Rezamintirea istoriei HIPAA începe la 21 august 1996, când Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (Healthcare Insurance Portability and Accountability Act – HIPAA) a fost promulgată, dar de ce a fost elaborată Legea HIPAA?

Legea HIPAA a fost elaborată pentru a „îmbunătăți portabilitatea și responsabilitatea asigurării de sănătate” pentru lucrătorii care își schimbă locul de muncă. Alte obiective ale legii au fost de a aborda risipa, frauda și abuzul în domeniul asigurărilor de sănătate și al furnizării de asistență medicală. Legea a inclus, de asemenea, pasaje pentru a încuraja utilizarea conturilor de economii medicale prin crearea de facilități fiscale, oferă acoperire pentru angajații cu afecțiuni medicale preexistente și simplifică administrarea asigurărilor de sănătate.

Procesele de simplificare a administrării asigurărilor de sănătate au devenit o modalitate de a încuraja industria de sănătate să informatizeze dosarele medicale ale pacienților. Această parte specifică a legii a generat, în 2009, Legea privind tehnologia informației medicale pentru sănătate economică și clinică (HITECH), care a dus apoi la introducerea programului de stimulare Meaningful Use – descris de liderii din sectorul sănătății ca fiind „cel mai important act legislativ din domeniul sănătății care a fost adoptat în ultimii 20-30 de ani”.

Normele de confidențialitate și securitate ale HIPAA încep să evolueze

După ce HIPAA a fost promulgată ca lege, Departamentul de Sănătate și Servicii Umane al SUA a început să elaboreze primele reguli de confidențialitate și securitate ale HIPAA. Regula de confidențialitate a avut o dată efectivă de intrare în vigoare la 14 aprilie 2003 și se referea la informațiile medicale protejate (PHI) ca fiind „orice informație deținută de o entitate acoperită care este legată de starea de sănătate, de furnizarea de asistență medicală sau de plata pentru asistență medicală și care poate fi legată de o persoană”

Au fost puse la dispoziție instrucțiuni privind modul în care ar trebui să fie partajate PHI și faptul că ar trebui să se obțină permisiunea pacienților înainte de a utiliza datele lor personale pentru marketing, strângere de fonduri sau cercetare. De asemenea, li s-a acordat pacienților permisiunea de a refuza furnizarea de informații despre îngrijirea sănătății lor de către furnizorii de asigurări de sănătate atunci când tratamentul lor este finanțat în mod privat.

Regula de securitate HIPAA a devenit aplicabilă la doi ani de la adoptarea legislației inițiale, la 21 aprilie 2005. Referindu-se în mod specific la informațiile PHI stocate electronic (ePHI), Regula de securitate a stabilit trei măsuri de securitate – administrativă, fizică și tehnică – care trebuie respectate în totalitate pentru a fi în conformitate cu HIPAA. Măsurile de securitate au avut următoarele obiective:

• Administrativ – să dezvolte politici și procese stabilite pentru a indica în mod clar modul în care entitatea va respecta legea.
• Fizice – pentru a gestiona accesul fizic la zonele de stocare a datelor pentru a proteja împotriva accesului necorespunzător
• Tehnice – pentru a proteja comunicațiile, inclusiv PHI, atunci când sunt trimise electronic prin rețele deschise

Când a devenit HIPAA aplicabilă?

În ce an a fost promulgată legea HIPAA? HIPAA a fost promulgată ca lege la 21 august 1996, dar în ultimii 20 de ani au avut loc modificări majore la HIPAA: Introducerea regulii de confidențialitate, a regulii de securitate, a regulii de notificare a încălcărilor și a regulii finale Omnibus.

Cele mai importante date de intrare în vigoare sunt: 14 aprilie 2003 pentru regula de confidențialitate HIPAA, deși a existat o prelungire de 12 luni pentru planurile de sănătate mici, care trebuiau să adere la prevederile regulii de confidențialitate HIPAA până la 14 aprilie 2004.

Data efectivă de conformitate pentru regula de securitate HIPAA a fost 21 aprilie 2005. La fel ca și în cazul Regulii de confidențialitate HIPAA, micilor planuri de sănătate li s-a acordat un an suplimentar pentru a adera la dispozițiile Regulii de securitate HIPAA și au avut ca dată efectivă de conformitate 21 aprilie 2006.

Regula HIPAA de notificare a încălcărilor a devenit aplicabilă la 23 septembrie 2009, iar Regula finală Omnibus a devenit aplicabilă la 26 martie 2013.

