Een geschiedenis van HIPAA: 8 dingen die u moet weten

De Health Insurance Portability and Accountability Act (HIPAA) werd in 1996 uitgevaardigd om Amerikaanse gezinnen te beschermen tegen de gevaren van het verlies van ziektekostenverzekeringsdekking. De wet is vooral bedoeld om werknemers de mogelijkheid te bieden hun ziektekostenverzekering over te dragen als ze van baan veranderen of hun baan verliezen. Het tweede doel is de veiligheid en privacy van individuele gezondheidsinformatie te waarborgen. De HIPAA is vorig jaar 20 jaar geworden, maar de gezondheidszorg is nog ver verwijderd van volledige naleving.

PHI bestrijkt een groot gebied.

Er zijn verschillende wijzigingen geweest op de HIPAA sinds deze in de wet is opgenomen. De eerste in 2003, bekend als de Privacy Rule, definieerde Protected Health Information (PHI) als alle gezondheidsgerelateerde informatie die kan worden gebruikt om een bepaald individu te identificeren. Dit kan informatie zijn met betrekking tot de vroegere, huidige of toekomstige fysieke of mentale gezondheid of toestand van een individu, alle verstrekkingen van gezondheidszorg aan een individu, en alle vroegere, huidige of toekomstige betalingen voor de verstrekking van gezondheidszorg aan een individu.

Organisaties kunnen traag zijn bij de invoering.

De beveiligingsregel werd in 2005 uitgevaardigd om de behandeling van elektronische PHI te standaardiseren door specifieke richtlijnen voor fysieke, technische en administratieve beveiligingen te verstrekken. Helaas bleek uit het HIPAA-compliance-onderzoek van vorig jaar door NueMD dat slechts 70 procent van de organisaties in de gezondheidszorg van plan was om te streven naar HIPAA-compliance. Dit cijfer is zeker teleurstellend wanneer men bedenkt dat de adoptiegraad lager ligt bij werkgeversgroepen die collectieve gezondheidsplannen aanbieden, business associates en ziekteverzekeringsagentschappen. Dit is gebaseerd op de beoordeling van Total HIPAA van deze andere groepen.

HHS OCR dwingt naleving af.

Op grond van de handhavingsregel van 2006 heeft het Department of Health and Human Services Office for Civil Rights (HHS OCR) de verantwoordelijkheid gekregen om toezicht te houden op organisaties die zich aan de HIPAA-voorschriften moeten houden. Het HHS OCR heeft de bevoegdheid om klachten in verband met de Privacy en Security Rules te onderzoeken, en om boetes op te leggen aan degenen die de HIPAA-voorschriften niet naleven. De boetes variëren van $ 100 tot $ 1,5 miljoen per overtreding, maar de schikkingen met HHS OCR lopen in de honderdduizenden dollars tot helemaal in de miljoenen met meerdere schikkingen van meer dan $ 5 miljoen.

Alle gezondheidsgerelateerde bedrijven tellen mee.

Alle bedrijven die gezondheidsgerelateerde informatie zien die is gekoppeld aan een individu, worden geacht zich te houden aan de HIPAA. De Health Information Technology for Economic and Clinical Health (HITECH) Act vereist dat zorgorganisaties hun business associates en onderaannemers ervan op de hoogte stellen dat ze wettelijk worden geacht te werken in overeenstemming met de HIPAA. Uit het NueMD-onderzoek van 2016 bleek dat slechts 60 procent van de ondervraagde zorgorganisaties op de hoogte was van deze verwachting.

Uw organisatie kan worden onderworpen aan een audit.

