Katsauksemme HIPAA:n historiaan alkaa 21. elokuuta 1996, jolloin terveydenhuoltovakuutusten siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Healthcare Insurance Portability and Accountability Act, HIPAA) säädettiin laiksi, mutta miksi HIPAA-laki muotoiltiin?
HIPAA-laki muotoiltiin, jotta voitaisiin parantaa sairausvakuutuksen kattavuuden siirrettävyyttä ja vastuuvelvollisuutta, joka koskisi työntekijöitä, jotka siirtyvät toisesta työpaikasta toiseen. Lain muina tavoitteina oli puuttua tuhlaukseen, petoksiin ja väärinkäytöksiin sairausvakuutuksessa ja terveydenhuollon tarjonnassa. Lakiin sisältyi myös kohtia, joilla kannustettiin lääketieteellisten säästötilien käyttöä luomalla verohelpotuksia, tarjottiin kattavuutta työntekijöille, joilla on jo olemassa olevia sairauksia, ja virtaviivaistettiin sairausvakuutuksen hallintoa.
Sairausvakuutuksen hallinnon yksinkertaistamiseen tähtäävistä prosesseista tuli keino kannustaa terveydenhuoltoalaa tietokoneistamaan potilaiden potilastiedot. Tämä lain erityinen osa synnytti vuonna 2009 Health Information Technology for Economic and Clinical Health Act -lain (HITECH), joka sitten johti Meaningful Use -kannustinohjelman käyttöönottoon – jota terveydenhuoltoalan johtajat kuvailivat ”tärkeimmäksi terveydenhuoltoa koskevaksi lainsäädännöksi, joka on hyväksytty viimeisten 20-30 vuoden aikana”.
HIPAA:n tietosuoja- ja turvallisuussäännöt alkavat kehittyä
Kun HIPAA oli säädetty laiksi, Yhdysvaltain terveysministeriö ryhtyi kehittämään ensimmäisiä HIPAA:n tietosuoja- ja turvallisuussääntöjä. Yksityisyydensuojasäännön varsinainen noudattamispäivä oli 14. huhtikuuta 2003, ja siinä viitattiin suojattuihin terveystietoihin (Protected Health Information, PHI), joilla tarkoitetaan ”kaikkia suojatun yksikön hallussa olevia tietoja, jotka liittyvät terveydentilaan, terveydenhuollon tarjoamiseen tai terveydenhuollon maksamiseen ja jotka voidaan yhdistää yksilöön”.
Lisäksi annettiin ohjeita siitä, miten PHI:tä tulisi jakaa, ja siitä, että potilailta olisi saatava lupa, ennen kuin heidän henkilökohtaisia tietojaan saa käyttää markkinointiin, varainkeruuseen tai tutkimukseen. Potilaille annettiin myös lupa pidättää terveydenhuoltoaan koskevat tiedot sairausvakuutuslaitoksilta, kun heidän hoitonsa on yksityisesti rahoitettua.
HIPAA Security Rule tuli voimaan kaksi vuotta alkuperäisen lainsäädännön antamisen jälkeen 21. huhtikuuta 2005. Turvallisuussäännössä viitattiin erityisesti sähköisesti tallennettuihin terveystietoihin (ePHI), ja siinä vahvistettiin kolme turvatoimenpidettä – hallinnolliset, fyysiset ja tekniset – joita on noudatettava täysimääräisesti, jotta HIPAA:ta voidaan noudattaa. Turvatoimenpiteillä oli seuraavat tavoitteet:
- Hallinnolliset – kehitetään käytännöt ja prosessit, jotka on perustettu siten, että niistä käy selvästi ilmi, miten yhteisö noudattaa lakia.
- Fyysinen – hallinnoida fyysistä pääsyä tietovarastojen alueille, jotta suojaudutaan asiattomalta käytöltä
- Tekninen – suojata viestintä, mukaan lukien PHI, kun sitä lähetetään sähköisesti avoimissa verkoissa
Milloin HIPAA tuli voimaan?
