Inlagt: 01 feb 2015 | Reviderad: 1 februari 2015
- Introduktion
- Vad är HIPAA?
a. En kort historia av HIPAA
b. Är HIPAA den enda lagen som gäller hälsoinformation? - Vem måste följa HIPAA?
a. Täckta enheter
b. Affärsföretag – c. Underleverantörer
d. Hybridenheter - Vem behöver inte följa HIPAA?
- Vilken information täcker HIPAA?
a. Vilken information gäller HIPAA: s sekretessregel för?
b. Vilken information gäller HIPAAs säkerhetsregel för? - Vilken information täcks inte av HIPAA: s sekretessregel?
a. Hälsoinformation i anställningsregister
b. Hälsoinformation i utbildningsregister (för det mesta)
c. Hälsoinformation om en person som har dött i 50 år
d. Avidentifierade data - Hur verkställer U.S. Department of Health and Human Services (HHS) HIPAA?
a. När kommer HHS att undersöka ett klagomål?
b. Hur bestämmer HHS ett straff för en överträdelse?
c. Om det finns en penningstraff, kommer den person som lämnade in klagomålet att få pengar?
d. Kan individer stämma enligt HIPAA? - Resurser
1. Introduktion
Nästan alla känner igen den känsliga karaktären hos hälso- och medicinsk information. Men hälsoinformation och säkerhet är komplicerade ämnen att navigera för både patienter och vårdpersonal.
De federala bestämmelserna som reglerar integritet och säkerhet för hälsoinformation är kända som HIPAA, för Health Insurance Portability and Accountability Act som mandat dem. Som patient är det viktigt att förstå HIPAA: s omfattning och begränsningar. Denna guide ger information om HIPAA-grunderna, som vem HIPAA gäller och vilken information den täcker.
2. Vad är HIPAA?
Health Insurance Portability and Accountability Act (HIPAA) är en federal lag som ger grundläggande integritets- och säkerhetsstandarder för medicinsk information. US Department of Health and Human Services (HHS) är den federala myndighet som ansvarar för att skapa regler som implementerar HIPAA och även verkställer HIPAA.
a. En kort historia av HIPAA
- 1996 – Kongressen godkände Health Insurance Portability and Accountability Act (HIPAA).
De flesta människor känner till HIPAA som en medicinsk integritets- och säkerhetslag. HIPAAs ursprungliga syfte var dock att sätta standarder för överföring av elektroniska hälsodata och att låta människor överföra och fortsätta sjukförsäkring efter att de byter eller tappar jobb.
In fram till 2003 fanns det inga nationella integritetsstandarder för medicinsk information enligt HIPAA. Allt skydd baserades på statlig lag.
- 2003 – US Department of Health and Human Services (HHS) utfärdade och antog HIPAA Privacy Rule, HIPAA Security Rule och HIPAA Tillämpningsregel.
2003 utfärdade HHS de första nationella reglerna för datasekretess och säkerhet enligt HIPAA.
Sekretessregeln ger enskilda rättigheter med avseende på deras skyddade hälsoinformation (PHI). Det förklarar också hur omfattade enheter (de som måste följa HIPAA) kan använda och avslöja PHI.
Säkerhetsregeln sätter standarder för att skydda elektronisk PHI.
Tillämpningsregeln behandlar efterlevnad, utredningar och potentiella påföljder för brott mot HIPAA: s sekretessregel och säkerhetsregel. Byrån för medborgerliga rättigheter (OCR) inom HHS är ansvarig för att genomföra HIPAA-reglerna.
- 2009 – HITECH-lagen (Health Information Technology for Economic and Clinical Health) undertecknades lag. HITECH Act är avdelning XIII i American Recovery and Reinvestment Act (AARA).
Mellan 2003 och 2009 förändrade teknologin det medicinska integritetslandskapet. Elektroniska journaler började ersätta pappersfiler. Patienterna började kommunicera med sina läkare via e-post och via onlineportaler. Apotek började bearbeta recept elektroniskt.
HITECH-lagen skapade ekonomiska incitament för vårdgivare och försäkringsgivare att fortsätta övergå till elektroniska medicinska journaler, och hanterade också integritets- och säkerhetsproblem relaterade till elektronisk överföring av hälsoinformation, inklusive obehörig åtkomst och data brott.
- 2013 – HHS ”Byrån för medborgerliga rättigheter utfärdade HIPAA Omnibus-regeln.
