- Målsætningerne med HIPAA Privacy Laws
- Den information, der er beskyttet af HIPAA’s love om beskyttelse af personlige oplysninger
- PHI: Hvem, hvornår og hvordan?
- Uautoriseret videregivelse af PHI
- Fordelene ved sikre messaging-løsninger
- Nærmere oplysninger om HIPAA’s love om beskyttelse af personlige oplysninger
Målsætningerne med HIPAA Privacy Laws
HIPAA Privacy Laws blev først vedtaget i 2002 med det formål at beskytte fortroligheden af patienters sundhedsoplysninger uden at hæmme den informationsstrøm, der var nødvendig for at yde behandling. HIPAA-lovgivningen om beskyttelse af personlige oplysninger kontrollerer, hvem der kan få adgang til beskyttede sundhedsoplysninger (Protected Health Information (PHI)), på hvilke betingelser de kan anvendes, og hvem de kan videregives til.
HIPAA-lovgivningen om beskyttelse af personlige oplysninger gælder ikke kun for sundhedsudbydere og de organisationer, de arbejder for. Lovene gælder for enhver enhed, der kan have adgang til sundhedsoplysninger om en patient, som – hvis de falder i de forkerte hænder – kan udgøre en risiko for skade på patientens økonomi eller omdømme. Derfor skal sygeforsikringsselskaber, clearingcentre for sundhedsydelser og arbejdsgivere, der tilbyder interne sundhedsplaner, også overholde HIPAA’s love om beskyttelse af personlige oplysninger.
Den information, der er beskyttet af HIPAA’s love om beskyttelse af personlige oplysninger
Den information, der er beskyttet af HIPAA’s love om beskyttelse af personlige oplysninger, er kendt som “Individually Identifiable Health Information” (individuelt identificerbare sundhedsoplysninger). Det er enhver oplysning, der kan afsløre en patients identitet med hensyn til:
- patientens tidligere, nuværende eller fremtidige fysiske eller mentale tilstand,
- levering af sundhedsbehandling og sundhedstjenester til patienten, eller
- tidligere, nuværende eller fremtidig betaling for levering af sundhedsydelser til patienten.
Da de beskyttede data omfatter betalingsoplysninger, omfatter individuelt identificerbare sundhedsoplysninger ikke kun data som navne, fødselsdatoer, socialsikringsnumre og telefonnumre, men også bilregistreringsnumre, kreditkortoplysninger og endda eksempler på en patients håndskrift.
Det er vigtigt for de omfattede enheder at bemærke, at HIPAA-lovgivningen om beskyttelse af personlige oplysninger ikke kun gælder for data, der er gemt i et skriftligt format. Billeder og videoer, der indeholder individuelt identificerbare sundhedsoplysninger, er også beskyttet af HIPAA’s love om beskyttelse af personlige oplysninger.
Hvis en sundhedsperson f.eks. tog et foto af en patients sår – og patientens identitet kunne fastslås ved hjælp af ethvert kendetegn – ville fortroligheden og videregivelsen af fotografiet være underlagt betingelserne i HIPAA’s love om beskyttelse af personlige oplysninger.
PHI: Hvem, hvornår og hvordan?
HIPAA-lovgivningen om beskyttelse af personlige oplysninger om PHI gælder for alle omfattede enheder og alle tredjepartstjenesteudbydere (eller “Business Associate”), som den omfattede enhed gør forretninger med. Det er de eneste parter, der skal have adgang til PHI, medmindre patienten har givet tilladelse til at videregive dem til forsknings-, markedsførings- eller fundraisingformål.
Gengivelse af PHI med henblik på behandling, betaling eller sundhedsydelser skal holdes inden for en omfattet enhed eller Business Associate – medmindre videregivelsen er påkrævet ved lov, er i offentlighedens bedste interesse eller i patientens bedste interesse (f.eks. hvis patienten er offer for misbrug af børn, forsømmelse eller vold i hjemmet).