Milloin HIPAA säädettiin laiksi? HIPAA säädettiin laiksi 21. elokuuta 1996, mutta siihen on tehty merkittäviä muutoksia viimeisten 20 vuoden aikana:
Merkittävimmät voimaantulopäivät ovat: Huhtikuun 14. päivä 2003 HIPAA:n tietosuojasäännön osalta, vaikka pienille terveydenhuoltosuunnitelmille myönnettiin 12 kuukauden pidennys, jonka mukaan niiden oli noudatettava HIPAA:n tietosuojasäännön säännöksiä 14. huhtikuuta 2004 mennessä.
HIPAA:n turvallisuussäännön voimaantulopäivä oli 21. huhtikuuta 2005. Samoin kuin HIPAA Privacy Rule -säännön kohdalla, pienille terveydenhuoltosuunnitelmille annettiin ylimääräinen vuosi aikaa noudattaa HIPAA Security Rule -säännön säännöksiä, ja niiden tosiasiallinen vaatimustenmukaisuuspäivä oli 21. huhtikuuta 2006.
HIPAA Breach Notification Rule -sääntö tuli täytäntöönpanokelpoiseksi 23. syyskuuta 2009, ja Omnibus Final Rule -sääntö tuli täytäntöönpanokelpoiseksi 26. maaliskuuta 2013.
Enforcement Rule -säännön voimaansaattaminen
Se, että monet soveltamisalaan kuuluvat yksiköt eivät noudattaneet täysimääräisesti HIPAA:n tietosuoja- ja turvallisuussääntöjä, johti Enforcement Rule -säännön käyttöönottoon maaliskuussa 2006. Enforcement Rule -sääntö antoi terveysministeriölle valtuudet tutkia valituksia, jotka koskevat suojattavia yhteisöjä, jotka eivät ole noudattaneet Privacy Rule -sääntöä, ja sakottaa suojattavia yhteisöjä, jotka ovat välttäneet ePHI-tietojen tietoturvaloukkauksia, jotka johtuvat siitä, että ne eivät ole noudattaneet Security Rule -säännön mukaisia turvatoimia.
Ministeriön kansalaisoikeuksia käsittelevälle toimistolle annettiin myös valtuudet nostaa rikossyytteitä toistuvasti rikkomuksia tekeviä henkilöitä vastaan, jos nämä eivät ryhdy korjaaviin toimenpiteisiin 30 päivän kuluessa. Ihmisillä on myös oikeus nostaa siviilioikeudellinen kanne suojattua yksikköä vastaan, jos heidän henkilökohtaisia terveystietojaan on jaettu ilman heidän lupaansa, jos se aiheuttaa heille ”vakavaa haittaa”.
HITECH 2009 ja tietoturvaloukkauksista ilmoittamista koskeva sääntö
HIPAA:n historia kiihtyi entisestään vuonna 2009, kun käyttöön otettiin terveydenhuollon tietotekniikkaa koskeva laki (Health Information Technology for Economic and Clinical Health Act, HITECH). HITECHin päätavoitteena oli pakottaa terveydenhuoltoviranomaiset ottamaan käyttöön sähköiset potilastietokannat (Electronic Health Records, EHR) ja ottaa käyttöön Meaningful Use -kannustinohjelma. Meaningful Use -ohjelman ensimmäinen vaihe otettiin käyttöön seuraavana vuonna, ja se kannusti terveydenhuoltoryhmiä säilyttämään potilaiden suojattuja terveystietoja sähköisessä muodossa paperitiedostojen sijaan.
Kannustinohjelman myötä HIPAA-säännöt ulotettiin koskemaan myös liiketoimintayhteistyökumppaneita (Business Associates) ja terveydenhuoltoalan kolmansia osapuolia sekä otettiin käyttöön tietoturvaloukkauksista ilmoittamista koskeva sääntö (Breach Notification Rule) – jossa todettiin, että kaikista sähköisten terveystietojen tietoturvaloukkauksista, jotka koskettavat useampaa kuin 500 yksilöä, on ilmoitettava terveys- ja terveyspalveluiden osaston (Department of Health and Human Services’n) siviilipalveluvirastolle. Tämän jälkeen ePHI-tietojen tietoturvaloukkauksista ilmoittamisen kriteerejä laajennettiin maaliskuussa 2013 annetussa Final Omnibus Rule -säännössä.
