HIPAA:n historia

HIPAA Security Rule tuli voimaan kaksi vuotta alkuperäisen lainsäädännön jälkeen 21. huhtikuuta 2005. Turvallisuussäännössä käsitellään erityisesti sähköisesti tallennettua PHI-tietoa (ePHI), ja siinä säädetään kolmesta turvatoimesta – hallinnollisista, fyysisistä ja teknisistä – joita on noudatettava kaikilta osin, jotta HIPAA:ta voidaan noudattaa. Suojatoimilla oli seuraavat tavoitteet:

• Hallinnolliset – luoda toimintaperiaatteet ja menettelyt, jotka on suunniteltu osoittamaan selkeästi, miten yhteisö noudattaa lakia.
• Fyysiset – valvoa fyysistä pääsyä tietovarastojen alueille sopimattomalta käytöltä suojaamiseksi
• Tekniset – suojata PHI:tä sisältävää viestintää, kun sitä siirretään sähköisesti avoimissa verkoissa

Milloin HIPAA tuli voimaan?

Milloin HIPAA:n laki allekirjoitettiin? HIPAA allekirjoitettiin laiksi 21. elokuuta 1996, mutta HIPAA:han on tehty merkittäviä lisäyksiä viimeisten 20 vuoden aikana: Privacy Rule, Security Rule, Breach Notification Rule ja Omnibus Final Rule.

Tärkeimmät voimaantulopäivät ovat: Huhtikuun 14. päivä 2003 HIPAA:n tietosuojasäännön osalta, vaikka pienille terveydenhuoltosuunnitelmille myönnettiin vuoden pidennys, jonka mukaan niiden oli noudatettava HIPAA:n tietosuojasäännön säännöksiä 14. huhtikuuta 2004 mennessä.

HIPAA:n turvallisuussäännön voimaantulopäivä oli 21. huhtikuuta 2005. Kuten HIPAA Privacy Rule -säännön kohdalla, pienille terveydenhuoltosuunnitelmille annettiin lisävuosi aikaa noudattaa HIPAA Security Rule -säännön säännöksiä, ja niiden voimaantulopäivä oli 21. huhtikuuta 2006.

HIPAA Breach Notification Rule tuli voimaan 23. syyskuuta 2009, ja Omnibus Final Rule tuli voimaan 26. maaliskuuta 2013.

Pakkokeinosäännön käyttöönotto

Monien suojattujen yhteisöjen epäonnistuminen HIPAA:n tietosuoja- ja turvallisuussääntöjen täysimääräisessä noudattamisessa johti pakkokeinosäännön käyttöönottoon maaliskuussa 2006. Enforcement Rule -säännöllä annettiin Department of Health and Human Services -ministeriölle valtuudet tutkia valituksia, jotka koskevat suojattuja yhteisöjä, jotka eivät ole noudattaneet Privacy Rule -sääntöä, ja sakottaa suojattuja yhteisöjä, jotka ovat syyllistyneet ePHI-tietojen loukkauksiin, jotka ovat olleet vältettävissä sen vuoksi, etteivät ne ole noudattaneet Security Rule -säännön mukaisia suojatoimia.

Ministeriön kansalaisoikeusvirastolle annettiin myös valtuudet nostaa rikossyytteet niitä jatkuvia rikkojia vastaan, jotka eivät toteuta korjaavia toimenpiteitä 30 päivän kuluessa. Yksityishenkilöillä on myös oikeus nostaa siviilioikeudellisia kanteita suojattua yksikköä vastaan, jos heidän henkilökohtaisia terveystietojaan on luovutettu ilman heidän lupaansa, jos siitä aiheutuu heille ”vakavaa haittaa”.

HITECH 2009 ja tietoturvaloukkauksista ilmoittamista koskeva sääntö

HIPAA:n historiaa jatkettiin vuonna 2009, jolloin otettiin käyttöön terveydenhuollon tietotekniikkaa koskeva laki (Health Information Technology for Economic and Clinical Health Act, jäljempänä ’Health Information Technology for Economic and Clinical Health Act’, HITECH). HITECHin ensisijaisena tavoitteena oli pakottaa terveydenhuoltoviranomaiset ottamaan käyttöön sähköiset potilastietojärjestelmät (Electronic Health Records, EHR) ja ottaa käyttöön Meaningful Use -kannustinohjelma. Meaningful Use -ohjelman ensimmäinen vaihe otettiin käyttöön seuraavana vuonna, ja se kannusti terveydenhuolto-organisaatioita säilyttämään potilaiden suojattuja terveystietoja sähköisessä muodossa paperitiedostojen sijaan.

