Die Geschichte von HIPAA

Einführung in HIPAA

HIPAA-Compliance ist ein bewegliches Ziel. Um zu verstehen, wohin sich HIPAA bewegt, müssen Sie zuerst verstehen, warum es begann und wie es sich ausdehnte. Wenn Sie daran interessiert sind, eine (kurze) Geschichte der HIPAA zu lernen, lesen Sie weiter!Der Healthcare Insurance Portability and Accountability Act (HIPAA) wurde 1996 in Kraft gesetzt und gilt seitdem als eines der einflussreichsten Gesundheitsgesetze in den Vereinigten Staaten. HIPAA wurde in den letzten 23 Jahren mehrfach geändert, wobei jede Änderung es langsam in das für uns heute erkennbare Gesetz ausdehnte.

Zeitleiste der Verabschiedung

Das Gesetz wurde während der Präsidentschaft von Bill Clinton am 21. August 1996 verabschiedet, mit dem Hauptziel, mehr Amerikanern zu helfen, Krankenversicherungsschutz zu erhalten und sicherzustellen, dass die Mitarbeiter ihren Krankenversicherungsschutz nicht verlieren, während sie den Arbeitsplatz wechseln. Die Verabschiedung von HIPAA wird auch als Beginn der Modernisierung des Informationsflusses innerhalb der Gesundheitsbranche bezeichnet. Das Gesetz beauftragte den Secretary of Health and Human Services (HSS), Regulierungsstandards für den Datenschutz wichtiger Gesundheitsinformationen festzulegen, die den Grundstein für die Sicherheitsregel und die Datenschutzregel legten.

Die Geschichte der Sicherheitsregel

Nur 2 Jahre nachdem HIPAA in Kraft getreten war, schlug HHS die Sicherheitsregel vor. Ziel dieser Änderung war es, den Schutz der gesundheitsbezogenen Informationen einer Person zu verbessern, die zwischen Gesundheitsdienstleistern, Gesundheitsplänen und anderen Organisationen ausgetauscht werden. Obwohl diese Regel 1998 vorgeschlagen wurde, wurde sie erst 5 Jahre später fertiggestellt, sodass Organisationen Zeit hatten, sich an die Vorschriften zu halten.

Die Datenschutzregel und PHI

Ein weiterer wichtiger Meilenstein in der Geschichte der HIPAA, war der Vorschlag und dann die Fertigstellung der Datenschutzregel. Diese Regel, die erstmals 1999 vorgeschlagen wurde, dreht sich um Datenschutzstandards im Zusammenhang mit dem Schutz geschützter Gesundheitsinformationen (PHI). Geschützte Gesundheitsinformationen (PHI), die durch die Datenschutzregel definiert wurden, sind alle Informationen in der Krankenakte einer Person, die sie identifizieren können und von einer abgedeckten Entität gehalten werden. Gemäß HIPAA und der Datenschutzregel gibt es 18 spezifische Kennungen, die mit bestimmten Sicherheitsvorkehrungen behandelt werden müssen.

Hier sind die 18 Arten von Informationen, die unter HIPAA als geschützte Gesundheitsinformationen (PHI) gelten:

  1. Name
  2. Adresse (Einschließlich aller Informationen, die mehr lokalisiert sind als der Staat)
  3. Alle Daten (außer Jahre) im Zusammenhang mit der Person, einschließlich Geburtstage, Todesdatum, Datum der Aufnahme / Entlassung usw.
  4. Telefonnummer
  5. Faxnummer
  6. E-Mail-Adresse
  7. Sozialversicherungsnummer
  8. Nummer der Krankenakte
  9. Nummer des Begünstigten des Gesundheitsplans
  10. Kontonummer
  11. Zertifikat / Lizenznummer
  12. Fahrzeugidentifikatoren, Seriennummern, Kennzeichennummern
  13. Gerätekennungen/Seriennummern
  14. Web-URLs
  15. IP-Adresse
  16. Biometrische Identifikatoren wie Fingerabdrücke oder Stimmabdrücke
  17. Fotos mit vollem Gesicht
  18. Alle anderen eindeutigen Identifikationsnummern, Merkmale oder Codes

Die Datenschutzregel betraf auch patienten den Zugang zu ihren persönlichen Gesundheitsdaten erleichtern. Nach ihrem Vorschlag im Jahr 1999 wurde die Datenschutzregel am 28.Dezember 2000 in den letzten Wochen der zweiten Amtszeit von Präsident Clinton abgeschlossen. Schon am nächsten Tag machte HHS ein paar Überarbeitungen, vor allem das Büro für Bürgerrechte, die eine Agentur im Bereich Gesundheit und menschliche Dienste ist, um die Gruppe zu sein, die HIPAA durchsetzen wird.

