Historia HIPAA

  • ustanowienie HIPAA
  • Zasady Prywatności i bezpieczeństwa
  • reguła egzekwowania przepisów
  • ustawa HITECH i reguła powiadamiania o naruszeniu
  • Zbiorcza reguła końcowa
  • program audytu HIPAA

ustanowienie HIPAA

w dniu 21 sierpnia 1996 r.ustawa o przenośności i odpowiedzialności (HIPAA) została podpisana. Celem przepisów było „zwiększenie możliwości przenoszenia i rozliczalności ubezpieczenia zdrowotnego” dla każdego między miejscami pracy. Ustawa koncentrowała się również na ograniczeniu marnotrawstwa, oszustw i nadużyć w sektorze opieki zdrowotnej.

celem HIPAA było również usprawnienie zarządzania opieką zdrowotną, zmniejszając tym samym obciążenie administracyjne organizacji opieki zdrowotnej. Osiągnięto to dzięki przepisom HIPAA dotyczącym uproszczenia procedur administracyjnych, które wymagały od organizacji opieki zdrowotnej przestrzegania nowego zestawu standardów dotyczących transakcji w dziedzinie opieki zdrowotnej oraz przyjęcia standardowych zestawów kodeksów.

chociaż w 1996 roku HIPAA nie była częścią pierwotnego prawodawstwa, stała się narzędziem służącym poprawie Prywatności i bezpieczeństwa danych medycznych, zwłaszcza w odniesieniu do przejścia od papierowych kopii danych medycznych do komputerowych baz danych. Miało to ogromne, nieprzewidziane konsekwencje, wymagające utworzenia w 2009 r.ustawy HITECH (Health Information Technology for Economic and Clinical Health). Doprowadziło to do stworzenia sensownego programu użytkowania, który zachęcił pracowników służby zdrowia do przyjęcia elektronicznej dokumentacji medycznej.

Zasady Prywatności i bezpieczeństwa

wkrótce po wejściu w życie ustawy HIPAA, Departament Zdrowia i Opieki Społecznej rozpoczął opracowywanie Zasady Prywatności, która stała się wykonalna 14 kwietnia 2003 roku. Reguła Prywatności zdefiniowała termin „chronione informacje zdrowotne” (PHI) jako”wszelkie informacje przechowywane przez podmiot objęty ochroną, które dotyczą stanu zdrowia, świadczenia opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z osobą fizyczną”.

reguła Prywatności instruuje „podmioty objęte ochroną” (CEs), jak najlepiej zachować integralność danych prywatnych i określa dopuszczalne wykorzystanie i ujawnienie identyfikowalnych informacji zdrowotnych. Zasada Prywatności dała również pacjentom nowe prawa do ich danych medycznych, w tym prawo do uzyskania kopii ich dokumentacji medycznej, prawo do zmiany dokumentacji medycznej w celu skorygowania błędów oraz prawo do zapobiegania ujawnianiu ubezpieczycielom zdrowotnym szczegółów dotyczących prywatnych zabiegów medycznych.

Dwa lata później pojawiła się zasada bezpieczeństwa. Reguła bezpieczeństwa wprowadziła normy w celu zapewnienia poufności, integralności i dostępności elektronicznych chronionych informacji zdrowotnych (ePHI) i wymaga od podmiotów objętych ochroną wdrożenia zabezpieczeń administracyjnych, technicznych i fizycznych.

zabezpieczenia administracyjne wymagają od CEs posiadania jasnych polityk i procedur obejmujących bezpieczeństwo danych medycznych. Zabezpieczenia fizyczne chronią miejsca, w których przechowywany jest sprzęt zawierający ePHI, a zabezpieczenia techniczne chronią przechowywane ePHI i zapewniają ochronę podczas transportu.