Kannustinohjelman myötä HIPAA-sääntöjä laajennettiin koskemaan myös liiketoimintayhteistyökumppaneita (Business Associates) ja terveydenhuoltoalan kolmansia osapuolia sekä otettiin käyttöön tietoturvaloukkauksista ilmoittamista koskeva sääntö (Breach Notification Rule), jonka mukaan kaikista sähköisen henkilötietojen tietoturvaloukkauksista (ePHI-rikkomuksista), jotka koskettavat enemmän kuin 500 henkilöä, on raportoitava terveys- ja terveyspalvelujen ministeriön (Department of Health and Human Services’n) siviilipalvelujen toimistolle. EPHI-tietojen tietoturvaloukkauksista ilmoittamisen kriteerejä laajennettiin myöhemmin maaliskuussa 2013 annetussa Final Omnibus Rule -säännössä.

The Final Omnibus Rule of 2013

HIPAA:n historian viimeisin säädös oli vuoden 2013 Final Omnibus Rule. Säännöllä ei juurikaan otettu käyttöön uutta lainsäädäntöä, mutta sillä täytettiin aukkoja olemassa olevissa HIPAA- ja HITECH-säännöksissä – esimerkiksi täsmennettiin salausstandardit, joita on sovellettava, jotta sähköiset tieto- ja viestintäturvatiedot voidaan tehdä käyttökelvottomiksi, salaamattomiksi ja lukukelvottomiksi tietoturvaloukkauksen sattuessa.

Monia määritelmiä muutettiin tai lisättiin harmaiden alueiden selkeyttämiseksi – esimerkiksi ”työvoiman” määritelmää muutettiin siten, että tehdään selväksi, että termi kattaa työntekijät, vapaaehtoiset, harjoittelijat ja muut henkilöt, joiden käyttäytyminen suorittaessaan työtä suojattua yhteisöä tai liiketoimintayhteistyökumppania varten on suojattua yhteisöä tai liiketoimintayhteistyökumppania koskevan välittömän valvonnan alaisena.

Turva- ja tietosuojasääntöjä muutettiin myös siten, että potilaan terveystietoja voidaan säilyttää määräämättömän ajan (aiemmassa lainsäädännössä edellytettiin, että niitä on säilytettävä viisikymmentä vuotta), ja rikkomuksista ilmoittamista koskevaan sääntöön sisällytettiin uusia menettelyjä. HITECHin sanelemia uusia rangaistuksia sovellettiin myös suojattuihin yksiköihin, jotka rikkoivat HIPAA Enforcement Rule -sääntöä.

Muutoksilla pyrittiin myös ottamaan huomioon teknologisen kehityksen mukanaan tuomat muuttuvat työkäytännöt, jotka kattavat erityisesti mobiililaitteiden käytön. Merkittävä osa terveydenhuollon ammattilaisista käyttää nykyään omia mobiililaitteitaan ePHI:n käyttämiseen ja välittämiseen, ja lopulliseen Omnibus-sääntöön sisällytettiin uusia hallinnollisia menettelyjä ja toimintatapoja tämän huomioon ottamiseksi ja sellaisten skenaarioiden kattamiseksi, joita ei voitu ennakoida vuonna 1996. Final Omnibus Rule -säännön koko teksti löytyy täältä.

Moninkertaisten viivästysten jälkeen määräaika, johon mennessä Yhdysvalloissa on käytettävä diagnoosien koodauksessa Clinical Modification ICD-10-CM:ää ja sairaalahoidon toimenpidekoodauksessa Procedure Coding System ICD-10-PCA:ta, asetettiin lopulta 1. lokakuuta 2015. Kaikkien HIPAA:n piiriin kuuluvien yhteisöjen on käytettävä ICD-10-CM:ää. Toinen vaatimus on nämä EDI-versio 5010.

