Onze bespreking van de HIPAA-geschiedenis begint op 21 augustus 1996, toen de Healthcare Insurance Portability and Accountability Act (HIPAA) in werking trad, maar waarom werd de HIPAA-wet geformuleerd?

De HIPAA-wet werd geformuleerd om “de overdraagbaarheid en verantwoordelijkheid van ziektekostenverzekeringsdekking te verbeteren” voor werknemers die van baan veranderden. Andere doelstellingen van de wet waren het aanpakken van verspilling, fraude en misbruik in de ziektekostenverzekering en de levering van gezondheidszorg. De wet bevatte ook passages om het gebruik van medische spaarrekeningen aan te moedigen door belastingvoordelen te creëren, dekking te bieden voor werknemers met reeds bestaande medische aandoeningen en de administratie van de ziektekostenverzekering te stroomlijnen.

De processen voor het vereenvoudigen van de administratie van de ziektekostenverzekering werden een manier om de gezondheidszorgindustrie aan te moedigen om de medische dossiers van patiënten te automatiseren. Dit specifieke deel van de wet leidde in 2009 tot de Health Information Technology for Economic and Clinical Health Act (HITECH), die vervolgens resulteerde in de introductie van het Meaningful Use-stimuleringsprogramma – door leiders in de gezondheidszorgsector beschreven als “het belangrijkste stuk gezondheidszorgwetgeving dat in de afgelopen 20 tot 30 jaar is aangenomen”.

De HIPAA-privacy- en -beveiligingsregels beginnen zich te ontwikkelen

Toen de HIPAA eenmaal tot wet was verheven, begon het Amerikaanse ministerie van Volksgezondheid en Human Services met de ontwikkeling van de eerste HIPAA-privacy- en -beveiligingsregels. De Privacy Rule had als feitelijke nalevingsdatum 14 april 2003, en verwees naar Protected Health Information (PHI) als “alle informatie in het bezit van een gedekte entiteit die verband houdt met de gezondheidstoestand, de verlening van gezondheidszorg, of de betaling voor gezondheidszorg die aan een individu kan worden gekoppeld”.

Instructies werden beschikbaar gesteld over hoe PHI moest worden gedeeld en dat toestemming van patiënten moest worden verkregen voordat hun persoonlijke gegevens werden gebruikt voor marketing, fondsenwerving of onderzoek. Ook kregen patiënten toestemming om informatie over hun gezondheidszorg achter te houden voor zorgverzekeraars wanneer hun behandeling particulier wordt gefinancierd.

De HIPAA Security Rule werd twee jaar na de oorspronkelijke wetgeving op 21 april 2005 van kracht. Specifiek verwijzend naar elektronisch opgeslagen PHI (ePHI), legde de Security Rule drie veiligheidsmaatregelen vast – administratieve, fysieke en technische – die volledig moeten worden nageleefd om te voldoen aan HIPAA. De beveiligingsmaatregelen hadden de volgende doelstellingen:

• Administratief – het ontwikkelen van beleid en processen die zijn opgezet om duidelijk aan te geven hoe de entiteit de wet zal naleven.
• Fysiek – om de fysieke toegang tot gebieden van gegevensopslag te beheren ter bescherming tegen onjuiste toegang
• Technisch – om de communicatie te beveiligen, met inbegrip van PHI wanneer deze elektronisch wordt verzonden over open netwerken

Wanneer werd HIPAA afdwingbaar?

In welk jaar werd HIPAA bij wet vastgesteld? De HIPAA is op 21 augustus 1996 in werking getreden, maar in de afgelopen 20 jaar zijn er belangrijke wijzigingen in de HIPAA aangebracht: De invoering van de Privacy Rule, Security Rule, Breach Notification Rule, en de Omnibus Final Rule.

De belangrijkste ingangsdata zijn: 14 april 2003 voor de HIPAA-privacyregel, hoewel er een verlenging van 12 maanden was voor kleine gezondheidsplannen, die zich tegen 14 april 2004 aan de bepalingen van de HIPAA-privacyregel moesten houden.

De effectieve nalevingsdatum voor de HIPAA-beveiligingsregel was 21 april 2005. Net als bij de HIPAA-privacyregel kregen kleine gezondheidsplannen een extra jaar om zich te houden aan de bepalingen van de HIPAA-beveiligingsregel en hadden ze een feitelijke nalevingsdatum van 21 april 2006.