The Final Omnibus Rule of 2013
HIPAA:n historian viimeinen säädös oli vuoden 2013 Final Omnibus Rule. Säännöllä ei varsinaisesti otettu käyttöön mitään uutta lainsäädäntöä, vaan siinä käsiteltiin nykyisten HIPAA- ja HITECH-säännösten aukkoja – esimerkiksi täsmennettiin salausstandardit, joita on sovellettava, jotta sähköiset tieto- ja viestintäturvatiedot olisivat käyttökelvottomia, lukukelvottomia ja lukukelvottomia tietoturvaloukkauksen tapahtuessa.
Monia määritelmiä muutettiin tai laajennettiin harmaiden alueiden käsittelemiseksi – esimerkiksi ”työvoiman” määritelmää muutettiin siten, että tehdään selväksi, että termi kattaa työntekijät, vapaaehtoiset, harjoittelijat ja muut henkilöt, joiden toiminta suojatun yksikön tai liiketoimintayhteistyökumppanin palveluksessa on suojatun yksikön tai liiketoimintayhteistyökumppanin suorassa hallinnassa.
Tietosuoja- ja turvallisuussääntöjä muutettiin myös siten, että potilaan terveystietoja voidaan säilyttää määräämättömän ajan (aiemmassa lainsäädännössä oli säädetty, että niitä on säilytettävä 50 vuotta), ja rikkomuksista ilmoittamista koskevaan sääntöön lisättiin uusia menettelyjä. HITECHin sanelemia uusia rangaistuksia sovellettiin myös HIPAA Enforcement Rule -sääntöä rikkoviin katettuihin asuinalueisiin.
Muutoksilla pyrittiin myös ottamaan huomioon teknologisen kehityksen mukanaan tuomat muuttuvat työkäytännöt, jotka kattavat erityisesti mobiililaitteiden käytön. Suuri osa terveydenhuollon ammattilaisista käyttää nykyään omia mobiililaitteitaan ePHI:n tarkasteluun ja jakamiseen, ja lopulliseen Omnibus-sääntöön sisällytettiin uusia hallinnollisia menettelyjä ja toimintatapoja tämän huomioon ottamiseksi ja sellaisten skenaarioiden sisällyttämiseksi, joita ei olisi voitu ennakoida vuonna 1996. Final Omnibus Rule -säännön koko teksti löytyy täältä.
Monien viivytysten jälkeen määräajaksi, johon mennessä Yhdysvalloissa on käytettävä diagnoosikoodauksessa Clinical Modification ICD-10-CM:ää ja sairaalahoidon toimenpidekoodauksessa Procedure Coding System ICD-10-PCA:ta, vahvistettiin lopulta 1. lokakuuta 2015. Kaikkien HIPAA:n piiriin kuuluvien asujen on käytettävä ICD-10-CM:ää. Toinen vaatimus on nämä EDI-version 5010.
HIPAA-historiaa Merkittäviä päivämääriä
- Elokuu 1996 – Presidentti Bill Clinton säätää HIPAA:n.
- Huhtikuu 2003 – HIPAA:n tietosuojasäännön voimaantulopäivä.
- Huhtikuu 2005 – HIPAA:n turvallisuussäännön voimaantulopäivä.
- Maaliskuu 2006 – HIPAA Breach Enforcement Rule -säännön voimaantulopäivä.
- Syyskuu 2009 – HITECHin ja Breach Notification Rule -säännön voimaantulopäivä.
- Maaliskuu 2013 – Lopullisen Omnibus Rule -säännön voimaantulopäivä.
Joillakin pääkäyttäjillä ja pääkäyttäjäkohtaisilla neuvonantajilla ja asiantuntijapalveluntarjoajilla oli aikaa noudattaa kunkin säännön säännöksiä. Esimerkiksi vaikka Final Omnibus Rule -säännön voimaantulopäivä oli maaliskuu 2013, CE:ille ja BA:ille annettiin 180 päivää aikaa noudattaa sitä.
