Indsendt: 1. februar 2015 | Revideret: 1. februar 2015

1. Introduktion
2. Hvad er HIPAA?
   a. En kort historie om HIPAA
   b. Er HIPAA den eneste lov, der gælder for sundhedsoplysninger?
3. Hvem skal overholde HIPAA?
   a. Dækkede enheder
   b. Forretningsforbindelser
   c. Underleverandører
   d. Hybride enheder
4. Hvem skal ikke overholde HIPAA?
5. Hvilke oplysninger dækker HIPAA?
   a. Hvilke oplysninger finder HIPAA-fortrolighedsreglen anvendelse på?
   b. Hvilke oplysninger finder HIPAA-sikkerhedsreglen anvendelse på?
6. Hvilke oplysninger dækkes ikke af HIPAA-fortrolighedsreglen?
   a. Sundhedsoplysninger i ansættelsesregistre
   b. Sundhedsoplysninger i uddannelsesjournaler (for det meste)
   c. Sundhedsoplysninger om en person, der er død i 50 år
   d. Afidentificerede data
7. Hvordan håndhæver US Department of Health and Human Services (HHS) HIPAA?
   a. Hvornår vil HHS undersøge en klage?
   b. Hvordan bestemmer HHS en straf for en overtrædelse?
   c. Hvis der er en økonomisk sanktion, vil den person, der indgav klagen, modtage penge?
   d. Kan enkeltpersoner sagsøge under HIPAA?
8. Ressourcer

1. Introduktion

Næsten alle anerkender den følsomme natur af sundheds- og medicinsk information. Imidlertid er sundhedsoplysningers privatliv og sikkerhed komplekse emner, der skal navigeres for både patienter og sundhedspersonale.

De føderale regler, der styrer privatlivets fred og sikkerhed vedrørende sundhedsoplysninger, er kendt som HIPAA, for Health Insurance Portability and Accountability Act, der pålagde dem. Som patient er det vigtigt at forstå HIPAAs omfang og begrænsninger. Denne vejledning giver information om HIPAA-grundlæggende, såsom hvem HIPAA anvender, og hvilke oplysninger den dækker.

2. Hvad er HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) er en føderal lov, der giver grundlæggende privatlivs- og sikkerhedsstandarder for medicinsk information. US Department of Health and Human Services (HHS) er det føderale agentur, der har ansvaret for at skabe regler der implementerer HIPAA og også håndhæver HIPAA.

a. En kort historie om HIPAA

• 1996 – Kongressen vedtog Health Insurance Portability and Accountability Act (HIPAA).
  De fleste mennesker er fortrolige med HIPAA som en lov om beskyttelse af personlige oplysninger og sikkerhed. HIPAAs oprindelige formål var imidlertid at sætte standarder for transmission af elektroniske sundhedsdata og at give folk mulighed for at overføre og fortsætte sundhedsforsikring, når de skifter eller mister et job.
  In indtil 2003 var der ingen nationale standarder for beskyttelse af personlige oplysninger for medicinske oplysninger under HIPAA. Al beskyttelse var baseret på statslig lovgivning.

• 2003 – US Department of Health and Human Services (HHS) udstedte og vedtog HIPAA Privacy Rule, HIPAA Security Rule og HIPAA Håndhævelsesregel.
  I 2003 udstedte HHS de første nationale databeskyttelses- og sikkerhedsregler under HIPAA.
  Privatlivsreglen giver enkeltpersoner rettigheder med hensyn til deres beskyttede sundhedsoplysninger (PHI). Det forklarer også, hvordan dækkede enheder (dem, der skal overholde HIPAA) kan bruge og videregive PHI.
  Sikkerhedsreglen sætter standarder til beskyttelse af elektronisk PHI.
  Håndhævelsesreglen vedrører overholdelse, efterforskning og potentielle sanktioner for overtrædelser af HIPAAs privatlivsregel og sikkerhedsregel. Kontoret for borgerrettigheder (OCR) inden for HHS er ansvarligt for håndhævelsen af HIPAA-reglerne.

