Katsauksemme HIPAA:n historiaan alkaa 21. elokuuta 1996, jolloin terveydenhuoltovakuutusten siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Healthcare Insurance Portability and Accountability Act, HIPAA) säädettiin laiksi, mutta miksi HIPAA-laki muotoiltiin?

HIPAA-laki muotoiltiin, jotta voitaisiin parantaa sairausvakuutuksen kattavuuden siirrettävyyttä ja vastuuvelvollisuutta, joka koskee työpaikan vaihdosta toiseen siirtyviä työntekijöitä. Lain muina tavoitteina oli puuttua tuhlaukseen, petoksiin ja väärinkäytöksiin sairausvakuutuksessa ja terveydenhuollon tarjonnassa. Lakiin sisältyi myös kohtia, joilla kannustettiin lääketieteellisten säästötilien käyttöä luomalla verohelpotuksia, tarjottiin kattavuutta työntekijöille, joilla oli jo olemassa olevia sairauksia, ja virtaviivaistettiin sairausvakuutuksen hallintoa.

Sairausvakuutuksen hallinnon yksinkertaistamiseen tähtäävistä prosesseista tuli keino kannustaa terveydenhuoltoalaa tietokoneistamaan potilaiden potilastiedot. Tämä lain erityinen osa synnytti vuonna 2009 Health Information Technology for Economic and Clinical Health Act -lain (HITECH), joka sitten johti Meaningful Use -kannustinohjelman käyttöönottoon – jota terveydenhuoltoalan johtajat kuvaavat ”tärkeimmäksi terveydenhuoltolainsäädännöksi, joka on hyväksytty viimeisten 20-30 vuoden aikana”.

HIPAA:n tietosuoja- ja turvallisuussäännöt alkavat kehittyä

Kun HIPAA oli säädetty laiksi, Yhdysvaltain terveysministeriö ryhtyi kehittämään ensimmäisiä HIPAA:n tietosuoja- ja turvallisuussääntöjä. Yksityisyydensuojasäännön varsinainen noudattamispäivä oli 14. huhtikuuta 2003, ja siinä viitattiin suojattuihin terveystietoihin (Protected Health Information, PHI), joilla tarkoitetaan ”kaikkia suojatun yksikön hallussa olevia tietoja, jotka liittyvät terveydentilaan, terveydenhuollon tarjoamiseen tai terveydenhuollon maksamiseen ja jotka voidaan yhdistää yksilöön”.

Lisäksi annettiin ohjeita siitä, miten PHI:tä olisi jaettava, ja siitä, että potilailta olisi saatava suostumus, ennen kuin heidän henkilökohtaisia tietojaan saa käyttää markkinointiin, varainkeruuseen tai tutkimukseen. Potilaille annettiin myös lupa pidättää terveydenhuoltoaan koskevat tiedot sairausvakuutuksen tarjoajilta, kun heidän hoitonsa on yksityisesti rahoitettua.

HIPAA Security Rule tuli voimaan kaksi vuotta alkuperäisen lainsäädännön jälkeen 21. huhtikuuta 2005. Turvallisuussäännössä viitattiin erityisesti sähköisesti tallennettuihin terveystietoihin (ePHI), ja siinä vahvistettiin kolme turvatoimenpidettä – hallinnolliset, fyysiset ja tekniset – joita on noudatettava täysimääräisesti HIPAA:n noudattamiseksi. Turvatoimenpiteillä oli seuraavat tavoitteet:

• Hallinnolliset – kehittää toimintaperiaatteita ja prosesseja, jotka on perustettu siten, että niistä käy selvästi ilmi, miten yhteisö noudattaa lakia.
• Fyysinen – hallinnoida fyysistä pääsyä tietovarastojen alueille, jotta suojaudutaan asiattomalta käytöltä
• Tekninen – suojata viestintä, mukaan lukien PHI, kun sitä lähetetään sähköisesti avoimissa verkoissa

Milloin HIPAA tuli voimaan?

Milloin HIPAA säädettiin laiksi? HIPAA säädettiin laiksi 21. elokuuta 1996, mutta siihen on tehty merkittäviä muutoksia viimeisten 20 vuoden aikana: Privacy Rule, Security Rule, Breach Notification Rule ja Omnibus Final Rule.

