HIPAA-geschiedenis

Wanneer werd HIPAA ingevoerd?

Onze HIPAA-geschiedenisles begint op 21 augustus 1996, toen de Healthcare Insurance Portability and Accountability Act (HIPAA) werd ondertekend, maar waarom werd de HIPAA-wet in het leven geroepen? HIPAA werd in het leven geroepen om “de overdraagbaarheid en verantwoordelijkheid van ziektekostenverzekeringsdekking” voor werknemers tussen banen te verbeteren. Andere doelstellingen van de wet waren het bestrijden van verspilling, fraude en misbruik in de ziektekostenverzekering en de verstrekking van gezondheidszorg. De wet bevatte ook passages om het gebruik van medische spaarrekeningen te bevorderen door belastingvoordelen in te voeren, dekking te bieden voor werknemers met reeds bestaande medische aandoeningen en de administratie van de ziektekostenverzekering te vereenvoudigen.

De procedures voor de vereenvoudiging van de administratie van de ziektekostenverzekering werden een middel om de gezondheidszorgindustrie aan te moedigen om de medische dossiers van patiënten te automatiseren. Dit specifieke deel van de wet leidde in 2009 tot de Health Information Technology for Economic and Clinical Health Act (HITECH), die op zijn beurt leidde tot de invoering van het Meaningful Use-stimuleringsprogramma – door leiders in de gezondheidszorgindustrie beschreven als “het belangrijkste stuk gezondheidszorgwetgeving dat in de afgelopen 20 tot 30 jaar is aangenomen”.

De HIPAA-privacy- en -beveiligingsregels krijgen vorm

Toen de HIPAA-wet eenmaal was ondertekend, begon het Amerikaanse ministerie van Volksgezondheid en Human Services met het opstellen van de eerste HIPAA-privacy- en -beveiligingsregels. De Privacy Rule had een effectieve nalevingsdatum van 14 april 2003 en definieerde Protected Health Information (PHI) als “alle informatie in het bezit van een gedekte entiteit die betrekking heeft op de gezondheidstoestand, de verstrekking van gezondheidszorg, of de betaling voor gezondheidszorg die aan een individu kan worden gekoppeld”.

Er werden instructies gegeven over hoe PHI moest worden bekendgemaakt en dat toestemming van patiënten moest worden gevraagd voordat hun persoonlijke informatie werd gebruikt voor marketing, fondsenwerving of onderzoek. Ook kregen patiënten het recht om informatie over hun gezondheidszorg achter te houden voor zorgverzekeraars wanneer hun behandeling particulier wordt gefinancierd.

De HIPAA-beveiligingsregel werd twee jaar na de oorspronkelijke wetgeving van kracht, op 21 april 2005. De beveiligingsregel, die specifiek betrekking heeft op elektronisch opgeslagen PHI (ePHI), bevat drie beveiligingswaarborgen – administratieve, fysieke en technische – die volledig moeten worden nageleefd om aan de HIPAA te voldoen. De veiligheidsmaatregelen hadden de volgende doelstellingen:

  • Administratief – het opstellen van beleid en procedures die zijn ontworpen om duidelijk te laten zien hoe de entiteit de wet zal naleven.
  • Fysiek – om de fysieke toegang tot gebieden van gegevensopslag te controleren ter bescherming tegen ongepaste toegang
  • Technisch – om communicatie te beschermen die PHI bevat wanneer deze elektronisch wordt verzonden via open netwerken

Wanneer werd HIPAA van kracht?

In welk jaar werd HIPAA in wet omgezet? De HIPAA is op 21 augustus 1996 in werking getreden, maar in de afgelopen 20 jaar zijn er belangrijke aanvullingen op de HIPAA geweest: De invoering van de Privacy Rule, Security Rule, Breach Notification Rule, en de Omnibus Final Rule.

De belangrijkste ingangsdata zijn: 14 april 2003 voor de HIPAA-privacyregel, hoewel er een verlenging van een jaar was voor kleine gezondheidsplannen, die op 14 april 2004 aan de bepalingen van de HIPAA-privacyregel moesten voldoen.

