När HIPAA inrättades?
Vår historielektion om HIPAA börjar den 21 augusti 1996, då HIPAA-lagen (Healthcare Insurance Portability and Accountability Act) undertecknades som lag, men varför skapades HIPAA-lagen? HIPAA skapades för att ”förbättra överförbarheten och ansvarsskyldigheten för sjukförsäkringsskydd” för anställda mellan olika arbeten. Andra mål med lagen var att bekämpa slöseri, bedrägeri och missbruk inom sjukförsäkring och sjukvård. Lagen innehöll också passager för att främja användningen av medicinska sparkonton genom att införa skattelättnader, ger täckning för anställda med redan existerande sjukdomstillstånd och förenklar administrationen av sjukförsäkringen.
Förfarandena för att förenkla administrationen av sjukförsäkringen blev ett medel för att uppmuntra hälso- och sjukvårdsbranschen att datorisera patienternas medicinska journaler. Just denna del av lagen gav upphov till Health Information Technology for Economic and Clinical Health Act (HITECH) 2009, som i sin tur ledde till införandet av incitamentsprogrammet Meaningful Use – som av ledare inom hälso- och sjukvårdsbranschen beskrivs som ”den viktigaste lagstiftningen på hälso- och sjukvårdsområdet som har antagits under de senaste 20-30 åren”.
HIPAA:s sekretess- och säkerhetsregler tar form
När HIPAA hade undertecknats som lag började USA:s hälsovårdsdepartement att skapa de första HIPAA-reglerna för sekretess och säkerhet. Sekretessreglerna hade ett datum för ikraftträdande den 14 april 2003 och definierade skyddad hälsoinformation (Protected Health Information, PHI) som ”all information som innehas av en enhet som omfattas och som rör hälsostatus, tillhandahållande av hälso- och sjukvård eller betalning för hälso- och sjukvård och som kan knytas till en individ”.
Anvisningar utfärdades om hur PHI ska avslöjas och om att tillstånd ska inhämtas från patienterna innan deras personliga information används för marknadsföring, insamling av medel eller forskning. Det gav också patienterna rätt att undanhålla information om sin hälso- och sjukvård från sjukförsäkringsbolag när deras behandling är privatfinansierad.
HIPAA:s säkerhetsregel trädde i kraft två år efter den ursprungliga lagstiftningen, den 21 april 2005. Säkerhetsregeln behandlar specifikt elektroniskt lagrade PHI (ePHI) och fastställde tre säkerhetsåtgärder – administrativa, fysiska och tekniska – som måste följas fullt ut för att HIPAA ska kunna följas. Skyddsåtgärderna hade följande mål:
- Administrativt – att skapa riktlinjer och förfaranden som är utformade för att tydligt visa hur enheten kommer att följa lagen.
- Fysiskt – att kontrollera fysisk tillgång till områden för datalagring för att skydda mot olämplig åtkomst
- Tekniskt – att skydda kommunikation som innehåller PHI när den överförs elektroniskt över öppna nätverk
När HIPAA trädde i kraft?
Vilket år undertecknades HIPAA som lag? HIPAA undertecknades som lag den 21 augusti 1996, men det har gjorts stora tillägg till HIPAA under de senaste 20 åren: De viktigaste datumen för ikraftträdandet är följande: År 1996: HIPA är i kraft sedan dess: Den 14 april 2003 för HIPAA Privacy Rule, även om det fanns en förlängning med ett år för små hälsoplaner som var skyldiga att följa HIPAA Privacy Rule-bestämmelserna senast den 14 april 2004.
Datum för efterlevnad av HIPAA Security Rule var den 21 april 2005. Liksom i fallet med HIPAA Privacy Rule fick små hälsoplaner ytterligare ett år på sig att följa bestämmelserna i HIPAA Security Rule och hade ett effektivt datum för efterlevnad den 21 april 2006.
HIPAA Breach Notification Rule trädde i kraft den 23 september 2009 och Omnibus Final Rule trädde i kraft den 26 mars 2013.
Införandet av verkställighetsregeln
Den bristande efterlevnaden av HIPAA:s integritets- och säkerhetsregler hos många berörda enheter ledde till att verkställighetsregeln infördes i mars 2006. Genom denna regel fick Department of Health and Human Services befogenhet att utreda klagomål mot berörda enheter för underlåtenhet att följa sekretessregeln och att bötfälla berörda enheter för undvikbara intrång i ePHI på grund av att de inte följde de skyddsåtgärder som fastställs i säkerhetsregeln.
