HIPAA-tietosuojalakien tavoitteet
HIPAA-tietosuojalakeja säädettiin ensimmäisen kerran vuonna 2002, ja niiden tavoitteena oli suojella potilaiden terveystietojen luottamuksellisuutta estämättä kuitenkaan hoidon tarjoamisen edellyttämää tiedonkulkua. HIPAA:n tietosuojalailla säännellään sitä, kenellä voi olla pääsy suojattuihin terveystietoihin (Protected Health Information, PHI), millä edellytyksillä niitä voidaan käyttää ja kenelle niitä voidaan luovuttaa.
HIPAA:n tietosuojalakeja ei sovelleta ainoastaan terveydenhuollon tarjoajiin ja organisaatioihin, joissa he työskentelevät. Lakeja sovelletaan kaikkiin yhteisöihin, joilla voi olla pääsy potilasta koskeviin terveystietoihin, jotka – jos ne joutuisivat vääriin käsiin – voisivat aiheuttaa vahinkoa potilaan taloudelle tai maineelle. Näin ollen myös sairausvakuutusyhtiöiden, terveydenhuollon selvitysyhteisöjen ja sisäisiä terveydenhuoltosuunnitelmia tarjoavien työnantajien on noudatettava HIPAA:n yksityisyyden suojaa koskevia lakeja.
HIPAA:n yksityisyyden suojaa koskevien lakien suojaamat tiedot
HIPAA:n yksityisyyden suojaa koskevien lakien suojaamat tiedot tunnetaan nimellä ”yksilöllisesti yksilöitävissä olevat terveystiedot”. Näitä ovat kaikki tiedot, jotka voivat paljastaa potilaan henkilöllisyyden ja jotka liittyvät:
- potilaan aikaisempaan, nykyiseen tai tulevaan fyysiseen tai psyykkiseen tilaan,
- terveydenhuollon hoidon ja terveydenhuoltopalvelujen tarjoamiseen potilaalle tai
- aikaisempaan, nykyiseen tai tulevaan maksuun terveydenhuollon tarjoamisesta potilaalle.
Koska suojattuihin tietoihin sisältyy maksutietoja, yksilöllisesti tunnistettavissa oleviin terveystietoihin ei kuulu ainoastaan nimien, syntymäaikojen, sosiaaliturvatunnusten ja puhelinnumeroiden kaltaisia tietoja, vaan myös auton rekisterinumeroita, luottokorttitietoja ja jopa esimerkkejä potilaan käsialasta.
Suojauksen piiriin kuuluvien tahojen on tärkeää huomioida, että yksityisyydensuojaa koskevia HIPAA-lainsäädäntöjä ei sovelleta vain kirjallisessa muodossa tallennettuihin tietoihin. Myös kuvat ja videot, jotka sisältävät yksilöllisesti tunnistettavia terveystietoja, ovat HIPAA:n yksityisyydensuojalakien suojaamia.
Jos esimerkiksi terveydenhuollon tarjoaja ottaisi valokuvan potilaan haavasta – ja potilaan henkilöllisyys voitaisiin todeta minkä tahansa tuntomerkin perusteella – valokuvan luottamuksellisuuteen ja luovuttamiseen sovellettaisiin HIPAA:n yksityisyydensuojalakeihin sisältyviä ehtoja.
PHI:
HIPAA:n tietosuojaa koskevia lakeja, jotka koskevat PHI:tä, sovelletaan jokaiseen suojattuun yksikköön ja jokaiseen kolmannen osapuolen palveluntarjoajaan (tai ”liiketoimintayhteistyökumppaniin”), jonka kanssa suojattu yksikkö harjoittaa liiketoimintaa. Nämä ovat ainoat tahot, joilla pitäisi olla pääsy PHI-tietoihin, ellei potilas ole antanut lupaa tietojen luovuttamiseen tutkimus-, markkinointi- tai varainhankintatarkoituksiin.
Hoitoa, maksuja tai terveydenhuollon toimintoja varten tapahtuvan PHI-tietojen luovuttamisen on tapahduttava vain katetun yksikön tai liiketoimintayhteistyökumppanin sisällä, paitsi jos luovuttamista edellytetään laissa, jos se on yleisen edun mukaista tai jos se on potilaan edun mukaista (esimerkiksi jos potilas on lapsen pahoinpitelyn, laiminlyönnin tai perheväkivallan uhri).
Tällöinkin HIPAA:n tietosuojalainsäädännössä määrätään, että suojattujen yksiköiden on noudatettava ”Minimum Necessary Rule” -sääntöä – sääntöä, jonka mukaan PHI-tietojen luovuttamisen on oltava vain niin vähäistä kuin on tarpeen ilmoitetun tarkoituksen saavuttamiseksi. Jokainen luovutuspyyntö olisi myös tarkasteltava tapauskohtaisesti, eikä PHI-tietoja saisi luovuttaa liiketoimintayhteistyökumppanille sen vuoksi, että heille on myönnetty pääsy aiemmin.