De effectieve nalevingsdatum voor de HIPAA-beveiligingsregel was 21 april 2005. Net als het geval was met de HIPAA-privacyregel, kregen kleine gezondheidsplannen een extra jaar om te voldoen aan de bepalingen van de HIPAA-beveiligingsregel en hadden ze een effectieve nalevingsdatum van 21 april 2006.

De HIPAA Breach Notification Rule werd van kracht op 23 september 2009 en de Omnibus Final Rule werd van kracht op 26 maart 2013.

De invoering van de handhavingsregel

Het falen van veel gedekte entiteiten om volledig te voldoen aan de HIPAA-privacy- en beveiligingsregels resulteerde in de invoering van de handhavingsregel in maart 2006. De handhavingsregel gaf het ministerie van Volksgezondheid en Human Services de bevoegdheid klachten tegen de betrokken entiteiten wegens niet-naleving van de privacyregel te onderzoeken en de betrokken entiteiten te beboeten voor vermijdbare inbreuken op ePHI wegens niet-naleving van de veiligheidswaarborgen van de veiligheidsregel.

Het Office for Civil Rights van het ministerie kreeg ook de bevoegdheid strafrechtelijke vervolging in te stellen tegen volhardende overtreders die niet binnen 30 dagen corrigerende maatregelen nemen. Individuen hebben ook het recht om civielrechtelijke stappen te ondernemen tegen de gedekte entiteit als hun persoonlijke gezondheidsinformatie zonder hun toestemming openbaar is gemaakt als dit hen “ernstige schade” berokkent.

HITECH 2009 en de Breach Notification Rule

De geschiedenis van HIPAA ging verder in 2009 met de invoering van de Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH had als hoofddoel de gezondheidszorgautoriteiten te dwingen het gebruik van elektronische gezondheidsdossiers (EHR’s) te implementeren en introduceerde het stimuleringsprogramma Meaningful Use. Fase één van Meaningful Use werd het jaar daarop uitgerold, waarbij organisaties in de gezondheidszorg werden gestimuleerd om de Beschermde Gezondheidsinformatie van patiënten in elektronisch formaat te bewaren, in plaats van in papieren bestanden.

Met het stimuleringsprogramma kwam ook een uitbreiding van de HIPAA-regels tot Business Associates en externe leveranciers aan de gezondheidszorg, en de invoering van de Breach Notification Rule – die bepaalde dat alle inbreuken op ePHI die meer dan 500 individuen treffen, moeten worden gemeld aan het Office for Civil Rights van het Department of Health and Human Services. De criteria voor het melden van inbreuken op ePHI werden vervolgens uitgebreid in de Final Omnibus Rule van maart 2013.

The Final Omnibus Rule of 2013

De meest recente wetgevingshandeling in de HIPAA-geschiedenis was de Final Omnibus Rule van 2013. De regel introduceerde nauwelijks nieuwe wetgeving, maar vulde leemten in bestaande HIPAA- en HITECH-regelgeving – bijvoorbeeld het specificeren van de encryptienormen die moeten worden toegepast om ePHI onbruikbaar, onontcijferbaar en onleesbaar te maken in het geval van een inbreuk.

Vele definities werden gewijzigd of toegevoegd om grijze gebieden op te ruimen – bijvoorbeeld de definitie van “personeelsbestand” werd gewijzigd om duidelijk te maken dat de term werknemers, vrijwilligers, stagiairs en andere personen omvat wier gedrag, bij het uitvoeren van werkzaamheden voor een gedekte entiteit of Business Associate, onder de directe controle van de gedekte entiteit of Business Associate valt.

De privacy- en beveiligingsregels werden ook gewijzigd om het mogelijk te maken dat gezondheidsinformatie van patiënten voor onbepaalde tijd wordt bewaard (de vorige wetgeving bepaalde dat zij vijftig jaar moest worden bewaard), terwijl nieuwe procedures werden opgenomen in de regel inzake de kennisgeving van inbreuken. Er werden ook nieuwe straffen opgelegd – zoals gedicteerd door HITECH – aan gedekte entiteiten die in overtreding waren met de HIPAA-handhavingsregel.

