Istoricul HIPAA

Când a fost înființat HIPAA?

Lecția noastră de istorie HIPAA începe la 21 august 1996, când a fost promulgată legea HIPAA (Healthcare Insurance Portability and Accountability Act), dar de ce a fost creată legea HIPAA? HIPAA a fost creat pentru a „îmbunătăți portabilitatea și responsabilitatea asigurării de sănătate” pentru angajații care își schimbă locul de muncă. Alte obiective ale legii au fost de a combate risipa, frauda și abuzul în domeniul asigurărilor de sănătate și al furnizării de asistență medicală. Legea conținea, de asemenea, pasaje pentru a promova utilizarea conturilor de economii medicale prin introducerea de facilități fiscale, oferă acoperire pentru angajații cu afecțiuni medicale preexistente și simplifică administrarea asigurărilor de sănătate.

Procedurile de simplificare a administrării asigurărilor de sănătate au devenit un vehicul pentru a încuraja industria de sănătate să computerizeze dosarele medicale ale pacienților. Această parte specială a legii a dat naștere, în 2009, la Health Information Technology for Economic and Clinical Health Act (HITECH), care, la rândul său, a dus la introducerea programului de stimulare Meaningful Use – descris de liderii din industria de sănătate ca fiind „cel mai important act legislativ din domeniul sănătății care a fost adoptat în ultimii 20-30 de ani”.

Se conturează regulile de confidențialitate și securitate HIPAA

După ce HIPAA a fost promulgată, Departamentul de Sănătate și Servicii Umane al SUA a început să creeze primele reguli de confidențialitate și securitate HIPAA. Regula de confidențialitate a avut o dată de intrare în vigoare la 14 aprilie 2003 și a definit informațiile medicale protejate (PHI) ca fiind „orice informație deținută de o entitate acoperită care se referă la starea de sănătate, la furnizarea de asistență medicală sau la plata asistenței medicale care poate fi legată de o persoană”

Au fost emise instrucțiuni privind modul în care ar trebui să fie divulgate PHI și faptul că ar trebui să se ceară permisiunea pacienților înainte de a utiliza informațiile lor personale pentru marketing, strângere de fonduri sau cercetare. De asemenea, a acordat pacienților dreptul de a refuza furnizarea de informații despre îngrijirea sănătății lor de către furnizorii de asigurări de sănătate atunci când tratamentul lor este finanțat în mod privat.

Regula de securitate HIPAA a intrat în vigoare la doi ani după legislația inițială, la 21 aprilie 2005. Ocupându-se în mod specific de informațiile PHI stocate electronic (ePHI), Regula de securitate a stabilit trei garanții de securitate – administrative, fizice și tehnice – care trebuie respectate în totalitate pentru a fi în conformitate cu HIPAA. Garanțiile au avut următoarele obiective:

  • Administrative – pentru a crea politici și proceduri concepute pentru a arăta în mod clar modul în care entitatea va respecta legea.
  • Fizice – să controleze accesul fizic la zonele de stocare a datelor pentru a proteja împotriva accesului necorespunzător
  • Tehnice – să protejeze comunicările care conțin PHI atunci când sunt transmise electronic prin rețele deschise

Când a intrat în vigoare HIPAA?

În ce an a fost promulgată legea HIPAA? HIPAA a fost promulgată la 21 august 1996, dar în ultimii 20 de ani au existat completări majore la HIPAA: Introducerea regulii de confidențialitate, a regulii de securitate, a regulii de notificare a breșelor și a regulii finale Omnibus.

Cele mai importante date de intrare în vigoare sunt: 14 aprilie 2003 pentru regula de confidențialitate HIPAA, deși a existat o prelungire de un an pentru planurile de sănătate mici, care trebuiau să se conformeze prevederilor regulii de confidențialitate HIPAA până la 14 aprilie 2004.

Data efectivă de conformare pentru regula de securitate HIPAA a fost 21 aprilie 2005. La fel ca și în cazul Regulii de confidențialitate HIPAA, micilor planuri de sănătate li s-a acordat un an suplimentar pentru a se conforma dispozițiilor Regulii de securitate HIPAA și au avut o dată efectivă de conformare la 21 aprilie 2006.

