Health Privacy: HIPAA Basics

Skrevet: 1. februar 2015 | Revidert: 1. feb 2015

  1. Innledning
  2. Hva er HIPAA?
    a. En kort historie om HIPAA
    b. Er HIPAA den eneste loven som gjelder helseinformasjon?
  3. Hvem må overholde HIPAA?
    a. Dekker enheter
    b. Forretningsforbindelser
    c. Underleverandører
    d. Hybride enheter
  4. Hvem trenger ikke å overholde HIPAA?
  5. Hvilken informasjon dekker HIPAA?
    a. Hvilken informasjon gjelder HIPAAs personvernregel for?
    b. Hvilken informasjon gjelder HIPAAs sikkerhetsregel for?
  6. Hvilken informasjon dekkes ikke av HIPAAs personvernregel?
    a. Helseinformasjon i sysselsettingsregister
    b. Helseinformasjon i utdanningsjournaler (for det meste)
    c. Helseinformasjon om en person som er død i 50 år
    d. Avidentifiserte data
  7. Hvordan håndhever US Department of Health and Human Services (HHS) HIPAA?
    a. Når vil HHS undersøke en klage?
    b. Hvordan bestemmer HHS en straff for brudd?
    c. Hvis det foreligger en økonomisk bot, vil den personen som sendte inn klagen motta penger?
    d. Kan enkeltpersoner saksøke under HIPAA?
  8. Ressurser

1. Innledning

Nesten alle anerkjenner helsemessig og medisinsk informasjons følsomme natur. Imidlertid er helseinformasjon personvern og sikkerhet komplekse temaer å navigere for både pasienter og helsepersonell.

De føderale forskriftene som regulerer helseinformasjon og sikkerhet er kjent som HIPAA, for Health Insurance Portability and Accountability Act som mandat dem. Som pasient er det viktig å forstå HIPAAs omfang og begrensninger. Denne veiledningen gir informasjon om grunnleggende HIPAA, for eksempel hvem HIPAA gjelder for og hvilken informasjon den dekker.

2. Hva er HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) er en føderal lov som gir grunnleggende personvern- og sikkerhetsstandarder for medisinsk informasjon. US Department of Health and Human Services (HHS) er det føderale byrået som har ansvaret for å lage regler som implementerer HIPAA og også håndhever HIPAA.

a. En kort historie om HIPAA

  • 1996 – Kongressen vedtok Health Insurance Portability and Accountability Act (HIPAA).
    De fleste er kjent med HIPAA som en medisinsk personvern- og sikkerhetslov. HIPAAs opprinnelige formål var imidlertid å sette standarder for overføring av elektroniske helsedata og å la folk overføre og fortsette helseforsikring etter at de bytter eller mister jobb.
    In inntil 2003 var det ingen nasjonale personvernstandarder for medisinsk informasjon under HIPAA. All beskyttelse var basert i statlig lovgivning.
  • 2003 – US Department of Health and Human Services (HHS) utstedte og vedtok HIPAA Privacy Rule, HIPAA Security Rule og HIPAA Håndhevelsesregel.
    I 2003 utstedte HHS de første nasjonale personvern- og sikkerhetsreglene under HIPAA.
    Personvernregelen gir enkeltpersoner rettigheter med hensyn til deres beskyttede helseinformasjon (PHI). Den forklarer også hvordan dekkede enheter (de som må overholde HIPAA) kan bruke og avsløre PHI.
    Sikkerhetsregelen setter standarder for å beskytte elektronisk PHI.
    Håndhevelsesregelen adresserer etterlevelse, etterforskning og potensielle straffer for brudd på HIPAAs personvernregel og sikkerhetsregel. Office for Civil Rights (OCR) innen HHS er ansvarlig for å håndheve HIPAA-regelverket.

