Historie HIPAA

Kdy vznikl HIPAA?

Naše lekce historie HIPAA začíná 21. srpna 1996, kdy byl podepsán zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), ale proč byl zákon HIPAA vytvořen? HIPAA byl vytvořen s cílem „zlepšit přenositelnost a odpovědnost zdravotního pojištění“ pro zaměstnance mezi jednotlivými zaměstnáními. Dalšími cíli zákona byl boj proti plýtvání, podvodům a zneužívání v oblasti zdravotního pojištění a poskytování zdravotní péče. Zákon obsahoval také pasáže na podporu využívání zdravotních spořicích účtů zavedením daňových úlev, zajišťoval krytí pro zaměstnance s již existujícími zdravotními potížemi a zjednodušoval správu zdravotního pojištění.

Postupy pro zjednodušení správy zdravotního pojištění se staly nástrojem k podpoře zdravotnictví při elektronizaci zdravotních záznamů pacientů. Právě tato část zákona dala v roce 2009 vzniknout zákonu o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (Health Information Technology for Economic and Clinical Health Act – HITECH), který následně vedl k zavedení motivačního programu Meaningful Use – vedoucí představitelé zdravotnického průmyslu jej označují za „nejdůležitější právní předpis v oblasti zdravotnictví, který byl přijat za posledních 20 až 30 let“.

Pravidla ochrany soukromí a bezpečnosti HIPAA se formují

Po podpisu zákona HIPAA se americké ministerstvo zdravotnictví a sociálních věcí pustilo do tvorby prvních pravidel ochrany soukromí a bezpečnosti HIPAA. Pravidla o ochraně soukromí měla datum účinnosti 14. dubna 2003 a definovala chráněné zdravotní informace (Protected Health Information, PHI) jako „veškeré informace, které má v držení subjekt, na nějž se vztahují, a které se týkají zdravotního stavu, poskytování zdravotní péče nebo platby za zdravotní péči a které lze spojit s jednotlivcem“.

Byly vydány pokyny, jak mají být PHI zveřejňovány a že před použitím jejich osobních údajů pro marketing, získávání finančních prostředků nebo výzkum je třeba požádat pacienty o souhlas. Dávalo také pacientům právo neposkytovat informace o své zdravotní péči zdravotním pojišťovnám, pokud je jejich léčba financována ze soukromých zdrojů.

Dva roky po vydání původní legislativy, 21. dubna 2005, vstoupila v platnost bezpečnostní pravidla HIPAA. Bezpečnostní pravidlo, zabývající se konkrétně elektronicky uloženými PHI (ePHI), stanovilo tři bezpečnostní opatření – administrativní, fyzická a technická – která musí být plně dodržena, aby bylo dosaženo souladu s HIPAA. Bezpečnostní opatření měla následující cíle:

  • Administrativní – vytvoření zásad a postupů, které mají jasně ukázat, jak bude subjekt dodržovat zákon.
  • Fyzické – kontrolovat fyzický přístup k oblastem ukládání dat za účelem ochrany před nevhodným přístupem
  • Technické – chránit komunikaci obsahující PHI při elektronickém přenosu po otevřených sítích

Kdy nabyl zákon HIPAA účinnosti

V kterém roce byl zákon HIPAA podepsán? HIPAA byl podepsán 21. srpna 1996, ale za posledních 20 let došlo k významným doplněním HIPAA:

Nejdůležitější data účinnosti jsou:

Zavedení pravidla o ochraně osobních údajů, bezpečnostního pravidla, pravidla o oznamování narušení bezpečnosti a souhrnného konečného pravidla: 14. dubna 2003 pro pravidlo HIPAA o ochraně soukromí, ačkoli došlo k prodloužení o jeden rok pro malé zdravotní plány, které byly povinny splnit ustanovení pravidla HIPAA o ochraně soukromí do 14. dubna 2004.

