Kiedy utworzono HIPAA?
Nasza lekcja historii HIPAA rozpoczyna się 21 sierpnia 1996 r., kiedy to ustawa o przenoszeniu i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA) została podpisana, ale dlaczego utworzono ustawę HIPAA? HIPAA została stworzona w celu „poprawy możliwości przenoszenia i rozliczalności ubezpieczenia zdrowotnego” dla pracowników zmieniających pracę. Innymi celami ustawy było zwalczanie marnotrawstwa, oszustw i nadużyć w ubezpieczeniach zdrowotnych i świadczeniu opieki zdrowotnej. Ustawa zawierała również fragmenty promujące korzystanie z medycznych kont oszczędnościowych poprzez wprowadzenie ulg podatkowych, zapewnia pokrycie dla pracowników z istniejącymi wcześniej warunkami medycznymi oraz upraszcza administrację ubezpieczenia zdrowotnego.
Procedury upraszczające administrację ubezpieczenia zdrowotnego stały się narzędziem zachęcającym branżę opieki zdrowotnej do komputeryzacji dokumentacji medycznej pacjentów. Ta konkretna część ustawy spowodowała powstanie w 2009 r. ustawy o technologii informacyjnej dla zdrowia ekonomicznego i klinicznego (HITECH), która z kolei doprowadziła do wprowadzenia programu motywacyjnego Meaningful Use – opisanego przez liderów branży opieki zdrowotnej jako „najważniejszy element ustawodawstwa dotyczącego opieki zdrowotnej, jaki został uchwalony w ciągu ostatnich 20-30 lat”.
The HIPAA Privacy and Security Rules Take Shape
Po podpisaniu HIPAA w życie, US Department of Health and Human Services zabrał się za tworzenie pierwszych HIPAA Privacy and Security Rules. Reguła Prywatności miała skuteczną datę zgodności z 14 kwietnia 2003 r. i zdefiniowała Chronione Informacje Zdrowotne (PHI) jako „wszelkie informacje przechowywane przez podmiot objęty, które dotyczą stanu zdrowia, świadczenia opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z osobą”.
Instrukcje zostały wydane na temat tego, jak PHI powinny być ujawniane i że należy uzyskać zgodę od pacjentów przed wykorzystaniem ich danych osobowych do marketingu, pozyskiwania funduszy lub badań. Dało to również pacjentom prawo do nieujawniania informacji o ich opiece zdrowotnej dostawcom ubezpieczeń zdrowotnych, gdy ich leczenie jest finansowane ze środków prywatnych.
Reguła bezpieczeństwa HIPAA weszła w życie dwa lata po wprowadzeniu oryginalnego ustawodawstwa, 21 kwietnia 2005 roku. Reguła Bezpieczeństwa, odnosząca się w szczególności do elektronicznie przechowywanych informacji PHI (ePHI), ustanowiła trzy zabezpieczenia – administracyjne, fizyczne i techniczne – które muszą być w pełni przestrzegane w celu zapewnienia zgodności z HIPAA. Zabezpieczenia te miały następujące cele:
- Administracyjne – stworzenie polityk i procedur zaprojektowanych w celu wyraźnego wskazania, w jaki sposób podmiot będzie przestrzegał ustawy.
- Fizyczne – do kontroli fizycznego dostępu do obszarów przechowywania danych w celu ochrony przed niewłaściwym dostępem
- Techniczne – do ochrony komunikacji zawierającej PHI, gdy jest ona przesyłana elektronicznie przez otwarte sieci
Kiedy HIPAA zaczęło obowiązywać?
W którym roku HIPAA zostało podpisane jako prawo? Ustawa o HIPAA została podpisana 21 sierpnia 1996 r., ale w ciągu ostatnich 20 lat wprowadzono do niej wiele istotnych uzupełnień: Wprowadzenie Privacy Rule, Security Rule, Breach Notification Rule oraz Omnibus Final Rule.
Najważniejsze daty wejścia w życie to: 14 kwietnia 2003 r. dla HIPAA Privacy Rule, chociaż nastąpiło przedłużenie o rok dla małych planów zdrowotnych, które były zobowiązane do przestrzegania przepisów HIPAA Privacy Rule do 14 kwietnia 2004 r.