Regula HIPAA de notificare a încălcărilor a intrat în vigoare la 23 septembrie 2009, iar Regula finală Omnibus a intrat în vigoare la 26 martie 2013.

Introducerea regulii de punere în aplicare

Nerespectarea deplină a regulilor de confidențialitate și securitate HIPAA de către multe entități acoperite a dus la introducerea regulii de punere în aplicare în martie 2006. Regula de punere în aplicare a conferit Departamentului pentru Sănătate și Servicii Umane competența de a investiga plângerile împotriva entităților vizate pentru nerespectarea regulii de confidențialitate și de a aplica amenzi entităților vizate pentru încălcări evitabile ale informațiilor medicale electronice datorită nerespectării măsurilor de protecție prevăzute de regula de securitate.

De asemenea, Biroul pentru Drepturi Civile al Departamentului a primit competența de a formula plângeri penale împotriva contravenienților care nu reușesc să introducă măsuri corective în termen de 30 de zile. Persoanele fizice au, de asemenea, dreptul de a intenta o acțiune în justiție civilă împotriva entității acoperite dacă informațiile personale privind asistența medicală au fost divulgate fără permisiunea lor, în cazul în care acest lucru le provoacă un „prejudiciu grav”.

HITECH 2009 și Regula de notificare a încălcărilor

IstoriaHIPAA a continuat în 2009, odată cu introducerea Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH a avut ca obiectiv principal să constrângă autoritățile din domeniul sănătății să implementeze utilizarea dosarelor electronice de sănătate (EHR) și a introdus programul de stimulare Meaningful Use. Prima etapă a programului „Meaningful Use” a fost lansată în anul următor, stimulând organizațiile din domeniul sănătății să păstreze informațiile medicale protejate ale pacienților în format electronic, mai degrabă decât în fișiere de hârtie.

Cu programul de stimulare a venit, de asemenea, o extindere a regulilor HIPAA la asociații de afaceri și la furnizorii terți din industria sănătății, precum și introducerea regulii de notificare a breșelor – care stipula că toate breșele de ePHI care afectează mai mult de 500 de persoane trebuie să fie raportate Biroului pentru drepturi civile al Departamentului de Sănătate și Servicii Umane. Criteriile de raportare a încălcărilor de ePHI au fost ulterior extinse în Regula Omnibus finală din martie 2013.

Regula Omnibus finală din 2013

Cel mai recent act legislativ din istoria HIPAA a fost Regula Omnibus finală din 2013. Regula abia dacă a introdus o nouă legislație, dar a completat lacunele din reglementările existente ale HIPAA și HITECH – de exemplu, specificând standardele de criptare care trebuie aplicate pentru a face ca ePHI să fie inutilizabile, indescifrabile și ilizibile în cazul unei încălcări.

Multe definiții au fost modificate sau adăugate pentru a clarifica zonele gri – de exemplu, definiția „forței de muncă” a fost modificată pentru a clarifica faptul că termenul include angajații, voluntarii, stagiarii și alte persoane a căror conduită, în desfășurarea activității pentru o entitate acoperită sau un asociat comercial, se află sub controlul direct al entității acoperite sau al asociatului comercial.

Normele privind confidențialitatea și securitatea au fost, de asemenea, modificate pentru a permite ca informațiile privind sănătatea pacientului să fie păstrate pe termen nelimitat (legislația anterioară prevedea ca acestea să fie păstrate timp de cincizeci de ani), în timp ce noi proceduri au fost incluse în regula privind notificarea încălcărilor (Breach Notification Rule). De asemenea, au fost aplicate noi sancțiuni – așa cum a dictat HITECH – entităților acoperite care au încălcat regula de aplicare a HIPAA.

