A HIPAA történetének áttekintése 1996. augusztus 21-én kezdődik, amikor törvénybe iktatták az egészségügyi biztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényt (HIPAA), de miért is született meg a HIPAA törvény?

A HIPAA törvényt azért alkották meg, hogy “javítsák az egészségbiztosítási fedezet hordozhatóságát és elszámoltathatóságát” a munkahelyek között mozgó munkavállalók számára. A törvény további célkitűzései között szerepelt az egészségbiztosítás és az egészségügyi ellátás terén a pazarlás, a csalás és a visszaélések kezelése. A törvény olyan passzusokat is tartalmazott, amelyek adókedvezmények létrehozásával ösztönzik az egészségügyi megtakarítási számlák használatát, fedezetet biztosít a már meglévő egészségügyi feltételekkel rendelkező munkavállalók számára, és egyszerűsíti az egészségbiztosítás adminisztrációját.

Az egészségbiztosítás adminisztrációjának egyszerűsítésére irányuló folyamatok az egészségügyi ágazatot a betegek orvosi kartonjainak számítógépesítésére ösztönözték. A törvénynek ez a konkrét része hozta létre 2009-ben a gazdasági és klinikai egészségügyet szolgáló egészségügyi információs technológiáról szóló törvényt (HITECH), amely aztán a Meaningful Use ösztönző program bevezetését eredményezte – amelyet az egészségügyi ágazat vezetői “az elmúlt 20-30 év legfontosabb egészségügyi jogszabályaként” jellemeztek.

A HIPAA adatvédelmi és biztonsági szabályai fejlődésnek indulnak

Amikor a HIPAA-t törvénybe iktatták, az Egyesült Államok Egészségügyi és Emberi Szolgálatok Minisztériuma hozzálátott az első HIPAA adatvédelmi és biztonsági szabályok kidolgozásához. Az adatvédelmi szabály tényleges megfelelési dátuma 2003. április 14. volt, és a védett egészségügyi információ (PHI) alatt “minden olyan, az érintett szervezet birtokában lévő információt értett, amely az egészségi állapotra, az egészségügyi ellátás nyújtására vagy az egészségügyi ellátás kifizetésére vonatkozik, és amely egy személyhez köthető.”

Instrukciókat bocsátottak rendelkezésre a PHI megosztásának módjáról, és arról, hogy a betegektől engedélyt kell kérni, mielőtt személyes adataikat marketing, adománygyűjtés vagy kutatás céljára felhasználják. Engedélyt adott a betegeknek arra is, hogy az egészségügyi ellátásukra vonatkozó információkat visszatartsák az egészségbiztosítóktól, ha kezelésüket magánfinanszírozásúak.

A HIPAA biztonsági szabálya két évvel az eredeti jogszabály után, 2005. április 21-én vált végrehajthatóvá. A biztonsági szabály kifejezetten az elektronikusan tárolt PHI-re (ePHI) vonatkoztatva három biztonsági intézkedést – adminisztratív, fizikai és technikai – határozott meg, amelyeket a HIPAA-nak való megfelelés érdekében maradéktalanul be kell tartani. A biztonsági intézkedéseknek a következő céljai voltak:

• Adminisztratív – olyan irányelvek és folyamatok kialakítása, amelyek egyértelműen jelzik, hogy a szervezet hogyan fog megfelelni a törvénynek.
• Fizikai – az adattárolási területekhez való fizikai hozzáférés kezelése a jogosulatlan hozzáférés elleni védelem érdekében
• Technikai – a kommunikáció védelme, beleértve a PHI-t is, amikor azt elektronikusan küldik nyílt hálózatokon keresztül

Mikor vált végrehajthatóvá a HIPAA?

Hányadik évben léptették hatályba a HIPAA-t? A HIPAA-t 1996. augusztus 21-én léptették hatályba, de az elmúlt 20 évben jelentős módosítások történtek a HIPAA-ban:

A legfontosabb hatálybalépési dátumok a következők: A HIPAA adatvédelmi szabálya 2003. április 14-én lépett hatályba, bár 12 hónappal meghosszabbították a kis egészségügyi terveket, amelyeknek 2004. április 14-ig kellett betartaniuk a HIPAA adatvédelmi szabályának rendelkezéseit.

A HIPAA biztonsági szabálya 2005. április 21-én lépett hatályba. A HIPAA adatvédelmi szabályhoz hasonlóan a kis egészségügyi terveknek is egy plusz évet adtak a HIPAA biztonsági szabály rendelkezéseinek betartására, és a tényleges megfelelési határidő 2006. április 21. volt.

A HIPAA Breach Notification Rule 2009. szeptember 23-án vált végrehajthatóvá, az Omnibus Final Rule pedig 2013. március 26-án vált végrehajthatóvá.

