HIPAA-historie

Hvornår blev HIPAA oprettet?

Vores lektion i HIPAA-historie starter den 21. august 1996, da Healthcare Insurance Portability and Accountability Act (HIPAA) blev underskrevet som lov, men hvorfor blev HIPAA-loven oprettet? HIPAA blev oprettet for at “forbedre overførbarheden og ansvarligheden af sygesikringsdækningen” for ansatte mellem forskellige job. Andre mål med loven var at bekæmpe spild, svindel og misbrug inden for sygesikring og levering af sundhedsydelser. Loven indeholdt også passager til fremme af brugen af medicinske opsparingskonti ved at indføre skattelettelser, giver dækning for ansatte med allerede eksisterende sygdomstilstande og forenkler administrationen af sygeforsikring.

Procedurerne til forenkling af administrationen af sygeforsikring blev et middel til at tilskynde sundhedsindustrien til at datamatisere patienternes patientjournaler. Denne særlige del af loven affødte Health Information Technology for Economic and Clinical Health Act (HITECH) i 2009, som igen førte til indførelsen af incitamentsprogrammet Meaningful Use – af ledere i sundhedssektoren beskrevet som “det vigtigste stykke lovgivning på sundhedsområdet, der er blevet vedtaget i de sidste 20-30 år”.

HIPAA Privacy and Security Rules Take Shape

Når HIPAA var blevet underskrevet som lov, gik det amerikanske Department of Health and Human Services i gang med at udarbejde de første HIPAA Privacy and Security Rules. Privacy Rule havde en ikrafttrædelsesdato den 14. april 2003, og den definerede Protected Health Information (PHI) som “alle oplysninger, der opbevares af en omfattet enhed, og som vedrører sundhedstilstand, levering af sundhedsydelser eller betaling for sundhedsydelser, og som kan knyttes til en person”.

Der blev udstedt instrukser om, hvordan PHI skulle videregives, og at der skulle indhentes tilladelse fra patienterne, før deres personlige oplysninger blev anvendt til markedsføring, fundraising eller forskning. Den gav også patienterne ret til at tilbageholde oplysninger om deres sundhedspleje fra sygesikringsudbydere, når deres behandling er privatfinansieret.

HIPAA Security Rule trådte i kraft to år efter den oprindelige lovgivning den 21. april 2005. Sikkerhedsreglen, der specifikt omhandler elektronisk lagrede PHI (ePHI), fastlagde tre sikkerhedsforanstaltninger – administrative, fysiske og tekniske – som skal overholdes fuldt ud for at overholde HIPAA. Beskyttelsesforanstaltningerne havde følgende mål:

  • Administrativt – at udarbejde politikker og procedurer, der er udformet til klart at vise, hvordan enheden vil overholde loven.
  • Fysisk – at kontrollere den fysiske adgang til områder med datalagring for at beskytte mod uhensigtsmæssig adgang
  • Teknisk – at beskytte kommunikation, der indeholder PHI, når den overføres elektronisk via åbne netværk

Hvornår trådte HIPAA i kraft?

I hvilket år blev HIPAA underskrevet som lov? HIPAA blev underskrevet den 21. august 1996, men der er sket store tilføjelser til HIPAA i løbet af de sidste 20 år: Indførelsen af Privacy Rule, Security Rule, Breach Notification Rule og Omnibus Final Rule.

De vigtigste ikrafttrædelsesdatoer er: Den 14. april 2003 for HIPAA Privacy Rule, selv om der var en forlængelse på et år for små sundhedsplaner, som skulle overholde HIPAA Privacy Rule-bestemmelserne senest den 14. april 2004.

Den effektive dato for overholdelse af HIPAA Security Rule var den 21. april 2005. Som det var tilfældet med HIPAA Privacy Rule, fik små sundhedsplaner et ekstra år til at overholde bestemmelserne i HIPAA Security Rule og havde en effektiv overensstemmelsesdato den 21. april 2006.

HIPAA Breach Notification Rule trådte i kraft den 23. september 2009, og Omnibus Final Rule trådte i kraft den 26. marts 2013.

Indførelsen af håndhævelsesreglen

Den omstændighed, at mange omfattede enheder ikke fuldt ud overholdt HIPAA’s regler om beskyttelse af personlige oplysninger og sikkerhed, resulterede i indførelsen af håndhævelsesreglen i marts 2006. Enforcement Rule gav Department of Health and Human Services beføjelse til at undersøge klager mod omfattede enheder for manglende overholdelse af Privacy Rule og til at give bøder til omfattede enheder for undgåelige brud på ePHI som følge af manglende overholdelse af de sikkerhedsforanstaltninger, der er fastsat i Security Rule.