  • 2009 – Loven om helseinformasjonsteknologi for økonomisk og klinisk helse (HITECH) ble undertegnet i lov. HITECH Act er tittel XIII i American Recovery and Reinvestment Act (AARA).
    Mellom 2003 og 2009 endret teknologi det medisinske personvernlandskapet. Elektroniske medisinske journaler begynte å erstatte papirfiler. Pasienter begynte å kommunisere med legene sine via e-post og via online portaler. Apotek begynte å behandle resepter elektronisk.
    HITECH-loven skapte økonomiske insentiver for helsepersonell og forsikringsselskaper til å fortsette å skifte til elektroniske medisinske journaler, og adresserte også personvern- og sikkerhetshensyn knyttet til elektronisk overføring av helseinformasjon, inkludert uautorisert tilgang og data brudd.
  • 2013 – HHS «Office for Civil Rights utstedte HIPAA Omnibus-regelen.
    HHS» Omnibus-regelen gjorde flere viktige endringer i HIPAAs personvern, sikkerhet og håndhevelse Regler. Den implementerte mange bestemmelser i HITECH-loven. Den modifiserte og fullførte bruddvarslingsregelen. Den implementerte også endringer i HIPAAs personvernregel som kreves av genetisk informasjon ikke-diskriminasjonsloven fra 2008 (GINA).

b. Er HIPAA den eneste loven som gjelder helseinformasjon?

Nei. Health Insurance Portability and Accountability Act (HIPAA) er ikke den eneste loven som gjelder helseinformasjon.

Det er føderale lover som gjelder spesifikke typer helseinformasjon (eller poster som inneholder helseinformasjon), for eksempel genetisk informasjon, helseinformasjon i skoleposter, identifiserbar informasjon om enkeltpersoner som vedlikeholdes av den føderale regjeringen, visse alkoholer og stoffmisbruksdokumenter, og informasjon knyttet til medisinsk forskning.

I tillegg kan stater vedta egne lover for å beskytte helseinformasjon fordi HIPAA setter en grunnlinje som stater kan lage sterkere lover fra. For mer informasjon om statlig lov, se HealthInfoLaw.org (et prosjekt fra George Washington Universitys Hirsh Health Law and Policy Program).

3. Hvem må overholde HIPAA?

HIPAA beskytter ikke all helseinformasjon. Den gjelder ikke for alle personer som kan se eller bruke helseinformasjon. HIPAA gjelder bare for omfattede enheter og deres forretningsforbindelser.

a. Dekket enheter

Det er tre typer dekkede enheter under HIPAA.

  • Helsepersonell får betalt for å tilby helsetjenester. Leger, tannleger, sykehus, sykehjem, apotek, akuttmottak og andre enheter som yter helsehjelp i bytte mot betaling er eksempler på leverandører.
    Helsetilbydere må bare overholde HIPAA hvis de overfører helseinformasjon elektronisk i forbindelse med transaksjoner som dekkes. De fleste leverandører overfører informasjon elektronisk for å utføre funksjoner som behandling av krav og motta betaling. Derfor viser de fleste iders dekkes av HIPAA.
  • Helseplaner betaler kostnadene for medisinsk behandling.
    Følgende er eksempler på helseplaner som dekkes under HIPAA: helseforsikringsselskaper, helsevesenet (HMO), gruppehelseplaner sponset av en arbeidsgiver, statlig finansierte helseplaner som Medicare og Medicaid, og de fleste andre selskaper eller ordninger som betaler for helsevesenet.
  • Helsehjelpstjenester behandler informasjon slik at den kan overføres i standardformat mellom dekket enheter. Clearinghouses fungerer ofte som et mellomrom for helsepersonell og helseplaner, noe som betyr at de sjelden handler direkte med pasienter. For eksempel kan et clearinghus ta informasjon fra en lege og sette det i et standardkodet format som kan brukes til forsikringsformål.