Datum účinnosti pravidla HIPAA o zabezpečení bylo 21. dubna 2005. Stejně jako v případě pravidla HIPAA o ochraně soukromí byl malým zdravotním plánům poskytnut další rok na splnění ustanovení pravidla HIPAA o bezpečnosti a datum účinnosti splnění bylo 21. dubna 2006.

Pravidlo HIPAA o oznamování narušení nabylo účinnosti 23. září 2009 a souhrnné konečné pravidlo nabylo účinnosti 26. března 2013.

Zavedení pravidla o vynucování

Nedodržování pravidel ochrany soukromí a bezpečnosti HIPAA ze strany mnoha krytých subjektů vedlo v březnu 2006 k zavedení pravidla o vynucování. Pravidlo o prosazování dalo ministerstvu zdravotnictví a lidských služeb pravomoc vyšetřovat stížnosti na kryté subjekty za nedodržení pravidla o ochraně soukromí a ukládat pokuty krytým subjektům za porušení ePHI, kterému se dalo předejít v důsledku nedodržení bezpečnostních opatření stanovených v pravidle o zabezpečení.

Úřad ministerstva pro občanská práva byl rovněž zmocněn k podání trestního oznámení na trvalé porušovatele, kteří do 30 dnů nezavedou nápravná opatření. Jednotlivci mají také právo podat občanskoprávní žalobu proti subjektu, na který se vztahuje, pokud byly jejich osobní údaje o zdravotní péči zveřejněny bez jejich souhlasu, pokud jim to způsobí „vážnou újmu“.

HITECH 2009 a pravidlo o oznamování porušení zabezpečení

Historie HIPAA pokračovala v roce 2009 zavedením zákona o zdravotnické informační technologii pro ekonomické a klinické zdraví (HITECH). HITECH měl za hlavní cíl přimět zdravotnické orgány k zavedení používání elektronických zdravotních záznamů (EHR) a zavedl motivační program Meaningful Use. V následujícím roce byla zavedena první fáze programu Meaningful Use, která motivovala zdravotnické organizace k uchovávání chráněných zdravotních informací pacientů v elektronické podobě, nikoliv v papírových souborech.

S pobídkovým programem přišlo také rozšíření pravidel HIPAA na obchodní partnery a dodavatele třetích stran pro zdravotnický průmysl a zavedení pravidla pro oznamování narušení – které stanovilo, že všechna narušení ePHI, která se týkají více než 500 osob, musí být hlášena Úřadu pro občanská práva Ministerstva zdravotnictví a lidských služeb. Kritéria pro ohlašování narušení ePHI byla následně rozšířena ve Final Omnibus Rule z března 2013.

The Final Omnibus Rule of 2013

Nejnovějším legislativním aktem v historii HIPAA bylo Final Omnibus Rule z roku 2013. Toto pravidlo nezavádělo téměř žádné nové právní předpisy, ale vyplňovalo mezery ve stávajících předpisech HIPAA a HITECH – například upřesňovalo standardy šifrování, které je třeba použít, aby se ePHI staly nepoužitelnými, nerozluštitelnými a nečitelnými v případě narušení.

Mnoho definic bylo změněno nebo doplněno s cílem vyjasnit šedé oblasti – například definice „pracovní síly“ byla změněna tak, aby bylo jasné, že tento pojem zahrnuje zaměstnance, dobrovolníky, stážisty a další osoby, jejichž jednání při výkonu práce pro krytý subjekt nebo obchodního partnera je pod přímou kontrolou krytého subjektu nebo obchodního partnera.

Pravidla ochrany soukromí a bezpečnosti byla rovněž změněna tak, aby bylo možné uchovávat zdravotní údaje pacienta po neomezenou dobu (předchozí právní předpisy stanovily jejich uchovávání po dobu padesáti let), a zároveň byly do pravidel pro oznamování porušení zapsány nové postupy. Byly také uplatněny nové sankce – jak to nařizuje HITECH – pro pokryté subjekty, které porušily pravidla pro prosazování HIPAA.

