Vår granskning av HIPAA:s historia börjar den 21 augusti 1996, då lagen om överförbarhet och ansvarighet för sjukförsäkringar (Healthcare Insurance Portability and Accountability Act, HIPAA) antogs.Varför utformades HIPAA-lagen?
HIPAA-lagen utformades för att ”förbättra överförbarheten och ansvarigheten för sjukförsäkringsskyddet” för arbetstagare som flyttar mellan olika jobb. Andra mål med lagen var att ta itu med slöseri, bedrägeri och missbruk inom sjukförsäkring och tillhandahållande av hälso- och sjukvård. Lagen innehöll också passager för att uppmuntra användningen av medicinska sparkonton genom att skapa skattelättnader, ger täckning för anställda med redan existerande sjukdomstillstånd och effektiviserar administrationen av sjukförsäkringen.
Processerna för att förenkla administrationen av sjukförsäkringen blev ett sätt att uppmuntra hälso- och sjukvårdsbranschen att datorisera patienternas medicinska journaler. Denna specifika del av lagen gav upphov till Health Information Technology for Economic and Clinical Health Act (HITECH) 2009, som sedan resulterade i införandet av incitamentsprogrammet Meaningful Use – som av ledare inom hälso- och sjukvårdssektorn beskrivs som ”den viktigaste delen av hälso- och sjukvårdslagstiftningen som har antagits under de senaste 20-30 åren”.
HIPAA:s sekretess- och säkerhetsregler börjar utvecklas
När HIPAA hade antagits som lag började USA:s hälsovårdsdepartement att utarbeta de första sekretess- och säkerhetsreglerna för HIPAA. Sekretessreglerna hade ett faktiskt datum för efterlevnad den 14 april 2003 och hänvisade till skyddad hälsoinformation (PHI) som ”all information som innehas av en enhet som omfattas och som är relaterad till hälsotillstånd, tillhandahållande av hälso- och sjukvård eller betalning för hälso- och sjukvård och som kan kopplas till en individ”.
Anvisningar gjordes tillgängliga om hur PHI ska delas och att tillstånd ska erhållas från patienterna innan man använder deras personuppgifter för marknadsföring, insamling av medel eller forskning. Patienterna fick också tillstånd att undanhålla information om sin hälso- och sjukvård från sjukförsäkringsbolag när behandlingen är privatfinansierad.
HIPAA Security Rule blev verkställbar två år efter den ursprungliga lagstiftningen, den 21 april 2005. Med särskild hänvisning till elektroniskt lagrad PHI (ePHI) fastställdes i säkerhetsregeln tre säkerhetsåtgärder – administrativa, fysiska och tekniska – som måste uppfyllas helt och hållet för att HIPAA ska kunna följas. Säkerhetsåtgärderna hade följande mål:
- Administrativt – att utveckla riktlinjer och processer som tydligt anger hur enheten kommer att följa lagen.
- Fysiskt – för att hantera fysisk tillgång till datalagringsområden för att skydda mot otillbörlig åtkomst
- Tekniskt – för att skydda kommunikationen, inklusive PHI, när den skickas elektroniskt över öppna nätverk
När blev HIPAA verkställbart?
Vilket år infördes HIPAA som lag? HIPAA trädde i kraft den 21 augusti 1996, men det har gjorts stora ändringar av HIPAA under de senaste 20 åren: De viktigaste datumen för ikraftträdandet är följande: År 1986, då HAPAA trädde i kraft, har HAPAA fått en ny version som är en del av den nya lagen om skydd av privatlivet, en ny säkerhetsregel, en ny regel för anmälan av överträdelser och en ny omnibusfinalregel: Den 14 april 2003 för HIPAA Privacy Rule, även om det fanns en förlängning på 12 månader för små hälsoplaner som var skyldiga att följa HIPAA Privacy Rule-bestämmelserna senast den 14 april 2004.
Datum för efterlevnad av HIPAA Security Rule var den 21 april 2005. I likhet med HIPAA Privacy Rule fick små hälsoplaner ett extra år på sig att följa bestämmelserna i HIPAA Security Rule och det faktiska datumet för efterlevnaden var den 21 april 2006.