For mer informasjon om hvorvidt en enhet er dekket av HIPAA, gir HHS et nyttig diagram.

b. Foretakspartnere

Hva er en forretningsforbindelse? Helsepersonell, helseplaner og helsestell er bare noen få av aktørene i helsevesenet. Omfattede enheter ansetter eller kontrakter med mennesker og selskaper for å utføre mange tjenester.

En «forretningsforbindelse» oppretter, mottar, vedlikeholder eller overfører beskyttet helseinformasjon (PHI) på vegne av en omfattet enhet eller en annen forretningsforbindelse som fungerer som underleverandør.

For definisjonen av en forretningsforbindelse, se 45 CFR § 160.103.

Hva gjør forretningsforbindelser? Foretakspartnere kan utføre mange forskjellige tjenester for en omfattet enhet, inkludert (men ikke begrenset til):

  • juridisk
  • aktuarmessig
  • regnskap
  • rådgivning
  • dataaggregering
  • ledelse
  • administrativ akkreditering
  • behandling eller administrering av krav
  • data analyse
  • dataoverføring
  • bruksanmeldelse
  • kvalitetssikring
  • visse pasientsikkerhetsaktiviteter
  • fakturering
  • fordeladministrasjon
  • praksisadministrasjon
  • omprising.

Forretningsmedarbeidere utfører ofte tjenester som ikke involverer pasientinteraksjon. Imidlertid er et vanlig eksempel på en forretningsforbindelsespasient som kan samhandle med, et selskap som tilbyr en personlig helseregistrering (PHR) til enkeltpersoner på vegne av dekkede enheter.

Hvilket ansvar har forretningsforbindelser? Enheter som omfattes, må utføre skriftlige kontrakter med sine forretningsforbindelser for å sikre at de beskytter PHI i henhold til HIPAA-standarder. Forretningsforbindelser må gjøre det samme med noen av underleverandørene som kan betraktes som forretningsforbindelser. HHS-nettstedet inneholder mer informasjon om forretningsforbindelser, og det gir også eksempler på klausuler for forretningsforbindelser.

Forretningsforbindelser må overholde avtalene de signerer med dekket enheter. I tillegg er forretningsforbindelser direkte ansvarlige for brudd på HIPAA-sikkerhetsregelen og mange bestemmelser i HIPAA-personvernregelen. Dette betyr at forretningsforbindelser er underlagt det meste av de samme personvern- og datasikkerhetsstandardene som gjelder for omfattede enheter, og kan være underlagt HHS-revisjon og sanksjoner.

c. Underleverandører

En underleverandør som oppretter, vedlikeholder eller overfører beskyttet helseinformasjon (PHI) på vegne av en forretningsforbindelse, har samme juridiske ansvar som en forretningsforbindelse under HIPAA.Med andre ord flyter personvern- og sikkerhetsrelatert juridisk ansvar «nedstrøms» til underleverandører som utfører arbeid for en forretningsforbindelse.

For eksempel kan et sykehusets forretningsforbindelse ansette et eksternt selskap for å makulere dokumenter som inneholder PHI eller å tilby en skytjeneste for å lagre dataene. I begge tilfeller vil det eksterne selskapet (underleverandør) være pålagt å overholde de fleste HIPAA-regler som en forretningsforbindelse. Det vil også være bundet av en kontrakt med forretningsforbindelsen i stedet for dekket enhet (eller sykehus i dette eksemplet).

d. Hybrid enheter

En hybrid enhet utfører både HIPAA-dekkede og ikke-dekkede funksjoner som en del av virksomheten. selskaper som har en selvforsikret helseplan for sine ansatte, kan velge å bli behandlet som en hybrid enhet. Andre eksempler er et universitet med et medisinsk senter eller en matbutikk som har et apotek.

Når en organisasjon velger å bli behandlet som en hybrid enhet, bare den delen av selskap som er en dekket enhet (kalt helsevesenet) er underlagt HIPAA. Hybridenheter må sørge for at helsevesenet ikke avslører beskyttet helseinformasjon til en annen ikke-dekket del av virksomheten. De må også beskytte elektronisk beskyttet helseinformasjon.

