A HIPAA történetének áttekintése 1996. augusztus 21-én kezdődik, amikor az egészségügyi biztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényt (HIPAA) törvénybe iktatták, de miért fogalmazták meg a HIPAA törvényt?
A HIPAA törvényt azért alkották meg, hogy “javítsák az egészségbiztosítási fedezet hordozhatóságát és elszámoltathatóságát” a munkahelyek között mozgó munkavállalók számára. A törvény további célkitűzései között szerepelt az egészségbiztosítás és az egészségügyi ellátás terén a pazarlás, a csalás és a visszaélések kezelése. A törvény olyan passzusokat is tartalmazott, amelyek adókedvezmények létrehozásával ösztönzik az egészségügyi megtakarítási számlák használatát, fedezetet biztosít a már meglévő egészségügyi feltételekkel rendelkező munkavállalók számára, és egyszerűsíti az egészségbiztosítás adminisztrációját.
Az egészségbiztosítás adminisztrációjának egyszerűsítésére irányuló folyamatok az egészségügyi ágazatot a betegek orvosi nyilvántartásának számítógépesítésére ösztönözték. A törvénynek ez a konkrét része hozta létre 2009-ben a gazdasági és klinikai egészségügyet szolgáló egészségügyi információs technológiáról szóló törvényt (HITECH), amely aztán a Meaningful Use ösztönző program bevezetését eredményezte – amelyet az egészségügyi ágazat vezetői “az elmúlt 20-30 év legfontosabb egészségügyi jogszabályaként” jellemeztek.
A HIPAA adatvédelmi és biztonsági szabályai fejlődésnek indulnak
Miután a HIPAA-t törvénybe iktatták, az Egyesült Államok Egészségügyi és Emberi Szolgálatok Minisztériuma hozzálátott az első HIPAA adatvédelmi és biztonsági szabályok kidolgozásához. Az adatvédelmi szabály tényleges megfelelési dátuma 2003. április 14. volt, és a védett egészségügyi információ (PHI) alatt “minden olyan, az érintett szervezet birtokában lévő információt értett, amely az egészségi állapottal, az egészségügyi ellátás nyújtásával vagy az egészségügyi ellátás kifizetésével kapcsolatos, és amely egy személyhez köthető.”
Instrukciókat bocsátottak rendelkezésre a PHI megosztásának módjáról, és arról, hogy a betegektől engedélyt kell kérni, mielőtt személyes adataikat marketing, adománygyűjtés vagy kutatás céljára felhasználják. Engedélyt adott a betegeknek arra is, hogy visszatartsák az egészségügyi ellátásukra vonatkozó információkat az egészségbiztosítótól, ha kezelésüket magánfinanszírozásúak.
A HIPAA biztonsági szabálya két évvel az eredeti jogszabály után, 2005. április 21-én vált végrehajthatóvá. A biztonsági szabály kifejezetten az elektronikusan tárolt PHI-re (ePHI) vonatkoztatva három biztonsági intézkedést – adminisztratív, fizikai és technikai – határozott meg, amelyeket a HIPAA-nak való megfelelés érdekében maradéktalanul be kell tartani. A biztonsági intézkedéseknek a következő céljai voltak:
- Adminisztratív – olyan irányelvek és folyamatok kialakítása, amelyek egyértelműen jelzik, hogy a szervezet hogyan fog megfelelni a törvénynek.
- Fizikai – az adattárolási területekhez való fizikai hozzáférés kezelése a nem megfelelő hozzáférés elleni védelem érdekében
- Technikai – a kommunikáció védelme, beleértve a PHI-t is, amikor elektronikusan küldik a nyílt hálózatokon keresztül
Mikor vált végrehajthatóvá a HIPAA?
Melyik évben léptették hatályba a HIPAA-t? A HIPAA-t 1996. augusztus 21-én léptették hatályba, de az elmúlt 20 évben jelentős módosítások történtek a HIPAA-ban:
A legfontosabb hatálybalépési dátumok a következők: A HIPAA adatvédelmi szabálya 2003. április 14-én lépett hatályba, bár 12 hónappal meghosszabbították a kis egészségügyi terveket, amelyeknek 2004. április 14-ig kellett betartaniuk a HIPAA adatvédelmi szabályának rendelkezéseit.
A HIPAA biztonsági szabálya 2005. április 21-én lépett hatályba. A HIPAA adatvédelmi szabályhoz hasonlóan a kis egészségügyi terveknek is egy plusz évet adtak a HIPAA biztonsági szabály rendelkezéseinek betartására, és a tényleges megfelelési határidő 2006. április 21. volt.
A HIPAA Breach Notification Rule 2009. szeptember 23-án vált végrehajthatóvá, az Omnibus Final Rule pedig 2013. március 26-án vált végrehajthatóvá.
