Nasz przegląd historii HIPAA rozpoczyna się 21 sierpnia 1996 r., kiedy to ustawa o przenoszeniu i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA) została wprowadzona w życie, ale dlaczego ustawa HIPAA została sformułowana?
Ustawa HIPAA została sformułowana w celu „poprawy możliwości przenoszenia i rozliczalności ubezpieczenia zdrowotnego” dla pracowników zmieniających pracę. Innymi celami ustawy było zajęcie się marnotrawstwem, oszustwami i nadużyciami w ubezpieczeniach zdrowotnych i świadczeniu opieki zdrowotnej. Ustawa zawierała również fragmenty zachęcające do korzystania z medycznych kont oszczędnościowych poprzez tworzenie ulg podatkowych, zapewnia pokrycie dla pracowników z istniejącymi wcześniej warunkami medycznymi i usprawnia administrację ubezpieczenia zdrowotnego.
Procesy upraszczania administracji ubezpieczenia zdrowotnego stały się sposobem na zachęcenie branży opieki zdrowotnej do skomputeryzowania dokumentacji medycznej pacjentów. Ta konkretna część ustawy doprowadziła do powstania w 2009 r. ustawy o technologii informacyjnej dla zdrowia ekonomicznego i klinicznego (HITECH), która następnie zaowocowała wprowadzeniem programu motywacyjnego Meaningful Use – opisanego przez liderów sektora opieki zdrowotnej jako „najważniejszy element ustawodawstwa dotyczącego opieki zdrowotnej, jaki został uchwalony w ciągu ostatnich 20-30 lat”.
The HIPAA Privacy and Security Rules Begin to Evolve
Po uchwaleniu ustawy HIPAA, amerykański Departament Zdrowia i Usług Społecznych rozpoczął opracowywanie pierwszych zasad HIPAA dotyczących prywatności i bezpieczeństwa. Reguła Prywatności miała rzeczywistą datę zgodności z 14 kwietnia 2003 r. i odnosiła się do Chronionych Informacji Zdrowotnych (PHI) jako „wszelkich informacji przechowywanych przez podmiot objęty, które są związane ze stanem zdrowia, świadczeniem opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z osobą”.
Instrukcje zostały udostępnione na temat tego, jak PHI powinny być udostępniane i że należy uzyskać zgodę od pacjentów przed użyciem ich danych osobowych do marketingu, pozyskiwania funduszy lub badań. Dało to również pacjentom pozwolenie na nieujawnianie informacji o ich opiece zdrowotnej dostawcom ubezpieczeń zdrowotnych, gdy ich leczenie jest finansowane ze środków prywatnych.
Reguła bezpieczeństwa HIPAA stała się wykonalna dwa lata po wprowadzeniu oryginalnego ustawodawstwa, 21 kwietnia 2005 roku. Odnosząc się w szczególności do elektronicznie przechowywanych PHI (ePHI), Security Rule ustanowiła trzy środki bezpieczeństwa – administracyjny, fizyczny i techniczny – które muszą być w pełni przestrzegane w celu zapewnienia zgodności z HIPAA. Środki bezpieczeństwa miały następujące cele:
- Administracyjne – opracowanie polityk i procesów ustanowionych w celu wyraźnego wskazania, w jaki sposób podmiot będzie przestrzegał ustawy.
- Fizyczne – zarządzanie fizycznym dostępem do obszarów przechowywania danych w celu ochrony przed niewłaściwym dostępem
- Techniczne – zabezpieczenie komunikacji, w tym PHI, gdy jest ona przesyłana elektronicznie przez otwarte sieci
Kiedy ustawa HIPAA stała się wykonalna?
W którym roku ustawa HIPAA została uchwalona? Ustawa o HIPAA została uchwalona 21 sierpnia 1996 r., ale w ciągu ostatnich 20 lat wprowadzono do niej istotne zmiany: Wprowadzenie Privacy Rule, Security Rule, Breach Notification Rule oraz Omnibus Final Rule.
Najbardziej znaczące daty wejścia w życie to: 14 kwietnia 2003 r. dla HIPAA Privacy Rule, chociaż było przedłużenie o 12 miesięcy dla małych planów zdrowotnych, które były zobowiązane do przestrzegania przepisów HIPAA Privacy Rule do 14 kwietnia 2004 r.
Efektywna data zgodności dla HIPAA Security Rule była 21 kwietnia 2005 r. Podobnie jak w przypadku HIPAA Privacy Rule, małe plany zdrowotne otrzymały dodatkowy rok na dostosowanie się do przepisów HIPAA Security Rule i miały rzeczywistą datę zgodności z 21 kwietnia 2006 roku.