4. Hvem er ikke pålagt å overholde HIPAA?

Husk at mange selskaper og mennesker ikke er forpliktet til å overholde HIPAA, og det er mange ganger når helseinformasjon kan være tilgjengelig for disse menneskene og selskapene HIPAA gjelder bare for dekket enheter og deres forretningsforbindelser.

Her er bare noen få eksempler på de som ikke er dekket av HIPAA, men som kan håndtere helseinformasjon:

  • livs- og langsiktige forsikringsselskaper
  • arbeidstakers «kompensasjonsforsikringsselskaper, administrative etater eller arbeidsgivere (med mindre de ellers anses som dekket enheter)
  • byråer som leverer trygde- og velferdsgoder
  • bilforsikringsplaner som inkluderer helsemessige fordeler
  • søkemotorer og nettsteder som gir helse- eller medisinsk informasjon og som ikke drives av en omfattet enhet
  • markedsførere
  • treningssentre og treningsklubber
  • direkte til forbruker (DTC) genetiske testing selskaper
  • mange mobilapplikasjoner (apper) bruker d for helse- og treningsformål
  • de som foretar screening på apotek, kjøpesentre, helsemesser eller andre offentlige steder for blodtrykk, kolesterol, ryggjustering og andre forhold
  • visse utøvere av alternativ medisin
  • de fleste skoler og skoledistrikter
  • forskere som innhenter helsedata direkte fra helsepersonell
  • de fleste rettshåndhevelsesbyråer
  • mange statlige etater, som barneverntjenester
  • domstoler, der helseinformasjon er viktig for en sak

For å lære mer om hvem som er (eller ikke er) dekket av HIPAA, se HHS-veiledningsmaterialer for forbrukere.

5. Hvilken informasjon dekker HIPAA?

For å avgjøre om HIPAA beskytter en bestemt type helseinformasjon, er det enklest å først finne ut om det er en dekket enhet eller forretningsforbindelse som må overholde loven.

Under HIPAA er «helseinformasjon» all informasjon (inkludert genetisk informasjon) som opprettes eller mottas av helsepersonell, helseplan, folkehelsemyndighet, arbeidsgiver, livsforsikringsselskap, skole eller universitet eller helse pleieklaring og forholder seg til

  • en persons fortid, nåtid eller fremtidig fysisk eller mental helse eller tilstand;
  • behandling gitt til en person, eller
  • tidligere, nåværende eller fremtidig betaling for helsetjenester en person mottar.

Helseinformasjon kan eksistere i hvilken som helst form eller medium, inkludert papir, elektronisk eller muntlig.

Når en dekket enhet oppretter eller mottar helseinformasjon som identifiserer – eller kan brukes til å identifisere – en person, kaller HIPAA det «individuelt identifi opplysningsbar helseinformasjon. «Individuelt identifiserbar helseinformasjon inkluderer demografisk og annen informasjon som identifiserer en person, for eksempel navn, adresse, fødselsdato og personnummer.

For nøyaktige definisjoner av noen av begrepene i dette avsnitt, se 45 CFR § 160.103.

a. Hvilken informasjon gjelder HIPAAs personvernregel for?

HIPAAs personvernregel gjelder for «beskyttet helseinformasjon» (PHI) som inkluderer all «individuelt identifiserbar helseinformasjon» som overføres eller vedlikeholdes i hvilket som helst format eller medium.

Dette betyr at samtaler mellom en pasient og en lege har samme personvern som håndskrevne eller elektroniske notater.

For å lære mer om HIPAA Privacy Rule, se: HIPAA Privacy Rule : Hvordan kan dekkede enheter bruke og avsløre helseinformasjon?

b. Hvilken informasjon gjelder HIPAAs sikkerhetsregel for?

