De totstandkoming van HIPAA
De Health Insurance Portability and Accountability Act, ook bekend als HIPAA, werd op 21 augustus 1996 in het leven geroepen. HIPAA werd gecreëerd om de overdraagbaarheid en verantwoordelijkheid van ziekteverzekeringsdekking te bevorderen. Als gevolg daarvan heeft het invloed gehad op de manier waarop organisaties in de gezondheidszorg omgaan met alle facetten van informatiebeheer, waaronder terugbetaling, codering, beveiliging, patiëntendossiers en zorgbeheer. Elke praktijk in de Verenigde Staten die met beschermde gezondheidsinformatie omgaat, moet voldoen aan deze voorschriften en aan de voorschriften die na de oorspronkelijke aankondiging zijn ontwikkeld.
Het belang van HIPAA vandaag
HIPAA is vandaag de dag een belangrijk onderdeel van de gezondheidszorg omdat het de implementatie van beveiligingen verzekert om gevoelige persoonlijke en gezondheidsinformatie te beschermen. HIPAA One is toegewijd aan het begrijpen van elk aspect van de HIPAA-regelgeving en het samenwerken met onze klanten om volledige naleving te bereiken. Elke organisatie die ePHI behandelt, moet een nalevingsplan hebben dat prioriteit geeft aan de bescherming en beveiliging van gezondheidsgegevens en de privacy van patiënten.
De introductie van privacy- en beveiligingsnormen
Op 14 april 2003 bracht het Amerikaanse ministerie van Volksgezondheid en Human Services de eerste HIPAA-privacyregel uit, waarin Protected Health Information (PHI) werd gedefinieerd als “alle informatie in het bezit van een gedekte entiteit die betrekking heeft op de gezondheidstoestand, de levering van gezondheidszorg, of de betaling voor gezondheidszorg die kan worden gekoppeld aan een individu”.
HIPAA-privacyregelgevingseisen werden later geïntroduceerd om te illustreren hoe PHI geacht werd te worden behandeld, overgedragen, ontvangen of gedeeld. Zorgverleners en organisaties, evenals hun zakenpartners, moesten deze regels naleven voor alle vormen van PHI.
Op 21 april 2005 werd de HIPAA Security Rule ingevoerd. Deze regel heeft rechtstreeks betrekking op elektronisch opgeslagen PHI (ePHI) door middel van drie veiligheidswaarborgen: fysieke, administratieve en technische.
- Fysieke veiligheidswaarborgen – Fysieke maatregelen, beleid en procedures om de elektronische informatiesystemen van een gedekte entiteit en de bijbehorende gebouwen en apparatuur te beschermen tegen natuurlijke en milieurisico’s en ongeoorloofde inbraak.
- Administratieve waarborgen – Beleid en procedures voor het beheer van de selectie, ontwikkeling, uitvoering en handhaving van beveiligingsmaatregelen.
- Technische waarborgen – Beleid en procedures voor technologie en het gebruik ervan die ePHI beschermen en de toegang ertoe controleren.
HIPAA-regelgeving Handhaving
In maart 2006 werd de Enforcement Rule ingevoerd. De Enforcement Rule gaf het Department of Health and Human Services de mogelijkheid om een onderzoek in te stellen naar gedekte entiteiten die waren gemeld voor het niet naleven van de HIPAA-regelgeving. Naast een onderzoek staat de Enforcement Rule het Office for Civil Rights toe om civielrechtelijke aanklachten in te dienen tegen entiteiten die zich niet aan de regels houden.
De toevoeging van ARRA en HITECH
In 2009 werd de American Recovery and Reinvestment Act (ARRA) geïmplementeerd en daarin was een essentiële toevoeging aan de HIPAA-handhaving, de Health Information Technology for Economic and Clinical Health Act (HITECH). De HITECH-wet introduceerde bepalingen voor het beheer van gezondheidsinformatie, onder meer dat alle inbreuken op ePHI waarbij meer dan 500 personen betrokken zijn, moeten worden gemeld aan het Office for Civil Rights (OCR) van het Department of Health and Human Services (HHS). Naast de regel inzake de melding van inbreuken werd bij de HITECH-wet het stimuleringsprogramma “Meaningful Use” ingevoerd om organisaties in de gezondheidszorg aan te moedigen hun dossiers elektronisch te maken door een Electronic Health Record (EHR) te implementeren. Tegenwoordig heet dat stimuleringsprogramma Promoting Interoperability.
The Final Omnibus Rule
In maart van 2013 werd de Final Omnibus Rule geïntroduceerd en daarmee vele definitieve wijzigingen. De Final Omnibus Rule bracht verduidelijkingen aan in regelingen zoals HIPAA en HITECH met betrekking tot de toepassing van ePHI, evenals de bewoordingen binnen de wetten zelf. De privacy- en veiligheidsregels werden ook gewijzigd om de passende duur voor het verkrijgen van gezondheidsinformatie van een patiënt aan te passen. Voorheen mochten zij de informatie 50 jaar bewaren, maar door de wijziging is deze regel voor onbepaalde tijd gewijzigd. De wijzigingen omvatten specificaties voor veranderende werkpraktijken in technologische vooruitgang die in 1996 niet van toepassing was, zoals mobiele apparaten en telegezondheidszorg.
Are You HIPAA Compliant?
De handhaving van HIPAA vindt voortdurend plaats door middel van onderzoeken die worden uitgevoerd door het Office of Civil Rights. Wanneer HIPAA One-cliënten worden gecontroleerd, hoeven zij zich nergens zorgen over te maken. Met een slagingspercentage van 100%, zal HIPAA One er bij elke stap van de weg zijn. Controleer of uw organisatie alle HIPAA-nalevingsvoorschriften naleeft door onze gratis nalevingsquiz te doen.