Byly také zahrnuty změny zohledňující měnící se pracovní postupy vyvolané technologickým pokrokem, které se týkají zejména používání mobilních zařízení. Značný počet zdravotnických pracovníků nyní používá k přístupu k elektronickým informacím o zdravotním stavu a jejich předávání svá vlastní mobilní zařízení a konečné znění souhrnného pravidla zahrnovalo nové administrativní postupy a zásady, které tuto skutečnost zohledňují a pokrývají scénáře, které nebylo možné v roce 1996 předvídat. Úplné znění konečného souhrnného pravidla naleznete zde.

Po několika odkladech byl konečně stanoven termín, kdy budou Spojené státy používat klinickou modifikaci ICD-10-CM pro kódování diagnóz a systém kódování procedur ICD-10-PCA pro kódování nemocničních procedur, na 1. října 2015. Všechny subjekty, na které se vztahuje HIPAA, musí používat ICD-10-CM. Dalším požadavkem jsou tyto verze EDI 5010.

Klíčová data v historii HIPAA

  • Srpen 1996 – HIPAA podepsán prezidentem Billem Clintonem.
  • Duben 2003 – datum účinnosti pravidla HIPAA o ochraně osobních údajů.
  • Duben 2005 – datum účinnosti bezpečnostního pravidla HIPAA.
  • Březen 2006 – datum účinnosti pravidla HIPAA o porušení zabezpečení.
  • Září 2009 – datum účinnosti pravidla HITECH a pravidla o oznamování porušení.
  • Březen 2013 – datum účinnosti konečného souhrnného pravidla.

Za určitých okolností byla CE a BA poskytnuta lhůta pro splnění ustanovení jednotlivých pravidel. Například, ačkoli datum účinnosti konečného souhrnného pravidla bylo březen 2013, CE a BA měli na splnění požadavků 180 dní. Další klíčová data v historii HIPAA naleznete v naší infografice níže.

Důsledky Final Omnibus Rule

Čím Final Omnibus Rule dosáhlo více než jakákoli předchozí legislativa, bylo to, že zvýšilo povědomí krytých subjektů o bezpečnostních opatřeních HIPAA, která musí dodržovat. Mnoho zdravotnických organizací – které téměř dvacet let porušovaly předpisy HIPAA – zavedlo řadu opatření, aby vyhověly předpisům, například používaly šifrování dat v přenosných zařízeních a počítačových sítích, zavedly řešení pro bezpečné zasílání zpráv pro interní komunikaci s týmy poskytujícími péči, instalovaly webové filtry a více dbaly na bezpečnou archivaci e-mailů.

Ve srovnání s finančními sankcemi, které jsou nyní udělovány za narušení bezpečnosti údajů, spolu s kolosálními náklady na vydávání oznámení o narušení bezpečnosti, poskytování služeb sledování kreditu a provádění zmírňování škod se investice do nových technologií na ochranu údajů jeví jako levné.

Program auditu dodržování předpisů HIPAA

V roce 2011 zahájil Úřad pro občanská práva sérii pilotních auditů dodržování předpisů s cílem posoudit, jak dobře poskytovatelé zdravotní péče provádějí pravidla ochrany soukromí a bezpečnosti HIPAA. První nalezené audity byly dokončeny v roce 2012 a poukázaly na neutěšený stav dodržování předpisů ve zdravotnictví.

Auditované organizace zaznamenaly četná porušení pravidel HIPAA pro oznamování narušení, pravidel ochrany soukromí a bezpečnostních pravidel, přičemž u posledně jmenovaných bylo zjištěno nejvíce porušení. Úřad OCR vydal akční plány, které mají těmto organizacím pomoci dosáhnout souladu s předpisy; pro druhé kolo auditů se však neočekává, že bude tak shovívavý.