Department´s Office for Civil Rights gavs också befogenhet att väcka brottsanklagelser mot återkommande lagöverträdare som inte vidtar korrigerande åtgärder inom 30 dagar. Individer har också rätt att vidta civilrättsliga åtgärder mot den berörda enheten om deras personliga hälso- och sjukvårdsinformation har lämnats ut utan deras tillstånd om det leder till att de drabbas av ”allvarlig skada”.
HITECH 2009 och Breach Notification Rule
HIPAA-historien fortsatte 2009 i och med införandet av lagen om hälsoinformationsteknologi för ekonomisk och klinisk hälsa (Health Information Technology for Economic and Clinical Health Act (HITECH)). HITECH hade som främsta mål att tvinga sjukvårdsmyndigheterna att införa användningen av elektroniska patientjournaler (EHR) och införde incitamentsprogrammet Meaningful Use. Första etappen av Meaningful Use infördes året därpå och gav sjukvårdsorganisationer incitament att bevara patienternas skyddade hälsoinformation i elektroniskt format i stället för i pappersfiler.
Med incitamentprogrammet följde också en utvidgning av HIPAA-reglerna till att omfatta affärspartner och tredjepartsleverantörer till hälso- och sjukvårdsbranschen och införandet av Breach Notification Rule – som föreskriver att alla överträdelser av ePHI som berör mer än 500 personer måste rapporteras till Department of Health and Human Services’ Office for Civil Rights (kontoret för medborgerliga rättigheter). Kriterierna för rapportering av brott mot ePHI utökades senare i den slutliga omnibusregeln från mars 2013.
Den slutliga omnibusregeln från 2013
Den senaste rättsakten i HIPAA:s historia var den slutliga omnibusregeln från 2013. Regeln införde knappt någon ny lagstiftning, men fyllde luckor i befintliga HIPAA- och HITECH-bestämmelser – till exempel genom att specificera de krypteringsstandarder som måste tillämpas för att göra ePHI oanvändbar, odechiffrerbar och oläsbar i händelse av en överträdelse.
Flera definitioner ändrades eller lades till för att reda ut gråzoner – till exempel ändrades definitionen av ”arbetsstyrka” för att klargöra att begreppet omfattar anställda, volontärer, praktikanter och andra personer vars beteende, vid utförandet av arbete för en täckt enhet eller en affärspartner, står under den täckta enhetens eller affärspartnerns direkta kontroll.
Reglerna om sekretess och säkerhet ändrades också så att patienters hälsoinformation kan sparas på obestämd tid (enligt den tidigare lagstiftningen skulle den sparas i femtio år), samtidigt som nya förfaranden skrevs in i regeln om anmälan av överträdelser. Nya påföljder tillämpades också – i enlighet med HITECH – för de berörda enheter som bröt mot HIPAA Enforcement Rule.
Förändringar infördes också för att ta hänsyn till förändrade arbetsrutiner till följd av den tekniska utvecklingen, och omfattade i synnerhet användningen av mobila enheter. Ett stort antal vårdpersonal använder nu sina egna mobila enheter för att få tillgång till och kommunicera ePHI, och den slutliga omnibusregeln innehöll nya administrativa förfaranden och policyer för att ta hänsyn till detta och för att täcka scenarier som inte kunde ha förutsetts 1996. Den fullständiga texten till Final Omnibus Rule finns här.
Efter flera förseningar fastställdes tidsfristen för USA att använda Clinical Modification ICD-10-CM för diagnoskodning och Procedure Coding System ICD-10-PCA för kodning av sjukhusprocedurer i slutenvården slutligen till den 1 oktober 2015. Alla enheter som omfattas av HIPAA måste använda ICD-10-CM. Ett annat krav är dessa av EDI version 5010.
Nyckeldatum i HIPAA:s historia
- Augusti 1996 – HIPAA undertecknades som lag av president Bill Clinton.
- April 2003 – Datum då HIPAA:s sekretessregel trädde i kraft.
- April 2005 – Datum då HIPAA:s säkerhetsregel trädde i kraft.
- Mars 2006 – Ikraftträdandedatum för HIPAA Breach Enforcement Rule.
- September 2009 – Ikraftträdandedatum för HITECH och Breach Notification Rule.
- Mars 2013 – Ikraftträdandedatum för den slutliga Omnibus Rule.
Under vissa omständigheter har CE:s och BA:s fått en viss tid på sig för att följa bestämmelserna i varje regel. Till exempel, även om ikraftträdandedatumet för den slutliga omnibusregeln var mars 2013, fick CE:s och BA:s 180 dagar på sig att följa reglerna. Ytterligare viktiga datum i HIPAA:s historia finns i vår infografik nedan.