Er werden ook wijzigingen opgenomen om rekening te houden met veranderende werkpraktijken als gevolg van technologische vooruitgang, met name met betrekking tot het gebruik van mobiele apparaten. Een aanzienlijk aantal beroepsbeoefenaren in de gezondheidszorg gebruikt nu hun eigen mobiele apparatuur om toegang te krijgen tot ePHI en deze door te geven, en de Final Omnibus Rule bevatte nieuwe administratieve procedures en beleidslijnen om hiermee rekening te houden en om scenario’s te bestrijken die in 1996 niet konden worden voorzien. De volledige tekst van de Final Omnibus Rule is hier te vinden.

Na meerdere vertragingen is de deadline voor de Verenigde Staten om Clinical Modification ICD-10-CM voor diagnosecodering en Procedure Coding System ICD-10-PCA voor intramurale ziekenhuisprocedurecodering te gebruiken, uiteindelijk vastgesteld op 1 oktober 2015. Alle onder de HIPAA vallende entiteiten moeten ICD-10-CM gebruiken. Een andere vereiste is deze van EDI-versie 5010.

Key Dates in HIPAA History

  • August 1996 – HIPAA ondertekend in wet door president Bill Clinton.
  • April 2003 – Ingangsdatum van de HIPAA Privacy Rule.
  • April 2005 – Ingangsdatum van de HIPAA Security Rule.
  • Maart 2006 – Ingangsdatum van de HIPAA Breach Enforcement Rule.
  • September 2009 – Ingangsdatum van HITECH en de Breach Notification Rule.
  • Maart 2013 – Ingangsdatum van de Final Omnibus Rule.

In bepaalde omstandigheden kregen CE’s en BA’s een periode van tijd om te voldoen aan de bepalingen van elke regel. Hoewel de ingangsdatum van de Final Omnibus Rule bijvoorbeeld maart 2013 was, kregen CE’s en BA’s 180 dagen de tijd om eraan te voldoen. Verdere belangrijke data in de HIPAA-geschiedenis zijn te vinden in onze infographic hieronder.

Consequenties van de Final Omnibus Rule

Wat de Final Omnibus Rule meer heeft bereikt dan welke eerdere wetgeving dan ook, was om gedekte entiteiten meer bewust te maken van de HIPAA-waarborgen waaraan ze zich moesten houden. Veel organisaties in de gezondheidszorg – die bijna twee decennia de HIPAA hadden overtreden – hebben een aantal maatregelen geïmplementeerd om aan de voorschriften te voldoen, zoals het gebruik van gegevensversleuteling op draagbare apparaten en computernetwerken, het implementeren van beveiligde messaging-oplossingen voor interne communicatie met zorgteams, het installeren van webfilters en het nemen van meer zorg om e-mails veilig te archiveren.

De financiële boetes die nu worden uitgedeeld voor gegevensinbreuken, samen met de kolossale kosten van het verstrekken van kennisgevingen van inbreuken, het aanbieden van kredietmonitoringdiensten en het beperken van de schade, doen investeringen in nieuwe technologie om gegevens te beschermen goedkoop lijken in vergelijking.

Het HIPAA-nalevingsauditprogramma

In 2011 is het Office for Civil Rights begonnen met een reeks proefnalevingsaudits om te beoordelen hoe goed zorgverleners de HIPAA-privacy- en -beveiligingsregels implementeren. De eerste reeks audits werd voltooid in 2012 en bracht de nijpende staat van naleving in de gezondheidszorg aan het licht.

Gecontroleerde organisaties registreerden talrijke overtredingen van de HIPAA-breukmeldingsregel, de privacyregel en de beveiligingsregel, waarbij de laatste resulteerde in het grootste aantal overtredingen. Het OCR heeft actieplannen uitgegeven om die organisaties te helpen naleving te bereiken; voor de tweede auditronde wordt echter verwacht dat het niet zo toegeeflijk zal zijn.

Audits zullen zich naar verwachting richten op de specifieke gebieden die problematisch bleken voor zo veel zorgverleners, terwijl een permanent auditplan wordt gepland om ervoor te zorgen dat de HIPAA-naleving wordt voortgezet. Het tijdperk van lakse beveiligingsnormen is nu voorbij en de gezondheidszorg, net als de financiële sector daarvoor, moet de normen verhogen om ervoor te zorgen dat vertrouwelijke gegevens privé blijven.

