Nasz przegląd historii HIPAA rozpoczyna się 21 sierpnia 1996 r., kiedy to ustawa o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (Healthcare Insurance Portability and Accountability Act, HIPAA) została wprowadzona w życie, ale dlaczego sformułowano ustawę HIPAA?

Ustawa HIPAA została sformułowana w celu „poprawy możliwości przenoszenia i odpowiedzialności za ubezpieczenie zdrowotne” dla pracowników zmieniających pracę. Innymi celami ustawy było zajęcie się marnotrawstwem, oszustwami i nadużyciami w ubezpieczeniach zdrowotnych i świadczeniu opieki zdrowotnej. Ustawa zawierała również fragmenty zachęcające do korzystania z medycznych kont oszczędnościowych poprzez tworzenie ulg podatkowych, zapewnia pokrycie dla pracowników z istniejącymi wcześniej warunkami medycznymi i usprawnia administrację ubezpieczenia zdrowotnego. Procesy upraszczania administracji ubezpieczenia zdrowotnego stały się sposobem na zachęcenie branży opieki zdrowotnej do komputeryzacji dokumentacji medycznej pacjentów. Ta konkretna część ustawy spowodowała powstanie w 2009 r. ustawy o technologii informacyjnej w ochronie zdrowia (Health Information Technology for Economic and Clinical Health Act, HITECH), która następnie doprowadziła do wprowadzenia programu motywacyjnego Meaningful Use – opisanego przez liderów sektora opieki zdrowotnej jako „najważniejszy element ustawodawstwa dotyczącego opieki zdrowotnej, jaki został uchwalony w ciągu ostatnich 20-30 lat”.

The HIPAA Privacy and Security Rules Begin to Evolve

Po uchwaleniu ustawy HIPAA, amerykański Departament Zdrowia i Usług Społecznych rozpoczął opracowywanie pierwszych zasad HIPAA dotyczących prywatności i bezpieczeństwa. Reguła Prywatności miała rzeczywistą datę zgodności z 14 kwietnia 2003 r. i odnosiła się do Chronionych Informacji Zdrowotnych (PHI) jako „wszelkich informacji przechowywanych przez podmiot objęty, które są związane ze stanem zdrowia, świadczeniem opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z osobą”.

Instrukcje zostały udostępnione na temat tego, jak PHI powinny być udostępniane i że należy uzyskać zgodę od pacjentów przed użyciem ich danych osobowych do marketingu, pozyskiwania funduszy lub badań. Dało to również pacjentom pozwolenie na nieujawnianie informacji o ich opiece zdrowotnej dostawcom ubezpieczeń zdrowotnych, gdy ich leczenie jest finansowane ze środków prywatnych.

Reguła bezpieczeństwa HIPAA stała się wykonalna dwa lata po wprowadzeniu oryginalnego ustawodawstwa 21 kwietnia 2005 roku. Odnosząc się w szczególności do elektronicznie przechowywanych PHI (ePHI), Security Rule ustanowiła trzy środki bezpieczeństwa – administracyjne, fizyczne i techniczne – które muszą być całkowicie spełnione w celu zapewnienia zgodności z HIPAA. Środki bezpieczeństwa miały następujące cele:

• Administracyjne – opracowanie polityk i procesów ustanowionych w celu wyraźnego wskazania, w jaki sposób podmiot będzie przestrzegał ustawy.
• Fizyczne – zarządzanie fizycznym dostępem do obszarów przechowywania danych w celu ochrony przed niewłaściwym dostępem
• Techniczne – zabezpieczenie komunikacji, w tym PHI, przesyłanej drogą elektroniczną przez otwarte sieci

Kiedy ustawa HIPAA stała się wykonalna?

W którym roku uchwalono ustawę HIPAA? Ustawa o HIPAA została uchwalona 21 sierpnia 1996 r., ale w ciągu ostatnich 20 lat wprowadzono do niej istotne zmiany: Wprowadzenie Reguły Prywatności, Reguły Bezpieczeństwa, Reguły Powiadamiania o Naruszeniach oraz Omnibus Final Rule.

Najbardziej znaczące daty wejścia w życie to: 14 kwietnia 2003 r. dla HIPAA Privacy Rule, chociaż było przedłużenie o 12 miesięcy dla małych planów zdrowotnych, które były zobowiązane do przestrzegania przepisów HIPAA Privacy Rule do 14 kwietnia 2004 r.

Efektywna data zgodności dla HIPAA Security Rule była 21 kwietnia 2005 r. Podobnie jak w przypadku HIPAA Privacy Rule, małe plany zdrowotne otrzymały dodatkowy rok na dostosowanie się do przepisów HIPAA Security Rule i miały rzeczywistą datę zgodności z 21 kwietnia 2006 roku.