Selv i disse tilfælde fastsætter HIPAA-lovgivningen om beskyttelse af personlige oplysninger, at de omfattede enheder skal overholde “Minimum Necessary Rule” – en regel, der fastslår, at videregivelse af PHI kun bør være det minimum, der er nødvendigt for at opnå det angivne formål. Hver anmodning om videregivelse bør også gennemgås fra sag til sag, i stedet for at give adgang til PHI til en Business Associate, fordi vedkommende tidligere har fået adgang.
Uautoriseret videregivelse af PHI
Hver omfattet enhed er forpligtet til at implementere sikkerhedsforanstaltninger for at forhindre uautoriseret videregivelse af PHI. Disse sikkerhedsforanstaltninger vil variere afhængigt af den omfattede enheds størrelse og arten af de sundhedsydelser, den leverer, men sanktionerne for manglende beskyttelse af PHI’s integritet kan være ekstremt høje. Sundhedsorganisationer, der forsætligt eller uagtsomt undlader at overholde HIPAA-lovgivningen om beskyttelse af personlige oplysninger, kan idømmes en bøde på op til 50 000 USD pr. overtrædelse pr. dag.
I henhold til Department of Health and Human Resources´ Office for Civil Rights er den mest almindelige årsag til uautoriseret videregivelse af PHI tab eller tyveri af personlige mobile enheder og bærbare medieenheder (bærbare computere, smartphones og USB-flashdrev). Af denne grund har mange sundhedsorganisationer valgt at implementere sikre messaging-løsninger som en passende erstatning for usikre kommunikationskanaler som f.eks. sms og e-mail.
Sikre messaging-løsninger krypterer PHI, så de er uoprettelige og ubrugelige, hvis de bliver opsnappet under transport, og de har også sikkerhedsmekanismer, der sikrer, at PHI ikke ved et uheld eller i ond hensigt kan sendes uden for en omfattet enheds private kommunikationsnetværk eller kopieres til et USB-flashdrev. I tilfælde af, at en personlig mobilenhed bliver tabt eller stjålet, findes der administrative kontroller, der gør det muligt at slette alle PHI, der modtages af enheden, på afstand og at låse den app, der anvendes til sikker beskedservice. Disse kontroller fungerer også på stationære computere.
Fordelene ved sikre messaging-løsninger
Sikre messaging-løsninger overholder ikke kun HIPAA-lovgivningen om beskyttelse af personlige oplysninger, men også de administrative, fysiske og tekniske krav i HIPAA-sikkerhedsreglen. Det betyder, at der er indført mekanismer til overvågning af sikre meddelelser og sikring af 100 % ansvarlighed for meddelelser, hvilket igen reducerer phone tag – den tid, som sundhedspersonalet spilder på at vente på bekræftelse af, at en meddelelse er modtaget eller et svar.
En nylig artikel i CNN Money rapporterede, at phone tag koster den amerikanske sundhedssektor mere end 7 milliarder dollars hvert år, og at implementeringen af sikre messaging-løsninger kunne fremskynde sundhedsprocesser som f.eks. hospitalsindlæggelser og udskrivninger af patienter. Separate undersøgelser har også vist, at sikker messaging fremskynder kommunikationen, fremmer samarbejdet og, når den er integreret med et EHR, reducerer patientsikkerhedshændelser og medicineringsfejl.
Med sikker messaging forbliver de oplysninger, der er beskyttet af HIPAA-lovgivningen om beskyttelse af privatlivets fred, kun autoriserede brugere får adgang til PHI, og sundhedsudbydere kan kommunikere med samme hastighed og bekvemmelighed som SMS eller e-mail, men uden risiko for uautoriseret videregivelse af PHI. Sikker messaging opfylder betingelserne i HIPAA’s love om beskyttelse af personlige oplysninger om, hvem der kan få adgang til PHI, på hvilke betingelser de kan bruges, og hvem de kan videregives til.
Nærmere oplysninger om HIPAA’s love om beskyttelse af personlige oplysninger
Hvis du ønsker at vide mere om HIPAA’s love om beskyttelse af personlige oplysninger, kan du finde yderligere oplysninger her.