Elke gedekte entiteit die niet de vereiste controles uitvoert, wordt geconfronteerd met financiële sancties, sancties, mogelijk verlies van licentie en zelfs strafrechtelijke vervolging wegens het niet beveiligen van ePHI.

Hoe volledige HIPAA-naleving te bereiken

Onze “HIPAA-nalevingscontrolelijst” behandelt de elementen van de Health Insurance Portability and Accountability Act met betrekking tot de opslag, verzending en verwijdering van elektronische beschermde gezondheidsinformatie, de acties die organisaties moeten ondernemen in reactie op een inbreuk en het beleid en de procedures die moeten worden vastgesteld om volledige naleving te bereiken.

HIPAA-voorschriften mogen dan streng zijn, maar organisaties die onder de wet vallen, mogen enige flexibiliteit betrachten wat betreft de privacy- en beveiligingswaarborgen die worden gebruikt om gegevens te beschermen. Gegevenscodering, bijvoorbeeld, moet worden aangepakt, maar niet noodzakelijkerwijs worden geïmplementeerd als andere controles de nodige bescherming bieden.

Enkele van de belangrijkste technische voorzorgsmaatregelen die worden gebruikt om ePHI te beschermen en te controleren, helpen in feite om de communicatie en informatiestroom te stroomlijnen, en organisaties die veilige communicatiekanalen hebben aangenomen en gegevenscontroles hebben geïmplementeerd, hebben geprofiteerd van verbeterde efficiëntie, snellere responstijden en hebben de patiëntresultaten verbeterd, terwijl ervoor is gezorgd dat de gezondheidsgegevens van de patiënt te allen tijde volledig beschermd blijven.

Technische waarborgen voor de beveiliging van ePHI en persoonsidentificatoren

Data Encryptie

Het gebruik van laptops en andere mobiele apparaten voor de opslag van of toegang tot ePHI leidt onvermijdelijk tot een HIPAA-inbreuk als deze apparaten verloren gaan, worden gestolen of op onjuiste wijze worden gerecycled. Wachtwoordbeveiliging van apparaten – en de gegevens die zij bevatten – is een redelijke stap om ongeoorloofde toegang te voorkomen, maar is op zichzelf onvoldoende om de nodige bescherming van gezondheidsgegevens te bieden. Wachtwoorden kunnen gemakkelijk door hackers worden gekraakt en bieden geen voldoende hoog niveau van beveiliging.

Gegevensversleuteling houdt in dat gegevens door middel van complexe algoritmen worden omgezet in onleesbare symbolen – versleutelde tekst genoemd – die een beveiligingssleutel vereisen om de gegevens weer in hun oorspronkelijke vorm om te zetten. Gegevensencryptie waarborgt de privacy, maar kan ook andere veiligheidsvoordelen bieden, zoals verificatie van gebruikers, registratie van toegang, het voorkomen van recordwijzigingen en onweerlegbaarheid van toegang en/of diefstal.

Het beveiligingsniveau kan naar behoefte worden aangepast op basis van de gevoeligheid van de gegevens die ermee moeten worden beschermd. De gegevens kunnen worden versleuteld met toegang tot één beveiligingssleutel of met afzonderlijke sleutels voor versleuteling en ontsleuteling (symmetrische en asymmetrische gegevensversleuteling).

Als een mobiel apparaat verloren gaat of wordt gestolen of als computernetwerken worden gehackt, zal dit weliswaar als een inbreuk op de beveiliging worden beschouwd, maar het zou geen HIPAA-overtreding zijn, tenzij de toegangssleutel ook wordt onthuld.

Secure Messaging

De gezondheidszorgindustrie en de semafoon lijken bijna onafscheidelijk, maar dit staat op het punt te veranderen. De nadruk op HIPAA-naleving concentreert zich momenteel op Smartphones en draagbare technologie, maar de pieper is niet HIPAA-compliant. Alle mobiele apparaten verzenden gegevens via onbeveiligde netwerken en vertrouwen er daarom op dat de gebruikers geen ePHI verzenden.

