 2013, har nya riktlinjer utfärdats om hur PHI måste nås och kommuniceras i en medicinskt relaterad miljö. Den reviderade lagen ger patienterna ytterligare rättigheter att känna till och kontrollera hur deras hälsoinformation används och utvidgar kontrollerna för HIPAA-täckta enheter och Business Associates till att omfatta hur patientinformation nås och kommuniceras.
HIPAA-täckta enheter och Business Associates måste implementera mekanismer för att begränsa informationsflödet till inom ett privat nätverk, övervaka aktiviteten på nätverket och vidta åtgärder för att förhindra obehörigt utlämnande av PHI utanför nätverkets gränser. Större uppmärksamhet måste ägnas åt att genomföra riskbedömningar, och nya rapporteringsförfaranden har utvecklats för att täcka dataintrång.
Revideringarna av HIPAA Security Rule dikterar de villkor (”safeguards”) som måste finnas på plats för HIPAA-kompatibel lagring och kommunikation av ePHI. Dessa ”skyddsåtgärder” beskrivs i HIPAA:s säkerhetsregel som antingen ”obligatoriska” eller ”möjliga”. I själva verket är alla skyddsåtgärder generellt sett nödvändiga – oavsett hur de beskrivs – vilket förklaras i följande avsnitt.
Office for Civil Rights genomför revisioner av HIPAA-täckta enheter för att se till att de följer bestämmelserna. När undvikbara överträdelser av ePHI upptäcks har Office for Civil Rights befogenhet att utdöma ekonomiska påföljder och väcka åtal mot den försumliga enheten.
The Required and Addressable Safeguards of HIPAA Explained
Ett område i HIPAA som har lett till viss förvirring är skillnaden mellan ”obligatoriska” och ”adresserbara” skyddsåtgärder. I praktiken är varje skyddsåtgärd i HIPAA ”obligatorisk” om det inte finns en motiverad anledning att inte genomföra skyddsåtgärden eller om det finns ett lämpligt alternativ till skyddsåtgärden som uppnår samma mål.
Ett scenario där genomförandet av en adresserbar skyddsåtgärd kan vara onödig är kryptering av e-post. E-postmeddelanden som innehåller PHI – antingen i kroppen eller som en bilaga – behöver endast krypteras om de skickas utanför en brandväggsskyddad, intern server. Om en hälso- och sjukvårdsorganisation endast använder e-post som en intern kommunikationsform – eller har ett tillstånd från en patient att skicka sin information okrypterad – finns det inget behov av att införa denna adresserbara skyddsåtgärd.
Beslutet att inte införa kryptering av e-post måste stödjas av en riskbedömning och dokumenteras skriftligen. Andra faktorer som kan behöva beaktas är organisationens riskminimeringsstrategi och andra skyddsåtgärder som införts för att skydda PHI:s integritet. Som en fotnot till just detta avsnitt i HIPAA förklarade rekommenderas kryptering av PHI i vila och under transport.
HIPAA:s konsekvenser för patienterna
HIPAA:s konsekvenser för patienterna är att deras hälsouppgifter behandlas mer känsligt och att deras vårdgivare snabbare kan få tillgång till dem. Elektroniskt lagrad hälsoinformation är nu bättre skyddad än vad pappersjournaler någonsin har varit, och sjukvårdsorganisationer som har infört mekanismer för att följa HIPAA-bestämmelserna upplever en förbättrad effektivitet. Detta visar sig – när det gäller patienterna – som en högre standard på vården.
På den negativa sidan är sjukvårdsorganisationerna inte enbart intresserade av den standard på vården som de kan erbjuda enskilda patienter. Sjukvårdsorganisationerna vill öka de tjänster de kan erbjuda, vill höja vårdkvaliteten och förbättra patientsäkerheten genom forskning. Forskningen begränsas dock av HIPAA och den begränsade tillgången till PHI har potential att bromsa den hastighet i vilken förbättringar kan göras inom hälso- och sjukvården.
Det finns också ett pris att betala för förbättrad datasäkerhet, och även om införandet av Meaningful Use-programmet gav ekonomiska incitament för vårdgivare att datorisera pappersjournaler, kan genomförandet av de nödvändiga kontrollerna för att säkra ePHI medföra en avsevärd kostnad. Ökad finansiering för efterlevnad har potential att minska nivån på patientvården, samtidigt som den administrativa börda som HIPAA-efterlevnaden innebär för hälso- och sjukvårdsorganisationerna ytterligare belastar de begränsade resurser som finns tillgängliga.
Hur man förklarar HIPAA för patienter
Då vårdgivare nu enligt lag är skyldiga att ge patienterna ett meddelande om sin integritetspolicy kommer det att bli nödvändigt att förklara HIPAA för patienterna eftersom de måste skriva under ett exemplar av policyn för att säga att de har fått den. Det bästa sättet att förklara HIPAA för patienterna är att lägga in den relevanta informationen i sekretesspolicyn och sedan ge patienterna en sammanfattning av vad policyn innehåller. Förklara till exempel för patienten:
- De har rätt att begära ut sina journaler närhelst de vill.
- De har rätt att begära att du ändrar deras journaler när det är lämpligt.
- De har rätt att begränsa vem som har tillgång till deras personliga hälsoinformation.
- De har rätt att välja hur vårdgivare kommunicerar med dem.
- De har också rätt att klaga på otillåtet utlämnande av deras PHI.