HIPAA Breach Notification Rule började tillämpas den 23 september 2009 och Omnibus Final Rule började tillämpas den 26 mars 2013.
Införandet av verkställighetsregeln
Den bristande efterlevnaden av HIPAA:s integritets- och säkerhetsregler hos många av de berörda företagen ledde till att verkställighetsregeln infördes i mars 2006. Genom denna regel fick Department of Health and Human Services befogenhet att undersöka klagomål mot täckta enheter för underlåtenhet att följa Privacy Rule, och att bötfälla täckta enheter för undvikbara intrång i ePHI på grund av att de inte följde de säkerhetsåtgärder som fastställs i Security Rule.
Department’s Office for Civil Rights gavs också befogenhet att väcka brottsanklagelser mot återfallsförbrytare som inte vidtar korrigerande åtgärder inom 30 dagar. Människor har också rätt att vidta civilrättsliga åtgärder mot den berörda enheten om deras personliga hälso- och sjukvårdsinformation har delats utan deras tillstånd om det leder till att de drabbas av ”allvarlig skada”.
HITECH 2009 och Breach Notification Rule
HIPAA-historien tog fart 2009 i och med införandet av lagen om hälsoinformationsteknik för ekonomisk och klinisk hälsa (Health Information Technology for Economic and Clinical Health Act, HITECH). HITECH hade som huvudsyfte att tvinga sjukvårdsmyndigheterna att införa användning av elektroniska patientjournaler (EHR) och införde incitamentsprogrammet Meaningful Use. Första etappen av Meaningful Use infördes året därpå och gav sjukvårdsgrupper incitament att bevara patienternas skyddade hälsoinformation i elektroniskt format i stället för i pappersformat.
Med incitamentsprogrammet följde också en utvidgning av HIPAA-reglerna till att även omfatta affärspartner och tredjepartsleverantörer till hälso- och sjukvårdssektorn, och införandet av Breach Notification Rule – där det anges att alla brott mot ePHI som berör mer än 500 personer måste anmälas till Department of Health and Human Services’ Office for Civil Rights (kontor för medborgerliga rättigheter). Kriterierna för rapportering av brott mot ePHI utökades sedan i den slutliga omnibusregeln från mars 2013.
Den slutliga omnibusregeln från 2013
Den sista lagstiftningsakten i HIPAA-historien var den slutliga omnibusregeln från 2013. Regeln införde egentligen ingen ny lagstiftning, utan tog itu med luckor i befintliga HIPAA- och HITECH-bestämmelser – till exempel genom att specificera de krypteringsstandarder som måste tillämpas för att göra ePHI oanvändbara, odechiffrerbara och oläsbara i händelse av att en överträdelse inträffar.
Flera definitioner ändrades eller utvidgades för att åtgärda gråzoner – till exempel ändrades definitionen av ”arbetsstyrka” för att klargöra att begreppet omfattar anställda, volontärer, praktikanter och andra personer vars beteende, vid utförandet av arbete för en täckt enhet eller en affärspartner, står under den täckta enhetens eller affärspartnerns direkta ledning.
Det ändrades även på sekretess- och säkerhetsreglerna för att tillåta att patienters hälsoinformationer kan sparas på obestämd tid (enligt den tidigare lagstiftningen skulle de sparas i 50 år), samtidigt som nya förfaranden lades till i regeln om anmälan av överträdelser. Nya påföljder tillämpades också – i enlighet med HITECH – på företag som omfattas och som bryter mot HIPAA Enforcement Rule.
Ändringar infördes också för att ta hänsyn till förändrade arbetsmetoder till följd av den tekniska utvecklingen, särskilt när det gäller användningen av mobila enheter. Ett stort antal vårdpersonal använder nu sina egna mobila enheter för att se och dela ePHI, och den slutliga Omnibus-regeln innehöll nya administrativa förfaranden och policyer för att ta hänsyn till detta, och för att inkludera scenarier som inte kunde ha förutsetts 1996. Den fullständiga texten till Final Omnibus Rule finns här.