Očekává se, že audity se zaměří na konkrétní oblasti, které se ukázaly jako problematické pro tolik poskytovatelů zdravotní péče, a zároveň se plánuje trvalý plán auditů, který má zajistit trvalý soulad s předpisy HIPAA. Doba laxních bezpečnostních standardů již pominula a zdravotnický průmysl, stejně jako předtím finanční průmysl, musí zvýšit standardy, aby zajistil, že důvěrné údaje zůstanou soukromé.

Každému subjektu, na který se vztahuje ochrana a který nezavede požadované kontroly, hrozí finanční postihy, sankce, možná ztráta licence a dokonce i trestní řízení za nezabezpečení informací ePHI.

Jak dosáhnout plného souladu s předpisy HIPAA

Náš „Kontrolní seznam souladu s předpisy HIPAA“ zahrnuje prvky zákona o přenositelnosti a odpovědnosti zdravotního pojištění týkající se uchovávání, přenosu a likvidace elektronických chráněných zdravotních informací, opatření, která musí organizace přijmout v reakci na porušení předpisů, a zásady a postupy, které je třeba přijmout k dosažení plného souladu s předpisy.

Předpisy HIPAA jsou sice přísné, ale krytým organizacím je povolena určitá flexibilita, pokud jde o opatření na ochranu soukromí a zabezpečení používaná k ochraně údajů. Například šifrování dat musí být řešeno, ale nemusí být nutně zavedeno, pokud potřebnou ochranu poskytují jiné kontrolní mechanismy.

Některá z hlavních technických ochranných opatření používaných k ochraně a kontrole ePHI ve skutečnosti pomáhají zefektivnit komunikaci a tok informací a organizace, které přijaly bezpečné komunikační kanály a zavedly kontrolní mechanismy dat, těží z vyšší efektivity, rychlejší reakční doby a mají lepší výsledky u pacientů, přičemž je zajištěno, že zdravotní údaje pacientů zůstávají vždy plně chráněny.

Technická ochranná opatření k zabezpečení ePHI a osobních identifikátorů

Šifrování dat

Používání přenosných počítačů a jiných mobilních zařízení k ukládání ePHI nebo přístupu k nim má nevyhnutelně za následek porušení předpisů HIPAA, pokud jsou tato zařízení ztracena, odcizena nebo nesprávně recyklována. Ochrana zařízení – a údajů v nich uložených – heslem je rozumným krokem k zabránění neoprávněného přístupu, ale sama o sobě k zajištění nezbytné ochrany zdravotních údajů nestačí. Hesla mohou být hackery snadno prolomena a neposkytují dostatečně vysokou úroveň zabezpečení.

Šifrování dat zahrnuje převod dat na nerozluštitelné symboly – označované jako šifrový text – pomocí složitých algoritmů, které vyžadují bezpečnostní klíč pro převod dat zpět do původní podoby. Šifrování dat zajišťuje soukromí, ale může nabídnout i další bezpečnostní výhody, jako je ověřování uživatelů, protokolování přístupu, zabránění změnám záznamů a nepopření přístupu a/nebo krádeže.

Úroveň zabezpečení lze vhodně upravit podle citlivosti dat, k jejichž ochraně se používá. Data mohou být šifrována s jedním přístupovým bezpečnostním klíčem nebo s oddělenými klíči pro šifrování a dešifrování (symetrické a asymetrické šifrování dat).

Pokud dojde ke ztrátě nebo odcizení mobilního zařízení nebo k nabourání počítačových sítí, bude to sice považováno za narušení bezpečnosti, ale nepůjde o porušení zákona HIPAA, pokud nebude zároveň zveřejněn přístupový klíč.

Zabezpečení zpráv

Zdá se, že zdravotnictví a pager jsou téměř neoddělitelné, to se však brzy změní. V současné době se pozornost zaměřuje na soulad s předpisy HIPAA a zaměřuje se na chytré telefony a nositelné technologie, avšak pager není v souladu s předpisy HIPAA. Všechna mobilní zařízení přenášejí data přes nezabezpečené sítě, a proto spoléhají na to, že uživatelé nebudou odesílat ePHI.