Departementets Office for Civil Rights fik også beføjelse til at rejse straffesager mod vedvarende lovovertrædere, der undlader at indføre korrigerende foranstaltninger inden for 30 dage. Enkeltpersoner har også ret til at anlægge civilt søgsmål mod den omfattede enhed, hvis deres personlige sundhedsoplysninger er blevet videregivet uden deres tilladelse, hvis det medfører, at de kommer til at lide “alvorlig skade”.

HITECH 2009 og Breach Notification Rule

HIPAA-historien fortsatte i 2009 med indførelsen af Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH havde det primære mål at tvinge sundhedsmyndighederne til at gennemføre brugen af elektroniske patientjournaler (EHR) og indførte incitamentsprogrammet Meaningful Use. Første fase af Meaningful Use blev indført det følgende år og tilskyndede sundhedsorganisationer til at opbevare patienters beskyttede helbredsoplysninger i elektronisk format i stedet for i papirfiler.

Med incitamentprogrammet fulgte også en udvidelse af HIPAA-reglerne til at omfatte Business Associates og tredjepartsleverandører til sundhedssektoren og indførelsen af Breach Notification Rule – som foreskrev, at alle brud på ePHI, der berører mere end 500 personer, skal indberettes til Department of Health and Human Services’ Office for Civil Rights. Kriterierne for indberetning af brud på ePHI blev efterfølgende udvidet i den endelige omnibusregel fra marts 2013.

Den endelige omnibusregel fra 2013

Den seneste retsakt i HIPAA-historien var den endelige omnibusregel fra 2013. Reglen indførte næsten ingen ny lovgivning, men udfyldte huller i eksisterende HIPAA- og HITECH-bestemmelser – f.eks. ved at specificere de krypteringsstandarder, der skal anvendes for at gøre ePHI ubrugelige, uoprettelige og ulæselige i tilfælde af et brud.

Flere definitioner blev ændret eller tilføjet for at rydde op i gråzoner – f.eks. blev definitionen af “arbejdsstyrke” ændret for at gøre det klart, at begrebet omfatter ansatte, frivillige, praktikanter og andre personer, hvis adfærd i forbindelse med udførelsen af arbejde for en omfattet enhed eller forretningsforbindelse er under den omfattede enheds eller forretningsforbindelses direkte kontrol af den pågældende enhed eller forretningsforbindelse.

Reglerne om beskyttelse af privatlivets fred og sikkerhed blev også ændret for at tillade, at patienters sundhedsoplysninger kan opbevares på ubestemt tid (i den tidligere lovgivning var det fastsat, at de skulle opbevares i 50 år), mens der blev indføjet nye procedurer i reglerne om anmeldelse af brud på reglerne. Der blev også indført nye sanktioner – som dikteret af HITECH – over for omfattede enheder, der overtræder HIPAA Enforcement Rule.

Der blev også foretaget ændringer for at tage højde for ændrede arbejdsmetoder som følge af teknologiske fremskridt, herunder især brugen af mobile enheder. Et betydeligt antal sundhedspersoner bruger nu deres egne mobile enheder til at få adgang til og kommunikere ePHI, og den endelige Omnibus Rule indeholdt nye administrative procedurer og politikker for at tage højde for dette og for at dække scenarier, som ikke kunne have været forudset i 1996. Den fulde tekst af den endelige Omnibus Rule kan findes her.

Efter flere forsinkelser blev fristen for USA’s anvendelse af Clinical Modification ICD-10-CM til diagnosekodning og Procedure Coding System ICD-10-PCA til kodning af procedurer på hospitaler endelig fastsat til den 1. oktober 2015. Alle HIPAA-dækkede enheder skal anvende ICD-10-CM. Et andet krav er disse af EDI version 5010.

Nøgledatoer i HIPAA’s historie

  • August 1996 – HIPAA blev underskrevet som lov af præsident Bill Clinton.
  • April 2003 – ikrafttrædelsesdato for HIPAA Privacy Rule.
  • April 2005 – ikrafttrædelsesdato for HIPAA Security Rule.
  • Marts 2006 – Ikrafttrædelsesdato for HIPAA Breach Enforcement Rule.
  • September 2009 – Ikrafttrædelsesdato for HITECH og Breach Notification Rule.
  • Marts 2013 – Ikrafttrædelsesdato for den endelige Omnibus Rule.

I visse tilfælde fik CE’er og BA’er en periode til at overholde bestemmelserne i de enkelte regler. Selv om ikrafttrædelsesdatoen for den endelige omnibusregel var marts 2013, fik CE’er og BA’er f.eks. 180 dage til at overholde reglerne. Yderligere vigtige datoer i HIPAA-historien kan findes i vores infografik nedenfor.

