introduktion till HIPAA
HIPAA efterlevnad är ett rörligt mål. För att förstå var HIPAA rör sig måste du först förstå varför det började och hur det expanderade. Om du är intresserad av att lära dig en (kort) historia av HIPAA, läs vidare!den Health Insurance Portability and Accountability Act (HIPAA) undertecknades i lag 1996 och har sedan dess varit känd som en av de mest inflytelserika sjukvårdslagarna i USA. HIPAA har ändrats flera gånger under de senaste 23 åren, med varje ändring som långsamt utvidgar den till den lag som är igenkännlig för oss idag.
tidslinje för Passage
lagen antogs under Bill Clintons ordförandeskap den 21 augusti 1996, med de viktigaste målen att hjälpa fler amerikaner att få sjukförsäkring och garantera att anställda inte skulle förlora sin sjukförsäkring medan de bytte jobb. Övergången av HIPAA kallas också början på moderniseringen av informationsflödet inom vårdindustrin. Lagen tilldelade sekreteraren för hälsa och mänskliga tjänster (HSS) att fastställa regleringsstandarder för sekretess för viktig hälsoinformation som lade grunden för säkerhetsregeln och sekretessregeln.
Säkerhetsregelns historia
bara 2 år efter att HIPAA undertecknades i lag föreslog HHS säkerhetsregeln. Syftet med denna ändring var att förbättra skyddet av en persons hälsorelaterade information som delas mellan vårdgivare, hälsoplaner och andra organisationer. Även om denna regel föreslogs 1998 var det inte förrän 5 år senare att den slutfördes vid vilken tidpunkt det gav organisationer tid att bli kompatibla.
sekretessregeln och PHI
en annan viktig milstolpe i HIPAAS historia var förslaget och sedan slutförandet av sekretessregeln. Denna regel, som först föreslogs 1999, kretsar kring integritetsstandarder relaterade till skyddet för skyddad hälsoinformation (PHI).
skyddad hälsoinformation (Phi), som definierades av sekretessregeln, är all information i en persons journaler som kan identifiera dem och innehas av en täckt enhet. Enligt HIPAA och sekretessregeln finns det 18 specifika identifierare som måste hanteras med vissa skyddsåtgärder.
här är de 18 typerna av information som anses vara skyddad hälsoinformation (PHI) under HIPAA:
- namn
- adress (inklusive all information som är mer lokaliserad än staten)
- Alla datum (utom år) relaterade till individen, inklusive födelsedagar, dödsdatum, Datum för antagning / urladdning etc.
- telefonnummer
- faxnummer
- e-postadress
- personnummer
- journalnummer
- mottagarnummer för hälsoplan
- kontonummer
- certifikat/licensnummer
- Fordonsidentifierare, serienummer, registreringsnummer
- enhetsidentifierare/serienummer
- webbadresser
- IP-adress
- biometriska identifierare som fingeravtryck eller voiceprints
- full-face photos
- alla andra unika identifieringsnummer, Egenskaper eller koder
sekretessregeln tittade också på ge patienter lättare tillgång till sina egna personliga hälsodata. Efter sitt förslag 1999 slutfördes Integritetsregeln den 28 December 2000 under de senaste veckorna av president Clintons andra mandatperiod. Redan nästa dag, HHS gjorde några ändringar, viktigast kräver Office for Civil Rights, som är en byrå inom hälsa och mänskliga tjänster, att vara den grupp som kommer att genomdriva HIPAA.
som ett sista steg i regelprocessen sökte hälso-och mänskliga tjänster för offentlig input om vilka justeringar som behövde göras i sekretessregeln. Efter att ha beaktat de kommentarer som gjordes tillkännagav HHS en föreslagen modifierad Integritetsregel 2002. Den slutgiltiga sekretessregeln, som antogs 2003, justerades för att förbättra användbarheten och förhindra oväntade konsekvenser.
HIPAA Enforcement Rule
i början av 2005 infördes HIPAA Enforcement Rule efter att många täckta enheter inte helt överensstämde med integritets-och säkerhetsregler. Denna regel tillåter Health and Human Services (HHS) att undersöka klagomål som har gjorts om täckta enheter som inte följer HIPAA. Denna regel gav också HHS befogenhet att böta dessa enheter för brott mot elektronisk skyddad hälsoinformation (ePHI) som kunde undvikas om de hade följt de skyddsåtgärder som krävs enligt säkerhetsregeln.
även under Verkställighetsregeln bemyndigades Office of Civil Rights (OCR) att verkställa ekonomiska påföljder mot de enheter som förblev icke-kompatibla. Om en persons personliga hälso-och sjukvårdsinformation har delats utan deras tillstånd och det ger dem ”allvarlig skada” kan den personen väcka civilrättsliga åtgärder mot enheten på fel.
”HITECH” – lagen
strax efter att hans ordförandeskap började passerade President Obama Health Information Technology for Economic and Clinical Health Act, eller HITECH Act. HITECH hade till syfte att uppmuntra vårdgivare att börja använda elektroniska patientjournaler (EHRs).senare under 2009 utfärdades Hitech Act Enforcement Rule som skapade ett system med ekonomiska påföljder för brott mot HIPAA med mycket högre potentiella böter som dramatiskt ökade kostnaden för HIPAA-bristande efterlevnad.
regeln om överträdelseanmälan
i September 2009 antogs regeln om överträdelseanmälan som föreskriver att varje överträdelse av ePHI av en täckt enhet som påverkar 500+ individer rapporteras till OCR och meddelande måste skickas till alla individer som kan påverkas av överträdelsen.
HIPAA Omnibus-regeln
HIPAA Omnibus-regeln, som slutfördes 2012 och trädde i kraft 2013, innehöll ändringar och uppdateringar av alla regler vi nämnde. Ändringarna av säkerhets -, integritets -, Överträdelseanmälnings-och Verkställighetsreglerna var avsedda att förbättra konfidentialiteten och säkerheten vid datadelning. De största förändringarna under Omnibus-regeln var att det blev obligatoriskt för affärspartners att följa sekretessregeln och säkerhetsreglerna och att dessa medarbetare var ansvariga direkt för eventuella HIPAA-överträdelser.
sammanfattning av viktiga datum i HIPAA-historien
- 21 augusti 1996: President Clinton undertecknar HIPAA i lag
- April 2003: HIPAA-sekretessregeln träder i kraft
- April 2005: HIPAA – säkerhetsregeln träder i kraft
- Mars 2006: HIPAA-Verkställighetsregel ikraftträdandedatum
- februari 2009: HITECH-lagen undertecknad i lag av President Obama
- September 2009: Anmälningsregeln träder i kraft
- Mars 2013: slutlig Omnibusregel ikraftträdandedatum