bevezetés a HIPAA-ba
a HIPAA-megfelelés mozgó célpont. Ahhoz, hogy megértsük, hol mozog a HIPAA, először meg kell értened, miért kezdődött és hogyan bővült. Ha érdekel a HIPAA (rövid) történetének megismerése, olvassa tovább!
az egészségügyi biztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényt (HIPAA) 1996-ban írták alá, és azóta az Egyesült Államok egyik legbefolyásosabb egészségügyi törvényeként ismert. A HIPAA-t az elmúlt 23 évben számos alkalommal módosították, minden módosítással lassan kibővítették azt a ma felismerhető törvénybe.
idővonal átjáró
a törvény alatt fogadták el Bill Clinton elnöksége, augusztus 21, 1996, a fő célja, hogy segítse több amerikai kap egészségbiztosítási fedezet és garantálja, hogy a munkavállalók nem veszítik el az egészségbiztosítási fedezet, miközben ők munkahelyet vált. A HIPAA átadását az egészségügyi ágazaton belüli információáramlás korszerűsítésének kezdetének is nevezik. A törvény az egészségügyi és Humán Szolgáltatások titkárát (HSS) bízta meg a fontos egészségügyi információk magánéletére vonatkozó szabályozási normák meghatározásával, amelyek megalapozták a biztonsági szabályt és az adatvédelmi szabályt.
A biztonsági szabály története
mindössze 2 évvel a HIPAA törvénybe iktatása után a HHS javasolta a biztonsági szabályt. Ennek a módosításnak az volt a célja, hogy javítsa az egészségügyi szolgáltatók, az egészségügyi tervek és más szervezetek között megosztott egészségügyi információk védelmét. Bár ezt a szabályt 1998-ban javasolták, csak 5 évvel később véglegesítették, amikor időt adott a szervezeteknek a megfelelésre.
az Adatvédelmi Szabály és a PHI
egy másik fontos mérföldkő a HIPAA történetében az Adatvédelmi Szabály javaslata, majd véglegesítése volt. Ez a szabály, amelyet először 1999-ben javasoltak, a védett egészségügyi információk védelmével (PHI) kapcsolatos adatvédelmi szabványok körül forog.
a védett egészségügyi információ (Phi), amelyet az Adatvédelmi Szabály határoz meg, minden olyan információ a személy orvosi nyilvántartásában, amely képes azonosítani őket, és amelyet egy fedett szervezet tart. A HIPAA és az Adatvédelmi Szabály értelmében 18 egyedi azonosítót kell kezelni bizonyos biztosítékokkal.
itt található a 18 típusú információ, amelyet védett egészségügyi információnak (PHI) tekintünk a HIPAA alatt:
- név
- cím (beleértve az államnál lokalizáltabb információkat)
- az egyénhez kapcsolódó dátumok (kivéve az éveket), beleértve a születésnapokat, a halál dátumát, a felvétel/mentesítés dátumát stb.
- telefonszám
- faxszám
- E-mail cím
- társadalombiztosítási szám
- orvosi nyilvántartási szám
- egészségügyi terv kedvezményezett száma
- számlaszám
- tanúsítvány/engedély száma
- Járműazonosítók, sorozatszámok, rendszámok
- eszközazonosítók/sorozatszámok
- Web URL-ek
- IP-cím
- biometrikus azonosítók, például ujjlenyomatok vagy hangnyomatok
- teljes arcú fotók
- bármely más egyedi azonosító szám, jellemző vagy kód
az Adatvédelmi Szabály arra is törekedett, hogy a betegek könnyebben hozzáférhetnek saját személyes egészségügyi adataikhoz. Miután a javaslat 1999-ben, az Adatvédelmi Szabály véglegesítették December 28, 2000 az elmúlt hetekben Clinton elnök második ciklus. Másnap a HHS néhány módosítást hajtott végre, ami a legfontosabb, hogy a Polgári Jogok Hivatala, amely az egészségügyi és Emberi Szolgáltatások ügynöksége, legyen az a csoport, amely érvényesíti a HIPAA-t.