A végrehajtási szabály életbe lépése

A HIPAA adatvédelmi és biztonsági szabályainak teljes körű betartásának számos érintett vállalkozás általi elmulasztása vezetett a végrehajtási szabály 2006. márciusi bevezetéséhez. Az Enforcement Rule felhatalmazta az Egészségügyi és Emberi Szolgálatok Minisztériumát, hogy megvizsgálja az adatvédelmi szabály be nem tartása miatt az érintett szervezetek ellen benyújtott panaszokat, és bírságot szabjon ki az ePHI elkerülhető megsértése miatt, mivel nem tartották be a biztonsági szabályban meghatározott biztonsági intézkedéseket.

A Minisztérium Polgárjogi Hivatala arra is felhatalmazást kapott, hogy büntetőeljárást indítson azon visszaesők ellen, akik 30 napon belül nem vezetnek be korrekciós intézkedéseket. Az embereknek joguk van polgári jogi lépéseket is tenni az érintett szervezet ellen, ha személyes egészségügyi adataikat az engedélyük nélkül osztották meg, ha ez “súlyos károkat” okoz nekik.

HITECH 2009 és a Breach Notification Rule

A HIPAA története 2009-ben gyorsult fel a gazdasági és klinikai egészséget szolgáló egészségügyi információs technológiáról szóló törvény (HITECH) bevezetésével. A HITECH fő célja az volt, hogy az egészségügyi hatóságokat az elektronikus egészségügyi nyilvántartások (EHR) használatának bevezetésére kényszerítse, és életbe léptette a Meaningful Use ösztönző programot. A Meaningful Use első szakaszát a következő évben vezették be, ösztönözve az egészségügyi csoportokat arra, hogy a betegek védett egészségügyi adatait papírfájlok helyett elektronikus formában tartsák nyilván.

Az ösztönző programmal együtt járt a HIPAA-szabályok kiterjesztése az egészségügyi ágazat üzleti partnereire és harmadik fél beszállítóira, valamint a Breach Notification Rule bevezetése – amely kimondta, hogy minden, 500-nál több személyt érintő elektronikus adatvédelmi incidenst be kell jelenteni az Egészségügyi és Humán Szolgáltatások Minisztériumának Polgári Jogi Hivatalának. Az ePHI megsértésének bejelentésére vonatkozó kritériumokat ezután a 2013. márciusi Final Omnibus Rule-ben kibővítették.

The Final Omnibus Rule of 2013

A HIPAA történetének utolsó jogszabálya a 2013. évi Final Omnibus Rule volt. A szabály valójában nem vezetett be új jogszabályt, hanem a meglévő HIPAA- és HITECH-szabályozás hiányosságait orvosolta – például meghatározta azokat a titkosítási szabványokat, amelyeket alkalmazni kell annak érdekében, hogy az ePHI használhatatlanná, megfejthetetlenné és olvashatatlanná váljon egy esetleges jogsértés bekövetkezése esetén.

Szürke területek kezelése érdekében számos fogalommeghatározást megváltoztattak vagy kibővítettek – például a “munkaerő” fogalmát úgy módosították, hogy egyértelművé tették, hogy a fogalom magában foglalja az alkalmazottakat, önkénteseket, gyakornokokat és más olyan személyeket, akik a fedezett szervezet vagy üzleti társult fél számára végzett munka során a fedezett szervezet vagy üzleti társult fél közvetlen irányítása alatt állnak.

Az adatvédelmi és biztonsági szabályokat is módosították, hogy lehetővé tegyék a beteg egészségügyi információinak határozatlan ideig történő tárolását (a korábbi jogszabály szerint 50 évig kellett volna tárolni), míg a jogsértésről szóló értesítési szabály új eljárásokkal egészült ki. Új szankciókat is alkalmaztak – a HITECH által diktáltaknak megfelelően – azokra az érintett vállalkozásokra, amelyek megsértették a HIPAA végrehajtási szabályát.

Módosítások is szerepeltek, hogy figyelembe vegyék a technológiai fejlődés következtében megváltozott munkamódszereket, különösen a mobileszközök használatát. Az egészségügyi szakemberek jelentős része ma már saját mobil eszközeit használja az ePHI megtekintésére és megosztására, és a végleges omnibuszszabály új adminisztratív eljárásokat és irányelveket tartalmazott ennek figyelembevétele érdekében, valamint olyan forgatókönyvek figyelembevétele érdekében, amelyeket 1996-ban még nem lehetett előre látni. A Final Omnibus Rule teljes szövege itt olvasható.

A többszöri halasztás után végül 2015. október 1-jében határozták meg azt a határidőt, ameddig az Egyesült Államokban alkalmazni kell a Clinical Modification ICD-10-CM-et a diagnózisok kódolására és az Procedure Coding System ICD-10-PCA-t a kórházi fekvőbeteg-eljárások kódolására. A HIPAA hatálya alá tartozó valamennyi felszerelésnek az ICD-10-CM-et kell használnia. További követelmény az EDI 5010-es verziója.