Final Omnibus Rule Impact
Final Omnibus Rule -säännön avulla saatiin aikaisempaa lainsäädäntöä paremmin aikaan se, että katetut yhteisöt olivat tietoisempia HIPAA:n suojalausekkeista, joita niiden oli noudatettava. Monet terveydenhuollon yksiköt – jotka olivat rikkoneet HIPAA:ta lähes 20 vuoden ajan – toteuttivat useita toimenpiteitä säännösten noudattamiseksi, kuten tietojen salauksen käyttäminen kannettavissa laitteissa ja tietokoneverkoissa, suojattujen viestiratkaisujen käyttäminen hoitotiimien sisäisessä viestinnässä, verkkosuodattimien käyttöönotto ja sähköpostien turvallisempi arkistointi.
Tietomurroista nyt määrättävät taloudelliset seuraamukset sekä valtavat kustannukset, joita aiheutuu tietomurtoilmoitusten tekemisestä, luotonvalvontapalvelujen tarjoamisesta ja vahinkojen lieventämisestä, saavat investoinnit uuteen tekniikkaan tietojen suojaamiseksi näyttämään halvoilta.
HIPAA:n vaatimustenmukaisuustarkastusohjelma
Kansalaisoikeuksista vastaava virasto (Office for Civil Rights) aloitti vuonna 2011 sarjan vaatimustenmukaisuutta koskevia kokeiluluontoisia auditointeja, joiden tarkoituksena oli tarkistaa, miten hyvin terveydenhuoltopalvelujen tarjoajat noudattavat HIPAA:n yksityisyyden suojaa ja tietoturvaa koskevia sääntöjä. Ensimmäiset tarkastukset saatiin päätökseen vuonna 2012, ja ne toivat esiin terveydenhuollon vaatimustenmukaisuuden järkyttävän tilan.
Auditoidut ryhmät kirjasivat monia HIPAA Breach Notification Rule (HIPAA Breach Notification Rule) -säännön, Privacy Rule (yksityisyydensuojaa koskeva sääntö) ja Security Rule (tietoturvasääntö) -säännön rikkomisia, joista jälkimmäinen johti suurimpaan osaan rikkomuksista. OCR antoi toimintasuunnitelmia auttaakseen kyseisiä organisaatioita saavuttamaan vaatimustenmukaisuuden; auditointien toisessa vaiheessa sen ei kuitenkaan odoteta olevan yhtä lempeä.
Auditoinneissa ennustetaan keskityttävän tiettyihin aloihin, jotka osoittautuivat ongelmallisiksi niin monille terveydenhuoltopalvelujen tarjoajille, ja samalla suunnitellaan pysyvää auditointisuunnitelmaa jatkuvan HIPAA-vaatimustenmukaisuuden varmistamiseksi. Löyhien tietoturvastandardien aikakausi on nyt ohi, ja terveydenhuoltoalan, kuten rahoitusalan ennen sitä, on parannettava standardeja varmistaakseen, että luottamukselliset tiedot pysyvät yksityisinä.
Jokaista katettua yksikköä, joka ei sovita tarvittavia valvontatoimia, uhkaavat taloudelliset rangaistukset, sanktiot, mahdollinen toimiluvan menettäminen ja jopa rikosoikeudelliset tuomiot siitä, että se on laiminlyönyt sähköisen tietosuojan varmistamisen.
Miten varmistetaan täydellinen HIPAA-vaatimustenmukaisuus
Meidän ”HIPAA-vaatimustenmukaisuuden tarkistuslistamme” kattaa sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act) näkökohdat, jotka liittyvät sähköisten suojattujen terveystietojen säilytykseen, siirtoon ja hävittämiseen, toimet, joihin asujen on ryhdyttävä tietoturvaloukkauksen varalta, sekä käytännöt ja menettelyt, joita on käytettävä täydellisen vaatimustenmukaisuuden saavuttamiseen.
HIPAA-säädökset voivat olla tiukkoja, mutta katetuille asuinalueille sallitaan kuitenkin jonkin verran joustovaraa yksityisyyden suojaamisen suhteen ja tietoturvan suhteen, jota käytetään tietosuojaan. Esimerkiksi tietojen salausta on käsiteltävä, mutta sitä ei välttämättä tarvitse toteuttaa, jos muut valvontatoimet mahdollistavat vaaditun suojan.