HIPAA története

A HIPAA biztonsági szabálya két évvel az eredeti jogszabály után, 2005. április 21-én lépett hatályba. A kifejezetten az elektronikusan tárolt PHI-vel (ePHI) foglalkozó biztonsági szabály három – adminisztratív, fizikai és technikai – biztonsági biztosítékot állapított meg, amelyeket teljes mértékben be kell tartani a HIPAA-nak való megfelelés érdekében. A biztosítékok a következő célokat tűzték ki:

• Adminisztratív – olyan irányelvek és eljárások létrehozása, amelyek célja, hogy világosan bemutassák, hogyan fog a szervezet megfelelni a törvénynek.
• Fizikai – az adattárolási területekhez való fizikai hozzáférés ellenőrzése a nem megfelelő hozzáférés elleni védelem érdekében
• Technikai – a PHI-t tartalmazó kommunikáció védelme a nyílt hálózatokon keresztül történő elektronikus továbbítás során

Mikor lépett hatályba a HIPAA?

Hányadik évben írták alá a HIPAA-t? A HIPAA-t 1996. augusztus 21-én írták alá, de az elmúlt 20 évben jelentős kiegészítések történtek a HIPAA-hoz: A Privacy Rule, a Security Rule, a Breach Notification Rule és a Omnibus Final Rule bevezetése.

A legfontosabb hatálybalépési dátumok a következők: A HIPAA adatvédelmi szabálya 2003. április 14-én lépett hatályba, bár egy évvel meghosszabbították a kis egészségügyi terveket, amelyeknek 2004. április 14-ig kellett megfelelniük a HIPAA adatvédelmi szabály rendelkezéseinek.

A HIPAA biztonsági szabálya 2005. április 21-én lépett hatályba. A HIPAA adatvédelmi szabályhoz hasonlóan a kis egészségügyi tervek további egy évet kaptak a HIPAA biztonsági szabály rendelkezéseinek való megfelelésre, és 2006. április 21. volt a hatékony megfelelési határidő.

A HIPAA Breach Notification Rule 2009. szeptember 23-án lépett hatályba, az Omnibus Final Rule pedig 2013. március 26-án.

A végrehajtási szabály bevezetése

A HIPAA adatvédelmi és biztonsági szabályok teljes körű betartásának számos érintett szervezet általi elmulasztása vezetett a végrehajtási szabály 2006. márciusi bevezetéséhez. Az Enforcement Rule felhatalmazta az Egészségügyi és Emberi Szolgálatok Minisztériumát, hogy kivizsgálja az adatvédelmi szabály be nem tartása miatt a fedezett szervezetek ellen benyújtott panaszokat, és bírságot szabjon ki a fedezett szervezetekre az ePHI elkerülhető megsértése miatt, mivel nem tartották be a biztonsági szabályban meghatározott biztosítékokat.

A Minisztérium Polgárjogi Hivatala is felhatalmazást kapott arra, hogy büntetőeljárást indítson azok ellen, akik 30 napon belül nem vezetnek be korrekciós intézkedéseket. Az egyéneknek is joguk van polgári jogi eljárást indítani az érintett szervezettel szemben, ha személyes egészségügyi adataikat az engedélyük nélkül adták ki, ha ez “súlyos károkat” okoz nekik.

HITECH 2009 és a Breach Notification Rule

A HIPAA története 2009-ben az egészségügyi információs technológia a gazdasági és klinikai egészségügyért törvény (HITECH) bevezetésével folytatódott. A HITECH elsődleges célja az volt, hogy az egészségügyi hatóságokat az elektronikus egészségügyi nyilvántartások (EHR) használatára kényszerítse, és bevezette a Meaningful Use ösztönző programot. A Meaningful Use első szakaszát a következő évben vezették be, ösztönözve az egészségügyi szervezeteket arra, hogy a betegek védett egészségügyi információit ne papíralapú fájlokban, hanem elektronikus formában tárolják.

Az ösztönző programmal együtt járt a HIPAA-szabályok kiterjesztése az egészségügyi ágazat üzleti partnereire és harmadik fél beszállítóira, valamint a Breach Notification Rule bevezetése – amely előírta, hogy minden, 500-nál több személyt érintő elektronikus adatvédelmi incidenst jelenteni kell az Egészségügyi és Humán Szolgáltatások Minisztériumának Polgári Jogi Hivatalának. Az ePHI megsértésének bejelentésére vonatkozó kritériumokat később a 2013. márciusi Final Omnibus Rule-ben kibővítették.

The Final Omnibus Rule of 2013

A HIPAA történetének legutóbbi jogszabálya a 2013. évi Final Omnibus Rule volt. A szabály alig vezetett be új jogszabályt, de kitöltötte a meglévő HIPAA- és HITECH-szabályok hiányosságait – például meghatározta azokat a titkosítási szabványokat, amelyeket alkalmazni kell ahhoz, hogy az ePHI-t használhatatlanná, megfejthetetlenné és olvashatatlanná tegyék jogsértés esetén.