Merkittävimmät voimaantulopäivät ovat: Huhtikuun 14. päivä 2003 HIPAA:n tietosuojasäännön osalta, vaikka pienille terveydenhuoltosuunnitelmille myönnettiin 12 kuukauden pidennys, ja niiden oli noudatettava HIPAA:n tietosuojasäännön säännöksiä 14. huhtikuuta 2004 mennessä.

HIPAA:n turvallisuussäännön voimaantulopäivä oli 21. huhtikuuta 2005. Samoin kuin HIPAA Privacy Rule -säännön kohdalla, pienille terveydenhuoltosuunnitelmille annettiin ylimääräinen vuosi aikaa noudattaa HIPAA Security Rule -säännön säännöksiä, ja niiden tosiasiallinen vaatimustenmukaisuuspäivä oli 21. huhtikuuta 2006.

HIPAA Breach Notification Rule -sääntö tuli täytäntöönpanokelpoiseksi 23. syyskuuta 2009, ja Omnibus Final Rule -sääntö tuli täytäntöönpanokelpoiseksi 26. maaliskuuta 2013.

Enforcement Rule -säännön voimaansaattaminen

Monien katettujen asusteiden epäonnistuminen HIPAA:n tietosuoja- ja turvallisuussääntöjen täysimääräisessä noudattamisessa johti Enforcement Rule -säännön käyttöönottoon maaliskuussa 2006. Enforcement Rule -sääntö antoi terveysministeriölle valtuudet tutkia valituksia, jotka koskevat suojattavia yhteisöjä, jotka eivät ole noudattaneet Privacy Rule -sääntöä, ja sakottaa suojattavia yhteisöjä, jotka ovat välttäneet ePHI-tietojen tietoturvaloukkauksia, jotka johtuvat siitä, että ne eivät ole noudattaneet Security Rule -säännön mukaisia turvatoimia.

Ministeriön kansalaisoikeuksia käsittelevälle toimistolle annettiin myös valtuudet nostaa rikossyytteitä toistuvasti rikkomuksia tekeviä henkilöitä vastaan, jos nämä eivät ryhdy korjaaviin toimenpiteisiin 30 päivän kuluessa. Ihmisillä on myös oikeus nostaa siviilioikeudellinen kanne suojattua yksikköä vastaan, jos heidän henkilökohtaisia terveystietojaan on jaettu ilman heidän lupaansa, jos se aiheuttaa heille ”vakavaa haittaa”.

HITECH 2009 and the Breach Notification Rule

HIPAA:n historia sai vauhtia vuonna 2009, kun Health Information Technology for Economic and Clinical Health Act (HITECH) otettiin käyttöön. HITECHin päätavoitteena oli pakottaa terveydenhuoltoviranomaiset ottamaan käyttöön sähköiset potilastietokannat (Electronic Health Records, EHR) ja ottaa käyttöön Meaningful Use -kannustinohjelma. Meaningful Use -ohjelman ensimmäinen vaihe otettiin käyttöön seuraavana vuonna, ja se kannusti terveydenhuoltoryhmiä säilyttämään potilaiden suojattuja terveystietoja sähköisessä muodossa paperitiedostojen sijaan.

Kannustinohjelman myötä HIPAA-säännöt ulotettiin koskemaan myös liiketoimintayhteistyökumppaneita (Business Associates) ja terveydenhuoltoalan kolmansia osapuolia sekä otettiin käyttöön tietoturvaloukkauksista ilmoittamista koskeva säännös (Breach Notification Rule) – jossa todettiin, että kaikista sähköisten terveystietojen tietoturvaloukkauksista, jotka koskettavat enemmän kuin 500 henkilöä, on ilmoitettava terveys- ja terveyspalveluiden osaston (Department of Health and Human Services’n) siviilipalveluvirastolle. Tämän jälkeen ePHI-tietojen tietoturvaloukkauksista ilmoittamista koskevia kriteerejä laajennettiin maaliskuussa 2013 annetussa Final Omnibus Rule -säännössä.