Konsekvenser av den slutliga omnibusregeln
Vad den slutliga omnibusregeln uppnådde mer än någon tidigare lagstiftning var att göra de berörda enheterna mer medvetna om de HIPAA-garantier som de var tvungna att följa. Många sjukvårdsorganisationer – som hade brutit mot HIPAA i nästan två decennier – genomförde ett antal åtgärder för att följa bestämmelserna, t.ex. användning av datakryptering på bärbara enheter och datornätverk, införande av säkra meddelandelösningar för intern kommunikation med vårdteam, installation av webbfilter och större omsorg om att arkivera e-post på ett säkert sätt.
De ekonomiska påföljder som nu utfärdas för dataintrång tillsammans med de kolossala kostnaderna för att utfärda anmälningar om dataintrång, tillhandahålla kreditövervakningstjänster och genomföra skadebegränsning får investeringar i ny teknik för att skydda data att framstå som billiga i jämförelse.
HIPAA Compliance Audit Program
Under 2011 inledde Office for Civil Rights en serie pilotgranskningar av efterlevnaden för att bedöma hur väl vårdgivarna genomförde HIPAA:s regler för integritet och säkerhet. Den första gruppen av revisioner avslutades 2012 och belyste det svåra läget när det gäller efterlevnaden inom hälso- och sjukvården.
De granskade organisationerna registrerade ett stort antal överträdelser av HIPAA Breach Notification Rule, Privacy Rule och Security Rule, där den sistnämnda resulterade i det högsta antalet överträdelser. OCR utfärdade handlingsplaner för att hjälpa dessa organisationer att uppnå efterlevnad, men för den andra granskningsomgången förväntas den inte vara lika mild.
Granskningarna förväntas vara inriktade på de specifika områden som visade sig vara problematiska för så många vårdgivare, samtidigt som en permanent granskningsplan planeras för att säkerställa fortsatt efterlevnad av HIPAA. Tiden för slappa säkerhetsnormer har nu passerat och sjukvårdsbranschen, liksom finansbranschen före den, måste höja normerna för att se till att konfidentiella uppgifter förblir privata.
Varje täckt enhet som inte genomför de nödvändiga kontrollerna riskerar ekonomiska påföljder, sanktioner, potentiell förlust av licens och till och med straffrättsliga förfaranden för att ha misslyckats med att säkra ePHI.
Hur man uppnår full HIPAA-överensstämmelse
Vår ”HIPAA Compliance Checklist” omfattar de delar av Health Insurance Portability and Accountability Act som rör lagring, överföring och bortskaffande av elektronisk skyddad hälsoinformation, de åtgärder som organisationer måste vidta som svar på en överträdelse och de policyer och rutiner som måste antas för att uppnå full överensstämmelse.
HIPAA-reglerna kan vara strikta, men de berörda organisationerna tillåts ändå en viss flexibilitet när det gäller de integritets- och säkerhetsskyddsåtgärder som används för att skydda data. Datakryptering måste till exempel tas upp, men behöver inte nödvändigtvis genomföras om andra kontroller ger det nödvändiga skyddet.
Några av de viktigaste tekniska skyddsåtgärderna som används för att skydda och kontrollera ePHI bidrar faktiskt till att effektivisera kommunikationen och informationsflödet, och organisationer som har infört säkra kommunikationskanaler och genomfört datakontroller har dragit nytta av förbättrad effektivitet, kortare svarstider och har förbättrat patienternas resultat, samtidigt som de säkerställer att patienternas hälsouppgifter alltid är fullt skyddade.
Tekniska skyddsåtgärder för att säkra ePHI och personliga identifierare
Datakryptering
Användningen av bärbara datorer och andra mobila enheter för att lagra eller få tillgång till ePHI resulterar oundvikligen i en HIPAA-överträdelse om dessa enheter förloras, stjäls eller återvinns på ett felaktigt sätt. Lösenordsskydd av enheter – och de uppgifter de innehåller – är ett rimligt steg för att förhindra obehörig åtkomst, men i sig är det otillräckligt för att ge det nödvändiga skyddet för hälsouppgifter. Lösenord kan lätt knäckas av hackare och ger inte en tillräckligt hög säkerhetsnivå.
Datakryptering innebär att data omvandlas till oläsliga symboler – s.k. chiffertext – med hjälp av komplexa algoritmer, som kräver en säkerhetsnyckel för att omvandla data tillbaka till sin ursprungliga form. Datakryptering säkerställer sekretess, men kan erbjuda andra säkerhetsfördelar, t.ex. verifiering av användare, loggning av åtkomst, förhindrande av registerändringar och icke-repudiering av åtkomst och/eller stöld.
Säkerhetsnivån kan justeras på lämpligt sätt beroende på hur känsliga de uppgifter som den används för att skydda är. Data kan krypteras med tillgång till en enda säkerhetsnyckel eller med separata nycklar för kryptering och dekryptering (symmetrisk och asymmetrisk datakryptering).
Om en mobil enhet förloras eller stjäls eller om datornätverk hackas, kommer detta visserligen att betraktas som en säkerhetsöverträdelse, men det skulle inte vara en HIPAA-överträdelse om inte åtkomstnyckeln också avslöjas.
Säkra meddelanden
Hälsovårdsbranschen och personsökaren tycks vara nästintill oskiljaktiga, men detta är på väg att ändras. Fokus på HIPAA-överensstämmelse ligger för närvarande på smartphones och bärbar teknik, men personsökaren är inte HIPAA-kompatibel. Alla mobila enheter överför data via osäkra nät och är därför beroende av att användarna inte skickar ePHI.
BYOD-system har nu införts av många vårdgivare, även om moderna mobila enheter har ännu större potential att orsaka HIPAA-överträdelser på grund av den lätthet med vilken personliga identifierare och ePHI kan skickas. Policyer och förfaranden kan införas för att kontrollera hur dessa enheter används, även om undersökningar tyder på att många sjukvårdspersonal i praktiken fortfarande använder enheterna för att kommunicera ePHI.
Säkra meddelandelösningar förhindrar detta. De fungerar genom att ePHI lagras i en säker databas och sedan låta auktoriserad sjukvårdspersonal få tillgång till uppgifterna via nedladdningsbara appar för säkra meddelanden. Kommunikationen kanaliseras via en säker meddelandeplattform som har administrativa kontroller för att övervaka den auktoriserade personalens aktivitet. De har också efterlevnadsansvariga för att ta fram riskbedömningar, vilket krävs av HIPAA och Office for Civil Rights’ revisorer.
Många sjukvårdsorganisationer har rapporterat att implementeringen av säkra meddelandelösningar har ökat produktiviteten genom att effektivisera kommunikationen, öka ansvarstagandet för meddelanden och påskynda svarstiderna. Enligt studier som utförts i HIPAA-kompatibla sjukvårdsinrättningar har effektiviteten också ökat, vilket har resulterat i en högre standard på den sjukvård som levereras till patienterna.
Compliant Cloud Storage
Övergången från fysiska patientjournaler till elektroniska dataformat har krävt avsevärda investeringar i IT-infrastruktur. De krav som ställs på hälso- och sjukvårdsorganisationer för att kontinuerligt uppgradera servrar och nätverk och anställa personal för att hantera datacenter kan vara betydande. Förutom hårdvaran måste utrymme avsättas för att lagra utrustningen och fysiska kontroller måste användas för att kontrollera tillgången.
Den datorutrustning som nu krävs för att driva stora nätverk och lagra vårddata kräver att kylsystem installeras för att avleda den värme som utrustningen genererar. Den mest kostnadseffektiva lösningen för många vårdgivare är att lägga ut datalagring på entreprenad och utnyttja molnet för att lagra data. HIPAA-kompatibelt molnhosting använder lämpliga kontroller för att säkra alla lagrade data med kryptering. Genom att outsourca kan sjukvårdsorganisationer följa HIPAA-bestämmelserna utan att behöva investera så mycket i IT-infrastruktur.
Compliant Mobile Platforms (App Development)
Mobila hälsoappar är populära bland patienterna för att spåra och övervaka hälsa och kondition, och bärbara enheter har potential att revolutionera hemsjukvården. De kan användas tillsammans med e-besök för att tillhandahålla hemvårdstjänster till patienter till en bråkdel av vårdcentralsbesöken.
Patientportaler har på samma sätt stor potential och förbättrar interaktionen mellan vårdgivare och patienter och minskar onödiga kostnader samtidigt som de bidrar till att förbättra patientresultaten. Utvecklingen av ramverk för HIPAA-kompatibla mobilappar, kompatibel lagring och HIPAA-kompatibla webblösningar innebär att vårdgivare kan dra nytta av fördelarna med den nya tekniken utan att äventyra sekretessen och säkerheten för patientuppgifter.
Mer tekniska skyddsåtgärder för att säkra ePHI och personliga identifierare är utan tvekan på planeringsstadiet nu och kommer att påverka HIPAA-historien i framtiden. Under tiden finns här en kort tidslinje över HIPAA:s historia.