Konsekvenser af den endelige Omnibus Rule

Det, som den endelige Omnibus Rule opnåede mere end nogen tidligere lovgivning, var at gøre de omfattede enheder mere bevidste om de HIPAA-sikkerhedsforanstaltninger, som de skulle overholde. Mange sundhedsorganisationer – som havde overtrådt HIPAA i næsten to årtier – gennemførte en række foranstaltninger for at overholde reglerne, f.eks. anvendelse af datakryptering på bærbare enheder og computernetværk, implementering af sikre messaging-løsninger til intern kommunikation med plejeteams, installation af webfiltre og større omhu med at arkivere e-mails på sikker vis.

De økonomiske sanktioner, der nu udstedes for databrud, sammen med de kolossale omkostninger ved at udsende meddelelser om brud, tilbyde kreditovervågningstjenester og gennemføre skadesbegrænsning får investeringer i ny teknologi til beskyttelse af data til at fremstå billige i sammenligning.

HIPAA Compliance Audit Program

I 2011 påbegyndte Office for Civil Rights en række pilotoverensstemmelsesrevisioner for at vurdere, hvor godt sundhedsudbydere implementerede HIPAA Privacy and Security Rules. Den første fundne revision blev afsluttet i 2012 og fremhævede den forfærdelige tilstand af overholdelse af sundhedsvæsenet.

De reviderede organisationer registrerede talrige overtrædelser af HIPAA Breach Notification Rule, Privacy Rule og Security Rule, hvor sidstnævnte resulterede i det højeste antal overtrædelser. OCR udstedte handlingsplaner for at hjælpe disse organisationer med at opnå overholdelse; i forbindelse med den anden runde af revisioner forventes det dog ikke at være lige så eftergivende.

Revisionerne forventes at være rettet mod de specifikke områder, der viste sig problematiske for så mange sundhedsudbydere, mens der planlægges en permanent revisionsplan for at sikre fortsat overholdelse af HIPAA. Tiden med lempelige sikkerhedsstandarder er nu forbi, og sundhedssektoren, ligesom finanssektoren før den, skal hæve standarderne for at sikre, at fortrolige data forbliver private.

Alle omfattede enheder, der ikke gennemfører de krævede kontroller, risikerer økonomiske sanktioner, sanktioner, potentielt tab af licens og endda straffesager for ikke at sikre ePHI.

Sådan opnår du fuld overholdelse af HIPAA

Vores “HIPAA Compliance Checklist” dækker elementerne i Health Insurance Portability and Accountability Act vedrørende opbevaring, overførsel og bortskaffelse af elektroniske beskyttede sundhedsoplysninger, de foranstaltninger, som organisationer skal træffe som reaktion på et brud, og de politikker og procedurer, der skal vedtages for at opnå fuld overholdelse.

HIPAA-reglerne kan være strenge, men de omfattede organisationer har alligevel en vis fleksibilitet med hensyn til de sikkerheds- og fortrolighedsforanstaltninger, der anvendes til at beskytte data. Datakryptering skal f.eks. behandles, men skal ikke nødvendigvis implementeres, hvis andre kontroller giver den nødvendige beskyttelse.

Nogle af de vigtigste tekniske sikkerhedsforanstaltninger, der anvendes til at beskytte og kontrollere ePHI, bidrager faktisk til at strømline kommunikation og informationsstrømmen, og organisationer, der har indført sikre kommunikationskanaler og implementeret datakontrol, har draget fordel af forbedret effektivitet, hurtigere svartider og har forbedret patientresultaterne, samtidig med at de sikrer, at patienternes sundhedsdata til enhver tid forbliver fuldt beskyttet.

Tekniske sikkerhedsforanstaltninger til sikring af ePHI og personlige identifikatorer

Datakryptering

Brug af bærbare computere og andre mobile enheder til opbevaring af eller adgang til ePHI resulterer uundgåeligt i et HIPAA-overtrædelse, hvis disse enheder går tabt, stjæles eller genbruges ukorrekt. Kodeordsbeskyttelse af enheder – og de data, de indeholder – er et rimeligt skridt til at forhindre uautoriseret adgang, men alene er det ikke tilstrækkeligt til at yde den nødvendige beskyttelse af sundhedsdata. Adgangskoder kan let knækkes af hackere og giver ikke et tilstrækkeligt højt sikkerhedsniveau.

Datakryptering indebærer konvertering af data til uoprettelige symboler – såkaldt ciffertekst – ved hjælp af komplekse algoritmer, som kræver en sikkerhedsnøgle for at konvertere dataene tilbage til deres oprindelige form. Datakryptering sikrer privatlivets fred, men kan give andre sikkerhedsfordele som f.eks. verifikation af brugere, logning af adgang, forhindring af ændringer i optegnelser og ikke-afvisning af adgang og/eller tyveri.