Punerea în aplicare a regulii de aplicare

Nerespectarea deplină a regulilor de confidențialitate și securitate HIPAA de către multe entități acoperite a dus la introducerea regulii de aplicare în martie 2006. Regula de punere în aplicare a conferit Departamentului pentru Sănătate și Servicii Umane competența de a examina plângerile împotriva entităților acoperite pentru nerespectarea regulii de confidențialitate și de a amenda entitățile acoperite pentru încălcări evitabile ale informațiilor medicale electronice datorită nerespectării măsurilor de securitate prevăzute de regula de securitate.

De asemenea, Biroul pentru Drepturi Civile al Departamentului a primit autoritatea de a formula plângeri penale împotriva infractorilor recidiviști care nu introduc măsuri corective în termen de 30 de zile. Oamenii au, de asemenea, dreptul de a intenta o acțiune civilă împotriva entității acoperite în cazul în care informațiile personale privind asistența medicală au fost partajate fără permisiunea lor, dacă acest lucru le provoacă un „prejudiciu grav”.

HITECH 2009 și Regula de notificare a încălcărilor

IstoriaHIPAA s-a accelerat în 2009, odată cu introducerea Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH a avut ca obiectiv principal să constrângă autoritățile din domeniul sănătății să pună în aplicare utilizarea dosarelor electronice de sănătate (EHR) și a promulgat programul de stimulare Meaningful Use. Prima etapă a programului „Meaningful Use” a fost introdusă în anul următor, stimulând grupurile de asistență medicală să păstreze informațiile medicale protejate ale pacienților în format electronic, în loc de fișiere pe hârtie.

Odată cu programul de stimulare a venit și o extindere a regulilor HIPAA la asociații de afaceri și la furnizorii terți din sectorul asistenței medicale, precum și introducerea regulii de notificare a încălcărilor (Breach Notification Rule) – care prevedea că toate încălcările informațiilor medicale electronice care afectează mai mult de 500 de persoane trebuie aduse la cunoștința Biroului pentru drepturi civile al Departamentului pentru Sănătate și Servicii Umane. Criteriile de raportare a încălcărilor de ePHI au fost apoi extinse în Regula Omnibus finală din martie 2013.

Regula Omnibus finală din 2013

Ultimul act legislativ din istoria HIPAA a fost Regula Omnibus finală din 2013. Regula nu a introdus cu adevărat nicio legislație nouă, ci a abordat lacunele din reglementările existente ale HIPAA și HITECH – de exemplu, specificând standardele de criptare care trebuie aplicate pentru a face ca ePHI să fie inutilizabile, indescifrabile și ilizibile în cazul în care are loc o încălcare.

Multe definiții au fost modificate sau extinse pentru a aborda zonele gri – de exemplu, definiția „forței de muncă” a fost modificată pentru a clarifica faptul că termenul include angajații, voluntarii, stagiarii și alte persoane a căror conduită, în desfășurarea activității pentru o entitate acoperită sau un asociat comercial, se află sub conducerea directă a entității acoperite sau a asociatului comercial.

Normele privind confidențialitatea și securitatea au fost, de asemenea, modificate pentru a permite ca informațiile privind sănătatea pacientului să fie păstrate pe termen nedefinit (legislația anterioară prevedea ca acestea să fie păstrate timp de 50 de ani), în timp ce noi proceduri au fost adăugate la regula privind notificarea încălcărilor (Breach Notification Rule). De asemenea, au fost aplicate noi sancțiuni – așa cum a dictat HITECH – pentru entitățile acoperite care au încălcat regula de aplicare a HIPAA.

Au fost incluse și modificări pentru a ține cont de schimbarea practicilor de lucru determinate de progresele tehnologice, acoperind în special utilizarea dispozitivelor mobile. Un număr important de profesioniști din domeniul sănătății utilizează în prezent propriile dispozitive mobile pentru a vizualiza și a partaja ePHI, iar regula finală Omnibus Rule a inclus noi proceduri și politici administrative pentru a ține cont de acest lucru și pentru a include scenarii care nu ar fi putut fi prevăzute în 1996. Textul complet al Final Omnibus Rule poate fi consultat aici.

După o serie de amânări, termenul limită pentru ca Statele Unite să utilizeze Clinical Modification ICD-10-CM pentru codificarea diagnosticelor și Procedure Coding System ICD-10-PCA pentru codificarea procedurilor spitalicești pentru pacienții internați a fost stabilit în cele din urmă la 1 octombrie 2015. Toate unitățile acoperite de HIPAA trebuie să utilizeze ICD-10-CM. O altă cerință sunt acestea din EDI versiunea 5010.

