Cíle zákonů o ochraně soukromí HIPAA
Zákony o ochraně soukromí HIPAA byly poprvé přijaty v roce 2002 s cílem chránit důvěrnost informací o zdravotní péči pacientů, aniž by byl omezen tok informací potřebných k poskytnutí léčby. Zákony o ochraně soukromí HIPAA kontrolují, kdo může mít přístup k chráněným zdravotním informacím (PHI), za jakých podmínek je lze použít a komu je lze sdělit.
Zákony o ochraně soukromí HIPAA se nevztahují pouze na poskytovatele zdravotní péče a organizace, pro které pracují. Zákony se vztahují na všechny subjekty, které mohou mít přístup ke zdravotnickým informacím o pacientovi, které – pokud by se dostaly do nesprávných rukou – mohou představovat riziko poškození financí nebo pověsti pacienta. Proto musí zákony o ochraně soukromí HIPAA dodržovat také zdravotní pojišťovny, zúčtovací střediska zdravotní péče a zaměstnavatelé, kteří poskytují interní zdravotní plány.
Informace chráněné zákony o ochraně soukromí HIPAA
Informace chráněné zákony o ochraně soukromí HIPAA jsou známé jako „individuálně identifikovatelné zdravotní informace“. Jedná se o veškeré informace, které mohou odhalit identitu pacienta s ohledem na:
- předchozí, současný nebo budoucí fyzický nebo duševní stav pacienta,
- poskytnutí zdravotní péče a zdravotních služeb pacientovi nebo
- předchozí, současnou nebo budoucí platbu za poskytnutí zdravotní péče pacientovi.
Protože chráněné údaje zahrnují i informace o platbách, zahrnují individuálně identifikovatelné zdravotní údaje nejen údaje, jako jsou jména, data narození, čísla sociálního pojištění a telefonní čísla, ale také registrační čísla automobilů, informace o kreditních kartách a dokonce i ukázky rukopisu pacienta.
Je důležité, aby si kryté subjekty uvědomily, že zákony HIPAA o ochraně osobních údajů se nevztahují pouze na údaje uložené v písemné podobě. Obrázky a videa, které obsahují jakékoli individuálně identifikovatelné zdravotní informace, jsou rovněž chráněny zákony o ochraně soukromí HIPAA.
Pokud by například poskytovatel zdravotní péče vyfotografoval pacientovo zranění – a totožnost pacienta by bylo možné zjistit podle jakéhokoli rozlišovacího znaku – podléhala by důvěrnost a zveřejnění této fotografie podmínkám v rámci zákonů o ochraně soukromí HIPAA.
PHI:
Zákony HIPAA o ochraně soukromí týkající se PHI se vztahují na každý krytý subjekt a každého poskytovatele služeb třetí strany (nebo „obchodního partnera“), se kterým krytý subjekt obchoduje. To jsou jediné strany, které by měly mít přístup k PHI, pokud pacient nedá svolení k jejich zpřístupnění pro účely výzkumu, marketingu nebo získávání finančních prostředků.
Zpřístupnění PHI pro účely léčby, platby nebo provozu zdravotní péče musí být obsaženo v rámci krytého subjektu nebo Business Associate – s výjimkou případů, kdy je zpřístupnění vyžadováno zákonem, je v nejlepším zájmu veřejnosti nebo v nejlepším zájmu pacienta (například pokud je pacient obětí zneužívání, zanedbávání nebo domácího násilí).
I v takovém případě zákony o ochraně osobních údajů HIPAA stanoví, že by kryté subjekty měly dodržovat „pravidlo minimální nezbytnosti“ – pravidlo, které uvádí, že zpřístupnění PHI by mělo být pouze minimální, nezbytné k dosažení stanoveného účelu. Každá žádost o zpřístupnění by také měla být přezkoumána případ od případu, nikoliv umožnit přístup k PHI obchodnímu partnerovi jen proto, že mu byl přístup povolen již dříve.
Neoprávněné zpřístupnění PHI
Každý krytý subjekt je povinen zavést ochranná opatření, aby zabránil neoprávněnému zpřístupnění PHI. Tato ochranná opatření se liší v závislosti na velikosti krytého subjektu a povaze zdravotní péče, kterou poskytuje, ale sankce za nezajištění integrity PHI mohou být velmi vysoké. Zdravotnickým organizacím, které úmyslně nebo z nedbalosti nedodrží zákony o ochraně osobních údajů HIPAA, může být uložena pokuta až do výše 50 000 USD za každý přestupek a den.
Podle Úřadu pro občanská práva Ministerstva zdravotnictví a lidských zdrojů (Department of Health and Human Resources´ Office for Civil Rights) je nejčastějším důvodem neoprávněného zpřístupnění PHI ztráta nebo krádež osobních mobilních zařízení a přenosných médií (notebooků, smartphonů a USB flash disků). Z tohoto důvodu se mnoho zdravotnických organizací rozhodlo zavést řešení pro bezpečné zasílání zpráv jako vhodnou náhradu nezabezpečených komunikačních kanálů, jako jsou SMS a e-mail.
Řešení pro bezpečné zasílání zpráv šifrují PHI tak, aby byly nerozluštitelné a nepoužitelné, pokud by byly zachyceny při přenosu, a mají také bezpečnostní mechanismy, které zajišťují, že PHI nemohou být náhodně nebo ze zlého úmyslu odeslány mimo soukromou komunikační síť krytého subjektu nebo zkopírovány na USB flash disk. V případě ztráty nebo odcizení osobního mobilního zařízení existují administrativní kontrolní mechanismy, které umožňují na dálku vymazat veškeré PHI přijaté tímto zařízením a zablokovat aplikaci používanou pro bezpečné zasílání zpráv. Tyto ovládací prvky fungují i na stolních počítačích.
Přínosy řešení pro bezpečné zasílání zpráv
Řešení pro bezpečné zasílání zpráv splňují nejen zákony o ochraně osobních údajů HIPAA, ale také administrativní, fyzické a technické požadavky bezpečnostních pravidel HIPAA. To znamená, že jsou k dispozici mechanismy pro monitorování zabezpečených zpráv a zajištění 100% odpovědnosti za zprávy, což následně snižuje počet telefonátů – množství času, který zdravotničtí pracovníci ztrácejí čekáním na potvrzení, že zpráva byla přijata, nebo na odpověď.
V nedávném článku v CNN Money se uvádí, že telefonáty stojí americké zdravotnictví každý rok více než 7 miliard dolarů a že zavedení řešení pro bezpečné zasílání zpráv by mohlo urychlit zdravotnické procesy, jako je příjem do nemocnice a propuštění pacienta. Samostatné studie také ukázaly, že zabezpečené zasílání zpráv urychluje komunikaci, podporuje spolupráci a při integraci s EHR snižuje počet bezpečnostních incidentů a chyb v medikaci pacientů.
Díky zabezpečenému zasílání zpráv zůstávají informace chráněné zákony o ochraně osobních údajů HIPAA chráněny, přístup k PHI získávají pouze oprávnění uživatelé a poskytovatelé zdravotní péče mohou komunikovat stejně rychle a pohodlně jako prostřednictvím SMS nebo e-mailu, ale bez rizika neoprávněného vyzrazení PHI. Zabezpečené zasílání zpráv splňuje podmínky zákonů o ochraně osobních údajů HIPAA týkající se toho, kdo může mít přístup k PHI, za jakých podmínek je lze použít a komu je lze sdělit.
Další informace o zákonech o ochraně osobních údajů HIPAA
Pokud se chcete dozvědět více o zákonech o ochraně osobních údajů HIPAA, další informace naleznete zde.
.