The HIPAA Breach Notification Rule stała się wykonalna 23 września 2009 roku, a Omnibus Final Rule stała się wykonalna 26 marca 2013 roku.
Wprowadzenie Reguły egzekwowania
Niepowodzenie wielu strojów objętych HIPAA w pełnym przestrzeganiu zasad prywatności i bezpieczeństwa HIPAA doprowadziło do wprowadzenia Reguły egzekwowania w marcu 2006 roku. Reguła ta dała Departamentowi Zdrowia i Usług Społecznych prawo do rozpatrywania skarg przeciwko podmiotom objętym HIPAA za nieprzestrzeganie Reguły Prywatności oraz do nakładania kar pieniężnych na podmioty objęte HIPAA za możliwe do uniknięcia naruszenia ePHI z powodu nieprzestrzegania środków bezpieczeństwa określonych w Regule Bezpieczeństwa.
Urząd Praw Obywatelskich Departamentu otrzymał również prawo do wnoszenia oskarżeń karnych przeciwko recydywistom, którzy nie wprowadzą środków naprawczych w ciągu 30 dni. Ludzie mają również prawo do podejmowania cywilnych działań prawnych przeciwko podmiotowi objętemu ochroną, jeśli ich osobiste informacje o opiece zdrowotnej zostały udostępnione bez ich zgody, jeśli powoduje to, że dochodzą do „poważnej szkody”.
HITECH 2009 i Breach Notification Rule
HIPAA historia nabrała tempa w 2009 roku wraz z wprowadzeniem Health Information Technology for Economic and Clinical Health Act (HITECH). Głównym celem HITECH było zmuszenie organów opieki zdrowotnej do wprowadzenia stosowania elektronicznych rejestrów medycznych (EHR) i uchwalenie programu motywacyjnego Meaningful Use. Etap pierwszy programu Meaningful Use został wprowadzony w następnym roku, zachęcając grupy opieki zdrowotnej do utrzymywania chronionych informacji zdrowotnych pacjentów w formacie elektronicznym, zamiast plików papierowych.
Wraz z programem zachęt przyszło również rozszerzenie zasad HIPAA na współpracowników biznesowych i dostawców zewnętrznych dla sektora opieki zdrowotnej oraz wprowadzenie zasady powiadamiania o naruszeniach – która stanowiła, że wszystkie naruszenia ePHI dotyczące więcej niż 500 osób muszą zostać zgłoszone do Biura Praw Obywatelskich Departamentu Zdrowia i Usług Społecznych. Kryteria zgłaszania naruszeń ePHI zostały następnie rozszerzone w Final Omnibus Rule z marca 2013 roku.
The Final Omnibus Rule of 2013
Ostatnim aktem prawnym w historii HIPAA była Final Omnibus Rule z 2013 roku. Reguła ta tak naprawdę nie wprowadziła żadnych nowych przepisów, ale zajęła się lukami w istniejących regulacjach HIPAA i HITECH – na przykład określając standardy szyfrowania, które należy zastosować, aby uczynić ePHI bezużytecznym, nierozszyfrowanym i nieczytelnym w przypadku wystąpienia naruszenia.
Wiele definicji zostało zmienionych lub rozszerzonych w celu zajęcia się szarymi strefami – na przykład definicja „siły roboczej” została zmieniona w celu wyjaśnienia, że termin ten obejmuje pracowników, wolontariuszy, stażystów i inne osoby, których zachowanie, podczas wykonywania pracy dla podmiotu objętego ochroną lub Współpracownika Biznesowego, jest pod bezpośrednim kierownictwem podmiotu objętego ochroną lub Współpracownika Biznesowego.
Reguły dotyczące prywatności i bezpieczeństwa zostały również zmienione, aby zezwolić na przechowywanie informacji zdrowotnych pacjenta przez czas nieokreślony (poprzednie przepisy stanowiły, że będą one przechowywane przez 50 lat), natomiast nowe procedury zostały dodane do Reguły dotyczącej powiadamiania o naruszeniach. Nowe kary zostały również zastosowane – jak podyktowane przez HITECH – do objętych stroje, które spadły afoul z HIPAA Enforcement Rule.
Poprawki zostały również zawarte w celu uwzględnienia zmieniających się praktyk pracy spowodowanych przez postęp technologiczny, obejmujący wykorzystanie urządzeń mobilnych w szczególności. Znaczna liczba pracowników służby zdrowia używa obecnie własnych urządzeń przenośnych do przeglądania i udostępniania ePHI, a Ostateczna Reguła Zbiorcza zawierała nowe procedury i zasady administracyjne uwzględniające ten fakt oraz scenariusze, których nie można było przewidzieć w 1996 roku. Pełny tekst Final Omnibus Rule można znaleźć tutaj.