Efektywna data zgodności dla HIPAA Security Rule to 21 kwietnia 2005 r. Jak to było w przypadku HIPAA Privacy Rule, małe plany zdrowotne otrzymały dodatkowy rok na dostosowanie się do przepisów HIPAA Security Rule i miały skuteczną datę zgodności z 21 kwietnia 2006.
The HIPAA Breach Notification Rule weszła w życie 23 września 2009 roku, a Omnibus Final Rule weszła w życie 26 marca 2013 roku.
Wprowadzenie Reguły egzekwowania
Niedotrzymanie przez wiele podmiotów objętych HIPAA pełnej zgodności z Regułami prywatności i bezpieczeństwa HIPAA spowodowało wprowadzenie Reguły egzekwowania w marcu 2006 roku. Reguła ta dała Departamentowi Zdrowia i Usług Społecznych prawo do badania skarg przeciwko podmiotom objętym HIPAA za nieprzestrzeganie Reguły Prywatności oraz do nakładania kar pieniężnych na podmioty objęte HIPAA za możliwe do uniknięcia naruszenia ePHI z powodu nieprzestrzegania zabezpieczeń określonych w Regule Bezpieczeństwa.
Urząd Praw Obywatelskich Departamentu otrzymał również prawo do wnoszenia oskarżeń karnych przeciwko uporczywym przestępcom, którzy nie wprowadzą środków naprawczych w ciągu 30 dni. Osoby fizyczne mają również prawo do wszczęcia cywilnego postępowania sądowego przeciwko podmiotowi objętemu ochroną, jeżeli ich dane osobowe dotyczące opieki zdrowotnej zostały ujawnione bez ich zgody, jeżeli spowoduje to dla nich „poważną szkodę”.
HITECH 2009 and the Breach Notification Rule
HIPAA kontynuowała swoją historię w 2009 r. wraz z wprowadzeniem Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH miała na celu przede wszystkim zmuszenie organów opieki zdrowotnej do wdrożenia wykorzystania elektronicznych rejestrów medycznych (EHR) i wprowadziła program motywacyjny Meaningful Use. Etap pierwszy programu Meaningful Use został wprowadzony w następnym roku, zachęcając organizacje opieki zdrowotnej do utrzymywania chronionych informacji zdrowotnych pacjentów w formacie elektronicznym, a nie w plikach papierowych.
Wraz z programem zachęt przyszło również rozszerzenie zasad HIPAA na współpracowników biznesowych i dostawców zewnętrznych dla branży opieki zdrowotnej oraz wprowadzenie zasady powiadamiania o naruszeniach – która stanowiła, że wszystkie naruszenia ePHI dotyczące więcej niż 500 osób muszą być zgłaszane do Biura Praw Obywatelskich Departamentu Zdrowia i Usług Społecznych. Kryteria zgłaszania naruszeń ePHI zostały następnie rozszerzone w Final Omnibus Rule z marca 2013 roku.
The Final Omnibus Rule of 2013
Najnowszym aktem prawnym w historii HIPAA była Final Omnibus Rule z 2013 roku. Zasada ta nie wprowadziła prawie żadnych nowych przepisów, ale wypełniła luki w istniejących regulacjach HIPAA i HITECH – na przykład określając standardy szyfrowania, które muszą być stosowane w celu uczynienia ePHI bezużytecznym, nierozszyfrowanym i nieczytelnym w przypadku naruszenia.
Wiele definicji zostało zmienionych lub dodanych w celu wyjaśnienia szarych stref – na przykład definicja „siły roboczej” została zmieniona, aby wyjaśnić, że termin ten obejmuje pracowników, wolontariuszy, stażystów i inne osoby, których zachowanie, podczas wykonywania pracy dla podmiotu objętego ochroną lub współpracownika biznesowego, jest pod bezpośrednią kontrolą podmiotu objętego ochroną lub współpracownika biznesowego.
Reguły dotyczące prywatności i bezpieczeństwa zostały również zmienione, aby umożliwić przechowywanie informacji zdrowotnych pacjenta na czas nieokreślony (poprzednie przepisy przewidywały, że będą one przechowywane przez pięćdziesiąt lat), podczas gdy nowe procedury zostały wpisane do Reguły dotyczącej powiadamiania o naruszeniach. Nowe kary zostały również zastosowane – jak podyktowane przez HITECH – do podmiotów objętych, że spadł afoul z HIPAA Enforcement Rule.
