Inrättandet av HIPAA

The Health Insurance Portability and Accountability Act, även känd som HIPAA, inrättades den 21 augusti 1996. HIPAA skapades för att främja överförbarhet och ansvarsskyldighet för sjukförsäkringsskydd. Följaktligen har den påverkat hur sjukvårdsorganisationer hanterar alla aspekter av informationshantering, inklusive ersättning, kodning, säkerhet, patientjournaler och vårdhantering. Varje verksamhet i USA som hanterar skyddad hälsoinformation måste följa dessa bestämmelser och de som utvecklats efter det ursprungliga tillkännagivandet.

HIPAA:s betydelse i dag

HIPAA är en viktig del av hälso- och sjukvården i dag eftersom det säkerställer genomförandet av skyddsåtgärder för att skydda känslig person- och hälsoinformation. HIPAA One är dedikerad till att förstå varje aspekt av HIPAA-regleringen och arbeta med våra kunder för att uppnå fullständig efterlevnad. Varje organisation som hanterar ePHI måste ha en plan för efterlevnad som prioriterar skydd och säkerhet för hälsodata och patientens integritet.

Införandet av integritets- och säkerhetsstandarder

Den 14 april 2003 utfärdade USA:s Department of Health and Human Services den första HIPAA-regeln om sekretess som definierade skyddad hälsoinformation (Protected Health Information, PHI) som ”all information som innehas av en enhet som omfattas och som rör hälsostatus, tillhandahållande av hälso- och sjukvård eller betalning av hälso- och sjukvård och som kan knytas till en enskild person”.

HIPAA:s regler om sekretess infördes senare för att illustrera hur PHI förväntades bli hanterad, överförd, mottagen eller delad. Vårdgivare och organisationer, liksom deras affärspartner, var tvungna att upprätthålla dessa regler för alla former av PHI.

Den 21 april 2005 infördes HIPAA Security Rule. Denna regel behandlar direkt elektroniskt lagrade PHI (ePHI) genom tre säkerhetsåtgärder: fysiska, administrativa och tekniska.

• Fysiska säkerhetsåtgärder – Fysiska åtgärder, policyer och förfaranden för att skydda den berörda enhetens elektroniska informationssystem och tillhörande byggnader och utrustning från natur- och miljörisker och obehörigt intrång.
• Administrativa skyddsåtgärder – Policyer och förfaranden som är utformade för att hantera urval, utveckling, genomförande och underhåll av säkerhetsåtgärder.
• Tekniska skyddsåtgärder – Policyer och förfaranden för teknik och dess användning som skyddar ePHI och kontrollerar åtkomsten till den.

HIPAA Regulation Enforcement

I mars 2006 infördes Enforcement Rule. Enforcement Rule gjorde det möjligt för Department of Health and Human Services att utreda de berörda enheter som rapporterats för att de inte följer HIPAA-bestämmelserna. Förutom en utredning tillåter Enforcement Rule Office for Civil Rights att ta ut civilrättsliga avgifter mot enheter som inte följde reglerna.

Hälsobrottslagen ARRA och HITECH

År 2009 genomfördes The American Recovery and Reinvestment Act (ARRA), som innehöll ett viktigt tillägg till HIPAA:s efterlevnad, nämligen Health Information Technology for Economic and Clinical Health Act (HITECH). Genom HITECH-lagen infördes bestämmelser för hantering av hälsoinformation, som bland annat innebar att alla överträdelser av ePHI som berör mer än 500 personer måste rapporteras till Department of Health and Human Services (HHS) Office for Civil Rights (OCR). Förutom regeln om anmälan av överträdelser infördes genom HITECH-lagen incitamentprogrammet Meaningful Use för att uppmuntra hälso- och sjukvårdsorganisationer att överföra sina journaler till elektronisk form genom att införa en elektronisk patientjournal (EHR). I dag heter det incitamentsprogrammet Promoting Interoperability.

The Final Omnibus Rule

I mars 2013 infördes den slutliga Omnibus Rule och med den många slutliga ändringar. Den slutliga Omnibus Rule gjorde förtydliganden i förordningar som HIPAA och HITECH när det gäller tillämpningen av ePHI, liksom ordalydelsen i själva lagarna. Sekretess- och säkerhetsreglerna ändrades också för att ändra den lämpliga varaktigheten för att få tillgång till en patients hälsoinformation. Tidigare fick de behålla informationen i 50 år, men genom ändringen ändrades denna regel till att gälla i obegränsad tid. Ändringarna inkluderade specifikationer för förändrade arbetsmetoder i tekniska framsteg som inte var tillämpliga 1996, till exempel mobila enheter och telemedicin.

Är ni HIPAA-kompatibla?

Hanteringen av HIPAA sker fortlöpande genom utredningar som utförs av Office of Civil Rights. När HIPAA One-kunder granskas har de inget att oroa sig för. Med en 100-procentig framgångsfrekvens kommer HIPAA One att finnas där varje steg på vägen. Kontrollera att din organisation följer alla HIPAA-efterlevnadsföreskrifter genom att göra vårt kostnadsfria frågeformulär om efterlevnad.