Onze bespreking van de HIPAA-geschiedenis begint op 21 augustus 1996, toen de Healthcare Insurance Portability and Accountability Act (HIPAA) tot wet werd verheven, maar waarom werd de HIPAA Act geformuleerd?
De HIPAA Act werd geformuleerd om “de overdraagbaarheid en controleerbaarheid van ziektekostenverzekeringsdekking” te verbeteren voor werknemers die van baan veranderen. Andere doelstellingen van de wet waren het aanpakken van verspilling, fraude en misbruik in de ziektekostenverzekering en de levering van gezondheidszorg. De wet bevatte ook passages om het gebruik van medische spaarrekeningen aan te moedigen door belastingvoordelen te creëren, dekking te bieden voor werknemers met reeds bestaande medische aandoeningen en de administratie van de ziektekostenverzekering te stroomlijnen.
De processen voor het vereenvoudigen van de administratie van de ziektekostenverzekering werden een manier om de gezondheidszorgindustrie aan te moedigen om de medische dossiers van patiënten te automatiseren. Dit specifieke deel van de wet leidde tot de Health Information Technology for Economic and Clinical Health Act (HITECH) in 2009, die vervolgens resulteerde in de introductie van het Meaningful Use-stimuleringsprogramma – door leiders in de gezondheidszorgsector beschreven als “het belangrijkste stuk gezondheidszorgwetgeving dat in de afgelopen 20 tot 30 jaar is aangenomen”.
De HIPAA-privacy- en -beveiligingsregels beginnen zich te ontwikkelen
Toen de HIPAA eenmaal tot wet was verheven, begon het Amerikaanse ministerie van Volksgezondheid en Human Services met de ontwikkeling van de eerste HIPAA-privacy- en -beveiligingsregels. De Privacy Rule had een feitelijke nalevingsdatum van 14 april 2003, en verwees naar Protected Health Information (PHI) als “alle informatie in het bezit van een gedekte entiteit die verband houdt met de gezondheidstoestand, de verstrekking van gezondheidszorg, of de betaling voor gezondheidszorg die aan een individu kan worden gekoppeld”.
Instructies werden beschikbaar gesteld over hoe PHI moest worden gedeeld en dat toestemming van patiënten moest worden verkregen voordat hun persoonlijke gegevens werden gebruikt voor marketing, fondsenwerving of onderzoek. Het gaf patiënten ook de toestemming om informatie over hun gezondheidszorg achter te houden voor zorgverzekeraars wanneer hun behandeling particulier wordt gefinancierd.
De HIPAA Beveiligingsregel werd twee jaar na de oorspronkelijke wetgeving op 21 april 2005 van kracht. Specifiek verwijzend naar elektronisch opgeslagen PHI (ePHI), legde de Security Rule drie veiligheidsmaatregelen vast – administratieve, fysieke en technische – die volledig moeten worden nageleefd om te voldoen aan HIPAA. De beveiligingsmaatregelen hadden de volgende doelstellingen:
- Administratief – het ontwikkelen van beleid en processen die zijn opgezet om duidelijk aan te geven hoe de entiteit de wet zal naleven.
- Fysiek – om de fysieke toegang tot gebieden van gegevensopslag te beheren om te beschermen tegen ongepaste toegang
- Technisch – om de communicatie te beveiligen, inclusief PHI wanneer deze elektronisch wordt verzonden over open netwerken
Wanneer werd HIPAA afdwingbaar?
In welk jaar werd HIPAA in de wet opgenomen? De HIPAA is op 21 augustus 1996 in werking getreden, maar in de afgelopen 20 jaar zijn er belangrijke wijzigingen in de HIPAA aangebracht: De invoering van de Privacy Rule, Security Rule, Breach Notification Rule, en de Omnibus Final Rule.
De belangrijkste ingangsdata zijn: 14 april 2003 voor de HIPAA Privacy Rule, hoewel er een verlenging van 12 maanden was voor kleine gezondheidsplannen, die zich tegen 14 april 2004 aan de bepalingen van de HIPAA Privacy Rule moesten houden.
De effectieve nalevingsdatum voor de HIPAA Security Rule was 21 april 2005. Net als bij de HIPAA-privacyregel kregen kleine gezondheidsplannen een extra jaar om zich te houden aan de bepalingen van de HIPAA-beveiligingsregel en hadden ze een feitelijke nalevingsdatum van 21 april 2006.