Au fost incluse și modificări pentru a ține cont de schimbarea practicilor de lucru determinate de progresele tehnologice, acoperind în special utilizarea dispozitivelor mobile. Un număr semnificativ de profesioniști din domeniul sănătății utilizează acum propriile dispozitive mobile pentru a accesa și a comunica ePHI, iar regula finală Omnibus Rule a inclus noi proceduri și politici administrative pentru a ține cont de acest lucru și pentru a acoperi scenarii care nu ar fi putut fi prevăzute în 1996. Textul integral al Final Omnibus Rule poate fi consultat aici.

După multiple amânări, termenul limită pentru ca Statele Unite să utilizeze Clinical Modification ICD-10-CM pentru codificarea diagnosticelor și Procedure Coding System ICD-10-PCA pentru codificarea procedurilor spitalicești pentru pacienții internați a fost în cele din urmă stabilit la 1 octombrie 2015. Toate entitățile acoperite de HIPAA trebuie să utilizeze ICD-10-CM. O altă cerință sunt acestea din EDI versiunea 5010.

Data cheie în istoria HIPAA

  • August 1996 – HIPAA a fost promulgată de președintele Bill Clinton.
  • Aprilie 2003 – Data intrării în vigoare a regulii de confidențialitate HIPAA.
  • Aprilie 2005 – Data intrării în vigoare a regulii de securitate HIPAA.
  • Martie 2006 – Data intrării în vigoare a regulii HIPAA de aplicare a regulii privind încălcarea securității.
  • Septembrie 2009 – Data intrării în vigoare a HITECH și a regulii de notificare a încălcării securității.
  • Martie 2013 – Data intrării în vigoare a regulii finale Omnibus.

În anumite circumstanțe, EC și BA au primit o perioadă de timp pentru a se conforma dispozițiilor fiecărei reguli. De exemplu, deși data intrării în vigoare a Final Omnibus Rule a fost martie 2013, EC și BA au avut la dispoziție 180 de zile pentru a se conforma. Alte date-cheie din istoria HIPAA pot fi găsite în infograficul nostru de mai jos.

Consecințele Regulii Omnibus finale

Ceea ce a realizat Regula Omnibus finală mai mult decât orice altă legislație anterioară a fost să facă entitățile acoperite mai conștiente de garanțiile HIPAA pe care trebuiau să le respecte. Multe organizații din domeniul sănătății – care încălcaseră HIPAA timp de aproape două decenii – au pus în aplicare o serie de măsuri pentru a se conforma reglementărilor, cum ar fi utilizarea criptării datelor pe dispozitivele portabile și în rețelele de calculatoare, punerea în aplicare a unor soluții de mesagerie securizată pentru comunicările interne cu echipele de îngrijire, instalarea de filtre web și o mai mare atenție la arhivarea în siguranță a e-mailurilor.

Sancțiunile financiare emise acum pentru încălcări ale securității datelor, împreună cu costurile colosale legate de emiterea de notificări de încălcare a securității, furnizarea de servicii de monitorizare a creditelor și desfășurarea de acțiuni de atenuare a pagubelor, fac ca investiția în noi tehnologii pentru protejarea datelor să pară ieftină prin comparație.

Programul de audit al conformității HIPAA

În 2011, Oficiul pentru Drepturi Civile a început o serie de audituri pilot de conformitate pentru a evalua modul în care furnizorii de servicii medicale pun în aplicare normele de confidențialitate și securitate HIPAA. Prima găselniță de audituri a fost finalizată în 2012 și a evidențiat starea dezastruoasă a conformității în domeniul asistenței medicale.

Organizațiile auditate au înregistrat numeroase încălcări ale regulii HIPAA de notificare a breșelor, ale regulii de confidențialitate și ale regulii de securitate, acestea din urmă fiind cele care au dus la cel mai mare număr de încălcări. OCR a emis planuri de acțiune pentru a ajuta aceste organizații să atingă conformitatea; cu toate acestea, pentru cea de-a doua rundă de audituri nu se așteaptă să fie la fel de indulgentă.