HHS” Omnibus-regeln gjorde flera viktiga ändringar i HIPAA: s integritets-, säkerhets- och efterlevnad Regler. Den genomförde många bestämmelser i HITECH-lagen. Den modifierade och slutförde regeln om överträdelsemeddelande. Den genomförde också ändringar av HIPAA: s sekretessregel som krävs enligt Genetic Information Nondiscrimination Act of 2008 (GINA).
b. Är HIPAA den enda lagen som gäller hälsoinformation?
Nej. Health Insurance Portability and Accountability Act (HIPAA) är inte den enda lagen som gäller hälsoinformation.
Det finns federala lagar som gäller för specifika typer av hälsoinformation (eller register som innehåller hälsoinformation) såsom genetisk information, hälsoinformation i skolregister, identifierbar information om individer som underhålls av den federala regeringen, viss alkohol och narkotikamissbruk och information om medicinsk forskning.
Dessutom kan stater anta sina egna lagar för att skydda hälsoinformation eftersom HIPAA anger en baslinje från vilken stater kan skapa starkare lagar. För mer information om statlig lag, se HealthInfoLaw.org (ett projekt från George Washington Universitys Hirsh Health Law and Policy Program).
3. Vem måste följa HIPAA?
HIPAA skyddar inte all hälsoinformation. Det gäller inte heller alla som kan se eller använda hälsoinformation. HIPAA gäller endast täckta enheter och deras affärsföretag.
a. Täckta enheter
Det finns tre typer av täckta enheter under HIPAA.
- Vårdgivare får betalt för att tillhandahålla hälso- och sjukvård. Läkare, tandläkare, sjukhus, vårdhem, apotek, akutvårdskliniker och andra enheter som tillhandahåller hälso- och sjukvård i utbyte mot betalning är exempel på leverantörer.
Vårdgivare måste följa HIPAA endast om de överför hälsoinformation elektroniskt i samband med täckta transaktioner. De flesta leverantörer överför information elektroniskt för att utföra funktioner som att behandla anspråk och ta emot betalning. Därför är de flesta prov iders omfattas av HIPAA. - Hälsoplaner betalar kostnaden för medicinsk vård.
Följande är exempel på hälsoplaner som omfattas av HIPAA: sjukförsäkringsföretag, hälsovårdsorganisationer (HMO), grupphälsoplaner sponsrad av en arbetsgivare, statligt finansierade hälsoplaner som Medicare och Medicaid och de flesta andra företag eller arrangemang som betalar för vård. - Vårdcentraler behandlar information så att den kan överföras i ett standardformat mellan täckta enheter. Clearinghus fungerar ofta som ett mellanrum för vårdgivare och hälsoplaner, vilket innebär att de sällan handlar direkt med patienter. Till exempel kan ett clearinghus ta information från en läkare och placera den i ett standardkodat format som kan användas för försäkringsändamål.
För mer information om huruvida en enhet omfattas av HIPAA, tillhandahåller HHS ett användbart diagram.
b. Affärsassistenter
Vad är en affärsassistent? Hälsovårdsleverantörer, hälsoplaner och vårdcentraler är bara några få av aktörerna inom vårdbranschen. Enheter som omfattas hyr eller avtalar med människor och företag för att utföra många tjänster.
En ”affärspartner” skapar, tar emot, underhåller eller överför skyddad hälsoinformation (PHI) på uppdrag av en täckt enhet eller annan affärspartner som fungerar som underleverantör.
För definitionen av en affärsförening, se 45 CFR § 160.103.
Vad gör affärsföretag? Affärsföretag kan utföra många olika tjänster för en täckt enhet, inklusive (men inte begränsat till):
- juridisk
- aktuariell
- redovisning
- rådgivning
- dataggregation
- hantering
- administrativ ackreditering
- behandling eller administrering av anspråk
- data analys
- dataöverföring
- granskning av användning
- kvalitetssäkring
- vissa patientsäkerhetsaktiviteter
- fakturering
- fördelarhantering
- praxishantering
- omprissättning.
Affärsassistenter utför ofta tjänster som inte involverar patientinteraktion. Ett vanligt exempel på att affärspatienter kan interagera med är dock ett företag som erbjuder en personlig hälsopost (PHR) till individer på uppdrag av täckta enheter.
Vilka ansvarsområden har affärspartners? Täckta enheter måste utföra skriftliga kontrakt med sina affärsföretag för att se till att de skyddar PHI enligt HIPAA-standarder. Affärsföretag måste göra detsamma med någon av sina underleverantörer som kan betraktas som affärsföretag. HHS-webbplatsen innehåller mer information om affärsrelaterade relationer och den innehåller också exempel på klausuler för affärsavtal.