• 2009 – Loven om sundhedsteknologi for økonomisk og klinisk sundhed (HITECH) blev underskrevet i lov. HITECH-loven er afsnit XIII i American Recovery and Reinvestment Act (AARA).
  Mellem 2003 og 2009 ændrede teknologien det medicinske privatlivslandskab. Elektroniske medicinske journaler begyndte at erstatte papirfiler. Patienter begyndte at kommunikere med deres læger via e-mail og via online portaler. Apoteker begyndte at behandle recepter elektronisk.
  HITECH-loven skabte økonomiske incitamenter for sundhedsudbydere og forsikringsselskaber til fortsat at skifte til elektroniske medicinske journaler og behandlede også privatlivs- og sikkerhedsproblemer i forbindelse med elektronisk transmission af sundhedsoplysninger, herunder uautoriseret adgang og data overtrædelser.

• 2013 – HHS “Kontoret for Borgerrettigheder udstedte HIPAA Omnibus-reglen.
  HHS” Omnibus-reglen foretog flere vigtige ændringer i HIPAAs fortrolighed, sikkerhed og håndhævelse Regler. Det implementerede mange bestemmelser i HITECH-loven. Det ændrede og afsluttede overtrædelsesmeddelelsesreglen. Det implementerede også ændringer af HIPAA-privatlivsreglen, der kræves i loven om genetisk information, ikke-diskrimination fra 2008 (GINA).

b. Er HIPAA den eneste lov, der gælder for sundhedsoplysninger?

Nej. Health Insurance Portability and Accountability Act (HIPAA) er ikke den eneste lov, der gælder for sundhedsoplysninger.

Der er føderale love, der gælder for specifikke typer sundhedsoplysninger (eller optegnelser, der indeholder sundhedsoplysninger) såsom genetisk information, sundhedsoplysninger i skoledokumenter, identificerbare oplysninger om enkeltpersoner, der opretholdes af den føderale regering, bestemt alkohol og stofmisbrugsoptegnelser og information vedrørende medicinsk forskning.

Desuden kan stater vedtage deres egne love for at beskytte sundhedsoplysninger, fordi HIPAA sætter en basislinje, hvorfra stater kan skabe stærkere love. For mere information om statsret, se HealthInfoLaw.org (et projekt fra George Washington Universitys Hirsh Health Law and Policy Program).

3. Hvem skal overholde HIPAA?

HIPAA beskytter ikke alle sundhedsoplysninger. Det gælder heller ikke for enhver person, der kan se eller bruge sundhedsoplysninger. HIPAA gælder kun for omfattede enheder og deres forretningsforbindelser.

a. Dækkede enheder

Der er tre typer af omfattede enheder under HIPAA.

• Sundhedsudbydere får betalt for at yde sundhedspleje. Læger, tandlæger, hospitaler, plejehjem, apoteker, akutklinikker og andre enheder, der leverer sundhedspleje til gengæld for betaling, er eksempler på udbydere.
  Sundhedsudbydere skal kun overholde HIPAA, hvis de overfører sundhedsoplysninger elektronisk i forbindelse med dækkede transaktioner. De fleste udbydere overfører information elektronisk for at udføre funktioner såsom behandling af krav og modtager betaling. Derfor er de fleste prov idere er dækket af HIPAA.
• Sundhedsplaner betaler udgifterne til lægebehandling.
  Følgende er eksempler på sundhedsplaner, der er omfattet af HIPAA: sundhedsforsikringsselskaber, sundhedsvedligeholdelsesorganisationer (HMO’er), gruppesundhedsplaner sponsoreret af en arbejdsgiver, statsfinansierede sundhedsplaner som Medicare og Medicaid og de fleste andre virksomheder eller arrangementer, der betaler for sundhedsvæsenet.
• Clearingcentre i sundhedsvæsenet behandler oplysninger, så de kan overføres i et standardformat mellem dækkede enheder. Clearinghuse fungerer ofte som et skifte mellem sundhedsudbydere og sundhedsplaner, hvilket betyder, at de sjældent handler direkte med patienter. For eksempel kan et clearinghus tage information fra en læge og placere det i et standardkodet format, der kan bruges til forsikringsformål.

