Vores gennemgang af HIPAA-historien begynder den 21. august 1996, da Healthcare Insurance Portability and Accountability Act (HIPAA) blev vedtaget som lov, men hvorfor blev HIPAA-loven formuleret?

HIPAA-loven blev formuleret for at “forbedre overførbarheden og ansvarligheden af sygesikringsdækningen” for arbejdstagere, der skifter job. Andre mål med loven var at bekæmpe spild, svindel og misbrug inden for sygesikring og levering af sundhedsydelser. Loven indeholdt også passager, der skulle tilskynde til brug af medicinske opsparingskonti ved at skabe skattelettelser, giver dækning for ansatte med allerede eksisterende helbredsforhold og strømliner administrationen af sygesikringen.

Processerne til forenkling af administrationen af sygesikringen blev en måde at tilskynde sundhedsindustrien til at datamatisere patienternes lægejournaler. Denne specifikke del af loven affødte Health Information Technology for Economic and Clinical Health Act (HITECH) i 2009, som derefter resulterede i indførelsen af incitamentsprogrammet Meaningful Use – af ledere i sundhedssektoren beskrevet som “det vigtigste stykke lovgivning på sundhedsområdet, der er blevet vedtaget i de sidste 20-30 år”.

HIPAA Privacy and Security Rules Begin to Evolve

Når HIPAA var blevet vedtaget som lov, gik det amerikanske Department of Health and Human Services i gang med at udarbejde de første HIPAA Privacy and Security Rules. Privacy Rule havde en egentlig overholdelsesdato den 14. april 2003, og den henviste til Protected Health Information (PHI) som “enhver information, der opbevares af en omfattet enhed, som er relateret til sundhedstilstand, levering af sundhedsydelser eller betaling for sundhedsydelser, og som kan knyttes til en person”.

Der blev stillet instruktioner til rådighed om, hvordan PHI skulle deles, og at der skulle indhentes tilladelse fra patienterne, før deres personlige data blev brugt til markedsføring, fundraising eller forskning. Det gav også patienterne tilladelse til at tilbageholde oplysninger om deres sundhedspleje fra sygesikringsudbydere, når deres behandling er privatfinansieret.

HIPAA Security Rule blev håndhævet to år efter den oprindelige lovgivning den 21. april 2005. Sikkerhedsreglen, der specifikt henviser til elektronisk lagrede PHI (ePHI), fastlagde tre sikkerhedsforanstaltninger – administrative, fysiske og tekniske – som skal overholdes fuldt ud for at overholde HIPAA. Sikkerhedsforanstaltningerne havde disse mål:

• Administrativt – at udvikle politikker og processer, der er oprettet for klart at angive, hvordan enheden vil overholde loven.
• Fysisk – at forvalte fysisk adgang til områder med datalagring for at beskytte mod ukorrekt adgang
• Teknisk – at beskytte kommunikationen, herunder PHI, når den sendes elektronisk over åbne netværk

Hvornår blev HIPAA lovfæstet?

I hvilket år blev HIPAA vedtaget som lov? HIPAA blev vedtaget den 21. august 1996, men der er blevet foretaget større ændringer af HIPAA i løbet af de sidste 20 år: Indførelsen af Privacy Rule, Security Rule, Breach Notification Rule og Omnibus Final Rule.

De vigtigste ikrafttrædelsesdatoer er: Den 14. april 2003 for HIPAA Privacy Rule, selv om der var en forlængelse på 12 måneder for små sundhedsplaner, som skulle overholde HIPAA Privacy Rule-bestemmelserne senest den 14. april 2004.

Den effektive overholdelsesdato for HIPAA Security Rule var den 21. april 2005. I lighed med HIPAA Privacy Rule fik små sundhedsplaner et ekstra år til at overholde bestemmelserne i HIPAA Security Rule og havde en faktisk overholdelsesdato den 21. april 2006.

HIPAA Breach Notification Rule trådte i kraft den 23. september 2009, og Omnibus Final Rule trådte i kraft den 26. marts 2013.