The HIPAA Breach Notification Rule stała się wykonalna 23 września 2009 roku, a Omnibus Final Rule stała się wykonalna 26 marca 2013 roku.

Wprowadzenie Reguły egzekwowania

Nieudana próba wielu strojów objętych HIPAA do pełnego przestrzegania zasad prywatności i bezpieczeństwa HIPAA doprowadziła do wprowadzenia Reguły egzekwowania w marcu 2006 roku. Reguła ta dała Departamentowi Zdrowia i Usług Społecznych prawo do rozpatrywania skarg przeciwko podmiotom objętym HIPAA za nieprzestrzeganie Reguły Prywatności oraz do nakładania kar pieniężnych na podmioty objęte HIPAA za możliwe do uniknięcia naruszenia ePHI z powodu nieprzestrzegania środków bezpieczeństwa określonych w Regule Bezpieczeństwa.

Urząd Praw Obywatelskich Departamentu otrzymał również prawo do wnoszenia oskarżeń karnych przeciwko recydywistom, którzy nie wprowadzą środków naprawczych w ciągu 30 dni. Ludzie mają również prawo do podejmowania cywilnych działań prawnych przeciwko podmiotowi objętemu ochroną, jeśli ich osobiste informacje o opiece zdrowotnej zostały udostępnione bez ich zgody, jeśli powoduje to, że dochodzą do „poważnej szkody”.

HITECH 2009 i Breach Notification Rule

HIPAA historia nabrała tempa w 2009 roku wraz z wprowadzeniem Health Information Technology for Economic and Clinical Health Act (HITECH). Głównym celem ustawy HITECH było zmuszenie organów służby zdrowia do wprowadzenia stosowania elektronicznych rejestrów medycznych (EHR) oraz uchwalenie programu motywacyjnego Meaningful Use. Etap pierwszy programu Meaningful Use został wprowadzony w następnym roku, zachęcając grupy opieki zdrowotnej do utrzymywania chronionych informacji zdrowotnych pacjentów w formacie elektronicznym, zamiast plików papierowych.

Wraz z programem zachęt przyszło również rozszerzenie zasad HIPAA na współpracowników biznesowych i dostawców zewnętrznych dla sektora opieki zdrowotnej oraz wprowadzenie zasady powiadamiania o naruszeniach – która stanowiła, że wszystkie naruszenia ePHI dotyczące więcej niż 500 osób muszą zostać zgłoszone do Biura Praw Obywatelskich Departamentu Zdrowia i Usług Społecznych. Kryteria zgłaszania naruszeń ePHI zostały następnie rozszerzone w Final Omnibus Rule z marca 2013 r.

The Final Omnibus Rule of 2013

Ostatnim aktem prawnym w historii HIPAA była Final Omnibus Rule of 2013. Reguła ta tak naprawdę nie wprowadziła żadnych nowych przepisów, ale zajęła się lukami w istniejących regulacjach HIPAA i HITECH – na przykład określając standardy szyfrowania, które należy zastosować, aby uczynić ePHI bezużytecznym, nierozszyfrowanym i nieczytelnym w przypadku wystąpienia naruszenia.

Wiele definicji zostało zmienionych lub rozszerzonych w celu zajęcia się szarymi strefami – na przykład definicja „siły roboczej” została zmieniona w celu wyjaśnienia, że termin ten obejmuje pracowników, wolontariuszy, stażystów i inne osoby, których zachowanie, podczas wykonywania pracy dla podmiotu objętego ochroną lub współpracownika biznesowego, jest pod bezpośrednim kierownictwem podmiotu objętego ochroną lub współpracownika biznesowego.

Reguły Prywatności i Bezpieczeństwa zostały również zmienione, aby zezwolić na przechowywanie informacji zdrowotnych pacjenta na czas nieokreślony (poprzednie prawodawstwo stanowiło, że będą one przechowywane przez 50 lat), podczas gdy nowe procedury zostały dodane do Reguły Powiadamiania o Naruszeniach. Nowe kary zostały również zastosowane – podyktowane przez HITECH – do objętych stroje, które spadły afoul z HIPAA Enforcement Rule.

Poprawki zostały również zawarte w celu uwzględnienia zmieniających się praktyk pracy spowodowanych przez postęp technologiczny, obejmujący wykorzystanie urządzeń mobilnych w szczególności. Znaczna liczba pracowników służby zdrowia używa obecnie własnych urządzeń mobilnych do przeglądania i udostępniania ePHI, a Ostateczna Reguła Zbiorcza zawierała nowe procedury i zasady administracyjne uwzględniające ten fakt oraz scenariusze, których nie można było przewidzieć w 1996 roku. Pełny tekst Final Omnibus Rule można znaleźć tutaj.