Als letzten Schritt im Regelungsprozess baten Health and Human Services um öffentliche Beiträge dazu, welche Anpassungen an der Datenschutzregel vorgenommen werden mussten. Nach Prüfung der Kommentare, die gemacht wurden, kündigte die HHS eine vorgeschlagene modifizierte Datenschutzregel im Jahr 2002. Die endgültige Datenschutzregel, die 2003 verabschiedet wurde, wurde angepasst, um ihre Nützlichkeit zu verbessern und unerwartete Konsequenzen zu vermeiden.

Die HIPAA-Durchsetzungsregel

Anfang 2005 wurde die HIPAA-Durchsetzungsregel eingeführt, nachdem viele betroffene Unternehmen die Datenschutz- und Sicherheitsregeln nicht vollständig eingehalten hatten. Diese Regel ermöglicht es Health and Human Services (HHS), Beschwerden über abgedeckte Unternehmen zu untersuchen, die HIPAA nicht einhalten. Diese Regel gab HHS auch die Befugnis, diese Unternehmen für Verstöße gegen elektronische geschützte Gesundheitsinformationen (ePHI) zu bestrafen, die vermeidbar waren, wenn sie die nach der Sicherheitsregel erforderlichen Sicherheitsvorkehrungen befolgt hatten.

Auch unter der Enforcement Rule wurde das Office of Civil Rights (OCR) ermächtigt, finanzielle Sanktionen gegen diejenigen Unternehmen durchzusetzen, die nicht konform blieben. Wenn die persönlichen Gesundheitsinformationen einer Person ohne ihre Erlaubnis weitergegeben wurden und ihnen „ernsthaften Schaden“ zufügen, kann diese Person zivilrechtliche Schritte gegen das verschuldete Unternehmen einleiten.

Der „HITECH“ Act

Kurz nach Beginn seiner Präsidentschaft verabschiedete Präsident Obama den Health Information Technology for Economic and Clinical Health Act oder den HITECH Act. HITECH hatte den Zweck, Gesundheitsdienstleister zu ermutigen, mit der Verwendung elektronischer Patientenakten (EHRs) zu beginnen.Später im Jahr 2009 wurde die HITECH Act Enforcement Rule erlassen, die ein System von Geldstrafen für Verstöße gegen HIPAA mit viel höheren potenziellen Geldbußen schuf, die die Kosten der HIPAA-Nichteinhaltung dramatisch erhöhten.

Die Breach Notification Rule

Im September 2009 wurde die Breach Notification Rule verabschiedet, die vorschreibt, dass jeder Verstoß gegen ePHI durch ein abgedecktes Unternehmen, von dem mehr als 500 Personen betroffen sind, OCR gemeldet wird und alle Personen, die von dem Verstoß betroffen sein könnten, benachrichtigt werden müssen.

Die HIPAA-Omnibusregel

Die HIPAA-Omnibusregel, die 2012 fertiggestellt wurde und 2013 in Kraft trat, enthielt Änderungen und Aktualisierungen aller von uns erwähnten Regeln. Die Änderungen an den Sicherheits-, Datenschutz-, Benachrichtigungs- und Durchsetzungsregeln sollten die Vertraulichkeit und Sicherheit beim Datenaustausch verbessern. Die größten Änderungen unter der Omnibus-Regel waren, dass es für Geschäftspartner obligatorisch wurde, die Datenschutzregel und die Sicherheitsregeln einzuhalten, und dass diese Mitarbeiter direkt für etwaige HIPAA-Verstöße haftbar gemacht wurden.

Zusammenfassung der wichtigsten Daten in der HIPAA-Geschichte

  • 21. August 1996: Präsident Clinton unterzeichnet HIPAA
  • April 2003: HIPAA-Datenschutzregel tritt in Kraft
  • April 2005: HIPAA Security Rule tritt in Kraft
  • März 2006: HIPAA Enforcement Rule Datum des Inkrafttretens
  • Februar 2009: HITECH Act von Präsident Obama unterzeichnet
  • September 2009: Breach Notification Rule wird wirksam
  • März 2013: Final Omnibus Rule Datum des Inkrafttretens

admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.