Affärsföretag måste följa de kontrakt de tecknar med täckta enheter. Dessutom är affärsföretag direkt ansvariga för överträdelser av HIPAA: s säkerhetsregel och många bestämmelser i HIPAA: s sekretessregel. Detta innebär att affärsföretag är föremål för de flesta av samma integritets- och datasäkerhetsstandarder som gäller för täckta enheter och kan vara föremål för HHS-revisioner och påföljder.
c. Underleverantörer
En underleverantör som skapar, underhåller eller överför skyddad hälsoinformation (PHI) på uppdrag av en affärspartner har samma juridiska ansvar som en affärspartner enligt HIPAA.Med andra ord, sekretess- och säkerhetsrelaterat rättsligt ansvar flödar ”nedströms” till underleverantörer som utför arbete för en affärspartner.
Till exempel kan ett sjukhus affärspartner anställa ett externt företag för att strimla dokument som innehåller PHI eller att tillhandahålla en molntjänst för att lagra data. I båda fallen skulle det externa företaget (underleverantör) behöva följa de flesta HIPAA-reglerna som affärsassistent. Det skulle också vara bundet av ett avtal med affärsassistenten snarare än den täckta enheten (eller sjukhuset i det här exemplet).
d. Hybridenheter
En hybridenhet utför både HIPAA-täckta och icke-täckta funktioner som en del av sin verksamhet. företag som har en egenförsäkrad hälsoplan för sina anställda kan välja att behandlas som en hybrid enhet. Andra exempel är ett universitet med ett medicinskt centrum eller en livsmedelsbutik som har ett apotek.
När en organisation väljer att behandlas som en hybridenhet, endast den del av företag som är en täckt enhet (kallad hälsovårdskomponenten) omfattas av HIPAA. Hybridenheter måste se till att hälso- och sjukvårdskomponenten inte avslöjar skyddad hälsoinformation till en annan icke-täckt del av verksamheten. De måste också skydda elektronisk skyddad hälsoinformation.
4. Vem behöver inte följa HIPAA?
Kom ihåg att många företag och människor inte är skyldiga att följa HIPAA, och det finns många gånger när hälsoinformation kan vara tillgänglig för dessa människor och företag HIPAA gäller bara för omfattade enheter och deras affärsföretag.
Här är bara några exempel på de som inte omfattas av HIPAA men kan hantera hälsoinformation:
- liv- och långsiktiga försäkringsbolag
- arbetstagares kompensationsförsäkringsbolag, administrativa byråer eller arbetsgivare (om de inte annars anses vara omfattade enheter)
- byråer som ger socialförsäkrings- och välfärdsförmåner
- bilförsäkringsplaner som inkluderar hälsofördelar
- sökmotorer och webbplatser som tillhandahåller hälso- eller medicinsk information och inte drivs av en täckt enhet
- marknadsförare
- gym och fitnessklubbar
- direkt till konsument (DTC) genetiska testföretag
- många mobilapplikationer (appar) använder d för hälso- och fitnessändamål
- de som gör screening på apotek, köpcentra, hälsomässor eller andra offentliga platser för blodtryck, kolesterol, ryggrad och andra tillstånd
- vissa utövare av alternativ medicin
- de flesta skolor och skolområden
- forskare som får hälsoinformation direkt från vårdgivare
- de flesta brottsbekämpande organ
- många statliga myndigheter, som barnskyddstjänster
- domstolar, där hälsoinformation är väsentlig för ett ärende
För att lära dig mer om vem som (eller inte täcks) av HIPAA, se HHS-vägledning för konsumenter.
5. Vilken information täcker HIPAA?
För att avgöra om HIPAA skyddar en viss typ av hälsoinformation är det enklast att först ta reda på om det finns en täckt enhet eller affärsföretag som måste följa lagen.
Under HIPAA är ”hälsoinformation” all information (inklusive genetisk information) som skapas eller tas emot av en vårdgivare, hälsoplan, folkhälsovårdsmyndighet, arbetsgivare, livförsäkringsbolag, skola eller universitet eller hälsa vårdcentral och relaterar till
- en persons förflutna, nuvarande eller framtida fysiska eller mentala hälsa eller tillstånd;
- behandling som ges till en person, eller
- tidigare, nuvarande eller framtida betalning för hälso- och sjukvård som en individ får.