Keskeiset päivämäärät HIPAA:n historiassa

• Elokuu 1996 – Presidentti Bill Clinton allekirjoitti HIPAA:n.
• Huhtikuu 2003 – HIPAA:n yksityisyydensuojasäännön voimaantulopäivä.
• Huhtikuu 2005 – HIPAA:n turvallisuussäännön voimaantulopäivä.
• Maaliskuu 2006 – HIPAA Breach Enforcement Rule -säännön voimaantulopäivä.
• Syyskuu 2009 – HITECHin ja Breach Notification Rule -säännön voimaantulopäivä.
• Maaliskuu 2013 – Lopullisen Omnibus Rule -säännön voimaantulopäivä.

Tietyissä tilanteissa CE-yrityksille ja BA-yrityksille annettiin aikaa kunkin säännön säännösten noudattamiseen. Vaikka esimerkiksi Final Omnibus Rule -säännön voimaantulopäivä oli maaliskuu 2013, CE:ille ja BA:ille annettiin 180 päivää aikaa noudattaa sitä. Lisää HIPAA:n historian keskeisiä päivämääriä löydät alla olevasta infograafista.

Consequences of the Final Omnibus Rule

Final Omnibus Rule saavutti aiempia säädöksiä paremmin sen, että katetut yhteisöt tulivat tietoisemmiksi HIPAA:n suojalausekkeista, joita niiden oli noudatettava. Monet terveydenhuollon organisaatiot – jotka olivat rikkoneet HIPAA:ta lähes kahden vuosikymmenen ajan – toteuttivat useita toimenpiteitä säännösten noudattamiseksi, kuten käyttivät tietojen salausta kannettavissa laitteissa ja tietokoneverkoissa, ottivat käyttöön suojattuja viestiratkaisuja hoitotiimien kanssa käytävää sisäistä viestintää varten, asensivat verkkosuodattimia ja huolehtivat entistä huolellisemmin sähköpostiviestien arkistoinnista turvallisesti.

Tietomurroista nyt langetettavat taloudelliset rangaistukset sekä valtavat kustannukset, joita aiheutuu tietomurtoilmoitusten tekemisestä, luotonvalvontapalvelujen tarjoamisesta ja vahinkojen lieventämisestä, saavat investoinnit uuteen tekniikkaan tietojen suojaamiseksi näyttämään halvoilta.

HIPAA:n vaatimustenmukaisuuden auditointiohjelma

Kansalaisoikeuksien virasto (Office for Civil Rights Office for Civil Rights, OICRW) alkoi vuonna 2011 pilottitarkastuksia, joilla pyrittiin arvioimaan sitä, kuinka hyvin terveydenhuoltopalvelujen tarjoajat panevat täytäntöön yksityisyydensuojan suojaa ja tietoturvaa koskevia HIPAA:n sääntöjä. Ensimmäiset tarkastukset saatiin päätökseen vuonna 2012, ja ne toivat esiin terveydenhuollon vaatimustenmukaisuuden surkean tilan.

Auditoidut organisaatiot kirjasivat lukuisia HIPAA Breach Notification Rule (HIPAA Breach Notification Rule) -säännön, Privacy Rule (tietosuojasääntö) ja Security Rule (turvallisuussääntö) rikkomuksia, joista jälkimmäinen aiheutti eniten rikkomuksia. OCR antoi toimintasuunnitelmia auttaakseen kyseisiä organisaatioita saavuttamaan vaatimustenmukaisuuden; toisella auditointikierroksella sen ei kuitenkaan odoteta olevan yhtä lempeä.

Auditointien odotetaan kohdistuvan erityisiin aloihin, jotka osoittautuivat ongelmallisiksi niin monille terveydenhuollon palveluntarjoajille, ja samalla suunnitellaan pysyvää auditointisuunnitelmaa, jolla varmistetaan HIPAA:n vaatimustenmukaisuuden jatkuminen. Löyhien turvallisuusstandardien aikakausi on nyt ohi, ja terveydenhuoltoalan, kuten rahoitusalan ennen sitä, on nostettava standardeja varmistaakseen, että luottamukselliset tiedot pysyvät yksityisinä.

Jokaista katettua yksikköä, joka ei toteuta vaadittuja valvontatoimia, uhkaavat taloudelliset rangaistukset, sanktiot, mahdollinen toimiluvan menettäminen ja jopa rikosoikeudenkäynnit, jos se ei turvaa sähköistä tietoa.

