Náš přehled historie HIPAA začíná 21. srpna 1996, kdy byl přijat zákon o přenositelnosti a odpovědnosti zdravotního pojištění (Healthcare Insurance Portability and Accountability Act – HIPAA), ale proč byl zákon HIPAA formulován?
Zákon HIPAA byl formulován s cílem „zlepšit přenositelnost a odpovědnost zdravotního pojištění“ pro pracovníky, kteří mění zaměstnání. Dalšími cíli zákona bylo řešit plýtvání, podvody a zneužívání v oblasti zdravotního pojištění a poskytování zdravotní péče. Zákon obsahoval také pasáže, které měly podpořit využívání zdravotních spořicích účtů vytvořením daňových úlev, zajišťoval krytí pro zaměstnance s již existujícími zdravotními potížemi a zjednodušoval správu zdravotního pojištění.
Procesy pro zjednodušení správy zdravotního pojištění se staly způsobem, jak povzbudit zdravotnický průmysl k elektronizaci zdravotních záznamů pacientů. Tato specifická část zákona dala v roce 2009 vzniknout zákonu o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (Health Information Technology for Economic and Clinical Health Act, HITECH), který pak vyústil v zavedení motivačního programu Meaningful Use – vedoucí představitelé zdravotnického sektoru jej označují za „nejdůležitější právní předpis v oblasti zdravotnictví, který byl přijat za posledních 20 až 30 let“.
Pravidla ochrany soukromí a bezpečnosti HIPAA se začínají vyvíjet
Po uzákonění HIPAA se americké ministerstvo zdravotnictví a sociálních služeb pustilo do vývoje prvních pravidel ochrany soukromí a bezpečnosti HIPAA. Pravidla o ochraně soukromí měla skutečné datum splnění 14. dubna 2003 a označovala chráněné zdravotní informace (Protected Health Information, PHI) jako „veškeré informace, které má krytý subjekt k dispozici a které se týkají zdravotního stavu, poskytování zdravotní péče nebo platby za zdravotní péči a které lze spojit s jednotlivcem“.
Byly zpřístupněny pokyny, jak by měly být PHI sdíleny a že by měl být získán souhlas pacientů před použitím jejich osobních údajů pro marketing, fundraising nebo výzkum. Rovněž bylo pacientům uděleno povolení neposkytovat informace o jejich zdravotní péči zdravotním pojišťovnám, pokud je jejich léčba financována ze soukromých zdrojů.
Bezpečnostní pravidla HIPAA začala platit dva roky po vydání původní legislativy, 21. dubna 2005. Bezpečnostní pravidlo se týkalo konkrétně elektronicky uložených PHI (ePHI) a stanovilo tři bezpečnostní opatření – administrativní, fyzické a technické -, která musí být zcela dodržena, aby bylo dosaženo souladu s HIPAA. Bezpečnostní opatření měla tyto cíle:
- Administrativní – vypracovat zásady a procesy nastavené tak, aby jasně uváděly, jak bude subjekt dodržovat zákon.
- Fyzická – řídit fyzický přístup k oblastem ukládání dat s cílem chránit je před neoprávněným přístupem
- Technická – zabezpečit komunikaci včetně informací PHI při jejich elektronickém zasílání v otevřených sítích
Kdy začal platit zákon HIPAA
V kterém roce byl zákon HIPAA přijat? HIPAA byl uzákoněn 21. srpna 1996, ale za posledních 20 let došlo k významným změnám HIPAA:
Nejvýznamnější data nabytí účinnosti jsou:
Zavedení pravidla o ochraně soukromí, bezpečnostního pravidla, pravidla o oznamování narušení a souhrnného konečného pravidla:
Datum účinnosti pravidla HIPAA o ochraně soukromí bylo 14. dubna 2003, ačkoli bylo prodlouženo o 12 měsíců pro malé zdravotní plány, které byly povinny dodržovat ustanovení pravidla HIPAA o ochraně soukromí do 14. dubna 2004.
Datum účinnosti pravidla HIPAA o zabezpečení bylo 21. dubna 2005. Podobně jako v případě pravidla HIPAA o ochraně soukromí byl malým zdravotním plánům poskytnut rok navíc na dodržení ustanovení bezpečnostního pravidla HIPAA a skutečné datum splnění bylo 21. dubna 2006.