Poprawki zostały również zawarte w celu uwzględnienia zmieniających się praktyk pracy spowodowanych postępem technologicznym, obejmujących wykorzystanie urządzeń mobilnych w szczególności. Znaczna liczba pracowników służby zdrowia korzysta obecnie z własnych urządzeń przenośnych w celu uzyskania dostępu do ePHI i przekazywania ich, a Ostateczna Reguła Zbiorcza zawiera nowe procedury i zasady administracyjne, aby uwzględnić ten fakt oraz uwzględnić scenariusze, których nie można było przewidzieć w 1996 roku. Pełny tekst Final Omnibus Rule można znaleźć tutaj.
Po wielokrotnych opóźnieniach, termin dla Stanów Zjednoczonych do korzystania z Clinical Modification ICD-10-CM do kodowania diagnozy i Procedure Coding System ICD-10-PCA do kodowania procedur szpitalnych został ostatecznie ustalony na 1 października 2015 roku. Wszystkie podmioty objęte HIPAA muszą używać ICD-10-CM. Kolejnym wymogiem jest wersja 5010 EDI.
Kluczowe daty w historii HIPAA
- Sierpień 1996 – HIPAA podpisana przez prezydenta Billa Clintona.
- Kwiecień 2003 – Data wejścia w życie HIPAA Privacy Rule.
- Kwiecień 2005 – Data wejścia w życie HIPAA Security Rule.
- Marzec 2006 – Data wejścia w życie HIPAA Breach Enforcement Rule.
- Wrzesień 2009 – Data wejścia w życie HITECH i Breach Notification Rule.
- Marzec 2013 – Data wejścia w życie ostatecznej Omnibus Rule.
W pewnych okolicznościach CE i BA otrzymali okres czasu na dostosowanie się do przepisów każdej z Reguł. Na przykład, mimo że datą wejścia w życie ostatecznej wersji Omnibus Rule był marzec 2013 r., CEs i BAs otrzymali 180 dni na dostosowanie się do przepisów. Dalsze kluczowe daty w historii HIPAA można znaleźć na naszej infografice poniżej.
Konsekwencje Ostatecznej Reguły Omnibusowej
To, co Ostateczna Reguła Omnibusowa osiągnęła bardziej niż jakikolwiek poprzedni akt prawny, to uświadomienie podmiotom objętym HIPAA zabezpieczeń, których muszą przestrzegać. Wiele organizacji opieki zdrowotnej – które naruszały przepisy HIPAA przez prawie dwie dekady – wdrożyło szereg środków mających na celu zapewnienie zgodności z przepisami, takich jak stosowanie szyfrowania danych na urządzeniach przenośnych i w sieciach komputerowych, wdrażanie bezpiecznych rozwiązań w zakresie przesyłania wiadomości w komunikacji wewnętrznej z zespołami opieki, instalowanie filtrów internetowych i zwracanie większej uwagi na bezpieczne archiwizowanie wiadomości e-mail.
Kary finansowe nakładane obecnie za naruszenia danych wraz z kolosalnymi kosztami wydawania powiadomień o naruszeniu, świadczenia usług monitorowania kredytów i prowadzenia działań ograniczających szkody sprawiają, że inwestycje w nowe technologie chroniące dane wydają się tanie w porównaniu z nimi.
Program audytu zgodności HIPAA
W 2011 r. Biuro Praw Obywatelskich rozpoczęło serię pilotażowych audytów zgodności w celu oceny, jak dobrze dostawcy usług opieki zdrowotnej wdrażają zasady HIPAA dotyczące prywatności i bezpieczeństwa. Pierwsza grupa audytów została zakończona w 2012 r. i pokazała fatalny stan zgodności w opiece zdrowotnej.
Audytowane organizacje zarejestrowały liczne naruszenia zasad HIPAA Breach Notification Rule, Privacy Rule i Security Rule, przy czym te ostatnie skutkowały największą liczbą naruszeń. OCR wydał plany działania, aby pomóc tym organizacjom osiągnąć zgodność, jednak w przypadku drugiej rundy audytów nie oczekuje się, że będą one tak łagodne.
Audyty mają być ukierunkowane na konkretne obszary, które okazały się problematyczne dla tak wielu dostawców usług medycznych, podczas gdy stały plan audytu jest planowany w celu zapewnienia ciągłej zgodności z HIPAA. Era pobłażliwych standardów bezpieczeństwa już minęła i branża opieki zdrowotnej, podobnie jak wcześniej branża finansowa, musi podnieść standardy, aby zapewnić, że poufne dane pozostaną prywatne.