Schémata BYOD nyní zavedlo mnoho poskytovatelů zdravotní péče, ačkoli moderní mobilní zařízení mají ještě větší potenciál způsobit porušení HIPAA vzhledem ke snadnosti, s jakou lze odesílat osobní identifikátory a ePHI. Mohou být zavedeny zásady a postupy pro kontrolu způsobu používání těchto zařízení, ačkoli průzkumy naznačují, že v praxi mnoho zdravotnických pracovníků stále používá tato zařízení ke komunikaci ePHI.

Tomu zabraňují řešení pro bezpečné zasílání zpráv. Fungují tak, že uchovávají ePHI v zabezpečené databázi a poté umožňují oprávněným zdravotnickým pracovníkům přístup k údajům prostřednictvím stažitelných aplikací pro bezpečné zasílání zpráv. Komunikace je vedena prostřednictvím platformy pro bezpečné zasílání zpráv, která má zavedené administrativní kontroly pro sledování činnosti oprávněných pracovníků. Rovněž zajišťují shodu s předpisy, aby bylo možné vypracovat hodnocení rizik, jak to vyžadují auditoři HIPAA a Úřadu pro občanská práva.

Mnohé zdravotnické organizace uvádějí, že zavedení řešení pro bezpečné zasílání zpráv zvýšilo produktivitu díky zefektivnění komunikace, zvýšení odpovědnosti za zprávy a zrychlení doby odezvy. Podle studií provedených ve zdravotnických zařízeních splňujících požadavky HIPAA se také zvýšila efektivita, což vedlo k vyšší úrovni zdravotní péče poskytované pacientům.

Kompatibilní cloudové úložiště

Přechod od fyzických zdravotních záznamů k elektronickým formátům dat si vyžádal značné investice do infrastruktury IT. Nároky kladené na zdravotnické organizace, které musí neustále modernizovat servery a sítě a zaměstnávat personál pro správu datových center, mohou být značné. Kromě hardwaru je třeba věnovat prostor pro uložení zařízení a použít fyzické kontroly pro kontrolu přístupu.

Počítačové vybavení, které je nyní nutné pro provoz rozsáhlých sítí a ukládání zdravotnických dat, vyžaduje instalaci chladicích systémů pro odvádění tepla, které zařízení vytváří. Pro mnoho poskytovatelů zdravotní péče je nákladově nejefektivnějším řešením outsourcovat ukládání dat a využít k ukládání dat cloud. Cloudový hosting splňující požadavky HIPAA využívá vhodné kontrolní mechanismy k zabezpečení všech uložených dat pomocí šifrování. Díky outsourcingu mohou zdravotnické organizace dodržovat předpisy HIPAA, aniž by musely tolik investovat do IT infrastruktury.

Mobilní platformy vyhovující předpisům (vývoj aplikací)

Mobilní zdravotní aplikace jsou mezi pacienty oblíbené pro sledování a monitorování zdraví a kondice a nositelná zařízení mají potenciál způsobit revoluci v domácí zdravotní péči. Mohou být použity ve spojení s elektronickými návštěvami a poskytovat pacientům služby domácí péče za zlomek ceny návštěv zdravotnického střediska.

Pacientské portály mají podobně velký potenciál a zlepšují interakci mezi poskytovateli péče a pacienty a snižují zbytečné náklady a zároveň pomáhají zlepšovat výsledky pacientů. Vývoj rámců mobilních aplikací v souladu s HIPAA, kompatibilních úložišť a webových řešení v souladu s HIPAA znamená, že poskytovatelé zdravotní péče mohou využívat výhod nových technologií, aniž by ohrozili soukromí a bezpečnost údajů pacientů.

Další technická zabezpečení k zabezpečení ePHI a osobních identifikátorů jsou nyní nepochybně ve fázi plánování a v budoucnu ovlivní historii HIPAA. Mezitím vám přinášíme stručnou časovou osu historie HIPAA.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.