BYOD-schema’s zijn nu door veel zorgverleners ingevoerd, hoewel moderne mobiele apparaten een nog groter potentieel hebben om HIPAA-schendingen te veroorzaken vanwege het gemak waarmee persoonlijke identificatiemiddelen en ePHI kunnen worden verzonden. Er kunnen beleidsmaatregelen en procedures worden ingevoerd om te controleren hoe deze apparaten worden gebruikt, hoewel uit enquêtes blijkt dat in de praktijk veel medische beroepsbeoefenaren de apparaten nog steeds gebruiken om ePHI mee te delen.

Veiligde berichtenoplossingen voorkomen dit. Ze werken door ePHI op een beveiligde database te bewaren en vervolgens geautoriseerde medische professionals toegang te geven tot de gegevens via downloadbare beveiligde messaging apps. De communicatie wordt gekanaliseerd via een beveiligd berichtenplatform dat administratieve controles heeft om de activiteit van het geautoriseerde personeel te controleren. Zij hebben ook compliance officers om risicobeoordelingen te maken, zoals vereist door HIPAA en de auditors van het Office for Civil Rights.

Vele organisaties in de gezondheidszorg hebben gemeld dat de implementatie van oplossingen voor beveiligd berichtenverkeer de productiviteit heeft verhoogd door de communicatie te stroomlijnen, de berichtverantwoordelijkheid te vergroten en de responstijden te versnellen. Volgens studies die zijn uitgevoerd in HIPAA-conforme medische instellingen, is de efficiëntie ook toegenomen, wat resulteert in een hogere standaard van gezondheidszorg die aan patiënten wordt geleverd.

Compliant Cloud Storage

De overstap van fysieke gezondheidsdossiers naar elektronische gegevensformaten heeft aanzienlijke investeringen in IT-infrastructuur gevergd. De eisen die aan organisaties in de gezondheidszorg worden gesteld om servers en netwerken voortdurend te upgraden, en het personeel in dienst te nemen om datacenters te beheren, kunnen aanzienlijk zijn. Naast de hardware moet er ruimte worden vrijgemaakt voor de opslag van de apparatuur en moet de toegang met fysieke middelen worden gecontroleerd.

De computerapparatuur die nu nodig is om grote netwerken te laten draaien en gegevens over de gezondheidszorg op te slaan, vereist dat er koelsystemen worden geïnstalleerd om de warmte die de apparatuur genereert, af te voeren. De meest kosteneffectieve oplossing voor veel zorgverleners is het uitbesteden van gegevensopslag en gebruik te maken van de cloud om gegevens op te slaan. HIPAA-conforme cloudhosting maakt gebruik van de juiste controles om alle opgeslagen gegevens met encryptie te beveiligen. Door uitbesteding kunnen organisaties in de gezondheidszorg voldoen aan de HIPAA-voorschriften zonder zo zwaar te hoeven investeren in IT-infrastructuur.

Compliant Mobile Platforms (App Development)

Mobiele gezondheidsapps zijn populair bij patiënten voor het bijhouden en monitoren van gezondheid en fitness, en draagbare apparaten hebben het potentieel om een revolutie teweeg te brengen in de thuiszorg. Ze kunnen worden gebruikt in combinatie met e-visites om thuiszorgdiensten aan patiënten te leveren tegen een fractie van de bezoeken aan zorgcentra.

Patiëntportals hebben ook een groot potentieel en verbeteren de interactie tussen zorgverleners en patiënten, en besparen op onnodige kosten terwijl ze de resultaten van de patiënt helpen verbeteren. De ontwikkeling van HIPAA-conforme frameworks voor mobiele apps, compliant opslag en HIPAA-conforme weboplossingen betekent dat zorgverleners kunnen profiteren van de voordelen van nieuwe technologie zonder de privacy en veiligheid van patiëntgegevens in gevaar te brengen.

Meer technische waarborgen om ePHI en persoonlijke identificatiemiddelen te beveiligen, zijn ongetwijfeld nu in de planningsfase en zullen in de toekomst van invloed zijn op de HIPAA-geschiedenis. In de tussentijd is hier een korte tijdlijn van de HIPAA-geschiedenis.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.