Miten saavutetaan täydellinen HIPAA-vaatimustenmukaisuus

”HIPAA-vaatimustenmukaisuuden tarkistuslistamme” kattaa sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act) osatekijät, jotka liittyvät sähköisten suojattujen terveystietojen tallentamiseen, siirtämiseen ja hävittämiseen, toimet, joihin organisaatioiden on ryhdyttävä tietoturvaloukkauksen sattuessa, sekä käytännöt ja menettelyt, jotka on otettava käyttöön täydellisen vaatimustenmukaisuuden saavuttamiseksi.

HIPAA-säädökset voivat olla tiukkoja, mutta niiden piiriin kuuluvalla organisaatiolle on kuitenkin sallittua jonkin verran liikkumavaraa yksityisyyden suojaamisen ja tietoturvan turvaamisen varotoimien osalta. Esimerkiksi tietojen salausta on käsiteltävä, mutta sitä ei välttämättä tarvitse toteuttaa, jos muut valvontakeinot tarjoavat tarvittavan suojan.

Jotkut tärkeimmistä teknisistä suojatoimista, joita käytetään sähköisten terveystietojen suojaamiseksi ja valvomiseksi, auttavat itse asiassa virtaviivaistamaan viestintää ja tiedonkulkua, ja organisaatiot, jotka ovat ottaneet käyttöön suojattuja viestintäkanavia ja ottaneet käyttöön tiedonvalvontatoimia, ovat hyötyneet parantuneesta tehokkuudesta, nopeammista vasteajoista ja parantaneista potilastuloksista varmistaen, että potilaiden terveyteen liittyvät tiedot pysyvät aina täysin suojattuina.

Technical Safeguards to Secure ePHI and Personal Identifiers

Data Encryption

Kannettavien tietokoneiden ja muiden mobiililaitteiden käyttö ePHI:n tallentamiseen tai käyttämiseen johtaa väistämättä HIPAA-tietosuojaloukkaukseen, jos kyseiset laitteet katoavat, varastetaan tai kierrätetään väärin. Laitteiden – ja niiden sisältämien tietojen – salasanasuojaus on kohtuullinen toimenpide luvattoman käytön estämiseksi, mutta yksinään se ei riitä tarjoamaan tarvittavaa suojaa terveystiedoille. Hakkerit voivat helposti murtaa salasanat, eivätkä ne tarjoa riittävän korkeaa turvallisuustasoa.

Tietojen salauksessa tiedot muunnetaan monimutkaisilla algoritmeilla lukukelvottomiksi symboleiksi, joita kutsutaan salatuksi tekstiksi, ja joiden muuntaminen takaisin alkuperäiseen muotoon edellyttää turva-avainta. Tietojen salaus takaa yksityisyyden suojan, mutta se voi tarjota myös muita turvallisuushyötyjä, kuten käyttäjien todentamisen, käyttöoikeuksien kirjaamisen, tietomuutosten estämisen ja käytön ja/tai varkauden kiistämättömyyden.

Turvatasoa voidaan säätää tarpeen mukaan sen mukaan, kuinka arkaluonteisia tietoja sillä suojataan. Tiedot voidaan salata yhdellä suojausavaimella tai erillisillä avaimilla salausta ja salauksen purkua varten (symmetrinen ja epäsymmetrinen tietojen salaus).

Jos mobiililaite katoaa tai varastetaan tai jos tietokoneverkkoihin murtaudutaan, tämä katsotaan tietoturvaloukkaukseksi, mutta se ei ole HIPAA-rikkomus, ellei myös käyttöavainta paljasteta.

Turvallinen viestinvälitys

Terveydenhuoltoala ja hakulaite näyttävät olevan lähes erottamattomat, mutta tämä on muuttumassa. HIPAA-vaatimustenmukaisuus keskittyy tällä hetkellä älypuhelimiin ja puettavaan teknologiaan, mutta hakulaite ei ole HIPAA-vaatimustenmukainen. Kaikki mobiililaitteet välittävät tietoja suojaamattomissa verkoissa, ja siksi ne luottavat siihen, että käyttäjät eivät lähetä ePHI:tä.

BYOD-järjestelmät on nyt otettu käyttöön monissa terveydenhuollon tarjoajissa, vaikka nykyaikaisilla mobiililaitteilla on vieläkin suurempi potentiaali aiheuttaa HIPAA-rikkomuksia, koska henkilötunnuksia ja ePHI:tä voidaan lähettää helposti. Käytäntöjä ja menettelyjä voidaan ottaa käyttöön näiden laitteiden käytön valvomiseksi, vaikka tutkimukset osoittavat, että käytännössä monet terveydenhuollon ammattilaiset käyttävät laitteita edelleen ePHI:n välittämiseen.