HIPAA története Jelentős dátumok

• Augusztus 1996 – A HIPAA-t Bill Clinton elnök fogadta el.
• Aprilis 2003 – A HIPAA adatvédelmi szabályának hatálybalépése.
• Aprilis 2005 – A HIPAA biztonsági szabályának hatálybalépése.
• 2006. március – A HIPAA Breach Enforcement Rule hatálybalépésének dátuma.
• 2009. szeptember – A HITECH és a Breach Notification Rule hatálybalépésének dátuma.
• 2013. március – A Final Omnibus Rule hatálybalépésének dátuma.

A CE-k és BA-k egy bizonyos időtartamot kaptak az egyes szabályok rendelkezéseinek betartására. Például annak ellenére, hogy a Final Omnibus Rule hatálybalépésének időpontja 2013 márciusa volt, a CE-k és BA-k 180 napot kaptak a megfelelésre.

Final Omnibus Rule Impact

A Final Omnibus Rule minden korábbi jogszabálynál többet ért el azzal, hogy az érintett szervezetek jobban tisztában voltak a HIPAA biztosítékaival, amelyeknek meg kellett felelniük. Sok egészségügyi intézmény – amelyek csaknem 20 éven keresztül megsértették a HIPAA-t – számos intézkedést hajtott végre az előírásoknak való megfelelés érdekében, például adattitkosítást használtak a hordozható eszközökön és a számítógépes hálózatokon, biztonságos üzenetküldő megoldásokat használtak az ellátó csapatokkal folytatott belső kommunikációhoz, webszűrőket állítottak be, és nagyobb gondot fordítottak az e-mailek biztonságos archiválására.

Az adatvédelmi incidensekért mostanában kiszabott pénzbüntetések, valamint az adatvédelmi incidensekről szóló értesítések kiadásának, a hitelfelügyeleti szolgáltatások nyújtásának és a kárenyhítés elvégzésének hatalmas költségei miatt az adatok védelmét szolgáló új technológiákba való beruházás ehhez képest olcsónak tűnik.

A HIPAA megfelelőségi ellenőrzési program

2011-ben a Polgárjogi Hivatal kísérleti megfelelési ellenőrzések sorozatát indította el annak áttekintésére, hogy az egészségügyi szolgáltatók mennyire felelnek meg a HIPAA adatvédelmi és biztonsági szabályainak. Az ellenőrzések első csoportja 2012-ben fejeződött be, és rávilágított az egészségügyi megfelelés sokkoló állapotára.

Az ellenőrzött csoportok a HIPAA Breach Notification Rule, Privacy Rule és Security Rule szabályainak számos megsértését regisztrálták, az utóbbi vezette a legtöbb jogsértést. Az OCR cselekvési terveket adott ki, hogy segítsen ezeknek a szervezeteknek a megfelelés elérésében; az ellenőrzések második szakaszában azonban várhatóan nem lesz ilyen engedékeny.

Az ellenőrzések az előrejelzések szerint azokra a konkrét területekre fognak összpontosítani, amelyek oly sok egészségügyi szolgáltató számára problémásnak bizonyultak, miközben állandó ellenőrzési tervet terveznek a HIPAA folyamatos betartásának biztosítására. A laza biztonsági előírások kora lejárt, és az egészségügyi színtérnek, akárcsak korábban a pénzügyi szektornak, javítania kell a szabványokon annak érdekében, hogy a bizalmas adatok titokban maradjanak.

Minden olyan érintett szervezet, amely nem alkalmazza a szükséges ellenőrzéseket, pénzügyi szankciókkal, szankciókkal, az engedély esetleges elvesztésével és akár büntetőjogi felelősségre vonással is számolhat az ePHI védelmének elmulasztása miatt.

Hogyan biztosítható a teljes HIPAA-megfelelés

“HIPAA-megfelelési ellenőrzőlistánk” az elektronikus védett egészségügyi információk tárolásával, továbbításával és megsemmisítésével kapcsolatos egészségügyi biztosítási hordozhatósági és elszámoltathatósági törvény aspektusait, a jogsértés kezeléséhez szükséges intézkedéseket, valamint a teljes megfelelés eléréséhez használandó irányelveket és eljárásokat tartalmazza.

A HIPAA-szabályok szigorúak lehetnek, mégis a fedett ruháknak bizonyos rugalmasságot biztosítanak az adatok védelmére használt adatvédelmi és biztonsági intézkedések tekintetében. Az adatok titkosításával például foglalkozni kell, de nem feltétlenül kell végrehajtani, ha más ellenőrzések lehetővé teszik az előírt védelmet.