A végrehajtási szabály életbe lépése
A HIPAA adatvédelmi és biztonsági szabályainak teljes körű betartásának számos érintett vállalkozás általi elmulasztása vezetett a végrehajtási szabály 2006. márciusi bevezetéséhez. Az Enforcement Rule felhatalmazta az Egészségügyi és Emberi Szolgálatok Minisztériumát, hogy megvizsgálja az adatvédelmi szabály be nem tartása miatt az érintett szervezetek ellen benyújtott panaszokat, és bírságot szabjon ki az ePHI elkerülhető megsértése miatt, mivel nem tartották be a biztonsági szabályban meghatározott biztonsági intézkedéseket.
A Minisztérium Polgárjogi Hivatala felhatalmazást kapott arra is, hogy büntetőeljárást indítson azon visszaesők ellen, akik 30 napon belül nem vezetnek be korrekciós intézkedéseket. Az embereknek joguk van polgári jogi lépéseket is tenni az érintett szervezet ellen, ha személyes egészségügyi adataikat az engedélyük nélkül osztották meg, ha ez “súlyos károkat” okoz nekik.
HITECH 2009 és a Breach Notification Rule
A HIPAA története 2009-ben gyorsult fel az egészségügyi információs technológia a gazdasági és klinikai egészségügyért (HITECH) törvény bevezetésével. A HITECH fő célja az volt, hogy az egészségügyi hatóságokat az elektronikus egészségügyi nyilvántartások (EHR) használatának bevezetésére kényszerítse, és életbe léptette a Meaningful Use ösztönző programot. A Meaningful Use első szakaszát a következő évben vezették be, ösztönözve az egészségügyi csoportokat arra, hogy a betegek védett egészségügyi információit papírfájlok helyett elektronikus formában tartsák nyilván.
Az ösztönző programmal együtt járt a HIPAA-szabályok kiterjesztése az egészségügyi ágazat üzleti partnereire és harmadik fél beszállítóira, valamint a Breach Notification Rule bevezetése – amely kimondta, hogy minden, 500-nál több személyt érintő, elektronikus adatvédelmi incidenst be kell jelenteni az Egészségügyi és Emberi Szolgáltatások Minisztériumának Polgári Jogi Hivatalának. Az ePHI megsértésének bejelentésére vonatkozó kritériumokat ezután a 2013. márciusi Final Omnibus Rule-ben kibővítették.
The Final Omnibus Rule of 2013
A HIPAA történetének utolsó jogszabálya a 2013. évi Final Omnibus Rule volt. A szabály valójában nem vezetett be új jogszabályt, hanem a meglévő HIPAA- és HITECH-szabályozás hiányosságait orvosolta – például meghatározta azokat a titkosítási szabványokat, amelyeket alkalmazni kell annak érdekében, hogy az ePHI használhatatlanná, megfejthetetlenné és olvashatatlanná váljon egy esetleges jogsértés bekövetkezése esetén.
Számos fogalommeghatározást megváltoztattak vagy kibővítettek a szürke területek kezelése érdekében – például a “munkaerő” fogalmát úgy módosították, hogy egyértelművé tegyék, hogy a fogalom magában foglalja az alkalmazottakat, önkénteseket, gyakornokokat és más olyan személyeket, akik a fedezett szervezet vagy üzleti társult fél számára végzett munka során a fedezett szervezet vagy üzleti társult fél közvetlen irányítása alatt állnak.
Az adatvédelmi és biztonsági szabályokat is módosították, hogy lehetővé tegyék a beteg egészségügyi információinak határozatlan ideig történő tárolását (a korábbi jogszabály szerint 50 évig kellett volna tárolni), míg a jogsértésről szóló értesítési szabály új eljárásokkal egészült ki. Új szankciókat is alkalmaztak – a HITECH által diktáltaknak megfelelően – a HIPAA Végrehajtási Szabályzatot megsértő fedett létesítményekre.
A technológiai fejlődés által előidézett változó munkamódszerek figyelembevétele érdekében módosításokat is eszközöltek, amelyek különösen a mobil eszközök használatára terjedtek ki. Az egészségügyi szakemberek jelentős része ma már saját mobil eszközeit használja az ePHI megtekintésére és megosztására, és a Final Omnibus Rule új adminisztratív eljárásokat és irányelveket tartalmazott ennek figyelembevétele érdekében, valamint olyan forgatókönyvek bevonása érdekében, amelyeket 1996-ban még nem lehetett előre látni. A Final Omnibus Rule teljes szövege itt található.
A többszöri késedelem után végül 2015. október 1-jében határozták meg azt a határidőt, ameddig az Egyesült Államokban alkalmazni kell a Clinical Modification ICD-10-CM-et a diagnózisok kódolására és az Procedure Coding System ICD-10-PCA-t a kórházi fekvőbeteg-eljárások kódolására. A HIPAA hatálya alá tartozó valamennyi felszerelésnek az ICD-10-CM-et kell használnia. További követelmény az EDI 5010-es verziója.