Se așteaptă ca auditurile să vizeze domeniile specifice care s-au dovedit a fi problematice pentru atât de mulți furnizori de servicii medicale, în timp ce un plan de audit permanent este planificat pentru a asigura conformitatea continuă cu HIPAA. Epoca standardelor de securitate laxe a trecut acum și industria sănătății, ca și industria financiară înaintea ei, trebuie să ridice standardele pentru a se asigura că datele confidențiale rămân private.

Care entitate acoperită care nu implementează controalele necesare riscă penalități financiare, sancțiuni, pierderea potențială a licenței și chiar proceduri penale pentru că nu a securizat ePHI.

Cum să obțineți conformitatea deplină cu HIPAA

Lista noastră de verificare a conformității cu HIPAA” acoperă elementele Legii privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate referitoare la stocarea, transmiterea și eliminarea informațiilor medicale electronice protejate, acțiunile pe care organizațiile trebuie să le întreprindă ca răspuns la o încălcare și politicile și procedurile care trebuie adoptate pentru a obține conformitatea deplină.

Reglementările HIPAA pot fi stricte, dar organizațiilor vizate li se permite o anumită flexibilitate în ceea ce privește garanțiile de confidențialitate și securitate utilizate pentru a proteja datele. Criptarea datelor, de exemplu, trebuie abordată, dar nu neapărat pusă în aplicare dacă alte controale asigură protecția necesară.

Câteva dintre principalele măsuri de protecție tehnică utilizate pentru a proteja și controla ePHI ajută, de fapt, la eficientizarea comunicării și a fluxului de informații, iar organizațiile care au adoptat canale de comunicare securizate și au pus în aplicare controale ale datelor au beneficiat de o mai mare eficiență, de timpi de răspuns mai rapizi și au îmbunătățit rezultatele pacienților, asigurându-se în același timp că datele de sănătate ale pacienților rămân în permanență pe deplin protejate.

Măsuri tehnice de protecție pentru securizarea ePHI și a identificatorilor personali

Criptarea datelor

Utilizarea calculatoarelor portabile și a altor dispozitive mobile pentru stocarea sau accesarea ePHI duce în mod inevitabil la o încălcare a HIPAA în cazul în care aceste dispozitive sunt pierdute, furate sau reciclate în mod necorespunzător. Protecția prin parolă a dispozitivelor – și a datelor pe care acestea le conțin – este o măsură rezonabilă pentru a preveni accesul neautorizat, dar, de una singură, este insuficientă pentru a asigura protecția necesară pentru datele medicale. Parolele pot fi ușor de spart de către hackeri și nu oferă un nivel de securitate suficient de ridicat.

Criptarea datelor implică transformarea datelor în simboluri indescifrabile – denumite text cifrat – prin algoritmi complecși, care necesită o cheie de securitate pentru a converti datele înapoi în forma lor originală. Criptarea datelor asigură confidențialitatea, dar poate oferi și alte beneficii de securitate, cum ar fi verificarea utilizatorilor, înregistrarea accesului, prevenirea modificării înregistrărilor și nerepudierea accesului și/sau a furtului.

Nivelul de securitate poate fi ajustat în mod corespunzător în funcție de sensibilitatea datelor pe care este folosit pentru a le proteja. Datele pot fi criptate cu o singură cheie de securitate de acces sau cu chei separate pentru criptare și decriptare (criptare simetrică și asimetrică a datelor).

Dacă un dispozitiv mobil este pierdut sau furat sau dacă rețelele de calculatoare sunt piratate, deși acest lucru va fi considerat o breșă de securitate, nu ar fi o încălcare a HIPAA, cu excepția cazului în care cheia de acces este, de asemenea, dezvăluită.

Mesagerie securizată

Industria medicală și pagerul par aproape inseparabile, însă acest lucru este pe cale să se schimbe. Accentul pe conformitatea HIPAA se concentrează în prezent pe smartphone-uri și pe tehnologia portabilă, însă pagerul nu este conform HIPAA. Toate dispozitivele mobile transmit date prin rețele nesecurizate și, prin urmare, se bazează pe faptul că utilizatorii nu trimit ePHI.