Indførelsen af håndhævelsesreglen

Den omstændighed, at mange omfattede outfits ikke fuldt ud overholdt HIPAA’s regler om beskyttelse af privatlivets fred og sikkerhed, førte til indførelsen af håndhævelsesreglen i marts 2006. Enforcement Rule gav Department of Health and Human Services beføjelse til at undersøge klager mod omfattede enheder for manglende overholdelse af Privacy Rule og til at give bøder for undgåelige brud på ePHI som følge af manglende overholdelse af de sikkerhedsforanstaltninger, der er fastsat i Security Rule.

Department’s Office for Civil Rights fik også beføjelse til at rejse straffesager mod gentagne lovovertrædere, der ikke indfører korrigerende foranstaltninger inden for 30 dage. Folk har også ret til at anlægge et civilt søgsmål mod den omfattede enhed, hvis deres personlige sundhedsoplysninger er blevet delt uden deres tilladelse, hvis det medfører, at de kommer til at lide “alvorlig skade”.

HITECH 2009 og Breach Notification Rule

HIPAA-historien tog fart i 2009 med indførelsen af Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH havde som hovedformål at tvinge sundhedsmyndighederne til at indføre brugen af elektroniske patientjournaler (EHR) og vedtog incitamentprogrammet Meaningful Use. Første fase af Meaningful Use blev indført året efter og tilskyndede sundhedsgrupper til at opbevare patienters beskyttede helbredsoplysninger i elektronisk format i stedet for papirfiler.

Med incitamentsprogrammet fulgte også en udvidelse af HIPAA-reglerne til at omfatte Business Associates og tredjepartsleverandører til sundhedssektoren og indførelsen af Breach Notification Rule – som fastslog, at alle brud på ePHI, der berører mere end 500 personer, skal meddeles til Department of Health and Human Services’ Office for Civil Rights. Kriterierne for indberetning af brud på ePHI blev derefter udvidet i den endelige omnibusregel fra marts 2013.

Den endelige omnibusregel fra 2013

Den sidste retsakt i HIPAA-historien var den endelige omnibusregel fra 2013. Reglen indførte egentlig ikke nogen ny lovgivning, men tog fat på huller i eksisterende HIPAA- og HITECH-regler – f.eks. specificerede den de krypteringsstandarder, der skal anvendes for at gøre ePHI ubrugelige, uoprettelige og ulæselige i tilfælde af, at der sker et brud.

Flere definitioner blev ændret eller udvidet for at løse gråzoner – f.eks. blev definitionen af “arbejdsstyrke” ændret for at gøre det klart, at begrebet omfatter ansatte, frivillige, praktikanter og andre personer, hvis adfærd i forbindelse med udførelsen af arbejde for en omfattet enhed eller forretningsforbindelse er under den omfattede enheds eller forretningsforbindelses direkte ledelse af den omfattede enhed eller forretningsforbindelse.

Reglerne om privatlivets fred og sikkerhed blev også ændret for at tillade, at patienters sundhedsoplysninger kan opbevares på ubestemt tid (i den tidligere lovgivning var det fastsat, at de skulle opbevares i 50 år), mens der blev tilføjet nye procedurer til reglerne om anmeldelse af brud på reglerne. Der blev også indført nye sanktioner – som dikteret af HITECH – over for omfattede virksomheder, der overtræder HIPAA Enforcement Rule.

Der blev også foretaget ændringer for at tage hensyn til ændrede arbejdsmetoder som følge af de teknologiske fremskridt, herunder især brugen af mobile enheder. Et stort antal sundhedspersoner bruger nu deres egne mobile enheder til at se og dele ePHI, og den endelige Omnibus Rule indeholdt nye administrative procedurer og politikker for at tage højde for dette og for at inkludere scenarier, som ikke kunne have været forudsagt i 1996. Den fuldstændige tekst af den endelige Omnibus Rule kan findes her.

Efter en række forsinkelser blev fristen for USA’s anvendelse af Clinical Modification ICD-10-CM til diagnosekodning og Procedure Coding System ICD-10-PCA til kodning af procedurer for hospitalsindlagte patienter endelig fastsat til den 1. oktober 2015. Alle HIPAA-dækkede outfits skal anvende ICD-10-CM. Et andet krav er disse af EDI Version 5010.