PHI-tietojen luvaton luovuttaminen
Jokainen katettu yksikkö on velvollinen toteuttamaan suojatoimia, joilla estetään PHI-tietojen luvaton luovuttaminen. Nämä suojatoimet vaihtelevat katetun yksikön koon ja sen tarjoaman terveydenhuollon luonteen mukaan, mutta rangaistukset PHI:n eheyden turvaamisen laiminlyönnistä voivat olla erittäin korkeat. Terveydenhuolto-organisaatioille, jotka tahallaan tai huolimattomuudesta laiminlyövät HIPAA:n tietosuojalakien noudattamisen, voidaan määrätä jopa 50 000 dollarin sakko rikkomuksesta päivässä.
Terveys- ja henkilöresurssien ministeriön (Department of Health and Human Resources’s Office for Civil Rights) mukaan yleisin syy PHI-tietojen luvattomaan luovuttamiseen on henkilökohtaisten mobiililaitteiden ja kannettavien tietovälineitä käyttävien välineiden (kannettavat tietokoneet, älypuhelimet ja USB-muistitikut) katoaminen tai varastaminen. Tästä syystä monet terveydenhuollon organisaatiot ovat päättäneet ottaa käyttöön suojattuja viestintäratkaisuja, joilla korvataan turvattomat viestintäkanavat, kuten tekstiviestit ja sähköposti.
Turvalliset viestintäratkaisut salakirjoittavat PHI-tiedot niin, että niitä ei voida lukea ja käyttää, jos ne siepataan kuljetuksen aikana, ja niissä on myös turvamekanismeja, joilla varmistetaan, että PHI-tietoja ei voida lähettää vahingossa tai ilkivaltaisesti suojattujen yksiköiden yksityisen viestintäverkon ulkopuolelle tai kopioida USB-muistitikulle. Jos henkilökohtainen mobiililaite katoaa tai varastetaan, on olemassa hallinnolliset valvontatoimet, joiden avulla laitteella vastaanotetut PHI-tiedot voidaan poistaa etänä ja turvalliseen viestinvälitykseen käytetty sovellus lukita. Nämä kontrollit toimivat myös pöytätietokoneissa.
Suojatun viestinvälityksen ratkaisujen edut
Suojatun viestinvälityksen ratkaisut täyttävät paitsi HIPAA:n tietosuojalainsäädännön myös HIPAA Security Rule -säännön hallinnolliset, fyysiset ja tekniset vaatimukset. Tämä tarkoittaa, että käytössä on mekanismeja, joilla valvotaan suojattuja viestejä ja varmistetaan 100-prosenttinen viestin vastuullisuus, mikä puolestaan vähentää phone tag – aikaa, jota terveydenhuollon ammattilaiset tuhlaavat odottamalla vahvistusta siitä, että viesti on vastaanotettu, tai vastausta.
CNN Money -lehden äskettäisessä artikkelissa kerrottiin, että phone tag -palvelut maksavat Yhdysvaltojen terveydenhuoltoalalle yli 7 miljardia dollaria vuodessa ja että suojattujen viestinvälitysratkaisujen käyttöönotto voisi nopeuttaa terveydenhuoltoprosesseja, kuten sairaaloiden sisäänottoja ja potilaiden kotiutuksia. Erilliset tutkimukset ovat myös osoittaneet, että suojattu viestinvälitys nopeuttaa viestintää, edistää yhteistyötä ja, kun se on integroitu sähköiseen potilastietojärjestelmään, vähentää potilasturvallisuuteen liittyviä vaaratilanteita ja lääkitysvirheitä.
Suojatun viestinvälityksen avulla HIPAA-tietosuojaa koskevien lakien suojaamat tiedot pysyvät suojattuina, vain valtuutetut käyttäjät pääsevät käsiksi PHI-tietoihin, ja terveydenhuollon palveluntarjoajat voivat viestiä tekstiviestejä ja sähköpostia nopeammin ja kätevämmin, mutta vaarantamatta PHI-tietojen luvatonta paljastumista. Suojattu viestinvälitys täyttää HIPAA-tietosuojalakien ehdot, jotka koskevat sitä, kenellä on pääsy PHI-tietoihin, millä edellytyksillä niitä voidaan käyttää ja kenelle niitä voidaan luovuttaa.
Lisätietoa HIPAA-tietosuojalakeista
Jos haluat lisätietoja HIPAA-tietosuojalakeista, löydät lisätietoja täältä.