For mere information om, hvorvidt en enhed er omfattet af HIPAA, giver HHS et nyttigt diagram.

b. Forretningsforbindelser

Hvad er en forretningsforbindelse? Sundhedsudbydere, sundhedsplaner og sundhedscentre er blot nogle få af aktørerne i sundhedsvæsenet. Dækkede enheder ansætter eller indgår kontrakt med mennesker og virksomheder for at udføre adskillige tjenester.

En “forretningsforbindelse” opretter, modtager, vedligeholder eller transmitterer beskyttet sundhedsinformation (PHI) på vegne af en omfattet enhed eller en anden forretningsforbindelse, der fungerer som underleverandør.

For definitionen af en forretningsforbindelse, se 45 CFR § 160.103.

Hvad gør forretningsforbindelser? Virksomhedsforbindelser kan udføre mange forskellige tjenester for en omfattet enhed, herunder (men ikke begrænset til):

• juridisk
• aktuarmæssig
• regnskab
• rådgivning
• dataaggregering
• ledelse
• administrativ akkreditering
• behandling eller administration af krav
• data analyse
• dataoverførsel
• gennemgang af anvendelse
• kvalitetssikring
• visse patientsikkerhedsaktiviteter
• fakturering
• fordeladministration
• praksisadministration
• omprissætning.

Forretningspartnere udfører ofte tjenester, der ikke involverer patientinteraktion. Imidlertid er et almindeligt eksempel på en forretningsforbindelse, som patienter kan interagere med, et firma, der tilbyder en personlig sundhedsjournal (PHR) til enkeltpersoner på vegne af omfattede enheder.

Hvilket ansvar har forretningsforbindelser? Dækkede enheder skal udføre skriftlige kontrakter med deres forretningsforbindelser for at sikre, at de beskytter PHI i henhold til HIPAA-standarder. Forretningsforbindelser skal gøre det samme med enhver af deres underleverandører, der kan betragtes som forretningsforbindelser. HHS-webstedet indeholder flere oplysninger om forretningsforbindelser, og det indeholder også eksempler på forretningsforbindelsesaftaler.

Forretningsforbindelser skal overholde de kontrakter, de underskriver med dækkede enheder. Derudover er forretningsforbindelser direkte ansvarlige for overtrædelser af HIPAA-sikkerhedsreglen og mange bestemmelser i HIPAA-fortrolighedsreglen. Dette betyder, at forretningsforbindelser er underlagt de fleste af de samme standarder for beskyttelse af personlige oplysninger og datasikkerhed, der gælder for omfattede enheder, og kan være underlagt HHS-revisioner og sanktioner.

c. Underleverandører

En underleverandør, der opretter, vedligeholder eller overfører beskyttet sundhedsinformation (PHI) på vegne af en forretningsforbindelse har de samme juridiske forpligtelser som en forretningsforbindelse under HIPAA.Med andre ord strømmer privatlivs- og sikkerhedsrelateret juridisk ansvar “nedstrøms” til underleverandører, der udfører arbejde for en forretningsforbindelse.

For eksempel kan et hospitals forretningspartner ansætte en ekstern virksomhed til at makulere dokumenter, der indeholder PHI eller at levere en skytjeneste til lagring af data. I begge tilfælde vil det eksterne selskab (underleverandør) være forpligtet til at overholde de fleste HIPAA-regler som forretningsforbindelse. Det ville også være bundet af en kontrakt med forretningsforbindelsen snarere end den omfattede enhed (eller hospitalet i dette eksempel).

d. Hybrid enheder

En hybrid enhed udfører både HIPAA-dækkede og ikke-dækkede funktioner som en del af sin virksomhed. et selskab, der har en selvforsikret sundhedsplan for sine medarbejdere, kan vælge at blive behandlet som en hybrid enhed. Andre eksempler er et universitet med et medicinsk center eller en købmand, der har et apotek.

Når en organisation vælger at blive behandlet som en hybrid enhed, kun den del af Virksomhed, der er en overdækket enhed (kaldet sundhedskomponenten) er underlagt HIPAA. Hybride enheder skal sikre, at sundhedskomponenten ikke videregiver beskyttede sundhedsoplysninger til en anden ikke-dækket del af virksomheden. De skal også beskytte elektronisk beskyttet sundhedsinformation.