Pravidlo HIPAA o oznamování narušení se stalo vymahatelným 23. září 2009 a souhrnné konečné pravidlo se stalo vymahatelným 26. března 2013.
Přijetí pravidla o vynucování
Nedodržování pravidel ochrany soukromí a bezpečnosti HIPAA ze strany mnoha krytých zařízení vedlo v březnu 2006 k zavedení pravidla o vynucování. Pravidlo o prosazování dalo ministerstvu zdravotnictví a sociálních služeb pravomoc zabývat se stížnostmi na kryté subjekty za nedodržování pravidla o ochraně soukromí a pokutovat kryté útvary za porušení ePHI, kterému se dalo předejít v důsledku nedodržení bezpečnostních opatření stanovených v pravidle o zabezpečení.
Úřad ministerstva pro občanská práva získal rovněž pravomoc vznášet trestní obvinění proti opakovaným pachatelům, kteří do 30 dnů nezavedou nápravná opatření. Lidé mají také právo podat občanskoprávní žalobu proti subjektu, na který se vztahuje, pokud byly jejich osobní údaje o zdravotní péči sdíleny bez jejich souhlasu, pokud jim to způsobí „vážnou újmu“.
HITECH 2009 a pravidlo o oznamování porušení zabezpečení
Historie HIPAA nabrala na obrátkách v roce 2009 zavedením zákona o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (HITECH). HITECH měl za hlavní cíl přimět zdravotnické orgány k zavedení používání elektronických zdravotních záznamů (EHR) a uzákonil motivační program Meaningful Use. V následujícím roce byla zavedena první fáze programu Meaningful Use, která motivovala zdravotnické skupiny k uchovávání chráněných zdravotních informací pacientů v elektronické podobě namísto papírových souborů.
S pobídkovým programem přišlo také rozšíření pravidel HIPAA na obchodní partnery a dodavatele třetích stran pro zdravotnický sektor a zavedení pravidla pro oznamování narušení – které stanovilo, že všechna narušení ePHI, která se týkají více než 500 osob, musí být oznámena Úřadu pro občanská práva Ministerstva zdravotnictví a lidských služeb. Kritéria pro ohlašování narušení ePHI pak byla rozšířena ve Final Omnibus Rule z března 2013.
The Final Omnibus Rule of 2013
Posledním legislativním aktem v historii HIPAA bylo Final Omnibus Rule z roku 2013. Toto pravidlo ve skutečnosti nezavádělo žádné nové právní předpisy, ale řešilo mezery ve stávajících předpisech HIPAA a HITECH – například upřesňovalo standardy šifrování, které je třeba použít, aby v případě, že dojde k narušení, byly elektronické údaje o pacientech nepoužitelné, nerozluštitelné a nečitelné.
Mnoho definic bylo změněno nebo rozšířeno s cílem řešit šedé zóny – například definice „pracovní síly“ byla změněna tak, aby bylo jasné, že tento pojem zahrnuje zaměstnance, dobrovolníky, stážisty a další osoby, jejichž jednání při výkonu práce pro krytý subjekt nebo obchodního partnera je pod přímým vedením krytého subjektu nebo obchodního partnera.
Pravidla ochrany soukromí a bezpečnosti byla rovněž změněna tak, aby umožňovala uchovávat zdravotní informace o pacientovi po neomezenou dobu (předchozí právní předpisy stanovily jejich uchovávání po dobu 50 let), a zároveň byly doplněny nové postupy v pravidlech pro oznamování porušení. Byly také uplatněny nové sankce – jak to nařizuje HITECH – pro kryté výstupy, které porušily Pravidla pro prosazování HIPAA.
Byly také zahrnuty změny zohledňující měnící se pracovní postupy vyvolané technologickým pokrokem, které se týkají zejména používání mobilních zařízení. Velký počet zdravotnických pracovníků nyní používá k prohlížení a sdílení informací ePHI svá vlastní mobilní zařízení a konečné znění souhrnného pravidla zahrnovalo nové administrativní postupy a zásady, které s tím počítaly a zahrnovaly scénáře, které nebylo možné v roce 1996 předvídat. Úplné znění konečného souhrnného pravidla naleznete zde.
Po řadě odkladů byl konečně stanoven termín, kdy budou Spojené státy používat klinickou modifikaci ICD-10-CM pro kódování diagnóz a systém kódování procedur ICD-10-PCA pro kódování hospitalizačních procedur, na 1. října 2015. Všechny výkony, na které se vztahuje HIPAA, musí používat ICD-10-CM. Dalším požadavkem jsou tyto verze EDI 5010.