Po wielu opóźnieniach, termin dla Stanów Zjednoczonych do korzystania z Clinical Modification ICD-10-CM do kodowania diagnozy i Procedure Coding System ICD-10-PCA do kodowania procedur szpitalnych został ostatecznie ustalony na 1 października 2015 roku. Wszystkie stroje objęte HIPAA muszą używać ICD-10-CM. Kolejnym wymogiem jest wersja 5010 EDI.

HIPAA History Significant Dates

• August 1996 – HIPAA Enacted by President Bill Clinton.
• April 2003 – Effective Date of the HIPAA Privacy Rule.
• April 2005 – Effective Date of the HIPAA Security Rule.
• Marzec 2006 – Data wejścia w życie HIPAA Breach Enforcement Rule.
• Wrzesień 2009 – Data wejścia w życie HITECH i Breach Notification Rule.
• Marzec 2013 – Data wejścia w życie ostatecznej Omnibus Rule.

Niektórym CE i BA dano okres czasu na dostosowanie się do przepisów każdej z reguł. Na przykład, mimo że data wejścia w życie Final Omnibus Rule to marzec 2013 r., CE i BA otrzymali 180 dni na dostosowanie się do przepisów.

Final Omnibus Rule Impact

To, co Final Omnibus Rule osiągnęła bardziej niż jakiekolwiek wcześniejsze przepisy, to uświadomienie podmiotom objętym HIPAA zabezpieczeń, których muszą przestrzegać. Wiele placówek służby zdrowia – które naruszały przepisy HIPAA przez prawie 20 lat – wdrożyło szereg środków mających na celu zapewnienie zgodności z przepisami, takich jak stosowanie szyfrowania danych na urządzeniach przenośnych i w sieciach komputerowych, stosowanie bezpiecznych rozwiązań w zakresie przesyłania wiadomości w komunikacji wewnętrznej z zespołami opieki zdrowotnej, zakładanie filtrów internetowych i zwracanie większej uwagi na bezpieczne archiwizowanie wiadomości e-mail.

Kary finansowe nakładane obecnie za naruszenia danych wraz z ogromnymi kosztami wydawania powiadomień o naruszeniu, świadczenia usług monitorowania kredytów i prowadzenia działań ograniczających szkody sprawiają, że inwestycje w nowe technologie zabezpieczające dane wydają się tanie w porównaniu z nimi.

Program audytu zgodności z przepisami HIPAA

W 2011 r. Biuro Praw Obywatelskich rozpoczęło serię pilotażowych audytów zgodności w celu sprawdzenia, jak dobrze dostawcy usług opieki zdrowotnej przestrzegają przepisów HIPAA dotyczących prywatności i bezpieczeństwa. Pierwsza fundacja audytów została zakończona w 2012 roku i podkreśliła szokujący stan zgodności w opiece zdrowotnej.

Audytowane grupy odnotowały wiele naruszeń HIPAA Breach Notification Rule, Privacy Rule i Security Rule, z tym ostatnim prowadzącym do większości naruszeń. OCR wydał plany działania, aby pomóc tym organizacjom osiągnąć zgodność, jednak dla drugiej fazy audytów nie oczekuje się, że będzie tak łagodny.

Audyty są przewidywane, aby skupić się na konkretnych obszarach, które okazały się problematyczne dla tak wielu dostawców opieki zdrowotnej, podczas gdy stały plan audytu jest planowany w celu zapewnienia bieżącej zgodności HIPAA. Era pobłażliwych standardów bezpieczeństwa już minęła, a służba zdrowia, podobnie jak wcześniej sektor finansowy, musi poprawić standardy, aby zapewnić, że poufne dane pozostaną prywatne.

Każdy podmiot objęty ochroną, który nie dostosuje niezbędnych kontroli, naraża się na kary finansowe, sankcje, potencjalną utratę licencji, a nawet wyroki karne za niezabezpieczenie ePHI.

Jak zapewnić pełną zgodność z HIPAA

Nasza „Lista kontrolna zgodności z HIPAA” obejmuje aspekty ustawy o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne (Health Insurance Portability and Accountability Act) związane z przechowywaniem, przesyłaniem i usuwaniem elektronicznych chronionych informacji zdrowotnych, działaniami, które podmioty muszą podjąć w celu rozwiązania problemu naruszenia oraz politykami i procedurami, które muszą być stosowane w celu osiągnięcia pełnej zgodności. Szyfrowanie danych, na przykład, musi być adresowane, ale niekoniecznie wdrożone, jeśli inne kontrole pozwalają na wymaganą ochronę.

.