4. Hvem er ikke forpligtet til at overholde HIPAA?

Husk, mange virksomheder og mennesker er ikke forpligtet til at overholde HIPAA, og der er mange gange, hvor sundhedsoplysninger kan være tilgængelige for disse mennesker og virksomheder HIPAA gælder kun for omfattede enheder og deres forretningsforbindelser.

Her er blot nogle få eksempler på dem, der ikke er omfattet af HIPAA, men som muligvis håndterer sundhedsoplysninger:

• livs- og langvarige forsikringsselskaber
• arbejdstageres “kompensationsforsikringsselskaber, administrative agenturer eller arbejdsgivere (medmindre de ellers betragtes som omfattede enheder)
• agenturer, der leverer sociale sikrings- og velfærdsydelser
• bilforsikringsplaner, der inkluderer sundhedsmæssige fordele
• søgemaskiner og websteder, der leverer sundheds- eller medicinsk information og ikke drives af en omfattet enhed
• marketingfolk
• fitnesscentre og fitnessklubber
• direkte til forbrugere (DTC) genetiske testfirmaer
• mange mobilapplikationer (apps) bruger d til sundheds- og fitnessformål
• dem, der foretager screeninger på apoteker, indkøbscentre, sundhedsmesser eller andre offentlige steder for blodtryk, kolesterol, rygmarvsjustering og andre forhold
• visse behandlere af alternativ medicin
• de fleste skoler og skoledistrikter
• forskere, der indhenter sundhedsdata direkte fra sundhedsudbydere
• de fleste retshåndhævende myndigheder
• mange statslige agenturer, som f.eks. børnesikringstjenester
• domstole, hvor sundhedsoplysninger er vigtige for en sag

For at lære mere om, hvem der (eller ikke er) omfattet af HIPAA, se HHS-vejledningsmaterialer til forbrugere.

5. Hvilke oplysninger dækker HIPAA?

For at afgøre, om HIPAA beskytter en bestemt type sundhedsoplysninger, er det nemmest først at finde ud af, om der er en omfattet enhed eller forretningsforbindelse, der skal overholde loven.

Under HIPAA er “sundhedsoplysninger” enhver information (inklusive genetisk information), der oprettes eller modtages af en sundhedsudbyder, sundhedsplan, folkesundhedsmyndighed, arbejdsgiver, livsforsikringsselskab, skole eller universitet eller sundhed plejecentral og vedrører

• en persons fortid, nutid eller fremtidige fysiske eller mentale sundhed eller tilstand;
• behandling, der gives til en person, eller
• tidligere, nuværende eller fremtidig betaling for sundhedspleje, som en person modtager.

Sundhedsoplysninger kan eksistere i enhver form eller medium, inklusive papir, elektronisk eller mundtligt.

Når en omfattet enhed opretter eller modtager sundhedsoplysninger, der identificerer – eller kan bruges til at identificere – en person, kalder HIPAA det “individuelt identi fysiske sundhedsoplysninger. “Individuelt identificerbare sundhedsoplysninger inkluderer demografiske og andre oplysninger, der identificerer en person, såsom navn, adresse, fødselsdato og personnummer.

For præcise definitioner af et hvilket som helst af udtrykkene i dette afsnit, se 45 CFR § 160.103.

a. Hvilke oplysninger finder HIPAA-fortrolighedsreglen anvendelse på?

HIPAA-fortrolighedsreglen gælder for “beskyttede sundhedsoplysninger” (PHI), som inkluderer alle “individuelt identificerbare sundhedsoplysninger”, der transmitteres eller vedligeholdes i ethvert format eller medium.

Dette betyder, at samtaler mellem en patient og en læge har den samme beskyttelse af personlige oplysninger som håndskrevne eller elektroniske noter.

For at lære mere om HIPAA Privacy Regel, se: HIPAA Privacy Rule : Hvordan kan omfattede enheder bruge og videregive sundhedsoplysninger?

b. Hvilke oplysninger gælder HIPAA-sikkerhedsreglen for?