Secure messaging -ratkaisut estävät tämän. Ne toimivat siten, että ePHI-tiedot säilytetään suojatussa tietokannassa, minkä jälkeen valtuutetut terveydenhuollon ammattilaiset pääsevät käsiksi tietoihin ladattavien suojattujen sanomanvälityssovellusten kautta. Viestintä kanavoidaan suojatun viestialustan kautta, jossa on käytössä hallinnolliset kontrollit valtuutetun henkilöstön toiminnan valvomiseksi. Ne myös valvovat sääntöjen noudattamista, jotta ne voivat laatia riskinarviointeja HIPAA:n ja Office for Civil Rights -viraston tarkastajien vaatimusten mukaisesti.

Monet terveydenhuollon organisaatiot ovat raportoineet, että suojattujen viestiratkaisujen käyttöönotto on lisännyt tuottavuutta virtaviivaistamalla viestintää, lisäämällä viestien vastuullisuutta ja nopeuttamalla vasteaikoja. HIPAA-yhteensopivissa lääketieteellisissä laitoksissa tehtyjen tutkimusten mukaan myös tehokkuus on lisääntynyt, mikä on johtanut siihen, että potilaille tarjotaan korkeatasoisempaa terveydenhuoltoa.

yhteensopiva pilvitallennus

Siirtyminen fyysisistä terveystietokannoista sähköisiin tietomuotoihin on vaatinut huomattavia investointeja tietotekniikan infrastruktuuriin. Terveydenhuolto-organisaatioille asetetut vaatimukset palvelimien ja verkkojen jatkuvasta päivittämisestä ja tietokeskusten hallinnointiin tarvittavan henkilöstön palkkaamisesta voivat olla huomattavat. Laitteiston lisäksi on varattava tilaa laitteiden varastointiin ja käytettävä fyysistä valvontaa pääsyn valvomiseksi.

Tietokonelaitteet, joita nyt tarvitaan suurten verkkojen pyörittämiseen ja terveydenhuollon tietojen tallentamiseen, edellyttävät jäähdytysjärjestelmien asentamista laitteiden tuottaman lämmön haihduttamiseksi. Kustannustehokkain ratkaisu monille terveydenhuollon tarjoajille on ulkoistaa tietojen tallennus ja hyödyntää pilvipalvelua tietojen tallentamisessa. HIPAA-vaatimusten mukaisessa pilvipalvelussa käytetään asianmukaisia valvontatoimia kaikkien tallennettujen tietojen suojaamiseksi salauksella. Ulkoistamalla terveydenhuollon organisaatiot voivat noudattaa HIPAA-säännöksiä ilman, että niiden tarvitsee investoida niin paljon IT-infrastruktuuriin.

Yhteensopivat mobiilialustat (sovelluskehitys)

Terveyssovellukset ovat suosittuja potilaiden keskuudessa terveyden ja kunnon seuraamiseksi ja valvomiseksi, ja puettavat laitteet voivat mullistaa kotisairaanhoidon. Niitä voidaan käyttää yhdessä sähköisten käyntien kanssa, jolloin potilaille voidaan tarjota kotihoitopalveluja murto-osalla terveyskeskuskäynteihin verrattuna.

Potilasportaaleissa on vastaavasti paljon potentiaalia, ja ne parantavat hoitopalvelujen tarjoajien ja potilaiden välistä vuorovaikutusta ja vähentävät tarpeettomia kustannuksia samalla kun ne auttavat parantamaan potilastuloksia. HIPAA-yhteensopivien mobiilisovelluskehysten, yhteensopivien tallennustilojen ja HIPAA-yhteensopivien web-ratkaisujen kehittäminen tarkoittaa, että terveydenhuollon tarjoajat voivat hyödyntää uuden tekniikan etuja vaarantamatta potilastietojen yksityisyyttä ja turvallisuutta.

Epäilemättä lisää teknisiä suojatoimia ePHI:n ja henkilökohtaisten tunnisteiden suojaamiseksi on nyt suunnitteilla, ja ne vaikuttavat HIPAA-historiaan tulevaisuudessa. Sillä välin tässä on lyhyt HIPAA-historian aikajana.