Schemele BYOD au fost introduse acum de mulți furnizori de servicii medicale, deși dispozitivele mobile moderne au un potențial și mai mare de a provoca încălcări ale HIPAA datorită ușurinței cu care pot fi trimise identificatori personali și ePHI. Politicile și procedurile pot fi puse în aplicare pentru a controla modul în care sunt utilizate aceste dispozitive, deși sondajele sugerează că, în practică, mulți profesioniști din domeniul medical încă folosesc dispozitivele pentru a comunica ePHI.

Soluțiile de mesagerie securizată împiedică acest lucru. Acestea funcționează prin menținerea ePHI într-o bază de date securizată și apoi permit profesioniștilor din domeniul medical autorizați să acceseze datele prin intermediul aplicațiilor de mesagerie securizată descărcabile. Comunicările sunt canalizate prin intermediul unei platforme de mesagerie securizată care dispune de controale administrative pentru a monitoriza activitatea personalului autorizat. De asemenea, ofițerii de conformitate produc evaluări ale riscurilor, așa cum cer auditorii HIPAA și ai Oficiului pentru Drepturi Civile.

Multe organizații din domeniul sănătății au raportat că implementarea soluțiilor de mesagerie securizată a crescut productivitatea prin eficientizarea comunicațiilor, creșterea responsabilității mesajelor și accelerarea timpilor de răspuns. Conform studiilor efectuate în unitățile medicale conforme cu HIPAA, eficiența a crescut, de asemenea, ceea ce a dus la un standard mai ridicat de asistență medicală oferită pacienților.

Stocare în cloud conformă

Mutarea de la dosarele medicale fizice la formate de date electronice a necesitat investiții considerabile în infrastructura IT. Cerințele impuse organizațiilor din domeniul sănătății de a moderniza continuu serverele și rețelele și de a angaja personal pentru a gestiona centrele de date pot fi considerabile. În plus față de hardware, trebuie alocat spațiu pentru depozitarea echipamentelor și trebuie folosite controale fizice pentru a controla accesul.

Echipamentele informatice necesare acum pentru a rula rețele mari și a stoca date medicale necesită instalarea unor sisteme de răcire pentru a disipa căldura generată de echipamente. Soluția cea mai rentabilă pentru mulți furnizori de servicii medicale este de a externaliza stocarea datelor și de a profita de cloud pentru a stoca datele. Găzduirea în cloud în conformitate cu HIPAA utilizează controale adecvate pentru a securiza toate datele stocate prin criptare. Prin externalizare, organizațiile de asistență medicală pot respecta reglementările HIPAA fără a fi nevoite să investească atât de mult în infrastructura IT.

Platforme mobile conforme (dezvoltare de aplicații)

Aplicațiile de sănătate mobilă sunt populare printre pacienți pentru urmărirea și monitorizarea sănătății și a condiției fizice, iar dispozitivele purtabile au potențialul de a revoluționa asistența medicală la domiciliu. Acestea pot fi utilizate împreună cu vizitele electronice pentru a oferi pacienților servicii de îngrijire la domiciliu la o fracțiune din valoarea vizitelor la centrele de îngrijire medicală.

Portalurile pentru pacienți au, în mod similar, un mare potențial și îmbunătățesc interacțiunea dintre furnizorii de îngrijire și pacienți și reduc costurile inutile, contribuind în același timp la îmbunătățirea rezultatelor pacienților. Dezvoltarea cadrelor de aplicații mobile conforme cu HIPAA, a soluțiilor de stocare conforme și a soluțiilor web conforme cu HIPAA înseamnă că furnizorii de servicii medicale pot profita de avantajele noilor tehnologii fără a pune în pericol confidențialitatea și securitatea datelor pacienților.

Mai multe garanții tehnice pentru a securiza ePHI și identificatorii personali sunt, fără îndoială, în faza de planificare acum și vor avea un impact asupra istoriei HIPAA în viitor. Între timp, iată o scurtă cronologie a istoriei HIPAA.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.