Al meer dan zes jaar voert HHS OCR nalevingsaudits uit in de hoop de naleving van de HIPAA te verbeteren. In 2011 heeft OCR een proefauditprogramma (fase één) geïmplementeerd om de controles en processen te beoordelen die door 115 gedekte entiteiten zijn geïmplementeerd om aan de vereisten van de HIPAA te voldoen. Fase twee van het HIPAA-auditprogramma van het OCR ging vorig jaar van start met de selectie van meer dan 200 gedekte entiteiten en zakenpartners, die in de zomer en het najaar kennisgevingsbrieven kregen om te laten weten dat ze waren geselecteerd voor een bureau-audit. Volgens de NueMD-enquête was vorig jaar slechts 40% van de organisaties in de gezondheidszorg ervan op de hoogte dat deze audits werden uitgevoerd. Momenteel zijn de audits ter plaatse door OCR uitgesteld tot eind 2017 of begin 2018.

PHI moet ten minste 6 jaar worden bewaard.

HIPAA vereist Covered Entities en Business Associates om documentatie te bewaren van PHI die ze hebben verzameld gedurende ten minste zes (6) jaar vanaf de datum waarop het is gemaakt, of de datum waarop het voor het laatst van kracht was, afhankelijk van welke datum later is. Organisaties die PHI bezitten, moeten de bewaarvereisten van hun staat bekijken voordat ze PHI op de juiste manier weggooien om de naleving van de staat te verzekeren.

HIPAA-naleving neemt af.

Uit de NueMD-enquêtes bleek ook dat van 2014 tot 2016 het aantal in dienst zijnde beveiligings- en privacyfunctionarissen was gedaald van 56 en 55 procent naar respectievelijk 53 en 54 procent. Er zijn ook minder zorgorganisaties die HIPAA-nalevingstraining geven, van 62 naar 58 procent.

De dageraad van elektronische communicatie.

Meer zorgverleners gebruiken telefoonapps, e-mail en sociale media om in contact te komen met patiënten. Naarmate meer organisaties overgaan op elektronische communicatie, is het belangrijk om de veiligheid van deze processen te bewaken. Total HIPAA heeft HIPAA-conforme software voor elektronische communicatie zoals e-mailencryptie en sms beoordeeld om organisaties te helpen bij het vinden van een best passende oplossing.

Waar gaan we vanaf hier naartoe?

Samengevat staat de invoering van HIPAA-conformiteit nog in de kinderschoenen. OSHA had meer dan 20 jaar nodig om op grote schaal te worden ingevoerd door in de VS gevestigde bedrijven. Hoewel het eerste deel van de HIPAA 20 jaar geleden van kracht werd, zijn belangrijke delen van de wet pas sinds 2009 van kracht.

HHS heeft nog steeds geen uitspraak gedaan over de vraag of patiënten, werknemers of klanten kunnen delen in de boetes die nu door HHS worden geheven wanneer de PHI van deze individuen is geschonden. Als de HHS bepaalt dat individuen kunnen worden vergoed wanneer hun PHI is geschonden, zullen de sluizen opengaan. Groepen die aan de HIPAA-voorschriften moeten voldoen, zullen zich haasten om het proces te voltooien en kunnen in een achterstandspositie terechtkomen. Laat u niet meeslepen in de haast. Handel nu en wordt HIPAA-compliant.

Ook hebben vier hooggerechtshoven van staten de HIPAA gehandhaafd als zorgstandaard (Missouri, North Carolina, Connecticut en West Virginia). Dit betekent dat gedekte entiteiten die PHI niet naar behoren beschermen, kunnen worden geconfronteerd met gerechtelijke stappen van particulieren, niet alleen van de HHS.

Mensen zijn zich meer bewust van hun rechten op grond van de HIPAA dan u zich misschien realiseert. Als uw praktijk of bedrijf niet voldoet aan de HIPAA, wordt u blootgesteld aan een hele reeks regelgevingskwesties die het beste kunnen worden beperkt voordat er een probleem is. De realiteit is dat naleving veel betaalbaarder is dan ooit, en dat niet-naleving veel duurder is dan ooit.

Bent u HIPAA Compliant?

Door: Total HIPAA Guest Bloggers

Sharing is caring!