Każdy podmiot objęty ochroną, który nie wdroży wymaganych kontroli, naraża się na kary finansowe, sankcje, potencjalną utratę licencji, a nawet postępowanie karne za niezabezpieczenie ePHI.
Jak osiągnąć pełną zgodność z HIPAA
Nasza „Lista kontrolna zgodności z HIPAA” obejmuje elementy ustawy o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (Health Insurance Portability and Accountability Act) odnoszące się do przechowywania, przesyłania i usuwania elektronicznych chronionych informacji zdrowotnych, działania, które organizacje muszą podjąć w odpowiedzi na naruszenie oraz polityki i procedury, które muszą zostać przyjęte w celu osiągnięcia pełnej zgodności.
Regulacje HIPAA mogą być surowe, jednak organizacje objęte przepisami mają pewną swobodę w zakresie zabezpieczeń prywatności i bezpieczeństwa stosowanych do ochrony danych. Na przykład, szyfrowanie danych musi być uwzględnione, ale nie musi być wdrożone, jeśli inne środki kontroli zapewniają niezbędną ochronę.
Niektóre z głównych zabezpieczeń technicznych stosowanych do ochrony i kontroli ePHI faktycznie pomagają usprawnić komunikację i przepływ informacji, a organizacje, które przyjęły bezpieczne kanały komunikacji i wdrożyły kontrolę danych, skorzystały z poprawy wydajności, szybszego czasu reakcji i poprawiły wyniki pacjentów, zapewniając jednocześnie, że dane zdrowotne pacjentów pozostają w pełni chronione przez cały czas.
Techniczne zabezpieczenia w celu zabezpieczenia ePHI i identyfikatorów osobowych
Szyfrowanie danych
Używanie laptopów i innych urządzeń przenośnych do przechowywania lub uzyskiwania dostępu do ePHI nieuchronnie prowadzi do naruszenia HIPAA, jeśli urządzenia te zostaną zgubione, skradzione lub niewłaściwie przetworzone. Ochrona hasłem urządzeń – i zawartych w nich danych – jest rozsądnym krokiem w celu zapobieżenia nieautoryzowanemu dostępowi, ale sama w sobie jest niewystarczająca do zapewnienia niezbędnej ochrony danych dotyczących zdrowia. Hasła mogą być łatwo złamane przez hakerów i nie zapewniają wystarczająco wysokiego poziomu bezpieczeństwa.
Szyfrowanie danych polega na przekształceniu danych w nieczytelne symbole – określane jako tekst szyfrujący – za pomocą złożonych algorytmów, które wymagają klucza bezpieczeństwa do przekształcenia danych z powrotem do ich oryginalnej postaci. Szyfrowanie danych zapewnia prywatność, ale może oferować inne korzyści związane z bezpieczeństwem, takie jak weryfikacja użytkowników, rejestrowanie dostępu, zapobieganie zmianom w zapisach i niezaprzeczalność dostępu i/lub kradzieży.
Poziom bezpieczeństwa może być odpowiednio dostosowany w zależności od wrażliwości danych, do ochrony których jest wykorzystywany. Dane mogą być szyfrowane z dostępem do pojedynczego klucza bezpieczeństwa lub z oddzielnymi kluczami do szyfrowania i deszyfrowania (symetryczne i asymetryczne szyfrowanie danych).
Jeśli urządzenie mobilne zostanie zgubione lub skradzione albo jeśli nastąpi włamanie do sieci komputerowej, będzie to uważane za naruszenie bezpieczeństwa, ale nie będzie stanowiło naruszenia HIPAA, chyba że zostanie ujawniony klucz dostępu.
Secure Messaging
Przemysł opieki zdrowotnej i pager wydają się niemal nierozłączne, ale to się wkrótce zmieni. Nacisk na zgodność z HIPAA koncentruje się obecnie na smartfonach i technologii noszonej, jednak pager nie jest zgodny z HIPAA. Wszystkie urządzenia mobilne przesyłają dane przez niezabezpieczone sieci i dlatego polegają na tym, że użytkownicy nie wysyłają informacji ePHI.
