En historia av HIPAA: 8 saker som du bör veta

H Health Insurance Portability and Accountability Act (HIPAA) antogs 1996 för att skydda amerikanska familjer från farorna med att förlora sin sjukförsäkring. Huvudsakligen utformades den för att ge arbetstagare försäkringsöverförbarhet vid byte eller förlust av arbete. Dess sekundära syfte är att garantera säkerheten och integriteten för individuell hälsoinformation. HIPAA fyllde 20 år förra året, men hälso- och sjukvårdssystemet är fortfarande långt ifrån full överensstämmelse.

PHI täcker en hel del områden.

Det har gjorts flera ändringar av HIPAA sedan det undertecknades som lag. I den första från 2003, som kallas Privacy Rule, definieras skyddad hälsoinformation (PHI) som all hälsorelaterad information som kan användas för att identifiera en viss person. Detta kan vara information som rör en individs tidigare, nuvarande eller framtida fysiska eller psykiska hälsa eller tillstånd, alla tillhandahållanden av hälso- och sjukvård till en individ och alla tidigare, nuvarande eller framtida betalningar för tillhandahållande av hälso- och sjukvård till en individ.

Organisationer kan vara långsamma på att ta till sig informationen.

Säkerhetsregeln antogs 2005 för att standardisera hanteringen av elektronisk PHI genom att tillhandahålla specifika riktlinjer för fysiska, tekniska och administrativa skyddsåtgärder. Tyvärr visade förra årets undersökning om HIPAA-efterlevnad från NueMD att endast 70 procent av sjukvårdsorganisationerna planerade att sträva efter HIPAA-efterlevnad. Denna siffra är verkligen en besvikelse när antagandet är lägre bland arbetsgivargrupper som erbjuder grupphälsovårdsplaner, affärspartner och sjukförsäkringsbyråer. Detta baseras på Total HIPAA:s bedömning av dessa andra grupper.

HHS OCR upprätthåller efterlevnaden.

Under Enforcement Rule från 2006 fick Department of Health and Human Services Office for Civil Rights (HHS OCR) ansvaret för att övervaka organisationer som ska följa HIPAA-bestämmelserna. HHS OCR har befogenhet att utreda klagomål som rör sekretess- och säkerhetsreglerna och att bötfälla dem som inte uppfyller HIPAA-bestämmelserna. Straffavgifterna är så låga som 100 dollar till 1,5 miljoner dollar per överträdelse, men uppgörelser med HHS OCR har legat på hundratusentals dollar till hela vägen in i miljonerna med flera uppgörelser som överstiger 5 miljoner dollar.

Alla hälsorelaterade företag räknas.

Alla företag som ser hälsorelaterad information som är kopplad till en individ förväntas följa HIPAA. Enligt HITECH-lagen (Health Information Technology for Economic and Clinical Health) måste hälso- och sjukvårdsorganisationer meddela sina affärspartner och underleverantörer att de enligt lag förväntas arbeta i enlighet med HIPAA. NueMD:s undersökning från 2016 visade att endast 60 procent av de tillfrågade hälso- och sjukvårdsorganisationerna var medvetna om denna förväntan.

Din organisation kan bli föremål för en revision.

I över sex år har HHS OCR genomfört efterlevnadsrevisioner i hopp om att öka efterlevnaden av HIPAA. År 2011 genomförde OCR ett pilotrevisionsprogram (fas ett) för att bedöma de kontroller och processer som 115 täckta enheter har infört för att uppfylla HIPAA:s krav. Fas två av OCR:s HIPAA-revisionsprogram inleddes förra året genom att man valde ut över 200 täckta enheter och affärspartner och skickade ut anmälningsbrev under sommaren och hösten för att informera dem om att de valts ut för en skrivbordsrevision. Förra året var endast 40 procent av sjukvårdsorganisationerna medvetna om att dessa revisioner genomfördes enligt NueMD:s undersökning. För närvarande har OCR:s revisioner på plats skjutits upp till slutet av 2017 eller början av 2018.

PHI måste lagras i minst 6 år.

HIPAA kräver att Covered Entities och Business Associates ska bevara dokumentation av PHI som de har samlat in i minst sex (6) år från det datum då den skapades eller från det datum då den senast var i kraft, beroende på vilket som inträffar senast. Organisationer som innehar PHI måste se över sin delstats lagringskrav innan de på rätt sätt gör sig av med PHI för att försäkra sig om delstatens efterlevnad.

HIPAA-efterlevnaden minskar.

NueMD-undersökningarna visade också att antalet anställda säkerhets- och sekretessansvariga från 2014 till 2016 hade gått från 56 och 55 procent ner till 53 respektive 54 procent. Det är också färre vårdorganisationer som erbjuder utbildning i HIPAA-efterlevnad, från 62 till 58 procent.

Den elektroniska kommunikationens gryning.

Fler vårdgivare använder telefonappar, e-post och sociala medier för att komma i kontakt med patienter. När fler organisationer övergår till att kommunicera elektroniskt är det viktigt att övervaka säkerheten i dessa processer. Total HIPAA har granskat HIPAA-kompatibel programvara för elektronisk kommunikation som e-postkryptering och textmeddelanden för att hjälpa organisationer att hitta en lösning som passar bäst.

Hur går vi vidare härifrån?

Sammanfattningsvis är antagandet av HIPAA-kompatibilitet fortfarande i sin linda. Det tog mer än 20 år för OSHA att bli allmänt antaget av USA-baserade företag. Även om den första delen av HIPAA trädde i kraft för 20 år sedan har viktiga delar av lagen inte varit i kraft förrän 2009.

HHS har fortfarande inte beslutat om huruvida patienter, anställda eller klienter kan få ta del av de böter som HHS nu tar ut när dessa individers PHI har blivit kränkt. Om HHS beslutar att enskilda personer kan få ersättning när deras PHI har brutits kommer flodluckorna att öppnas. De grupper som måste uppfylla kraven i HIPAA kommer att skynda sig att slutföra processen och kan komma att hamna i kläm. Förlora dig inte i denna brådska. Agera nu och bli HIPAA-kompatibel.

Fyra delstaters högsta domstolar har dessutom bekräftat HIPAA som en vårdstandard (Missouri, North Carolina, Connecticut och West Virginia). Detta innebär att de berörda enheter som inte skyddar PHI på ett korrekt sätt kan drabbas av rättsliga åtgärder från privatpersoner, inte bara från HHS.

Människor är mer medvetna om sina rättigheter enligt HIPAA än vad du kanske tror. Om du inte följer HIPAA-lagstiftningen utsätter du din praktik eller ditt företag för en hel rad rättsliga problem som bäst kan lösas innan det uppstår ett problem. I själva verket är det mycket billigare än någonsin att följa HIPAA och det är mycket dyrare än någonsin att inte följa HIPAA.

Är du HIPAA-kompatibel?

av: Total HIPAA Guest Bloggers

Dela är att bry sig om!