Számos fogalommeghatározást módosítottak vagy egészítettek ki a szürke területek tisztázása érdekében – például a “munkaerő” fogalmát úgy módosították, hogy egyértelművé tegyék, hogy a fogalom magában foglalja az alkalmazottakat, önkénteseket, gyakornokokat és más olyan személyeket, akik a fedezett szervezet vagy üzleti társult vállalkozás számára végzett munka során a fedezett szervezet vagy üzleti társult vállalkozás közvetlen ellenőrzése alatt állnak.

Az adatvédelmi és biztonsági szabályokat is módosították, hogy lehetővé tegyék a betegek egészségügyi információinak határozatlan ideig történő tárolását (a korábbi jogszabály ötven évre írta elő), miközben új eljárásokat írtak bele a jogsértések bejelentésére vonatkozó szabályba. Új szankciókat is alkalmaztak – a HITECH által előírtak szerint – azokra az érintett szervezetekre, amelyek megsértették a HIPAA végrehajtási szabályait.

A technológiai fejlődés által előidézett változó munkamódszerek figyelembevétele érdekében is történtek módosítások, amelyek különösen a mobileszközök használatára terjedtek ki. Az egészségügyi szakemberek jelentős része ma már saját mobil eszközeit használja az ePHI elérésére és továbbítására, és a végleges omnibuszszabály új adminisztratív eljárásokat és irányelveket tartalmazott ennek figyelembevételére, valamint olyan forgatókönyvek lefedésére, amelyeket 1996-ban még nem lehetett előre látni. A Final Omnibus Rule teljes szövege itt olvasható.

A többszöri halasztás után végül 2015. október 1-jére tűzték ki azt a határidőt, ameddig az Egyesült Államokban a diagnózisok kódolására a Clinical Modification ICD-10-CM, a kórházi fekvőbeteg-eljárások kódolására pedig az Procedure Coding System ICD-10-PCA rendszert kell alkalmazni. Minden HIPAA hatálya alá tartozó szervezetnek az ICD-10-CM-et kell használnia. Egy másik követelmény az EDI 5010-es verziója.

Főbb dátumok a HIPAA történetében

• Augusztus 1996 – A HIPAA-t Bill Clinton elnök írta alá.
• Aprilis 2003 – A HIPAA adatvédelmi szabályának hatálybalépése.
• Aprilis 2005 – A HIPAA biztonsági szabályának hatálybalépése.
• 2006. március – A HIPAA Breach Enforcement Rule hatálybalépésének időpontja.
• 2009. szeptember – A HITECH és a Breach Notification Rule hatálybalépésének időpontja.
• 2013. március – A Final Omnibus Rule hatálybalépésének időpontja.

Bizonyos körülmények között a CE-k és BA-k határidőt kaptak az egyes szabályok rendelkezéseinek betartására. Például, bár a Final Omnibus Rule hatálybalépésének időpontja 2013 márciusa volt, a CE-k és BA-k 180 napot kaptak a megfelelésre. A HIPAA történetének további kulcsfontosságú dátumai az alábbi infografikánkban találhatók.

A Final Omnibus Rule következményei

A Final Omnibus Rule minden korábbi jogszabálynál többet ért el azzal, hogy a fedezett szervezetek jobban tudatosították a HIPAA biztosítékait, amelyeket be kellett tartaniuk. Számos egészségügyi szervezet – amelyek csaknem két évtizeden keresztül megsértették a HIPAA-t – számos intézkedést hajtott végre az előírásoknak való megfelelés érdekében, például adattitkosítást használtak a hordozható eszközökön és a számítógépes hálózatokon, biztonságos üzenetküldési megoldásokat vezettek be az ellátó csapatokkal folytatott belső kommunikációhoz, webszűrőket telepítettek, és nagyobb gondot fordítottak az e-mailek biztonságos archiválására.

Az adatvédelmi incidensekért most kiszabott pénzbírságok, valamint az adatvédelmi incidensekről szóló értesítések kiadásának, a hitelfelügyeleti szolgáltatások nyújtásának és a kárenyhítés elvégzésének kolosszális költségei ehhez képest olcsónak tűnnek az adatok védelmét szolgáló új technológiákba történő beruházásokat.

A HIPAA megfelelőségi ellenőrzési program

2011-ben a Polgári Jogi Hivatal kísérleti megfelelési ellenőrzések sorozatát indította el annak felmérésére, hogy az egészségügyi szolgáltatók mennyire jól hajtják végre a HIPAA adatvédelmi és biztonsági szabályait. Az ellenőrzések első csoportja 2012-ben fejeződött be, és rávilágított az egészségügyi megfelelés szörnyű állapotára.