Historie HIPAA Významná data
- Srpen 1996 – HIPAA schválen prezidentem Billem Clintonem.
- Duben 2003 – datum účinnosti pravidla HIPAA o ochraně osobních údajů.
- Duben 2005 – datum účinnosti bezpečnostního pravidla HIPAA.
- Březen 2006 – datum účinnosti pravidla HIPAA o vynucování porušení.
- Září 2009 – datum účinnosti pravidla HITECH a pravidla o oznamování porušení.
- Březen 2013 – datum účinnosti konečného souhrnného pravidla.
Někteří CE a BA dostali lhůtu na dodržování ustanovení jednotlivých pravidel. Například navzdory tomu, že datem účinnosti konečného souhrnného pravidla byl březen 2013, měly CE a BA na splnění požadavků 180 dní.
Vliv konečného souhrnného pravidla
Co konečné souhrnné pravidlo dokázalo více než jakýkoli dřívější právní předpis, bylo to, že se kryté subjekty lépe seznámily se zárukami HIPAA, které musely dodržovat. Mnoho zdravotnických zařízení – která porušovala HIPAA téměř 20 let – zavedlo řadu opatření, aby vyhovělo předpisům, například používalo šifrování dat v přenosných zařízeních a počítačových sítích, používalo řešení pro bezpečné zasílání zpráv pro interní komunikaci s ošetřovatelskými týmy, nastavilo webové filtry a více dbalo na bezpečnou archivaci e-mailů.
Finanční pokuty, které jsou nyní sankcionovány za narušení bezpečnosti údajů, spolu s obrovskými náklady na vydávání oznámení o narušení bezpečnosti, poskytování služeb sledování kreditu a provádění zmírňování škod způsobují, že investice do nových technologií na ochranu údajů se ve srovnání s tím jeví jako levné.
Program auditu dodržování předpisů HIPAA
V roce 2011 zahájil Úřad pro občanská práva sérii pilotních auditů dodržování předpisů, jejichž cílem bylo prověřit, jak dobře poskytovatelé zdravotní péče dodržují pravidla ochrany soukromí a bezpečnosti HIPAA. První nalezené audity byly dokončeny v roce 2012 a poukázaly na šokující stav dodržování pravidel zdravotní péče.
Auditované skupiny zaznamenaly mnoho porušení pravidel HIPAA pro oznamování narušení, pravidel ochrany soukromí a bezpečnostních pravidel, přičemž nejvíce porušení bylo zaznamenáno u posledně jmenovaného pravidla. OCR vydal akční plány, které mají těmto organizacím pomoci dosáhnout souladu s předpisy; pro druhou fázi auditů se však neočekává, že bude tak shovívavý.
Předpokládá se, že audity se zaměří na konkrétní oblasti, které se ukázaly jako problematické pro tolik poskytovatelů zdravotní péče, přičemž se plánuje stálý plán auditů, který má zajistit trvalý soulad s předpisy HIPAA. Doba laxních bezpečnostních standardů již pominula a zdravotnická sféra, stejně jako předtím finanční sektor, musí zlepšit standardy, aby zajistila, že důvěrné údaje zůstanou soukromé.
Každému subjektu, na který se vztahuje ochrana a který nepřizpůsobí nezbytné kontrolní mechanismy, hrozí za nezabezpečení ePHI finanční postihy, sankce, možná ztráta licence a dokonce i odsouzení za trestný čin.
Jak zajistit plný soulad se zákonem HIPAA
Náš „Kontrolní seznam pro zajištění souladu se zákonem HIPAA“ zahrnuje aspekty zákona o přenositelnosti a odpovědnosti zdravotního pojištění týkající se ukládání, přenosu a likvidace elektronických chráněných zdravotních informací, opatření, která musí pokrývané útvary přijmout k řešení porušení, a zásady a postupy, které je třeba použít k dosažení plného souladu.
Předpisy HIPAA mohou být přísné, přesto je pokrývaným útvarům povolena určitá flexibilita, pokud jde o opatření na ochranu soukromí a zabezpečení dat. Například šifrování dat musí být řešeno, ale nemusí být nutně zavedeno, pokud jiné kontrolní mechanismy umožňují požadovanou ochranu.