Efter ett antal förseningar fastställdes tidsfristen för USA att använda Clinical Modification ICD-10-CM för diagnoskodning och Procedure Coding System ICD-10-PCA för kodning av sjukhusprocedurer i slutenvården slutligen till den 1 oktober 2015. Alla HIPAA-täckta outfits måste använda ICD-10-CM. Ett annat krav är dessa av EDI version 5010.
HIPAA Historik Viktiga datum
- Augusti 1996 – HIPAA antas av president Bill Clinton.
- April 2003 – Datum då HIPAA:s sekretessregel träder i kraft.
- April 2005 – Datum då HIPAA:s säkerhetsregel träder i kraft.
- Mars 2006 – datum för ikraftträdande av HIPAA Breach Enforcement Rule.
- September 2009 – datum för ikraftträdande av HITECH och Breach Notification Rule.
- Mars 2013 – datum för ikraftträdande av den slutliga Omnibus Rule.
Vissa CE:s och BA:s fick en viss tid på sig att följa bestämmelserna i varje regel. Till exempel fick CE och BA 180 dagar på sig att följa bestämmelserna, trots att den slutliga omnibusregeln trädde i kraft i mars 2013.
Final Omnibus Rule Impact
Den slutliga omnibusregeln åstadkom mer än någon tidigare lagstiftning var att göra de berörda enheterna mer medvetna om de HIPAA-garantier som de var tvungna att följa. Många vårdföretag – som hade brutit mot HIPAA i nästan 20 år – genomförde ett antal åtgärder för att följa bestämmelserna, t.ex. användning av datakryptering på bärbara enheter och datornätverk, användning av säkra meddelandelösningar för intern kommunikation med vårdteam, inrättande av webbfilter och större omsorg om att arkivera e-post på ett säkert sätt.
De ekonomiska påföljder som nu sanktioneras för dataintrång tillsammans med de enorma kostnaderna för att utfärda anmälningar om dataintrång, tillhandahålla kreditövervakningstjänster och genomföra skadebegränsning får investeringar i ny teknik för att skydda data att framstå som billiga i jämförelse.
HIPAA Compliance Audit Program
Under 2011 inledde Office for Civil Rights en serie pilotgranskningar av efterlevnaden för att se över hur väl vårdgivare följde HIPAA:s regler för sekretess och säkerhet. Den första gruppen av revisioner avslutades 2012 och belyste det chockerande läget när det gäller efterlevnaden inom hälso- och sjukvården.
De granskade grupperna registrerade många överträdelser av HIPAA Breach Notification Rule, Privacy Rule och Security Rule, där den sistnämnda ledde till flest överträdelser. OCR utfärdade handlingsplaner för att hjälpa dessa organisationer att uppnå efterlevnad, men för den andra granskningsfasen förväntas den inte vara lika mild.
Granskningarna förutspås fokusera på specifika områden som visade sig vara problematiska för så många vårdgivare, samtidigt som en permanent granskningsplan planeras för att säkerställa en fortlöpande efterlevnad av HIPAA. Tiden för slappa säkerhetsstandarder har nu passerat och hälso- och sjukvårdsarenan, liksom finanssektorn före den, måste förbättra standarderna för att se till att konfidentiella uppgifter förblir privata.
Varje täckt enhet som inte anpassar de nödvändiga kontrollerna riskerar ekonomiska påföljder, sanktioner, potentiell förlust av licens och till och med straffrättsliga fällande domar för att ha misslyckats med att säkra ePHI.
Hur man säkerställer full överensstämmelse med HIPAA
Vår ”HIPAA Compliance Checklist” täcker de aspekter av Health Insurance Portability and Accountability Act som rör lagring, överföring och bortskaffande av elektronisk skyddad hälsoinformation, de åtgärder som outfits måste vidta för att ta itu med en överträdelse och de policyer och rutiner som måste användas för att uppnå full överensstämmelse.
HIPAA-reglerna kan vara strikta men de berörda outfits tillåts ändå en viss flexibilitet när det gäller de integritets- och säkerhetsåtgärder som används för att skydda data. Datakryptering, till exempel, måste tas upp, men behöver inte nödvändigtvis genomföras om andra kontroller möjliggör det skydd som krävs.