Hipaas historia

  • upprättande av HIPAA
  • sekretess-och säkerhetsregler
  • Verkställighetsregeln
  • HITECH-lagen och Överträdelseanmälningsregeln
  • Omnibus Final Rule
  • HIPAA Audit Program

upprättande av HIPAA

den 21st August 1996, Health Insurance Portability and Accountability Act (HIPAA) undertecknades i lag. Syftet med lagstiftningen var att ”förbättra bärbarheten och ansvarigheten för sjukförsäkringsskydd” för alla mellan jobb. Lagen fokuserade också på att minska avfall, bedrägeri och missbruk inom hälso-och sjukvårdssektorn.

HIPAA syftade också till att effektivisera administrationen av vården och därmed minska den administrativa bördan för vårdorganisationer. Detta uppnåddes genom HIPAA: s administrativa Förenklingsregler, som krävde att vårdorganisationer skulle följa en ny uppsättning standarder för vårdtransaktioner och antagandet av standardkodsatser.även om HIPAA inte ingick i den ursprungliga lagstiftningen 1996 blev HIPAA det fordon som användes för att förbättra integriteten och säkerheten för hälso-och sjukvårdsdata, särskilt när det gäller övergången från papperskopior av medicinska data till databaser. Detta hade enorma, oförutsedda konsekvenser, vilket krävde skapandet av Health Information Technology for Economic and Clinical Health (HITECH) Act 2009. Detta ledde till skapandet av det meningsfulla Användningsprogrammet som stimulerade vårdgivare att anta elektroniska journaler.

sekretess-och säkerhetsregler

strax efter att HIPAA antogs började avdelningen för hälsa och mänskliga tjänster utforma sekretessregeln, som blev verkställbar den 14 April 2003. Sekretessregeln definierade termen” skyddad hälsoinformation ”(Phi) som”all information som innehas av en täckt enhet som rör hälsotillstånd, tillhandahållande av hälso-och sjukvård eller betalning för hälso-och sjukvård som kan kopplas till en individ”.

sekretessregeln instruerar ”täckta enheter” (CEs) om hur man bäst kan upprätthålla integriteten hos privata uppgifter och föreskriver Tillåten användning och utlämnande av identifierbar hälsoinformation. Integritetsregeln gav också patienter nya rättigheter över sina hälsouppgifter, inklusive rätten att få en kopia av sina hälsouppgifter, rätten att ändra hälsojournaler för att korrigera fel och rätten att förhindra att detaljer om privata vårdbehandlingar avslöjas för sjukförsäkringsbolag.

två år senare kom säkerhetsregeln. Säkerhetsregeln införde standarder för att säkerställa konfidentialitet, integritet och tillgänglighet för elektronisk skyddad hälsoinformation (ePHI) och kräver att täckta enheter genomför administrativa, tekniska och fysiska skyddsåtgärder.

administrativa skyddsåtgärder kräver att CEs har tydliga policyer och förfaranden som täcker säkerheten för hälso-och sjukvårdsdata. Fysiska skyddsåtgärder skyddar de platser där hårdvara som innehåller ePHI lagras, och tekniska skyddsåtgärder skyddar lagrad ePHI och säkerställer att den är skyddad under transport.

Verkställighetsregeln

trots de Integritets-och säkerhetsrisker som kvarstår om vårdorganisationer inte följer HIPAA misslyckades många CEs att implementera efterlevnadsprogram. Detta ledde till införandet av Verkställighetsregeln 2006, som gav Department of Health and Human Services befogenhet att genomdriva efterlevnad av HIPAA och böter täckta enheter som inte befunnits överensstämma med HIPAA: s integritets-och säkerhetsregler. Det gav också HHS rätt att väcka åtal mot täckta enheter och individer för allvarliga brott mot HIPAA regler.

HITECH-lagen och Överträdelseanmälningsregeln

HITECH-lagen undertecknades i lag 2009, delvis för att införa nya krav på elektroniska patientjournaler (EHR) och för att uppmuntra vårdgivare att anta EHR. HITECH-lagen ledde till skapandet av meningsfull användning Incitamentsprogram, som gav ekonomiska incitament för vårdorganisationer som antog EHR.

HITECH-lagen ledde till skapandet av Överträdelseanmälningsregeln, som kräver att överträdelser av PHI ska rapporteras till Department of Health and Human Services Office for Civil Rights (OCR) och alla individer vars PHI exponerades eller komprometterades för att bli underrättade om överträdelsen inom 60 dagar efter upptäckten.

Omnibus Final Rule

under 2013 kom det senaste tillägget till HIPAA till lag – Omnibus Final Rule. Även om det tillförde mycket i vägen för ny lagstiftning, tjänade det till att strama upp HIPAAS språk och tog upp många luckor i de ursprungliga lagarna. Till exempel fastställde Omnibus Final Rule att enligt HITECH-krav måste alla meddelanden som skickas utanför CE: s brandvägg krypteras.

den ursprungliga HIPAA-lagstiftningen var vag i sina definitioner, som Omnibus Final Rule korrigerade. Till exempel ändrades definitionen av ”arbetskraft” för att klargöra att termen omfattar anställda, volontärer, praktikanter och andra personer vars uppförande, i utförandet av arbetet för en täckt enhet eller affärspartner, står under direkt kontroll av den täckta enheten eller affärspartnern.

Omnibus Final Rule ändrade också sekretess-och säkerhetsreglerna. Patientjournaler får hållas på obestämd tid, snarare än de femtio åren. HITECH-lagen ökade också påföljderna för HIPAA-överträdelser för att uppmuntra efterlevnad av HIPAA-regler.

tidsfristen för användning av klinisk modifiering ICD-10-CM för diagnoskodning och Procedurkodningssystem ICD-10-PCA för inpatient hospital procedure coding fastställdes för oktober 2015.

HIPAA Audit Program

för att säkerställa att CEs följde HIPAA-reglerna började OCR genomföra efterlevnadsrevisioner 2011. Den första fasen av revisionerna, som slutfördes 2012, avslöjade att många HIPAA-täckta enheter inte överensstämde med alla aspekter av HIPAA-reglerna. Många överträdelser av sekretessregeln, säkerhetsregeln och reglerna för anmälan av brott registrerades. OCR har sedan dess utfärdat ytterligare vägledning för att hjälpa vårdorganisationer att förbättra sina efterlevnadsprogram.

OCR började också utfärda ekonomiska påföljder för allvarliga efterlevnadsfel och har intensifierat sin verkställighetsverksamhet de senaste åren. Idag är det vanligt att böter på flera miljoner dollar utfärdas för allvarliga brott mot HIPAA-reglerna.

Lämna en kommentar