Az ellenőrzött szervezetek a HIPAA Breach Notification Rule, Privacy Rule és Security Rule szabályainak számos megsértését regisztrálták, az utóbbi esetében volt a legtöbb jogsértés. Az OCR cselekvési terveket adott ki, hogy segítsen ezeknek a szervezeteknek a megfelelés elérésében; az ellenőrzések második körében azonban várhatóan nem lesz ilyen engedékeny.

Az ellenőrzések várhatóan azokat a konkrét területeket célozzák meg, amelyek oly sok egészségügyi szolgáltató számára problémásnak bizonyultak, miközben állandó ellenőrzési tervet terveznek a HIPAA folyamatos betartásának biztosítására. A laza biztonsági előírások kora lejárt, és az egészségügyi ágazatnak, akárcsak korábban a pénzügyi ágazatnak, emelnie kell az előírásokat annak érdekében, hogy a bizalmas adatok titokban maradjanak.

Minden olyan érintett szervezet, amely nem hajtja végre az előírt ellenőrzéseket, pénzügyi bírságokkal, szankciókkal, az engedély esetleges elvesztésével és akár büntetőeljárással is számolhat az ePHI védelmének elmulasztása miatt.

Hogyan érhető el a teljes HIPAA-megfelelés

“HIPAA-megfelelési ellenőrzőlistánk” az egészségbiztosítási hordozhatósági és elszámoltathatósági törvénynek az elektronikus védett egészségügyi információk tárolására, továbbítására és megsemmisítésére vonatkozó elemeit, a szervezeteknek a jogsértés esetén teendő intézkedéseket, valamint a teljes megfelelés eléréséhez elfogadandó irányelveket és eljárásokat tartalmazza.

A HIPAA-szabályozás szigorú lehet, mégis az érintett szervezetek bizonyos rugalmasságot élveznek az adatok védelmére alkalmazott adatvédelmi és biztonsági biztosítékok tekintetében. Az adattitkosítással például foglalkozni kell, de nem feltétlenül kell végrehajtani, ha más ellenőrzések biztosítják a szükséges védelmet.

Az ePHI védelmére és ellenőrzésére használt főbb technikai biztosítékok közül néhány ténylegesen segít a kommunikáció és az információáramlás racionalizálásában, és azok a szervezetek, amelyek biztonságos kommunikációs csatornákat vezettek be és adatellenőrzéseket hajtottak végre, a hatékonyság javulásából, a gyorsabb válaszidőből és a betegek eredményeinek javulásából profitáltak, miközben biztosították, hogy a betegek egészségügyi adatai mindenkor teljes mértékben védettek maradnak.

Technikai biztosítékok az ePHI és a személyes azonosítók védelmére

Adattitkosítás

A laptopok és más mobil eszközök használata az ePHI tárolására vagy elérésére elkerülhetetlenül a HIPAA megsértéséhez vezet, ha ezek az eszközök elvesznek, ellopják vagy helytelenül újrahasznosítják őket. Az eszközök – és az azokon tárolt adatok – jelszavas védelme ésszerű lépés a jogosulatlan hozzáférés megakadályozására, de önmagában nem elegendő az egészségügyi adatok szükséges védelmének biztosításához. A jelszavakat a hackerek könnyen feltörhetik, és nem nyújtanak kellően magas szintű biztonságot.

Az adatok titkosítása során az adatokat összetett algoritmusok segítségével megfejthetetlen szimbólumokká – úgynevezett rejtjelezett szöveggé – alakítják át, és az adatok eredeti formájukba történő visszaalakításához biztonsági kulcsra van szükség. Az adattitkosítás biztosítja a magánélet védelmét, de más biztonsági előnyöket is kínálhat, mint például a felhasználók ellenőrzése, a hozzáférés naplózása, a rekordok megváltoztatásának megakadályozása és a hozzáférés és/vagy a lopás letagadhatatlansága.

A biztonsági szint a védendő adatok érzékenysége alapján megfelelően beállítható. Az adatok titkosítása történhet egyetlen biztonsági kulcshoz való hozzáféréssel vagy külön kulcsokkal a titkosításhoz és a visszafejtéshez (szimmetrikus és aszimmetrikus adattitkosítás).

Ha egy mobil eszköz elveszik vagy ellopják, vagy ha a számítógépes hálózatokat feltörik, ez ugyan a biztonság megsértésének minősül, de nem jelentene HIPAA-szegést, hacsak a hozzáférési kulcsot nem hozzák nyilvánosságra.