De HIPAA Breach Notification Rule werd afdwingbaar op 23 september 2009 en de Omnibus Final Rule werd afdwingbaar op 26 maart 2013.

De invoering van de handhavingsregel

Het falen van veel gedekte outfits om zich volledig te houden aan de HIPAA-privacy- en beveiligingsregels leidde tot de invoering van de handhavingsregel in maart 2006. De Enforcement Rule gaf het Department of Health and Human Services de bevoegdheid om klachten te onderzoeken tegen gedekte entiteiten voor het niet naleven van de Privacy Rule, en om gedekte outfits te beboeten voor vermijdbare inbreuken op ePHI door het niet volgen van de veiligheidsmaatregelen die zijn vastgelegd in de Security Rule.

Het Department’s Office for Civil Rights kreeg ook de bevoegdheid om strafrechtelijke vervolging in te stellen tegen recidivisten die niet binnen 30 dagen corrigerende maatregelen invoeren. Mensen hebben ook het recht om een civiele procedure aan te spannen tegen de gedekte entiteit als hun persoonlijke gezondheidsinformatie is gedeeld zonder hun toestemming als dit hen “ernstige schade” berokkent.

HITECH 2009 en de Breach Notification Rule

HIPAA-geschiedenis kwam in 2009 in een stroomversnelling met de introductie van de Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH had als hoofddoel de gezondheidszorgautoriteiten te dwingen het gebruik van elektronische gezondheidsdossiers (EHR’s) in te voeren en het stimuleringsprogramma Meaningful Use in te voeren. Fase één van Meaningful Use werd het jaar daarop ingevoerd, waarbij zorggroepen werden gestimuleerd de Beschermde Gezondheidsinformatie van patiënten in elektronisch formaat te bewaren, in plaats van in papieren bestanden.

Met het stimuleringsprogramma kwam ook een uitbreiding van de HIPAA-regels tot Business Associates en externe leveranciers aan de gezondheidszorgsector, en de invoering van de Breach Notification Rule – die bepaalde dat alle inbreuken op ePHI die meer dan 500 individuen betreffen, moeten worden gemeld aan het Office for Civil Rights van het Department of Health and Human Services. De criteria voor het melden van inbreuken op ePHI werden vervolgens uitgebreid in de Final Omnibus Rule van maart 2013.

The Final Omnibus Rule of 2013

De laatste wetstekst in de HIPAA-geschiedenis was de Final Omnibus Rule van 2013. De regel introduceerde niet echt nieuwe wetgeving, maar pakte leemten in bestaande HIPAA- en HITECH-regelgeving aan – bijvoorbeeld het specificeren van de encryptienormen die moeten worden toegepast om ePHI onbruikbaar, onontcijferbaar en onleesbaar te maken in het geval van een inbreuk die zich voordoet.

Vele definities werden gewijzigd of uitgebreid om grijze gebieden aan te pakken – bijvoorbeeld de definitie van “personeelsbestand” werd gewijzigd om duidelijk te maken dat de term werknemers, vrijwilligers, stagiairs en andere personen omvat wier gedrag, bij de uitvoering van werkzaamheden voor een gedekte entiteit of Business Associate, onder de directe leiding van de gedekte entiteit of Business Associate valt.

De privacy- en beveiligingsregels werden ook gewijzigd om toe te staan dat gezondheidsinformatie van patiënten voor onbepaalde tijd wordt bewaard (in de vorige wetgeving was bepaald dat deze 50 jaar moest worden bewaard), terwijl nieuwe procedures werden toegevoegd aan de regel inzake de kennisgeving van inbreuken. Er werden ook nieuwe straffen opgelegd – zoals gedicteerd door HITECH – aan gedekte outfits die in overtreding waren met de HIPAA Enforcement Rule.

Er werden ook wijzigingen opgenomen om rekening te houden met veranderende werkpraktijken als gevolg van technologische vooruitgang, met name met betrekking tot het gebruik van mobiele apparaten. Een groot aantal beroepsbeoefenaren in de gezondheidszorg gebruikt nu hun eigen mobiele apparatuur om ePHI te bekijken en te delen, en de Final Omnibus Rule bevatte nieuwe administratieve procedures en beleidsmaatregelen om hiermee rekening te houden, en om scenario’s op te nemen die in 1996 nog niet konden worden voorspeld. De volledige tekst van de Final Omnibus Rule is hier te vinden.