zasada egzekwowania

pomimo zagrożeń dla Prywatności i bezpieczeństwa, które utrzymują się, jeśli organizacje opieki zdrowotnej nie przestrzegają HIPAA, wiele CEs nie wdrożyło programów zgodności. Doprowadziło to do wprowadzenia zasady egzekwowania przepisów w 2006 r., która dała Departamentowi zdrowia i usług ludzkich upoważnienie do egzekwowania przestrzegania przepisów HIPAA i grzywien objętych podmiotami, które nie przestrzegają przepisów dotyczących prywatności i bezpieczeństwa HIPAA. Dała również HHS prawo do wnoszenia zarzutów karnych wobec podmiotów objętych ochroną i osób fizycznych za poważne naruszenia przepisów HIPAA.

ustawa HITECH i zasada powiadamiania o naruszeniach

ustawa HITECH została podpisana w 2009 roku, częściowo w celu wprowadzenia nowych wymogów dotyczących elektronicznej dokumentacji medycznej (EHRs) i zachęcenia świadczeniodawców do przyjęcia EHRs. Ustawa HITECH doprowadziła do stworzenia znaczącego Programu Motywacyjnego, który zapewniał zachęty finansowe dla organizacji opieki zdrowotnej, które przyjęły EHRs.

ustawa HITECH doprowadziła do stworzenia zasady powiadamiania o naruszeniu, która wymaga zgłaszania naruszeń PHI do Departamentu Zdrowia i usług ludzkich biura Praw Obywatelskich (OCR), a wszystkie osoby, których PHI zostało narażone lub zagrożone, mają zostać powiadomione o naruszeniu w ciągu 60 dni od odkrycia.

ostateczna zasada Omnibusa

w 2013 r.weszła w życie najnowsza zasada HIPAA – ostateczna zasada Omnibusa. Pomimo tego, że wniosła ona wiele do nowego prawodawstwa, służyła zaostrzeniu języka HIPAA i wyeliminowała wiele luk w pierwotnych przepisach. Na przykład ostateczna reguła Omnibus przewidywała, że zgodnie z wymaganiami HITECH wszystkie wiadomości wysyłane poza zaporą CE muszą być zaszyfrowane.

pierwotne prawodawstwo HIPAA było niejasne w swoich definicjach, które poprawiła ostateczna reguła Omnibusa. Na przykład definicja „siły roboczej” została zmieniona, aby wyjaśnić, że termin ten obejmuje pracowników, wolontariuszy, stażystów i inne osoby, których zachowanie podczas wykonywania pracy na rzecz podmiotu objętego ochroną lub jednostki powiązanej z przedsiębiorstwem znajduje się pod bezpośrednią kontrolą podmiotu objętego ochroną lub jednostki powiązanej z przedsiębiorstwem.

ostateczna reguła Omnibus zmieniła również Zasady Prywatności i bezpieczeństwa. Akta pacjentów mogą być przechowywane w nieskończoność, a nie pięćdziesiąt lat. Ustawa HITECH zwiększyła również kary za naruszenia HIPAA, aby zachęcić do przestrzegania zasad HIPAA.

termin zastosowania modyfikacji klinicznej ICD-10-CM do kodowania diagnostyki i systemu kodowania procedury ICD-10-PCA do kodowania procedur szpitalnych został wyznaczony na Październik 2015.

program audytu HIPAA

w celu zapewnienia zgodności CEs z przepisami HIPAA OCR rozpoczął przeprowadzanie audytów zgodności w 2011 roku. Pierwsza faza audytów, która zakończyła się w 2012 r., wykazała, że wiele podmiotów objętych HIPAA nie przestrzegało wszystkich aspektów przepisów HIPAA. Odnotowano wiele naruszeń zasad prywatności, zasad bezpieczeństwa i zasad powiadamiania o naruszeniach. Od tego czasu firma OCR wydała dalsze wytyczne, aby pomóc organizacjom opieki zdrowotnej w ulepszaniu programów zgodności.

OCR zaczął również nakładać kary finansowe za poważne uchybienia w zakresie przestrzegania przepisów, a w ostatnich latach zintensyfikował działania w zakresie egzekwowania przepisów. Obecnie powszechne jest nakładanie wielomilionowych kar finansowych za poważne naruszenia przepisów HIPAA.

Dodaj komentarz