De HIPAA Breach Notification Rule werd afdwingbaar op 23 september 2009 en de Omnibus Final Rule werd afdwingbaar op 26 maart 2013.
De invoering van de handhavingsregel
Het falen van veel gedekte outfits om zich volledig te houden aan de HIPAA-privacy- en beveiligingsregels leidde tot de invoering van de handhavingsregel in maart 2006. De Enforcement Rule gaf het Department of Health and Human Services de bevoegdheid om klachten te onderzoeken tegen gedekte entiteiten voor het niet naleven van de Privacy Rule, en om gedekte outfits te beboeten voor vermijdbare inbreuken op ePHI door het niet volgen van de veiligheidsmaatregelen zoals vastgelegd in de Security Rule.
Het Department’s Office for Civil Rights kreeg ook de bevoegdheid om strafrechtelijke vervolging in te stellen tegen recidivisten die niet binnen 30 dagen corrigerende maatregelen invoeren. Mensen hebben ook het recht om een civiele procedure aan te spannen tegen de gedekte entiteit als hun persoonlijke gezondheidsinformatie zonder hun toestemming is gedeeld als dit hen “ernstige schade” berokkent.
HITECH 2009 en de Breach Notification Rule
HIPAA-geschiedenis kwam in 2009 in een stroomversnelling met de invoering van de Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH had als hoofddoel de gezondheidszorgautoriteiten te dwingen het gebruik van elektronische gezondheidsdossiers (EHR’s) in te voeren en het stimuleringsprogramma Meaningful Use in te voeren. Fase één van Meaningful Use werd het jaar daarop ingevoerd, waarbij zorggroepen werden gestimuleerd de Beschermde Gezondheidsinformatie van patiënten in elektronisch formaat te bewaren, in plaats van papieren bestanden.
Met het stimuleringsprogramma kwam ook een uitbreiding van de HIPAA-regels tot Business Associates en externe leveranciers aan de gezondheidszorgsector, en de invoering van de Breach Notification Rule – die stelde dat alle inbreuken op ePHI die meer dan 500 individuen treffen, moeten worden gemeld aan het Office for Civil Rights van het ministerie van Volksgezondheid en Human Services. De criteria voor het melden van inbreuken op ePHI werden vervolgens uitgebreid in de Final Omnibus Rule van maart 2013.
The Final Omnibus Rule of 2013
De laatste wetgevingshandeling in de HIPAA-geschiedenis was de Final Omnibus Rule van 2013. De regel introduceerde niet echt nieuwe wetgeving, maar pakte hiaten in bestaande HIPAA- en HITECH-regelgeving aan – bijvoorbeeld het specificeren van de encryptienormen die moeten worden toegepast om ePHI onbruikbaar, onontcijferbaar en onleesbaar te maken in het geval van een inbreuk die plaatsvindt.
Vele definities werden gewijzigd of uitgebreid om grijze gebieden aan te pakken – bijvoorbeeld de definitie van “personeelsbestand” werd gewijzigd om duidelijk te maken dat de term werknemers, vrijwilligers, stagiairs en andere personen omvat wier gedrag, bij het uitvoeren van werkzaamheden voor een gedekte entiteit of Business Associate, onder de directe leiding van de gedekte entiteit of Business Associate valt.
De privacy- en beveiligingsregels werden ook gewijzigd om het mogelijk te maken dat gezondheidsinformatie van patiënten voor onbepaalde tijd kan worden bewaard (volgens de vorige wetgeving was dit 50 jaar), terwijl nieuwe procedures werden toegevoegd aan de regel inzake de kennisgeving van inbreuken. Er werden ook nieuwe straffen opgelegd – zoals gedicteerd door HITECH – aan gedekte outfits die in overtreding waren met de HIPAA Enforcement Rule.
Er werden ook wijzigingen opgenomen om rekening te houden met veranderende werkpraktijken als gevolg van technologische vooruitgang, met name met betrekking tot het gebruik van mobiele apparaten. Een groot aantal beroepsbeoefenaren in de gezondheidszorg gebruikt nu hun eigen mobiele apparatuur om ePHI te bekijken en te delen, en de Final Omnibus Rule bevatte nieuwe administratieve procedures en beleidslijnen om hiermee rekening te houden, en om scenario’s op te nemen die in 1996 nog niet konden worden voorspeld. De volledige tekst van de Final Omnibus Rule is hier te vinden.