The Final Omnibus Rule of 2013

Viimeinen säädös HIPAA:n historiassa oli vuoden 2013 Final Omnibus Rule. Säännöllä ei varsinaisesti otettu käyttöön mitään uutta lainsäädäntöä, vaan siinä käsiteltiin nykyisten HIPAA- ja HITECH-säännösten aukkoja – esimerkiksi täsmennettiin salausstandardit, joita on sovellettava, jotta sähköiset tieto- ja viestintäturvatiedot olisivat käyttökelvottomia, lukukelvottomia ja lukukelvottomia tietoturvaloukkauksen tapahtuessa.

Monia määritelmiä muutettiin tai laajennettiin harmaiden alueiden käsittelemiseksi – esimerkiksi ”työvoiman” määritelmää muutettiin siten, että tehdään selväksi, että termi kattaa työntekijät, vapaaehtoiset, harjoittelijat ja muut henkilöt, joiden toiminta suojatun yksikön tai liiketoimintayhteistyökumppanin palveluksessa on suojatun yksikön tai liiketoimintayhteistyökumppanin suorassa hallinnassa.

Turva- ja tietosuojasääntöjä muutettiin myös siten, että potilaan terveystietoja voidaan säilyttää määräämättömän ajan (aiemmassa lainsäädännössä oli säädetty, että niitä on säilytettävä 50 vuotta), ja rikkomuksista ilmoittamista koskevaan sääntöön lisättiin uusia menettelyjä. HITECHin sanelemia uusia rangaistuksia sovellettiin myös HIPAA:n täytäntöönpanosääntöä rikkoviin katettuihin asuinalueisiin.

Muutoksilla pyrittiin myös ottamaan huomioon teknologisen kehityksen mukanaan tuomat muuttuvat työkäytännöt, jotka kattavat erityisesti mobiililaitteiden käytön. Suuri osa terveydenhuollon ammattilaisista käyttää nykyään omia mobiililaitteitaan ePHI:n tarkasteluun ja jakamiseen, ja lopulliseen Omnibus-sääntöön sisällytettiin uusia hallinnollisia menettelyjä ja toimintatapoja tämän huomioon ottamiseksi ja sellaisten skenaarioiden sisällyttämiseksi, joita ei olisi voitu ennakoida vuonna 1996. Final Omnibus Rule -säännön koko teksti löytyy täältä.

Monien viivytysten jälkeen määräajaksi, johon mennessä Yhdysvalloissa on käytettävä diagnoosikoodauksessa Clinical Modification ICD-10-CM:ää ja sairaalahoidon toimenpidekoodauksessa Procedure Coding System ICD-10-PCA:ta, vahvistettiin lopulta 1. lokakuuta 2015. Kaikkien HIPAA:n piiriin kuuluvien asujen on käytettävä ICD-10-CM:ää. Toinen vaatimus on nämä EDI-versio 5010.

HIPAA-historiaa Merkittäviä päivämääriä

• Elokuu 1996 – Presidentti Bill Clinton säätää HIPAA:n.
• Huhtikuu 2003 – HIPAA Privacy Rule -suojaussäännön voimaantulopäivä.
• Huhtikuu 2005 – HIPAA Security Rule -suojaussäännön voimaantulopäivä.
• Maaliskuu 2006 – HIPAA Breach Enforcement Rule -säännön voimaantulopäivä.
• Syyskuu 2009 – HITECHin ja Breach Notification Rule -säännön voimaantulopäivä.
• Maaliskuu 2013 – Lopullisen Omnibus Rule -säännön voimaantulopäivä.

Joillakin pääkäyttäjillä ja pääkäyttäjäkohtaisilla neuvonantajilla ja asiantuntijapalveluntarjoajilla oli aikaa noudattaa kunkin säännön määräyksiä. Esimerkiksi vaikka Final Omnibus Rule -säännön voimaantulopäivä oli maaliskuu 2013, CE:ille ja BA:ille annettiin 180 päivää aikaa noudattaa sitä.