Sikkerhedsniveauet kan justeres efter behov på grundlag af følsomheden af de data, det bruges til at beskytte. Data kan krypteres med adgang til en enkelt sikkerhedsnøgle eller med separate nøgler til kryptering og dekryptering (symmetrisk og asymmetrisk datakryptering).

Hvis en mobilenhed bliver tabt eller stjålet, eller hvis computernetværk bliver hacket, vil det ganske vist blive betragtet som et sikkerhedsbrud, men det vil ikke være en HIPAA-overtrædelse, medmindre adgangsnøglen også bliver afsløret.

Sikker messaging

Sundhedssektoren og personsøgeren synes næsten uadskillelige, men det er ved at ændre sig. Fokus på HIPAA-overholdelse er i øjeblikket rettet mod smartphones og bærbar teknologi, men personsøgeren er ikke HIPAA-kompatibel. Alle mobile enheder sender data over usikrede netværk og er derfor afhængige af, at brugerne ikke sender ePHI.

BYOD-ordninger er nu blevet indført af mange sundhedsudbydere, selv om moderne mobile enheder har endnu større potentiale til at forårsage HIPAA-overtrædelser på grund af den lethed, hvormed personlige identifikatorer og ePHI kan sendes. Der kan indføres politikker og procedurer for at kontrollere, hvordan disse enheder anvendes, selv om undersøgelser tyder på, at mange sundhedspersoner i praksis stadig bruger enhederne til at kommunikere ePHI.

Sikre messaging-løsninger forhindrer dette. De fungerer ved at opbevare ePHI på en sikker database og derefter give autoriseret medicinsk personale adgang til dataene via apps til sikker beskeder, der kan downloades. Kommunikationen kanaliseres gennem en sikker meddelelsesplatform, som har administrative kontroller for at overvåge det autoriserede personales aktivitet. De har også compliance-ansvarlige til at udarbejde risikovurderinger, som kræves af HIPAA og Office for Civil Rights’ revisorer.

Mange sundhedsorganisationer har rapporteret, at implementeringen af sikre messaging-løsninger har øget produktiviteten ved at strømline kommunikationen, øge ansvarligheden for meddelelser og fremskynde svartider. Ifølge undersøgelser foretaget i HIPAA-kompatible medicinske faciliteter er effektiviteten også steget, hvilket har resulteret i en højere standard for sundhedsydelser, der leveres til patienterne.

Compliant Cloud Storage

Overgangen fra fysiske sundhedsjournaler til elektroniske dataformater har krævet betydelige investeringer i it-infrastruktur. De krav, der stilles til sundhedsorganisationer for løbende at opgradere servere og netværk og ansætte personale til at administrere datacentre, kan være betydelige. Ud over hardwaren skal der afsættes plads til opbevaring af udstyret, og der skal anvendes fysisk kontrol til at kontrollere adgangen.

Det computerudstyr, der nu er nødvendigt for at drive store netværk og opbevare sundhedsdata, kræver, at der installeres kølesystemer til afledning af den varme, som udstyret genererer. Den mest omkostningseffektive løsning for mange udbydere af sundhedsydelser er at outsource datalagring og benytte sig af skyen til lagring af data. HIPAA-kompatibel cloudhosting anvender passende kontrolforanstaltninger til at sikre alle lagrede data med kryptering. Ved at outsource kan sundhedsorganisationer overholde HIPAA-bestemmelserne uden at skulle investere så meget i it-infrastruktur.

Kompatible mobile platforme (appudvikling)

Mobile sundhedsapps er populære hos patienterne til sporing og overvågning af sundhed og fitness, og bærbare enheder har potentiale til at revolutionere sundhedsplejen i hjemmet. De kan bruges sammen med e-besøg til at levere hjemmeplejeydelser til patienterne til en brøkdel af sundhedscenterbesøgene.

Patientportaler har ligeledes et stort potentiale og forbedrer interaktionen mellem plejeudbydere og patienter og reducerer unødvendige omkostninger, samtidig med at de bidrager til at forbedre patienternes resultater. Udviklingen af HIPAA-kompatible rammer for mobile apps, kompatibel lagring og HIPAA-kompatible webløsninger betyder, at sundhedsudbydere kan drage fordel af fordelene ved ny teknologi uden at bringe privatlivets fred og sikkerheden for patientdata i fare.

Mere tekniske sikkerhedsforanstaltninger til sikring af ePHI og personlige identifikatorer er uden tvivl i planlægningsfasen nu og vil påvirke HIPAA-historien i fremtiden. I mellemtiden er her en kort tidslinje over HIPAA-historien.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.