HIPAA-sikkerhetsregelen krever at dekkede enheter bare etablerer datasikkerhetstiltak for PHI som opprettholdes i elektronisk format, kalt «elektronisk beskyttet helseinformasjon» (ePHI). Sikkerhetsregelen gjelder ikke PHI som overføres muntlig eller skriftlig.

For å lære mer om HIPAA-sikkerhetsregelen, se Personvernrettigheter Clearinghouse Faktaark 8d: Beskytte helseinformasjon: HIPAA Security and Breach Notification Regler.

6. Hvilken informasjon dekkes ikke under HIPAAs personvernregel?

a. Helseinformasjon i sysselsettingsjournal

HIPAA gjelder ikke for sysselsettingsjournaler, selv når disse journaler inkluderer medisinsk informasjon. Dette inkluderer ansettelsesjournaler en dekket enhet har i sin rolle som arbeidsgiver. Hvis en ansatt hos en helsepersonell blir pasient hos den leverandøren, vil HIPAA søke.

For å lære mer om medisinsk informasjon på arbeidsplassen, se HHS «Arbeidsgivere og helseinformasjon på arbeidsplassen.

b. Helseinformasjon i utdanningsjournaler (for det meste)

Helseinformasjon i utdanningsjournaler som er underlagt Family Educational Rights and Privacy Act (FERPA) anses ikke som beskyttet helseinformasjon (PHI) under HIPAA. For eksempel er et barns K-12-poster som inneholder informasjon om skolepleierbesøk ikke underlagt HIPAA.

For mer informasjon om FERPA når det gjelder helseinformasjon og HIPAA, se: Joint Guidance on the Anvendelse av Family Educational Rights and Privacy Act (FERPA) og Health Insurance Portability and Accountability Act of 1996 (HIPAA) på Student Health Records and Student Privacy 101: Health Privacy in Schools – Hvilken lov gjelder?

c. Helseinformasjon om en person som er død i over 50 år

Protected health information (PHI) inkluderer ikke helseinformasjon om en person som gikk bort for mer enn 50 år siden.

For mer informasjon om helseinformasjonen til avdøde personer, se HHS-nettstedet.

d. Avidentifiserte data

Avidentifiserte data er helseinformasjon som har hatt 18 spesifikke identifikatorer fjernet og anses derfor for å gjøre den personen som er gjenstand for informasjonen enhetlig dentifiserbar. Dette betyr at avidentifiserte data ikke er beskyttet under HIPAAs personvernregler, ettersom PHI og dekkede enheter kan bruke og avsløre dem i større grad.

Avidentifiserte data er ofte gjenstand for debatt på grunn av muligheten for å gjenidentifisere et individ. Prof. Latanya Sweeney, har gjort et betydelig arbeid innen gjenidentifikasjon.

For mer informasjon om avidentifisering, se 45 CFR 164.514 og HHS ‘Veiledning angående metoder for avidentifisering av Beskyttet helseinformasjon i samsvar med HIPAA-personvernregelen.

7. Hvordan håndhever HHS HIPAA?

HIPAAs håndhevelsesregel tillater US Department of Health and Human Services (HHS) Office for Civil Rights (OCR) å undersøke potensielle HIPAA-brudd og vurdere sivile monetære straffer (CMP) for brudd. Statsadvokater har også myndighet til å håndheve HIPAA-reglene. Enkeltpersoner har ikke privat handlingsrett under HIPAA og kan ikke saksøke for brudd.

OCR starter håndhevelsesprosessen ved å åpne en etterforskning av potensielle HIPAA-personvern- eller sikkerhetsregler. OCR svarer på individuelle klager, men kan også oppdage HIPAA-brudd på andre måter (for eksempel gjennomføring av revisjon). Etter etterforskningen kan OCR løse et problem ved å fastslå at det ikke er noe brudd, inngå en resolusjonsavtale med den ansvarlige parten, eller finne at partiet er i strid med og vurdere straffer.