HIPAA Historik Vigtige datoer

• August 1996 – HIPAA vedtaget af præsident Bill Clinton.
• April 2003 – Ikrafttrædelsesdato for HIPAA Privacy Rule.
• April 2005 – Ikrafttrædelsesdato for HIPAA Security Rule.
• Marts 2006 – Ikrafttrædelsesdato for HIPAA Breach Enforcement Rule.
• September 2009 – Ikrafttrædelsesdato for HITECH og Breach Notification Rule.
• Marts 2013 – Ikrafttrædelsesdato for den endelige Omnibus Rule.

Nogle CE’er og BA’er fik en periode til at overholde bestemmelserne i de enkelte regler. For eksempel fik CE’er og BA’er 180 dage til at overholde bestemmelserne, selv om ikrafttrædelsesdatoen for den endelige Omnibus Rule var marts 2013.

Final Omnibus Rule Impact

Den endelige Omnibus Rule opnåede mere end nogen tidligere lovgivning at gøre de omfattede enheder mere bevidste om de HIPAA-sikkerhedsforanstaltninger, som de skulle overholde. Mange sundhedsvirksomheder – som havde overtrådt HIPAA i næsten 20 år – gennemførte en række foranstaltninger for at overholde reglerne, f.eks. anvendelse af datakryptering på bærbare enheder og computernetværk, anvendelse af sikre messaging-løsninger til intern kommunikation med plejeteams, etablering af webfiltre og større omhyggelighed med at arkivere e-mails på sikker vis.

De økonomiske sanktioner, der nu idømmes for brud på datasikkerheden sammen med de enorme omkostninger ved at udsende meddelelser om brud på datasikkerheden, yde kreditovervågningstjenester og foretage skadesbegrænsning får investeringer i ny teknologi til at beskytte data til at fremstå billige i sammenligning.

HIPAA Compliance Audit Program

I 2011 indledte Office for Civil Rights en række pilotoverensstemmelsesrevisioner for at undersøge, hvor godt udbydere af sundhedsydelser overholdt HIPAA Privacy and Security Rules. Det første fund af revisioner blev afsluttet i 2012 og fremhævede den chokerende tilstand af overholdelse af sundhedsvæsenet.

De reviderede grupper registrerede mange overtrædelser af HIPAA Breach Notification Rule, Privacy Rule og Security Rule, hvor sidstnævnte førte til de fleste overtrædelser. OCR udstedte handlingsplaner for at hjælpe disse organisationer med at opnå overholdelse; i anden fase af revisionerne forventes det dog ikke at være lige så lempeligt.

Revisionerne forventes at fokusere på specifikke områder, som viste sig problematiske for så mange sundhedsudbydere, mens der planlægges en permanent revisionsplan for at sikre løbende overholdelse af HIPAA. Tiden med slappe sikkerhedsstandarder er nu forbi, og sundhedssektoren, ligesom den finansielle sektor før den, skal forbedre standarderne for at sikre, at fortrolige data forbliver private.

Alle omfattede enheder, der ikke tilpasser de nødvendige kontroller, risikerer økonomiske sanktioner, sanktioner, potentielt tab af licens og endda straffedomme for ikke at sikre ePHI.

Sådan sikrer du fuld overholdelse af HIPAA

Vores “HIPAA Compliance Checklist” dækker facetterne af Health Insurance Portability and Accountability Act vedrørende opbevaring, overførsel og bortskaffelse af elektroniske beskyttede sundhedsoplysninger, de foranstaltninger, som outfits skal træffe for at afhjælpe et brud, og de politikker og procedurer, der skal anvendes for at opnå fuld overholdelse.

HIPAA-reglerne kan være strenge, men de omfattede outfits har alligevel en vis fleksibilitet med hensyn til de privatlivs- og sikkerhedsforanstaltninger, der anvendes til at beskytte data. Datakryptering skal f.eks. behandles, men skal ikke nødvendigvis gennemføres, hvis andre kontroller giver mulighed for den krævede beskyttelse.