Final Omnibus Rule Impact

Final Omnibus Rule -säännön avulla saatiin aikaisempaa lainsäädäntöä paremmin aikaan se, että katetut yhteisöt olivat tietoisempia HIPAA:n suojalausekkeista, joita niiden oli noudatettava. Monet terveydenhuollon yksiköt – jotka olivat rikkoneet HIPAA:ta lähes 20 vuoden ajan – toteuttivat useita toimenpiteitä säännösten noudattamiseksi, kuten tietojen salauksen käyttäminen kannettavissa laitteissa ja tietokoneverkoissa, suojattujen viestiratkaisujen käyttäminen hoitotiimien sisäisessä viestinnässä, verkkosuodattimien käyttöönotto ja sähköpostien turvallisempi arkistointi.

Tietomurroista nyt määrättävät taloudelliset rangaistukset sekä valtavat kustannukset, joita aiheutuu tietomurtoilmoitusten tekemisestä, luotonvalvontapalvelujen tarjoamisesta ja vahinkojen lieventämisestä, saavat investoinnit uuteen tekniikkaan tietojen suojaamiseksi näyttämään halvoilta.

HIPAA:n vaatimustenmukaisuustarkastusohjelma

Kansalaisoikeusvirasto (Office for Civil Rights Office for Civil Rights, OCRB) aloitti vuonna 2011 vaatimustenmukaisuuden pilottitarkastuksia, joiden tarkoituksena on tarkistaa, miten hyvin terveydenhuoltopalvelujen tarjoajat noudattavat HIPAA:n tietosuojan tietosuojaa ja tietoturvaa koskevia sääntöjä. Ensimmäiset tarkastukset saatiin päätökseen vuonna 2012, ja ne toivat esiin terveydenhuollon vaatimustenmukaisuuden järkyttävän tilan.

Auditoidut ryhmät kirjasivat monia HIPAA Breach Notification Rule (HIPAA Breach Notification Rule) -säännön, Privacy Rule (yksityisyydensuojaa koskeva sääntö) ja Security Rule (tietoturvasääntö) -säännön rikkomisia, joista jälkimmäinen johti suurimpaan osaan rikkomuksista. OCR antoi toimintasuunnitelmia auttaakseen kyseisiä organisaatioita saavuttamaan vaatimustenmukaisuuden; auditointien toisessa vaiheessa sen ei kuitenkaan odoteta olevan yhtä lempeä.

Auditoinneissa ennustetaan keskityttävän tiettyihin aloihin, jotka osoittautuivat ongelmallisiksi niin monille terveydenhuollon tarjoajille, ja samalla suunnitellaan pysyvää auditointisuunnitelmaa jatkuvan HIPAA-vaatimustenmukaisuuden varmistamiseksi. Löyhien tietoturvastandardien aikakausi on nyt ohi, ja terveydenhuoltoalan, kuten rahoitusalan ennen sitä, on parannettava standardeja varmistaakseen, että luottamukselliset tiedot pysyvät yksityisinä.

Jokaista katettua yksikköä, joka ei sovita tarvittavia valvontatoimia, uhkaavat taloudelliset rangaistukset, sanktiot, mahdollinen toimiluvan menettäminen ja jopa rikosoikeudelliset tuomiot siitä, että se on laiminlyönyt sähköisen tietosuojan turvaamisen.

Miten varmistetaan täydellinen HIPAA-vaatimustenmukaisuus

Meidän ”HIPAA-vaatimustenmukaisuuden tarkistuslistamme” kattaa sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act) näkökohdat, jotka liittyvät sähköisten suojattujen terveystietojen säilytykseen, siirtoon ja hävittämiseen, toimet, joihin asujen on ryhdyttävä tietoturvaloukkauksen varalta, sekä käytännöt ja menettelyt, joita on käytettävä täydellisen vaatimustenmukaisuuden saavuttamiseen.

HIPAA-säädökset saattavat olla tiukkoja, mutta katetuille asuinalueille sallitaan kuitenkin jonkin verran joustovaraa yksityisyyden suojaamisen suhteen ja tietoturvan kannalta, jotta ne voivat suojata tietoja. Esimerkiksi tietojen salausta on käsiteltävä, mutta sitä ei välttämättä tarvitse toteuttaa, jos vaadittu suojaus on mahdollista muilla valvontatoimilla.