Hälsoinformation kan finnas i alla former eller medier, inklusive papper, elektroniskt eller muntligt.
När en täckt enhet skapar eller tar emot hälsoinformation som identifierar – eller kan användas för att identifiera – en person, kallar HIPAA det ”individuellt identi fastställbar hälsoinformation. ”Individuellt identifierbar hälsoinformation inkluderar demografisk och annan information som identifierar en person såsom namn, adress, födelsedatum och personnummer.
För exakta definitioner av någon av termerna i detta avsnitt, se 45 CFR § 160.103.
a. Vilken information gäller HIPAA: s sekretessregel för?
HIPAA: s sekretessregel gäller för ”skyddad hälsoinformation” (PHI) som innehåller all ”individuellt identifierbar hälsoinformation” som överförs eller underhålls i valfritt format eller medium.
Detta innebär att samtal mellan en patient och en läkare har samma sekretessskydd som handskrivna eller elektroniska anteckningar.
För att lära dig mer om HIPAAs sekretessregel, se: HIPAA Privacy Rule : Hur kan täckta enheter använda och avslöja hälsoinformation?
b. Vilken information gäller HIPAAs säkerhetsregel för?
HIPAA-säkerhetsregeln kräver att täckta enheter endast fastställer datasäkerhetsåtgärder för PHI som upprätthålls i elektroniskt format, kallat ”elektronisk skyddad hälsoinformation” (ePHI). Säkerhetsregeln gäller inte PHI som överförs muntligt eller skriftligt.
För att lära dig mer om HIPAAs säkerhetsregel, se Sekretessrätt Clearinghouse Faktablad 8d: Skydda hälsoinformation: HIPAA säkerhets- och överträdelsemeddelande Regler.
6. Vilken information täcks inte av HIPAA: s sekretessregel?
a. Hälsoinformation i anställningsregister
HIPAA gäller inte för anställningsregister, även om dessa register innehåller medicinsk information. Detta inkluderar anställningsregister som en täckt enhet innehar i sin roll som arbetsgivare. Om en anställd hos en vårdgivare blir en patient hos den leverantören kommer HIPAA att ansöka.
För att lära dig mer om medicinsk information på arbetsplatsen, se HHS ”Arbetsgivare och hälsoinformation på arbetsplatsen.
b. Hälsoinformation i utbildningsjournaler (för det mesta)
Hälsoinformation i utbildningsjournaler som omfattas av Family Education Rights and Privacy Act (FERPA) anses inte som skyddad hälsoinformation (PHI) enligt HIPAA. Till exempel är ett barns K-12-poster som innehåller information om skolsköterskebesök inte föremål för HIPAA.
För mer information om FERPA när det gäller hälsoinformation och HIPAA, se: Joint Guidance on the Tillämpning av familjen Lagen om utbildningsrättigheter och integritet (FERPA) och Health Insurance Portability and Accountability Act från 1996 (HIPAA) på Student Health Records och Student Privacy 101: Health Privacy in Schools – Vilken lag gäller?
c. Hälsoinformation om en person som har dött i över 50 år
Skyddad hälsoinformation (PHI) inkluderar inte hälsoinformation om en person som har gått bort för mer än 50 år sedan.
För mer information om hälsoinformation för avlidna individer, se HHS-webbplatsen.
d. Avidentifierad data
Avidentifierad data är hälsoinformation som har haft 18 specifika identifierare har tagits bort och anses därför göra den enskilde som är föremål för informationen enhet tandläkbar. Detta innebär att avidentifierad data inte skyddas enligt HIPAA: s sekretessregler, eftersom PHI och täckta enheter kan använda och avslöja det mer allmänt.
Avidentifierade data är ofta föremål för debatt på grund av möjligheten att omidentifiera en individ. Prof. Latanya Sweeney, har gjort ett betydande arbete inom området för omidentifiering.
För mer information om avidentifiering, se 45 CFR 164.514 och HHS vägledning om metoder för avidentifiering av Skyddad hälsoinformation i enlighet med HIPAA: s sekretessregel.
7. Hur verkställer HHS HIPAA?
HIPAA: s verkställighetsregel tillåter US Department of Health and Human Services (HHS) Office for Civil Rights (OCR) att undersöka potentiella HIPAA-överträdelser och bedöma civila penningstraff (CMP) för kränkningar. Statliga advokater har också befogenhet att tillämpa HIPAA-reglerna. Individer har inte en privat handlingsrätt enligt HIPAA och kan inte stämma för brott.