Na een aantal vertragingen is de deadline voor de Verenigde Staten om Clinical Modification ICD-10-CM voor diagnosecodering en Procedure Coding System ICD-10-PCA voor intramurale ziekenhuisprocedurecodering te gebruiken, uiteindelijk vastgesteld op 1 oktober 2015. Alle HIPAA gedekte outfits moeten ICD-10-CM gebruiken. Een andere vereiste is deze van EDI Versie 5010.
HIPAA Geschiedenis Significante Data
- August 1996 – HIPAA Enacted by President Bill Clinton.
- April 2003 – Effectieve Datum van de HIPAA Privacy Rule.
- April 2005 – Effectieve Datum van de HIPAA Security Rule.
- Maart 2006 – Ingangsdatum van de HIPAA Breach Enforcement Rule.
- September 2009 – Ingangsdatum van HITECH en de Breach Notification Rule.
- Maart 2013 – Ingangsdatum van de Final Omnibus Rule.
Sommige CE’s en BA’s kregen een periode van tijd om zich te houden aan de bepalingen van elke regel. Hoewel de ingangsdatum van de Final Omnibus Rule bijvoorbeeld maart 2013 was, kregen CE’s en BA’s 180 dagen om te voldoen.
Final Omnibus Rule Impact
Wat de Final Omnibus Rule meer heeft bereikt dan welke eerdere wetgeving dan ook, was om gedekte entiteiten meer bewust te maken van de HIPAA-waarborgen waaraan ze moesten voldoen. Veel zorginstellingen – die bijna 20 jaar in strijd met de HIPAA hadden gehandeld – hebben een aantal maatregelen geïmplementeerd om aan de voorschriften te voldoen, zoals het gebruik van gegevensversleuteling op draagbare apparaten en computernetwerken, het gebruik van veilige messaging-oplossingen voor interne communicatie met zorgteams, het instellen van webfilters en het nemen van meer zorg om e-mails veilig te archiveren.
De financiële sancties die nu worden opgelegd voor datalekken, samen met de enorme kosten van het uitgeven van kennisgevingen van inbreuken, het bieden van kredietmonitoringdiensten en het uitvoeren van schadebeperking, doen investeringen in nieuwe technologie om gegevens te beveiligen goedkoop lijken in vergelijking.
Het HIPAA-nalevingsauditprogramma
In 2011 begon het Office for Civil Rights met een reeks proefnalevingsaudits om te beoordelen hoe goed zorgaanbieders de HIPAA-privacy- en beveiligingsregels naleefden. De eerste reeks audits werd voltooid in 2012 en bracht de schokkende staat van naleving in de gezondheidszorg aan het licht.
Gecontroleerde groepen registreerden veel schendingen van de HIPAA Breach Notification Rule, Privacy Rule en Security Rule, waarbij de laatste leidde tot de meeste schendingen. Het OCR gaf actieplannen uit om die organisaties te helpen de naleving te bereiken; voor de tweede fase van audits wordt echter verwacht dat het niet zo toegeeflijk zal zijn.
Voorspeld wordt dat de audits zich zullen richten op specifieke gebieden die problematisch bleken voor zo veel zorgverleners, terwijl een permanent auditplan wordt gepland om te zorgen voor voortdurende naleving van de HIPAA. Het tijdperk van lakse beveiligingsnormen is nu voorbij en de gezondheidszorg arena, net als de financiële sector daarvoor, moet de normen verbeteren om ervoor te zorgen dat vertrouwelijke gegevens privé blijven.
Elke gedekte entiteit die niet de nodige controles aanpast, wordt geconfronteerd met financiële sancties, sancties, mogelijk verlies van licentie en zelfs strafrechtelijke veroordelingen wegens het niet beveiligen van ePHI.
Hoe volledige HIPAA-naleving te verzekeren
Onze “HIPAA Compliance Checklist” behandelt de facetten van de Health Insurance Portability and Accountability Act met betrekking tot de opslag, verzending en verwijdering van elektronische Beschermde Gezondheidsinformatie, de acties die outfits moeten nemen om een inbreuk aan te pakken en het beleid en de procedures die moeten worden gebruikt om volledige naleving te bereiken.
HIPAA-regelgeving kan streng zijn, maar gedekte outfits wordt enige flexibiliteit toegestaan met betrekking tot de privacy- en beveiligingsmaatregelen die worden gebruikt om gegevens te beschermen. Gegevensencryptie, bijvoorbeeld, moet worden aangepakt, maar niet noodzakelijkerwijs worden geïmplementeerd als andere controles de vereiste bescherming mogelijk maken.