HIPAA története Jelentős dátumok
- Augusztus 1996 – A HIPAA-t Bill Clinton elnök léptette hatályba.
- Aprilis 2003 – A HIPAA adatvédelmi szabályának hatálybalépése.
- Aprilis 2005 – A HIPAA biztonsági szabályának hatálybalépése.
- 2006. március – A HIPAA Breach Enforcement Rule hatálybalépésének időpontja.
- 2009. szeptember – A HITECH és a Breach Notification Rule hatálybalépésének időpontja.
- 2013. március – A Final Omnibus Rule hatálybalépésének időpontja.
Egyes CE-knek és BA-knak időt adtak az egyes szabályok rendelkezéseinek betartására. Például annak ellenére, hogy a Final Omnibus Rule hatálybalépésének időpontja 2013 márciusa volt, a CE-k és BA-k 180 napot kaptak a megfelelésre.
Final Omnibus Rule Impact
A Final Omnibus Rule minden korábbi jogszabálynál többet ért el azzal, hogy az érintett szervezetek jobban tudatosították a HIPAA biztosítékokat, amelyeknek meg kellett felelniük. Sok egészségügyi intézmény – amelyek csaknem 20 évig megsértették a HIPAA-t – számos intézkedést hajtott végre az előírásoknak való megfelelés érdekében, például adattitkosítást használtak a hordozható eszközökön és a számítógépes hálózatokon, biztonságos üzenetküldő megoldásokat használtak az ellátó csapatokkal folytatott belső kommunikációhoz, webszűrőket állítottak be, és nagyobb gondot fordítottak az e-mailek biztonságos archiválására.
Az adatvédelmi incidensekért mostanában kiszabott pénzbüntetések, valamint az adatvédelmi incidensekről szóló értesítések kiadásának, a hitelfelügyeleti szolgáltatások nyújtásának és a kárenyhítés elvégzésének hatalmas költségei miatt az adatok védelmét szolgáló új technológiákba való beruházás ehhez képest olcsónak tűnik.
A HIPAA megfelelőségi ellenőrzési program
2011-ben a Polgárjogi Hivatal kísérleti megfelelési ellenőrzések sorozatát indította el annak áttekintésére, hogy az egészségügyi szolgáltatók mennyire tartják be a HIPAA adatvédelmi és biztonsági szabályait. Az ellenőrzések első csoportja 2012-ben fejeződött be, és rávilágított az egészségügyi megfelelés sokkoló állapotára.
Az ellenőrzött csoportok a HIPAA Breach Notification Rule, Privacy Rule és Security Rule szabályainak számos megsértését regisztrálták, az utóbbi vezette a legtöbb jogsértést. Az OCR cselekvési terveket adott ki, hogy segítsen ezeknek a szervezeteknek a megfelelés elérésében; az ellenőrzések második szakaszában azonban várhatóan nem lesz ilyen engedékeny.
Az ellenőrzések az előrejelzések szerint olyan konkrét területekre fognak összpontosítani, amelyek sok egészségügyi szolgáltató számára problémásnak bizonyultak, míg a folyamatos HIPAA-megfelelőség biztosítása érdekében állandó ellenőrzési tervet terveznek. A laza biztonsági előírások kora már lejárt, és az egészségügyi színtérnek, akárcsak korábban a pénzügyi szektornak, javítania kell a szabványokon annak érdekében, hogy a bizalmas adatok titokban maradjanak.
Minden olyan érintett szervezet, amely nem alkalmazza a szükséges ellenőrzéseket, pénzügyi szankciókkal, szankciókkal, az engedély esetleges elvesztésével és akár büntetőjogi felelősségre vonással néz szembe az ePHI védelmének elmulasztása miatt.
Hogyan biztosítható a teljes HIPAA-megfelelés
“HIPAA-megfelelési ellenőrzőlistánk” az elektronikus védett egészségügyi információk tárolásával, továbbításával és megsemmisítésével kapcsolatos egészségügyi biztosítási hordozhatósági és elszámoltathatósági törvény aspektusait, a jogsértés kezeléséhez szükséges intézkedéseket, valamint a teljes megfelelés eléréséhez használandó irányelveket és eljárásokat tartalmazza.
A HIPAA-szabályok szigorúak lehetnek, ugyanakkor a fedett ruháknak bizonyos rugalmasságot biztosítanak az adatok védelmére alkalmazott adatvédelmi és biztonsági intézkedések tekintetében. Az adatok titkosításával például foglalkozni kell, de nem feltétlenül kell végrehajtani, ha más ellenőrzések lehetővé teszik az előírt védelmet.