Po wielu opóźnieniach, termin dla Stanów Zjednoczonych do korzystania z Clinical Modification ICD-10-CM do kodowania diagnoz i Procedure Coding System ICD-10-PCA do kodowania procedur szpitalnych został ostatecznie ustalony na 1 października 2015 roku. Wszystkie stroje objęte HIPAA muszą używać ICD-10-CM. Kolejnym wymogiem jest wersja 5010 EDI.
HIPAA History Significant Dates
- August 1996 – HIPAA Enacted by President Bill Clinton.
- April 2003 – Effective Date of the HIPAA Privacy Rule.
- April 2005 – Effective Date of the HIPAA Security Rule.
- Marzec 2006 – Data wejścia w życie HIPAA Breach Enforcement Rule.
- Wrzesień 2009 – Data wejścia w życie HITECH i Breach Notification Rule.
- Marzec 2013 – Data wejścia w życie ostatecznej Omnibus Rule.
Niektórym CE i BA dano okres czasu na dostosowanie się do przepisów każdej z reguł. Na przykład, mimo że data wejścia w życie Final Omnibus Rule to marzec 2013 r., CE i BA otrzymali 180 dni na dostosowanie się do przepisów.
Final Omnibus Rule Impact
To, co Final Omnibus Rule osiągnęła bardziej niż jakiekolwiek wcześniejsze przepisy, to uświadomienie podmiotom objętym HIPAA zabezpieczeń, których muszą przestrzegać. Wiele placówek służby zdrowia – które naruszały przepisy HIPAA przez prawie 20 lat – wdrożyło szereg środków mających na celu zapewnienie zgodności z przepisami, takich jak stosowanie szyfrowania danych na urządzeniach przenośnych i w sieciach komputerowych, stosowanie bezpiecznych rozwiązań w zakresie przesyłania wiadomości w komunikacji wewnętrznej z zespołami opieki zdrowotnej, zakładanie filtrów internetowych i większa dbałość o bezpieczne archiwizowanie poczty elektronicznej.
Kary finansowe nakładane obecnie za naruszenia danych wraz z ogromnymi kosztami wydawania powiadomień o naruszeniu, świadczenia usług monitorowania kredytów i prowadzenia działań ograniczających szkody sprawiają, że inwestycje w nowe technologie zabezpieczające dane wydają się tanie w porównaniu z nimi.
Program audytu zgodności z przepisami HIPAA
W 2011 r. Biuro Praw Obywatelskich rozpoczęło serię pilotażowych audytów zgodności w celu sprawdzenia, jak dobrze dostawcy usług opieki zdrowotnej przestrzegają przepisów HIPAA dotyczących prywatności i bezpieczeństwa. Pierwsza grupa audytów została zakończona w 2012 roku i podkreśliła szokujący stan zgodności w opiece zdrowotnej.
Audytowane grupy odnotowały wiele naruszeń HIPAA Breach Notification Rule, Privacy Rule i Security Rule, z tym ostatnim prowadzącym do większości naruszeń. OCR wydał plany działania, aby pomóc tym organizacjom osiągnąć zgodność, jednak dla drugiej fazy audytów nie oczekuje się, że będą one tak łagodne.
Audyty mają skupić się na konkretnych obszarach, które okazały się problematyczne dla tak wielu dostawców usług medycznych, podczas gdy stały plan audytu jest planowany w celu zapewnienia bieżącej zgodności HIPAA. Era pobłażliwych standardów bezpieczeństwa już minęła, a służba zdrowia, podobnie jak wcześniej sektor finansowy, musi poprawić standardy, aby zapewnić, że poufne dane pozostaną prywatne.
Każdy podmiot objęty ochroną, który nie dostosuje niezbędnych kontroli, naraża się na kary finansowe, sankcje, potencjalną utratę licencji, a nawet wyroki karne za niezabezpieczenie ePHI.
Jak zapewnić pełną zgodność z HIPAA
Nasza „Lista kontrolna zgodności z HIPAA” obejmuje aspekty ustawy o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (Health Insurance Portability and Accountability Act) związane z przechowywaniem, przesyłaniem i usuwaniem elektronicznych Chronionych Informacji Zdrowotnych, działania, jakie muszą podjąć podmioty w celu rozwiązania problemu naruszenia oraz polityki i procedury, które muszą być stosowane w celu osiągnięcia pełnej zgodności.
Regulacje HIPAA mogą być surowe, ale podmioty objęte są dopuszczone do pewnej elastyczności w zakresie prywatności i środków bezpieczeństwa stosowanych do ochrony danych. Szyfrowanie danych, na przykład, musi być uwzględnione, ale niekoniecznie wdrożone, jeśli inne kontrole pozwalają na wymaganą ochronę.
.