Om patienten inte har lidit fysisk eller ekonomisk skada på grund av otillåtet utlämnande av deras PHI, kommer de inte att kunna väcka en civilrättslig talan mot den försumliga parten. Om de berörda enheterna och affärspartnerna bryter mot HIPAA för personlig vinning, falska förespeglingar eller annan personlig vinning kommer de dock att få straffrättsliga påföljder av Office for Civil Rights som kan resultera i upp till tio års fängelse.
HIPAA:s konsekvenser för hälso- och sjukvårdsorganisationer
Om dataintegritet och datasäkerhet inte åtgärdas kan Office for Civil Rights utdöma böter för bristande efterlevnad. För undvikbara dataintrång är det troligt att betydande ekonomiska påföljder utfärdas. Enligt den sanktionsstruktur som infördes genom HITECH kan överträdelser resultera i böter på upp till 1,5 miljoner dollar som utfärdas av OCR, medan stämningar kan väckas av både allmänna åklagare och – som nämnts ovan – offren för dataintrång.
Den höga sannolikheten för att hälso- och sjukvårdsorganisationer blir måltavlor för cyberbrottslingar och den orimliga kostnaden för att hantera dataintrång – utfärda brev om anmälan om dataintrång, erbjuda kreditövervakningstjänster och täcka OCR:s böter – överstiger vida kostnaden för att uppnå fullständig efterlevnad. Men även om den initiala kostnaden för att investera i nödvändiga tekniska, fysiska och administrativa skyddsåtgärder för att säkra patientuppgifter kan vara hög, kan förbättringarna leda till kostnadsbesparingar med tiden som ett resultat av ökad effektivitet.
Organisationer som redan har infört mekanismer för att följa HIPAA har sett sina anställdas arbetsflöden effektiviseras, mindre tid går förlorad på att leka ”telefonknep” och arbetskraften har blivit mer produktiv – vilket gör det möjligt för sjukvårdsorganisationerna att återinvestera sina besparingar och leverera en högre standard på sjukvården till patienterna.
Hur man förklarar HIPAA för de anställda
För att förklara HIPAA för anställda hos täckta enheter och affärsförbindelser krävs det mycket mer ansträngning än att förklara HIPAA för patienter. För att följa HIPAA måste täckta enheter och affärspartner sammanställa riktlinjer för sekretess och säkerhet för sina anställda och en sanktionspolicy för anställda som inte uppfyller kraven. Därför är det nödvändigt att förklara HIPAA för de anställda mer ingående.
Det bästa sättet att förklara HIPAA för de anställda är vid särskilda utbildningstillfällen om efterlevnad. Även om HIPAA-bestämmelserna föreskriver att utbildning ska ges årligen, föreslår vi att det finns så mycket för de anställda att ta till sig när det gäller säkerhet och sekretess för personlig hälsoinformation, att utbildningstillfällen om efterlevnad bör vara korta och frekventa. Att försöka förklara HIPAA för de anställda under ett fyra timmar långt utbildningstillfälle kommer sannolikt att misslyckas.
En stor del av förklaringen kommer att handla om att upprätthålla integriteten hos PHI, men hur detta genomförs kommer sannolikt att påverka de anställda själva. De anställda kommer till exempel inte att kunna diskutera patienthälsovård via sin mobila enhet om inte kommunikationen är krypterad. På grund av det antal vårdinrättningar som inför BYOD-policyer kommer detta att innebära att de anställda måste ladda ner säkra kommunikationsappar till sina personliga mobila enheter.
Ny teknik och HIPAA:s sekretess- och säkerhetsregler
Ny teknik utvecklas hela tiden för att skydda integriteten hos PHI. Efterlevnaden av HIPAA:s sekretess- och säkerhetsregler blir lättare för varje dag tack vare innovationer som webbfiltrering, säker arkivering av e-post och säkra meddelandelösningar.
Webbelfiltrering är en utmärkt mekanism för att minska riskerna med skadlig kod – särskilt skadlig kod för övervakning som kan spela in tangenttryckningar för att få fram användarnamn och lösenord. Flera nyligen inträffade dataintrång har varit resultatet av nedladdningar av skadlig kod – inklusive flera som inte skulle ha inträffat om man hade implementerat en mekanism för webbfiltrering.
Säker arkivering av e-post är ett annat område där hälso- och sjukvårdsorganisationer kan förbättra sin säkerhet på nätet. Att upprätthålla sex års e-post kan skapa ett lagringsproblem. Men genom att använda en säker e-postarkiveringstjänst från en tredje part frigör sjukvårdsorganisationer resurser inom sin egen IT-struktur samtidigt som de följer HIPAA:s sekretess- och säkerhetsregler.
Det nämndes tidigare i den här artikeln om HIPAA Explained att några av de senaste ändringarna av HIPAA tar hänsyn till riskerna med ”Bring Your Own Device”-policyer. Vissa sjukvårdsorganisationer har eliminerat riskerna genom att implementera lösningar för säkra meddelanden. Dessa lösningar gör det möjligt för auktoriserade användare att på ett säkert sätt få tillgång till och kommunicera ePHI från sina personliga mobila enheter via säkra meddelandeappar.
Som med alla tredjepartstjänsteleverantörer är det hälso- och sjukvårdsorganisationens ansvar att se till att Business Associate är HIPAA-kompatibel. Kostnaderna för att inte säkerställa efterlevnaden kan vara betydande, vilket vår infografik HIPAA Explained nedan visar.