Historia HIPAA Date semnificative

• August 1996 – HIPAA promulgată de președintele Bill Clinton.
• Aprilie 2003 – Data intrării în vigoare a regulii de confidențialitate HIPAA.
• Aprilie 2005 – Data intrării în vigoare a regulii de securitate HIPAA.
• Martie 2006 – Data intrării în vigoare a regulii HIPAA de aplicare a normelor privind încălcarea securității.
• Septembrie 2009 – Data intrării în vigoare a HITECH și a regulii de notificare a încălcării securității.
• Martie 2013 – Data intrării în vigoare a regulii finale Omnibus.

Unor EC și BA li s-a acordat o perioadă de timp pentru a adera la prevederile fiecărei reguli. De exemplu, în ciuda faptului că data intrării în vigoare a Regulii Omnibus finale a fost martie 2013, EC și BA au primit 180 de zile pentru a se conforma.

Incidența Regulii Omnibus finale

Ceea ce a realizat Regula Omnibus finală mai mult decât orice altă legislație anterioară a fost să facă entitățile acoperite mai conștiente de garanțiile HIPAA pe care trebuiau să le respecte. Multe entități din domeniul sănătății – care încălcaseră HIPAA timp de aproape 20 de ani – au pus în aplicare o serie de măsuri pentru a se conforma reglementărilor, cum ar fi utilizarea criptării datelor pe dispozitivele portabile și în rețelele de calculatoare, utilizarea de soluții de mesagerie securizată pentru comunicările interne cu echipele de îngrijire, instituirea de filtre web și o mai mare grijă pentru arhivarea sigură a e-mailurilor.

Penalitățile financiare care sunt acum sancționate pentru încălcări ale securității datelor, împreună cu costurile uriașe de emitere a notificărilor de încălcare, de furnizare a serviciilor de monitorizare a creditelor și de realizare a măsurilor de atenuare a pagubelor, fac ca investițiile în noile tehnologii de protejare a datelor să pară ieftine în comparație cu acestea.

Programul de audit al conformității HIPAA

În 2011, Oficiul pentru Drepturi Civile a început o serie de audituri pilot de conformitate pentru a analiza modul în care furnizorii de servicii medicale respectă regulile de confidențialitate și securitate HIPAA. Prima găselniță de audituri a fost finalizată în 2012 și a scos în evidență starea șocantă a conformității în domeniul asistenței medicale.

Grupurile auditate au înregistrat numeroase încălcări ale regulii HIPAA privind notificarea încălcărilor, ale regulii de confidențialitate și ale regulii de securitate, acestea din urmă conducând la cele mai multe încălcări. OCR a emis planuri de acțiune pentru a ajuta aceste organizații să atingă conformitatea; cu toate acestea, pentru a doua fază a auditurilor nu se așteaptă să fie la fel de indulgentă.

Se preconizează că auditurile se vor concentra pe domenii specifice care s-au dovedit a fi problematice pentru atât de mulți furnizori de servicii medicale, în timp ce un plan de audit permanent este planificat pentru a asigura conformitatea continuă cu HIPAA. Epoca standardelor de securitate laxe a trecut acum, iar domeniul sănătății, ca și sectorul financiar înainte de acesta, trebuie să îmbunătățească standardele pentru a se asigura că datele confidențiale rămân private.

Care entitate acoperită care nu adaptează controalele necesare riscă penalități financiare, sancțiuni, pierderea potențială a licenței și chiar condamnări penale pentru că nu a securizat ePHI.

Cum să asigurați conformitatea deplină cu HIPAA

Lista noastră de verificare a conformității cu HIPAA” acoperă fațetele Legii privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate referitoare la stocarea, transmiterea și eliminarea informațiilor medicale electronice protejate, acțiunile pe care trebuie să le întreprindă entitățile pentru a aborda o încălcare și politicile și procedurile care trebuie utilizate pentru a obține conformitatea deplină.

Reglementările HIPAA pot fi stricte, dar entităților acoperite li se permite o anumită flexibilitate în ceea ce privește măsurile de confidențialitate și securitate utilizate pentru a proteja datele. Criptarea datelor, de exemplu, trebuie să fie abordată, dar nu neapărat implementată dacă alte controale permit protecția necesară.

.