a szabályalkotási folyamat utolsó lépéseként az egészségügyi és Humán Szolgáltatások a nyilvánosság véleményét kérték arról, hogy milyen kiigazításokat kell végrehajtani az Adatvédelmi szabályban. Az észrevételek megfontolását követően a HHS 2002-ben bejelentette a javasolt módosított adatvédelmi szabályt. A véglegesített adatvédelmi szabályt, amelyet 2003-ban fogadtak el, módosították annak hasznosságának javítása és a váratlan következmények megelőzése érdekében.
a HIPAA végrehajtási szabály
2005 elején bevezették a HIPAA végrehajtási szabályt, miután számos érintett szervezet nem tartotta be teljes mértékben az Adatvédelmi és biztonsági szabályokat. Ez a szabály lehetővé teszi az egészségügyi és Humán Szolgáltatások (HHS) számára, hogy kivizsgálják a HIPAA-nak nem megfelelő érintett entitásokkal kapcsolatos panaszokat. Ez a szabály felhatalmazta a HHS-t arra is, hogy megbírságolja ezeket a szervezeteket az elektronikus védett egészségügyi információk (ePHI) megsértése miatt, amelyek elkerülhetők voltak, ha betartották a biztonsági szabályban előírt biztosítékokat.
a végrehajtási szabály értelmében az Állampolgári Jogok Hivatala (OCR) felhatalmazást kapott arra is, hogy pénzügyi szankciókat hajtson végre azokkal a szervezetekkel szemben, amelyek továbbra sem felelnek meg a követelményeknek. Ha az egyén személyes egészségügyi adatait az engedélyük nélkül megosztották, és ez “súlyos kárt” okoz nekik, akkor az egyén polgári jogi keresetet nyújthat be a hibás szervezet ellen.
a” HITECH ” törvény
elnöksége kezdete után Obama elnök elfogadta az Egészségügyi Információs technológiáról szóló gazdasági és klinikai egészségügyi törvényt, vagy a HITECH törvényt. A HITECH célja az volt, hogy ösztönözze az egészségügyi szolgáltatókat az elektronikus egészségügyi nyilvántartások (EHR-k) használatának megkezdésére.
később 2009-ben kiadták a HITECH törvény végrehajtási szabályát, amely a HIPAA megsértése miatt pénzügyi büntetések rendszerét hozta létre, sokkal magasabb potenciális bírságokkal, amelyek drámai módon megnövelték a HIPAA be nem tartásának költségeit.
a jogsértési értesítési szabály
2009 szeptemberében elfogadták a jogsértési értesítési szabályt, amely előírja, hogy az ePHI-nak az 500+ személyt érintő bármely megsértését jelenteni kell az OCR-nek, és értesítést kell küldeni minden olyan személynek, akit a jogsértés érinthet.
a HIPAA Omnibus szabály
a HIPAA Omnibus szabály, amelyet 2012-ben véglegesítettek és 2013-ban léptek hatályba, tartalmazta az összes említett szabály szerkesztését és frissítését. A biztonsági, adatvédelmi, szabálysértési értesítési és végrehajtási szabályok módosításainak célja az adatmegosztás titkosságának és biztonságának növelése volt. A legnagyobb változás az Omnibus szabály szerint az volt, hogy kötelezővé vált az üzleti partnerek számára, hogy megfeleljenek az Adatvédelmi szabálynak és a biztonsági szabályoknak, és hogy ezek a munkatársak közvetlenül felelősek a HIPAA megsértéséért.
a HIPAA történetének legfontosabb dátumainak összefoglalása
- augusztus 21, 1996: Clinton elnök aláírja a HIPAA-t a törvénybe
- április 2003: a HIPAA adatvédelmi szabály hatályba lép
- április 2005: HIPAA biztonsági szabály lép hatályba
- március 2006: HIPAA végrehajtási szabály hatálybalépésének időpontja
- február 2009: Hitech törvény aláírta a törvény Obama elnök
- szeptember 2009: megsértése értesítési szabály lép hatályba
- március 2013: végső Omnibus szabály hatálybalépésének időpontja