Biztonságos üzenetküldés

Az egészségügyi ágazat és a csipogó szinte elválaszthatatlannak tűnik, ez azonban hamarosan megváltozik. A HIPAA-megfelelőség középpontjában jelenleg az okostelefonok és a viselhető technológiák állnak, a csipogó azonban nem felel meg a HIPAA-nak. Minden mobileszköz nem biztonságos hálózatokon keresztül továbbítja az adatokat, és ezért arra támaszkodik, hogy a felhasználók nem küldenek ePHI-t.

Már számos egészségügyi szolgáltató bevezette a BYOD-rendszereket, bár a modern mobileszközök még nagyobb potenciállal rendelkeznek a HIPAA megsértésére, mivel a személyes azonosítók és az ePHI könnyen elküldhetők. Szabályzatokat és eljárásokat lehet bevezetni ezen eszközök használatának ellenőrzésére, bár a felmérések szerint a gyakorlatban sok egészségügyi szakember még mindig használja az eszközöket az ePHI továbbítására.

A biztonságos üzenetküldési megoldások ezt megakadályozzák. Ezek úgy működnek, hogy az ePHI-t egy biztonságos adatbázisban tartják nyilván, majd lehetővé teszik az arra jogosult egészségügyi szakemberek számára, hogy letölthető biztonságos üzenetküldő alkalmazásokon keresztül hozzáférjenek az adatokhoz. A kommunikációt egy olyan biztonságos üzenetküldő platformon keresztül csatornázzák, amely adminisztratív ellenőrzésekkel rendelkezik a felhatalmazott személyzet tevékenységének nyomon követésére. A HIPAA és a Polgári Jogok Hivatalának auditorai által megkövetelt kockázatértékeléseket is elkészítik a megfelelőségi tisztviselők.

Számos egészségügyi szervezet számolt be arról, hogy a biztonságos üzenetküldési megoldások bevezetése növelte a termelékenységet a kommunikáció racionalizálásával, az üzenetek elszámoltathatóságának növelésével és a válaszidő felgyorsításával. A HIPAA-kompatibilis egészségügyi intézményekben végzett tanulmányok szerint a hatékonyság is nőtt, ami a betegek számára nyújtott egészségügyi ellátás magasabb színvonalát eredményezte.

Compliant Cloud Storage

A fizikai egészségügyi nyilvántartásokról az elektronikus adatformátumokra való áttérés jelentős beruházásokat igényelt az informatikai infrastruktúrába. Jelentősek lehetnek az egészségügyi szervezeteknek a szerverek és hálózatok folyamatos frissítésével, valamint az adatközpontok kezeléséhez szükséges személyzet alkalmazásával szemben támasztott követelmények. A hardver mellett helyet kell biztosítani a berendezések tárolására, és fizikai ellenőrzéseket kell alkalmazni a hozzáférés ellenőrzésére.

A nagy hálózatok működtetéséhez és az egészségügyi adatok tárolásához ma már szükséges számítógépes berendezésekhez hűtőrendszereket kell telepíteni a berendezések által termelt hő elvezetésére. Sok egészségügyi szolgáltató számára a legköltséghatékonyabb megoldás az adattárolás kiszervezése és az adatok tárolására a felhő előnyeinek kihasználása. A HIPAA-kompatibilis felhőalapú tárhely megfelelő ellenőrzéseket alkalmaz a tárolt adatok titkosítással történő védelme érdekében. A kiszervezéssel az egészségügyi szervezetek anélkül tudnak megfelelni a HIPAA-előírásoknak, hogy olyan nagymértékben kellene befektetniük az informatikai infrastruktúrába.

Kompatibilis mobilplatformok (alkalmazásfejlesztés)

A mobil egészségügyi alkalmazások népszerűek a betegek körében az egészség és a fittség nyomon követésére és ellenőrzésére, a viselhető eszközök pedig forradalmasíthatják az otthoni egészségügyi ellátást. Ezeket az e-látogatásokkal együtt lehet használni, hogy a betegek számára az otthoni ápolási szolgáltatásokat az egészségügyi központok látogatásainak töredékéért nyújtsák.

A betegportálok hasonlóan nagy potenciállal rendelkeznek, és javítják az ápolók és a betegek közötti interakciót, valamint csökkentik a felesleges költségeket, miközben hozzájárulnak a betegek eredményeinek javításához. A HIPAA-kompatibilis mobilalkalmazások keretrendszerének, a kompatibilis tárolásnak és a HIPAA-kompatibilis webes megoldásoknak a kifejlesztése azt jelenti, hogy az egészségügyi szolgáltatók kihasználhatják az új technológia előnyeit anélkül, hogy veszélyeztetnék a betegek adatainak védelmét és biztonságát.

Az ePHI és a személyes azonosítók biztonságát szolgáló további technikai biztosítékok kétségkívül már most is a tervezés fázisában vannak, és a jövőben hatással lesznek a HIPAA történetére. Addig is, íme egy rövid HIPAA-történeti idővonal.