For å lære mer om HIPAA håndheving, se Hvordan OCR håndhever HIPAAs personvern- og sikkerhetsregler, håndhevelsesdata, håndhevelseshøydepunkter og HIPAA-håndhevelse.

a. Når vil HHS undersøke en klage?

Når enkeltpersoner er klar over et potensielt HIPAA-brudd, kan de sende inn en klage til HHS ’Office for Civil Rights (OCR). For å bli vurdert for etterforskning, må en klage oppfylle følgende grunnleggende kriterier:

  • Hvis klagen gjelder et potensielt brudd på personvernregelen, må handlingen ha skjedd etter april 2003. Hvis klagen gjelder et potensielt Sikkerhetsregelbrudd, handlingen må ha skjedd etter april 2005.
  • En person må sende inn en klage mot en person, organisasjon eller annen enhet som er underlagt HIPAA.
  • Klagen må påstå noe som bryter HIPAA-reglene.
  • Enkeltpersoner må sende inn klager innen 180 dager etter at de visste (eller burde ha visst) om det potensielle bruddet.

Hvis OCR mener at klagen er verdig, vil byrået kontakte personen som sendte inn klagen, samt den involverte dekkede enheten for å prøve å nå en gjensidig løsning.Noen saker kan henvises til en høring for en dommer i forvaltningsretten.

b. Hvordan bestemmer HHS en straff for et brudd?

For brudd som skjedde etter 2009, bestemmer HHS straffer for HIPAA-brudd basert på krenkelsens skyld. Minimumsstraffen varierer, men maksimumsstraffen er $ 1,5 millioner per år for brudd på samme HIPAA-bestemmelse.

Den firetrinnede sivile straffestrukturen er som følger:

Uvitende betyr at dekket enhet ikke visste om overtredelsen og ikke ville ha kjent gjennom utøvelse av rimelig omhu.

Rimelig årsak betyr at den omfattede enheten ville ha kjent til overtredelsen ved å utøve rimelig omhu.

Forsettlig forsømmelseskorrigert betyr at dekket enhet med vilje har brutt HIPAA eller handlet med hensynsløs likegyldighet, men rettet brudd innen 30 dager etter oppdagelsen.

Forsettlig forsømmelse-ukorrigert betyr at den omfattede enheten med vilje brøt HIPAA eller handlet med hensynsløs likegyldighet, men ikke korrigerte overtredelsen innen 30 dager etter oppdagelsen.

c . Hvis det er en økonomisk sanksjon, vil den personen som sendte inn klagen motta penger?

Nei. Eventuelle penger fra straffer som HHS samler inn blir betalt til det amerikanske statskassen.

d. Kan enkeltpersoner saksøker under HIPAA?

Nei. Enkeltpersoner har ikke rett til å saksøke under HIPAA. HIPAA forhindrer imidlertid ikke stater fra å vedta lover som gir forbedret beskyttelse. George Washington University har en guide, helseinformasjon og loven, som inneholder informasjon om statlige lover.

8. Ressurser

Federal Law

Health Information Technology for Economic and Clinical Health (HITECH) Act, Public Law 111-5, 2009

Act of Genetic Information Nondiscrimination Act of 2008 (GINA), (Public Law 110-223, 122 Stat. 881)

Federal Regulations

HIPAA-personvernregel fra 2003 og påfølgende modifikasjoner

HHS Omnibus-regel, 78 føderalt register, 25. januar 2013

Statlige lover og helsepersonvern

George Washington University, Health Information and the Lov

National Association of Insurance Commissioners

Institutt for helse og menneskelige tjenester, Office of Civil Rights

Veiledningsmateriell for forbrukere

Spesielle emner i helseinformasjon Personvern

Forretningsavtaler

Autorisasjoner

Omfattede enheter

Arbeidsgivere og helseinformasjon på arbeidsplassen

Write a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *