Etableringen af HIPAA
The Health Insurance Portability and Accountability Act, også kendt som HIPAA, blev indført den 21. august 1996. HIPAA blev oprettet for at fremme overførbarhed og ansvarlighed i forbindelse med sygesikringsdækning. Som følge heraf har den påvirket den måde, hvorpå sundhedsorganisationer håndterer alle facetter af informationsstyring, herunder refusion, kodning, sikkerhed, patientjournaler og plejeadministration. Enhver praksis i USA, der håndterer beskyttede sundhedsoplysninger, er forpligtet til at overholde disse regler og de regler, der er udviklet efter den oprindelige bekendtgørelse.
Vigtigheden af HIPAA i dag
HIPAA er en vigtig del af sundhedsvæsenet i dag, fordi det sikrer implementeringen af sikkerhedsforanstaltninger til beskyttelse af følsomme personlige og sundhedsoplysninger. HIPAA One er dedikeret til at forstå alle aspekter af HIPAA-regulering og arbejder sammen med vores kunder for at opnå fuldstændig overholdelse. Enhver organisation, der håndterer ePHI, skal have en overholdelsesplan på plads, der prioriterer beskyttelse og sikkerhed af sundhedsdata og patienters privatliv.
Indførelsen af standarder for beskyttelse af privatlivets fred og sikkerhed
Den 14. april 2003 offentliggjorde det amerikanske sundhedsministerium den første HIPAA-regulering om beskyttelse af privatlivets fred, der definerede Protected Health Information (PHI) som “alle oplysninger, der opbevares af en omfattet enhed, og som vedrører sundhedstilstand, levering af sundhedsydelser eller betaling for sundhedsydelser, der kan knyttes til en person”.
Der blev senere indført krav til HIPAA-reguleringen om privatlivets fred for at illustrere, hvordan PHI forventedes at blive håndteret, overført, modtaget eller delt. Sundhedsudbydere og -organisationer samt deres forretningsforbindelser skulle overholde disse regler for alle former for PHI.
Den 21. april 2005 blev HIPAA Security Rule indført. Denne regel omhandler direkte elektronisk lagrede PHI (ePHI) gennem tre sikkerhedsforanstaltninger: fysiske, administrative og tekniske.
- Fysiske sikkerhedsforanstaltninger – Fysiske foranstaltninger, politikker og procedurer til beskyttelse af en dækket enheds elektroniske informationssystemer og tilhørende bygninger og udstyr mod natur- og miljømæssige farer og uautoriseret indtrængen.
- Administrative sikkerhedsforanstaltninger – Politikker og procedurer, der er udformet til at styre udvælgelse, udvikling, implementering og vedligeholdelse af sikkerhedsforanstaltninger.
- Tekniske sikkerhedsforanstaltninger – Politikker og procedurer for teknologi og dens anvendelse, der beskytter ePHI og kontrollerer adgangen til den.
HIPAA Regulation Enforcement
I marts 2006 blev Enforcement Rule indført. Enforcement Rule gjorde det muligt for Department of Health and Human Services at undersøge omfattede enheder, der er anmeldt for manglende overholdelse af HIPAA-reglerne. Ud over en undersøgelse giver håndhævelsesreglen Office for Civil Rights mulighed for at rejse civile anklager mod enheder, der ikke overholdt reglerne.
Tilføjelsen af ARRA og HITECH
I 2009 blev The American Recovery and Reinvestment Act (ARRA) gennemført, og i den var der en vigtig tilføjelse til HIPAA-håndhævelsen, nemlig Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH-loven indførte bestemmelser om forvaltning af sundhedsoplysninger, som omfattede, at alle brud på ePHI, der berører mere end 500 personer, skal indberettes til Department of Health and Human Services’ (HHS) Office for Civil Rights (OCR). Ud over reglerne om anmeldelse af brud blev der med HITECH-loven indført et incitamentprogram for Meaningful Use for at tilskynde sundhedsorganisationer til at flytte deres journaler til elektroniske registre ved at implementere en elektronisk patientjournal (EHR). I dag hedder dette incitamentsprogram Promoting Interoperability.
Den endelige Omnibus Rule
I marts 2013 blev den endelige Omnibus Rule indført og med den mange endelige ændringer. Den endelige Omnibus Rule foretog præciseringer af forordninger som HIPAA og HITECH med hensyn til anvendelsen af ePHI samt ordlyden i selve lovene. Reglerne om privatlivets fred og sikkerhed blev også ændret for at ændre den passende varighed for indhentning af en patients sundhedsoplysninger. Tidligere var det tilladt at opbevare oplysningerne i 50 år, men ændringen ændrede denne regel til at gælde på ubestemt tid. Ændringerne omfattede specifikationer for ændrede arbejdsmetoder i forbindelse med teknologiske fremskridt, som ikke var gældende i 1996, f.eks. mobile enheder og telesundhed.
Er du HIPAA-kompatibel?
Håndhævelsen af HIPAA sker løbende gennem undersøgelser, der udføres af Office of Civil Rights. Når HIPAA One-kunder bliver revideret, har de intet at bekymre sig om. Med en succesrate på 100 % vil HIPAA One være der hvert skridt på vejen. Kontroller, at din organisation følger alle HIPAA-overholdelsesregler ved at tage vores gratis overholdelsesquiz.