OCR startar verkställighetsprocessen genom att inleda en utredning av potentiella HIPAA-integritets- eller säkerhetsregler. OCR svarar på individuella klagomål, men kan också upptäcka HIPAA-överträdelser på andra sätt (som att genomföra revisioner). Efter utredningen kan OCR lösa ett problem genom att fastställa att det inte finns någon överträdelse, ingå ett resolutionsavtal med den ansvariga parten eller finna att partiet bryter mot och bedöma påföljder.
För att lära dig mer om HIPAA verkställighet, se Hur OCR tillämpar HIPAA: s sekretess- och säkerhetsregler, verkställighetsdata, verkställighetshöjdpunkter och HIPAA-verkställighet.
a. När kommer HHS att undersöka ett klagomål?
När individer är medvetna om en potentiell HIPAA-överträdelse kan de lämna in ett klagomål till HHS ’Office for Civil Rights (OCR). För att övervägas för utredning måste ett klagomål uppfylla följande grundläggande kriterier:
- Om klagomålet avser en eventuell överträdelse av sekretessregler måste åtgärden ha inträffat efter april 2003. Om klagomålet gäller en potentiell Överträdelse av säkerhetsregler, åtgärden måste ha inträffat efter april 2005.
- En person måste lämna in ett klagomål mot en person, organisation eller annan enhet som är föremål för HIPAA.
- Klagomålet måste hävda något som skulle strida mot HIPAA-reglerna.
- Individer måste lämna in klagomål inom 180 dagar efter det att de visste (eller borde ha vetat) om den potentiella överträdelsen.
Om OCR anser att klagomålet har meriter, kommer byrån att kontakta den person som lämnade in klagomålet samt den berörda enheten som är inblandad för att försöka nå en ömsesidig lösning.Vissa ärenden kan hänvisas till en utfrågning inför en domare i förvaltningsrätten.
b. Hur fastställer HHS straff för en överträdelse?
För överträdelser som inträffade efter 2009 fastställer HHS påföljder för HIPAA-överträdelser baserat på överträdarens skyldighet. Lägsta straff varierar, men högsta straff är $ 1,5 miljoner per år för överträdelser av samma HIPAA-bestämmelse.
Strukturen med fyra nivåer för civilrättsliga påföljder är som följer:
Om man inte känner till betyder det att den täckta enheten inte visste om överträdelsen och inte skulle ha känt till det genom att utöva rimlig omsorg.
Rimlig orsak betyder att den täckta enheten skulle ha känt till överträdelsen genom att utöva rimlig omsorg.
Uppsåtlig försummelsekorrigerad innebär att den täckta enheten avsiktligt bryter mot HIPAA eller agerar med hänsynslös likgiltighet men korrigerar överträdelsen inom 30 dagar efter upptäckten.
Uppsåtlig försummelse-okorrigerad innebär att den täckta enheten avsiktligt har brutit mot HIPAA eller agerat med hänsynslös likgiltighet men inte rättat till överträdelsen inom 30 dagar efter upptäckten.
c . Om det finns en monetär sanktion, kommer personen som lämnade in klagomålet att få pengar?
Nej. Eventuella pengar från påföljder som HHS samlar in betalas till USA: s finansdepartement.
d. Kan individer stämmer enligt HIPAA?
Nej. Individer har inte rätt att stämma enligt HIPAA. HIPAA hindrar emellertid inte stater från att anta lagar som ger förbättrat skydd. George Washington University har en guide, hälsoinformation och lagen, som innehåller information om statens lagar.
8. Resurser
Federal Law
Health Information Technology for Economic and Clinical Health (HITECH) Act, Public Lag 111-5, 2009
Lag om icke-diskriminering av genetisk information från 2008 (GINA), (allmän lag 110-223, 122 stat 881)
Federal Regulations
HIPAA-sekretessregeln från 2003 och efterföljande modifieringar
HHS Omnibus-regel, 78 federala registret, 25 januari 2013
Statliga lagar och hälsoskydd
George Washington University, Health Information and the Lag
National Association of Insurance Commissioners
Institutionen för hälsa och mänskliga tjänster, Byrån för medborgerliga rättigheter
Vägledning för konsumenter
Särskilda ämnen inom hälsoinformation Sekretess
Affärsassocieringsavtal
Behörigheter
Omfattade enheter
Arbetsgivare och hälsoinformation på arbetsplatsen