Na een aantal vertragingen is de deadline voor de Verenigde Staten om Clinical Modification ICD-10-CM voor diagnosecodering en Procedure Coding System ICD-10-PCA voor intramurale ziekenhuisprocedurecodering te gebruiken, uiteindelijk vastgesteld op 1 oktober 2015. Alle HIPAA gedekte outfits moeten ICD-10-CM gebruiken. Een andere vereiste is deze van EDI Versie 5010.

HIPAA Geschiedenis Belangrijke Data

• Augustus 1996 – HIPAA Enacted by President Bill Clinton.
• April 2003 – Effectieve Datum van de HIPAA Privacy Rule.
• April 2005 – Effectieve Datum van de HIPAA Security Rule.
• Maart 2006 – Ingangsdatum van de HIPAA Breach Enforcement Rule.
• September 2009 – Ingangsdatum van HITECH en de Breach Notification Rule.
• Maart 2013 – Ingangsdatum van de Final Omnibus Rule.

Sommige CE’s en BA’s kregen een periode van tijd om zich te houden aan de bepalingen van elke regel. Bijvoorbeeld, ondanks het feit dat de ingangsdatum van de Final Omnibus Rule maart 2013 was, kregen CE’s en BA’s 180 dagen om te voldoen.

Final Omnibus Rule Impact

Wat de Final Omnibus Rule meer heeft bereikt dan welke eerdere wetgeving dan ook, was om gedekte entiteiten meer bewust te maken van de HIPAA-waarborgen die ze moesten naleven. Veel zorginstellingen – die bijna 20 jaar in strijd met de HIPAA hadden gehandeld – implementeerden een aantal maatregelen om aan de voorschriften te voldoen, zoals het gebruik van gegevenscodering op draagbare apparaten en computernetwerken, het gebruik van veilige messaging-oplossingen voor interne communicatie met zorgteams, het instellen van webfilters en het nemen van meer zorg om e-mails veilig te archiveren.

De financiële sancties die nu worden opgelegd voor gegevensinbreuken, samen met de enorme kosten van het uitgeven van kennisgevingen van inbreuken, het bieden van kredietmonitoringdiensten en het uitvoeren van schadebeperking, doen investeringen in nieuwe technologie om gegevens te beveiligen goedkoop lijken in vergelijking.

Het HIPAA Compliance Audit Program

In 2011 begon het Office for Civil Rights met een reeks proefcontroles om te beoordelen hoe goed zorgaanbieders de HIPAA-privacy- en beveiligingsregels naleefden. De eerste reeks audits werd voltooid in 2012 en bracht de schokkende staat van naleving in de gezondheidszorg aan het licht.

Gecontroleerde groepen registreerden veel schendingen van de HIPAA Breach Notification Rule, Privacy Rule en Security Rule, waarbij de laatste leidde tot de meeste schendingen. Het OCR gaf actieplannen uit om die organisaties te helpen naleving te bereiken; voor de tweede fase van audits wordt echter verwacht dat het niet zo toegeeflijk zal zijn.

Audits zullen zich naar verwachting richten op specifieke gebieden die problematisch bleken voor zo veel zorgverleners, terwijl een permanent auditplan wordt gepland om te zorgen voor voortdurende naleving van de HIPAA. Het tijdperk van lakse beveiligingsnormen is nu voorbij en de gezondheidszorg arena, net als de financiële sector daarvoor, moet de normen verbeteren om ervoor te zorgen dat vertrouwelijke gegevens privé blijven.

Elke gedekte entiteit die niet de nodige controles aanpast, wordt geconfronteerd met financiële sancties, sancties, mogelijk verlies van licentie en zelfs strafrechtelijke veroordelingen voor het niet beveiligen van ePHI.

Hoe volledige HIPAA-naleving te garanderen

Onze “HIPAA Compliance Checklist” behandelt de facetten van de Health Insurance Portability and Accountability Act met betrekking tot de opslag, verzending en verwijdering van elektronische Beschermde Gezondheidsinformatie, de acties die outfits moeten ondernemen om een inbreuk aan te pakken en het beleid en de procedures die moeten worden gebruikt om volledige naleving te bereiken.

HIPAA-regelgeving mag dan streng zijn, maar gedekte outfits mogen enige flexibiliteit betrachten wat betreft de privacy- en beveiligingsmaatregelen die worden gebruikt om gegevens te beschermen. Gegevensencryptie, bijvoorbeeld, moet worden aangepakt, maar niet noodzakelijkerwijs worden geïmplementeerd als andere controles de vereiste bescherming mogelijk maken.