HIPAA-sikkerhedsreglen kræver, at dækkede enheder kun etablerer datasikkerhedsforanstaltninger for PHI, der opretholdes i elektronisk format, kaldet “elektronisk beskyttet sundhedsinformation” (ePHI). Sikkerhedsreglen gælder ikke for PHI, der transmitteres mundtligt eller skriftligt.

For at lære mere om HIPAA-sikkerhedsreglen, se Privacy Rights Clearinghouse Faktaark 8d: Beskyttelse af sundhedsoplysninger: HIPAA Security and Breach Notification Regler.

6. Hvilke oplysninger er ikke omfattet af HIPAA Privacy Regel?

a. Sundhedsoplysninger i ansættelsesregistre

HIPAA gælder ikke for ansættelsesregistre, selv når disse poster indeholder medicinske oplysninger. Dette inkluderer ansættelsesregistre, som en omfattet enhed har i sin rolle som arbejdsgiver. Hvis en medarbejder hos en sundhedsudbyder bliver en patient hos den pågældende udbyder, vil HIPAA dog ansøge.

For at lære mere om medicinsk information på arbejdspladsen, se HHS “Arbejdsgivere og sundhedsoplysninger på arbejdspladsen.

b. Sundhedsoplysninger i uddannelsesregistreringer (for det meste)

Sundhedsoplysninger i uddannelsesregistreringer, der er underlagt Family Educational Rights and Privacy Act (FERPA), betragtes ikke som beskyttede sundhedsoplysninger (PHI) under HIPAA. F.eks. Er et barns K-12-poster, der indeholder oplysninger om skoleplejeplejebesøg, ikke underlagt HIPAA.

For mere information om FERPA, da det vedrører sundhedsoplysninger og HIPAA, se: Fælles vejledning om Anvendelse af Family Educational Rights and Privacy Act (FERPA) og Health Insurance Portability and Accountability Act of 1996 (HIPAA) på Student Health Records og Student Privacy 101: Health Privacy in Schools – Hvilken lov finder anvendelse?

c. Sundhedsoplysninger om en person, der er død i over 50 år

Beskyttet sundhedsinformation (PHI) inkluderer ikke sundhedsoplysninger om en person, der er død for mere end 50 år siden.

For mere information om afdøde enkeltpersoners sundhedsinformation, se HHS-webstedet.

d. De-identificerede data

De-identificerede data er sundhedsoplysninger, der har haft 18 specifikke identifikatorer fjernet og anses derfor for at gøre den person, der er genstand for informationen, forenet dentificerbar. Dette betyder, at de-identificerede data ikke er beskyttet under HIPAAs privatlivsregler, da PHI og omfattede enheder kan bruge og videregive dem mere bredt.

De-identificerede data er ofte genstand for debat på grund af muligheden for at genidentificere et individ. Prof. Latanya Sweeney har udført et betydeligt stykke arbejde inden for genidentifikation.

For mere information om de-identifikation, se 45 CFR 164.514 og HHS ‘Vejledning om metoder til de-identifikation af Beskyttede sundhedsoplysninger i overensstemmelse med HIPAA-fortrolighedsreglen.

7. Hvordan håndhæver HHS HIPAA?

HIPAA’s håndhævelsesregel giver det amerikanske Department of Health and Human Services (HHS) Office for Civil Rights (OCR) mulighed for at undersøge potentielle HIPAA-overtrædelser og vurdere civil monetære sanktioner (CMP) for overtrædelser. Statsadvokater har også myndighed til at håndhæve HIPAA-reglerne. Enkeltpersoner har ikke en privat ret til handling under HIPAA og kan ikke sagsøge for en overtrædelse.

OCR starter håndhævelsesprocessen ved at indlede en undersøgelse af potentielle HIPAA-fortroligheds- eller sikkerhedsregler. OCR reagerer på individuelle klager, men kan også opdage HIPAA-overtrædelser på andre måder (såsom at gennemføre revisioner). Efter undersøgelsen kan OCR løse et problem ved at fastslå, at der ikke er nogen overtrædelse, indgå en resolutionsaftale med den ansvarlige part eller finde ud af, at partiet er i overtrædelse og vurdere sanktioner.

