En historie om HIPAA: HIPAA: 8 ting du bør vide

The Health Insurance Portability and Accountability Act (HIPAA) blev vedtaget i 1996 for at beskytte amerikanske familier mod farerne ved at miste deres sygesikringsdækning. Den blev hovedsageligt designet til at give arbejdstagere forsikringsoverførbarhed i forbindelse med jobskifte eller tab af job. Dens sekundære formål er at sikre sikkerheden og privatlivets fred for individuelle sundhedsoplysninger. HIPAA fyldte 20 år sidste år, men sundhedssystemet er stadig langt fra fuld overholdelse.

PHI dækker mange områder.

Der er sket flere ændringer af HIPAA, siden den blev underskrevet som lov. Den første i 2003, kendt som Privacy Rule, definerede Protected Health Information (PHI) som enhver sundhedsrelateret information, der kan bruges til at identificere en bestemt person. Det kan være oplysninger vedrørende en persons tidligere, nuværende eller fremtidige fysiske eller mentale sundhed eller tilstand, enhver levering af sundhedsydelser til en person og enhver tidligere, nuværende eller fremtidig betaling for levering af sundhedsydelser til en person.

Organisationer kan være langsomme i optagelserne.

Sikkerhedsreglen blev vedtaget i 2005 for at standardisere håndteringen af elektroniske PHI ved at give specifikke retningslinjer for fysiske, tekniske og administrative sikkerhedsforanstaltninger. Desværre viste sidste års HIPAA-overholdelsesundersøgelse fra NueMD, at kun 70 procent af sundhedsorganisationerne planlagde at stræbe efter HIPAA-overholdelse. Dette tal er helt sikkert skuffende, når gennemførelsesprocenten er lavere blandt arbejdsgivergrupper, der tilbyder gruppesundhedsplaner, forretningspartnere og sygesikringsagenturer. Dette er baseret på Total HIPAA’s vurdering af disse andre grupper.

HHS OCR håndhæver overholdelse.

I henhold til Enforcement Rule fra 2006 har Department of Health and Human Services Office for Civil Rights (HHS OCR) fået ansvaret for at overvåge organisationer, der skal overholde HIPAA-reglerne. HHS OCR har beføjelse til at undersøge klager i forbindelse med reglerne om privatlivets fred og sikkerhed og til at give bøder til dem, der ikke overholder HIPAA-reglerne. Bøderne varierer fra så lidt som 100 dollars til 1,5 millioner dollars pr. overtrædelse, men forlig med HHS OCR har ligget i hundredtusindvis af dollars til helt op i millionklassen med flere forlig, der overstiger 5 millioner dollars.

Alle sundhedsrelaterede virksomheder tæller.

Alle virksomheder, der ser sundhedsrelaterede oplysninger i forbindelse med en person, forventes at overholde HIPAA. HITECH-loven (Health Information Technology for Economic and Clinical Health) kræver, at sundhedsorganisationer skal underrette deres forretningsforbindelser og underleverandører om, at de lovmæssigt forventes at arbejde i overensstemmelse med HIPAA. NueMD-undersøgelsen fra 2016 viste, at kun 60 procent af de adspurgte sundhedsorganisationer var opmærksomme på denne forventning.

Din organisation kan være genstand for en revision.

I over seks år har HHS OCR nu gennemført overensstemmelsesrevisioner i håb om at øge HIPAA-overholdelsen. I 2011 gennemførte OCR et pilotrevisionsprogram (fase 1) for at vurdere de kontroller og processer, som 115 omfattede enheder har implementeret for at overholde HIPAA’s krav. Fase to af OCR’s HIPAA-revisionsprogram startede sidste år ved at udvælge over 200 omfattede enheder og forretningsforbindelser og sende notifikationsbreve i sommeren og efteråret for at informere dem om, at de var blevet udvalgt til en skrivebordsrevision. Sidste år var kun 40 procent af sundhedsorganisationerne ifølge NueMD’s undersøgelse klar over, at disse revisioner blev gennemført. På nuværende tidspunkt er OCR’s audit på stedet blevet udsat til slutningen af 2017 eller begyndelsen af 2018.

PHI skal opbevares i mindst 6 år.

HIPAA kræver, at Covered Entities og Business Associates skal opbevare dokumentation for PHI, som de har indsamlet, i mindst seks (6) år fra datoen for dens oprettelse eller fra den dato, hvor den sidst var gældende, alt efter hvilken dato der er den seneste. Organisationer, der har PHI, skal gennemgå deres stats opbevaringskrav, før de bortskaffer PHI korrekt for at sikre statens overholdelse.

HIPAA-overholdelse falder.

NueMD-undersøgelserne viste også, at fra 2014 til 2016 var antallet af ansatte sikkerheds- og fortrolighedsansvarlige fra 2014 til 2016 gået fra henholdsvis 56 og 55 procent ned til 53 og 54 procent. Der er også færre sundhedsorganisationer, der tilbyder HIPAA-overholdelsesuddannelse, fra 62 til 58 procent.

Den elektroniske kommunikations gryende.

Flere sundhedsudbydere bruger telefonapps, e-mail og sociale medier til at komme i kontakt med patienter. Efterhånden som flere organisationer går over til at kommunikere elektronisk, er det vigtigt at overvåge sikkerheden i disse processer. Total HIPAA har gennemgået HIPAA-kompatibel software til elektronisk kommunikation som e-mail-kryptering og sms-beskeder for at hjælpe organisationer med at finde den bedst egnede løsning.

Hvor skal vi hen herfra?

Sammenfattende er vedtagelsen af HIPAA-overholdelse stadig i sin vorden. Det tog mere end 20 år for OSHA at blive bredt vedtaget af amerikanske virksomheder. Selv om den første del af HIPAA trådte i kraft for 20 år siden, har de vigtigste dele af loven først været i kraft siden 2009.

HHS har stadig ikke taget stilling til, om patienter, ansatte eller klienter kan få del i de bøder, som HHS nu opkræver, når disse personers PHI er blevet krænket. Hvis HHS beslutter, at enkeltpersoner kan få refusion, når deres PHI er blevet krænket, vil sluserne åbne sig. De grupper, der skal være i overensstemmelse med HIPAA, vil skynde sig at gennemføre processen og kan blive fanget i at skulle indhente det hele. Lad dig ikke fortabe i dette kapløb. Handl nu og bliv HIPAA-kompatibel.

Fire statslige højesteretter har desuden stadfæstet HIPAA som en standard for pleje (Missouri, North Carolina, Connecticut og West Virginia). Det betyder, at Covered Entities, der ikke beskytter PHI korrekt, kan blive udsat for retssager fra private borgere, ikke kun fra HHS.

Mennesker er mere opmærksomme på deres rettigheder i henhold til HIPAA, end du måske er klar over. Hvis du ikke er HIPAA-kompatibel, udsætter du din praksis eller virksomhed for en lang række lovgivningsmæssige problemer, som det er bedst at afhjælpe, før der opstår et problem. Virkeligheden er, at overholdelse er meget mere overkommelig end nogensinde før, og manglende overholdelse er meget mere bekostelig end nogensinde før.

Er du HIPAA-kompatibel?

Af: Total HIPAA Guest Bloggers

Deling er omsorg!