SchematyBYOD zostały już wprowadzone przez wielu dostawców usług medycznych, chociaż nowoczesne urządzenia mobilne mają jeszcze większy potencjał do powodowania naruszeń HIPAA ze względu na łatwość, z jaką można przesyłać identyfikatory osobowe i informacje ePHI. Można wprowadzić zasady i procedury, aby kontrolować sposób korzystania z tych urządzeń, chociaż badania sugerują, że w praktyce wielu pracowników medycznych nadal używa tych urządzeń do przekazywania informacji ePHI.
Rozwiązania bezpiecznego przesyłania wiadomości zapobiegają takim sytuacjom. Ich działanie polega na utrzymywaniu danych ePHI w bezpiecznej bazie danych, a następnie umożliwieniu upoważnionym pracownikom medycznym dostępu do tych danych za pośrednictwem pobieranych aplikacji do bezpiecznego przesyłania wiadomości. Komunikacja odbywa się za pośrednictwem bezpiecznej platformy komunikacyjnej, która posiada mechanizmy kontroli administracyjnej umożliwiające monitorowanie aktywności uprawnionego personelu. Firma zapewnia również zgodność z przepisami w celu sporządzenia oceny ryzyka, zgodnie z wymaganiami audytorów HIPAA i Office for Civil Rights.
Wiele organizacji opieki zdrowotnej zgłosiło, że wdrożenie rozwiązań bezpiecznego przesyłania wiadomości zwiększyło produktywność poprzez usprawnienie komunikacji, zwiększenie rozliczalności wiadomości i przyspieszenie czasu reakcji. Według badań przeprowadzonych w placówkach medycznych zgodnych z HIPAA, wydajność również wzrosła, co skutkuje wyższym standardem opieki zdrowotnej świadczonej pacjentom.
Zgodne z przepisami przechowywanie w chmurze
Przejście od fizycznej dokumentacji medycznej do elektronicznych formatów danych wymagało znacznych inwestycji w infrastrukturę IT. Wymagania stawiane organizacjom opieki zdrowotnej w zakresie ciągłego unowocześniania serwerów i sieci oraz zatrudniania pracowników do zarządzania centrami danych mogą być znaczne. Oprócz sprzętu komputerowego, przestrzeń musi być przeznaczona do przechowywania sprzętu, a kontrole fizyczne muszą być stosowane do kontroli dostępu.
Sprzęt komputerowy obecnie wymagany do prowadzenia dużych sieci i przechowywania danych opieki zdrowotnej wymaga systemów chłodzenia, które mają być zainstalowane w celu rozproszenia ciepła generowanego przez sprzęt. Najbardziej opłacalnym rozwiązaniem dla wielu dostawców usług medycznych jest outsourcing przechowywania danych i korzystanie z chmury do przechowywania danych. Hosting w chmurze zgodny z HIPAA stosuje odpowiednie kontrole w celu zabezpieczenia wszystkich przechowywanych danych za pomocą szyfrowania. Poprzez outsourcing, organizacje opieki zdrowotnej mogą spełniać przepisy HIPAA bez konieczności inwestowania tak mocno w infrastrukturę IT.
Zgodne platformy mobilne (App Development)
Mobilne aplikacje zdrowotne są popularne wśród pacjentów do śledzenia i monitorowania zdrowia i kondycji, a urządzenia ubieralne mają potencjał, aby zrewolucjonizować domowej opieki zdrowotnej. Mogą one być stosowane w połączeniu z e-wizytami w celu zapewnienia usług opieki domowej dla pacjentów na ułamek wizyt w centrum opieki zdrowotnej.
Patient portale podobnie mają wielki potencjał i poprawić interakcję między dostawcami usług opieki i pacjentów, i zmniejszyć niepotrzebne koszty, pomagając jednocześnie poprawić wyniki pacjenta. Rozwój ram aplikacji mobilnych zgodnych z HIPAA, zgodnego przechowywania danych i rozwiązań internetowych zgodnych z HIPAA oznacza, że dostawcy usług opieki zdrowotnej mogą korzystać z zalet nowej technologii bez narażania prywatności i bezpieczeństwa danych pacjentów.
Więcej zabezpieczeń technicznych w celu zabezpieczenia ePHI i identyfikatorów osobistych jest bez wątpienia na etapie planowania i będzie miało wpływ na historię HIPAA w przyszłości. W międzyczasie, oto krótka oś czasu historii HIPAA.