For at lære mere om HIPAA håndhævelse, se hvordan OCR håndhæver HIPAAs privatlivs- og sikkerhedsregler, håndhævelsesdata, håndhævelseshøjdepunkter og HIPAA-håndhævelse.

a. Hvornår vil HHS undersøge en klage?

Når enkeltpersoner er opmærksomme på en mulig HIPAA-overtrædelse, kan de indgive en klage til HHS ‘Office for Civil Rights (OCR). For at blive overvejet til efterforskning skal en klage opfylde følgende grundlæggende kriterier:

• Hvis klagen vedrører en mulig overtrædelse af fortrolighedsreglen, skal handlingen have fundet sted efter april 2003. Hvis klagen vedrører et potentielt Sikkerhedsregel overtrædelse, handlingen skal have fundet sted efter april 2005.

• En person skal indgive en klage over en person, organisation eller anden enhed, der er underlagt HIPAA.
• Klagen skal påstå noget, der ville være i strid med HIPAA-reglerne.
• Enkeltpersoner skal indgive klager inden for 180 dage efter det tidspunkt, de vidste (eller burde have vidst) om den potentielle overtrædelse.

Hvis OCR mener, at klagen har fortjeneste, kontakter agenturet den person, der indgav klagen, samt den involverede dækkede enhed for at forsøge at nå frem til en gensidig løsning.Nogle sager kan henvises til en høring for en dommer i administrativ ret.

b. Hvordan bestemmer HHS en straf for en overtrædelse?

For overtrædelser, der opstod efter 2009, bestemmer HHS sanktioner for HIPAA-overtrædelser baseret på overtrædelsens skyld. Minimumsstraffen varierer, men den maksimale straf er $ 1,5 millioner om året for overtrædelser af den samme HIPAA-bestemmelse.

Den firetrinnede civile sanktionsstruktur er som følger:

Uvidende betyder, at den dækkede enhed ikke vidste om overtrædelsen og ikke ville have vidst gennem udøvelsen af rimelig omhu.

Rimelig årsag betyder, at den dækkede enhed ville have kendt til overtrædelsen ved at udøve rimelig omhu.

Forsætlig korrigeret forsømmelse betyder, at den dækkede enhed forsætligt overtrådte HIPAA eller handlede med hensynsløs ligegyldighed, men korrigerede overtrædelsen inden for 30 dage efter opdagelsen.

Forsætlig forsømmelse-ukorrigeret betyder, at den dækkede enhed forsætligt overtrådte HIPAA eller handlede med hensynsløs ligegyldighed, men ikke korrigerede overtrædelsen inden for 30 dage efter opdagelsen.

c . Hvis der er en økonomisk sanktion, vil den person, der indgav klagen, modtage penge?

Nej. Eventuelle penge fra sanktioner, som HHS opkræver, betales til det amerikanske finansministerium.

d. Kan enkeltpersoner sagsøger under HIPAA?

Nej. Enkeltpersoner har ikke ret til at sagsøge under HIPAA. HIPAA forhindrer imidlertid ikke stater i at vedtage love, der giver forbedret beskyttelse. George Washington University har en vejledning, sundhedsoplysninger og loven, der indeholder oplysninger om statslige love.

8. Ressourcer

Federal Law

Health Information Technology for Economic and Clinical Health (HITECH) Act, Public Lov 111-5, 2009

Lov om ikke-diskrimination af genetisk information fra 2008 (GINA), (offentlig ret 110-223, 122 stat. 881)

Federal Regulations

HIPAA Privacy Regel of 2003 og efterfølgende ændringer

HHS Omnibus Rule, 78 Federal Register, 25. januar 2013

State Laws and Health Privacy

George Washington University, Health Information and the Lov

National Association of Insurance Commissioners

Department of Health and Human Services, Office of Civil Rights

Vejledningsmaterialer til forbrugere

Særlige emner i sundhedsinformation Privatliv

Forretningsassocierede aftaler

Autorisationer

Dækkede enheder

Arbejdsgivere og sundhedsinformation på arbejdspladsen