Etsitkö HIPAA:n tiivistelmää tai HIPAA 101 -opasta?Aloita täältä.
HIPAA:n perusteiden ymmärtäminen voi tuntua pelottavalta. Asetuksen lukeminen tarkoittaa monimutkaisen lakitekstin läpikäymistä, ja kuulopuheisiin luottaminen voi johtaa enemmän väärinkäsityksiin kuin selvennyksiin.
Sentähden olemme koonneet tämän HIPAA 101 perusteet -oppaan. Saat kaiken tarvittavan, jotta ymmärrät lain luottavaisesti, helppolukuisena oppaana, joka auttaa sinua ymmärtämään HIPAA-vaatimustenmukaisuuden.
Mikä on HIPAA?
Vuoden 1996 sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Health Insurance Portability and Accountability Act of 1996, HIPAA) on joukko kansallisia normeja, jotka terveydenhuolto-organisaatioilla on oltava käytössään suojattujen terveystietojen (protected health information, PHI, suojattu terveystieto, jäljempänä ’PHI’-tieto’) yksityisyydensuojan ja tietoturvan takaamiseksi. PHI on mikä tahansa demografinen yksilöllisesti tunnistettava tieto, jota voidaan käyttää potilaan tunnistamiseen. Yleisiä esimerkkejä PHI:stä ovat nimet, osoitteet, sähköpostiosoitteet, puhelinnumerot, täydelliset kasvokuvat,
Katsotaanpa ennen aloittamista muutama keskeinen määritelmä, jotka liittyvät HIPAA:n perusteisiin.
HIPAA-asetuksessa hahmotellaan kahdentyyppisiä organisaatioita, joita ovat:
- Suojatut yksiköt (Covered Entities, CE): Terveydenhuollon palvelujen tarjoajat (Health Care Providers), sairausvakuutuslaitokset (Health Insurance Plan) ja terveydenhuollon tiedonsiirtoyhtiöt (Health Care Clearinghouses). CE:t osallistuvat suoraan PHI:n luomiseen, ja niiden on noudatettava täysimääräisesti HIPAA-asetusta.
- Business Associates (BA): Kaikki CE:n (tai muun BA:n) palkkaamat organisaatiot, jotka välttämättä kohtaavat PHI:tä sen työn aikana, jota varten heidät on palkattu. Yleisiä esimerkkejä BA:ista ovat tietotekniikkapalvelujen tarjoajat, käytäntöjen hallinnointiyritykset, fyysisen tallennuksen tarjoajat, pilvitallennuksen tarjoajat, sähköpostin salaus, tietojen varmuuskopiointi ja monet muut. BA:iden ei tarvitse noudattaa HIPAA:n tietosuojasääntöä kokonaisuudessaan, mutta niiden on noudatettava muita sovellettavia sääntelystandardeja.
HIPAA:han on tehty monia muutoksia, tarkistuksia ja lisäyksiä sen jälkeen, kun se otettiin käyttöön vuonna 1996. Yhdessä nämä ovat tulleet tunnetuiksi nimellä HIPAA-säännöt. HIPAA-sääntöihin kuuluvat:
- HIPAA Privacy Rule: Yksityisyyden suojaa koskevassa säännössä asetetaan kansalliset standardit henkilötietojen yksityisyydelle, eheydelle ja saatavuudelle. Säännössä hahmotellaan suojatoimet, jotka on otettava käyttöön sen varmistamiseksi, että PHI-tiedot pysyvät yksityisinä. Säännössä vahvistetaan myös ohjeet potilaiden oikeuksista saada tutustua potilastietoihinsa sekä käyttötarkoituksista, tietojen luovuttamisesta ja luvista, jotka CE:llä on oltava käytössään.
- HIPAA Security Rule: Turvallisuussääntö asettaa kansalliset standardit PHI-tietojen turvallisuuden ylläpitämiselle teknisten, fyysisten ja hallinnollisten suojatoimien avulla, jotka CE:iden ja BA:iden on toteutettava.
- HIPAA Breach Notification Rule: Breach Notification Rule (Tietoturvaloukkauksista ilmoittamista koskeva sääntö): Breach Notification Rule (Tietoturvaloukkauksista ilmoittamista koskeva sääntö) määrittelee prosessit, joita HIPAA:n alaisten yhteisöjen on noudatettava tietoturvaloukkauksen sattuessa. Säännön edellyttämät määräajat ja ilmoitusstandardit vaihtelevat sen mukaan, kuinka moneen henkilöön tietoturvaloukkaus vaikuttaa.
- HIPAA Omnibus Rule: Omnibus-säännöllä tehtiin useita merkittäviä muutoksia HIPAA-sääntelyyn, erityisesti BA:iden rooliin. Siitä lähtien, kun sääntö tuli ensimmäisen kerran voimaan vuonna 2013, BA-yrityksillä on ollut lainsäädännöllinen velvollisuus tulla HIPAA:n mukaisiksi. Lisäksi Omnibus-säännössä asetettiin tiukemmat säännöt liikekumppanuussopimusten tekemiselle, jota käsitellään myöhemmin tässä artikkelissa.
Nyt kun sinulla on käsitys HIPAA-vaatimustenmukaisuuden perusteista, perehdymme siihen, mitä käytäntösi tarvitsee, jotta se noudattaisi lakia tehokkaasti.
Miten HIPAA-vaatimustenmukaisuus saavutetaan
HIPAA-auditoinnit
Kaiken tehokkaan vaatimustenmukaisuusohjelman ensimmäinen vaihe on suorittaa sarja auditointeja. Näiden auditointien avulla saat perustason siitä, mikä on käytäntösi tilanne HIPAA-lainsäädännön suhteen.
Ei ole olemassa ennalta määriteltyä luetteloa auditoinneista, jotka on suoritettava, mutta nämä auditoinnit olisi kuitenkin suoritettava kaikissa liiketoimintasi osatekijöissä, jotta voidaan mitata HIPAA-standardien noudattamista. Kukin HIPAA-sääntö koostuu monista HIPAA-standardeista, joilla kullakin on omat täytäntöönpanomäärittelynsä. Jotta voit tarkastaa yrityksesi tehokkaasti, sinun on käytettävä näitä HIPAA-standardeja tarkastusten perustana. Tarkastamalla yrityksesi HIPAA-standardien perusteella saat käsityksen siitä, missä on puutteita vaatimustenmukaisuudessa, jolloin voit ryhtyä korjaamaan niitä myöhemmin.
Korjaussuunnitelmat
Kun olet suorittanut tarkastukset ja selvittänyt puutteet nykyisessä HIPAA-vaatimustenmukaisuudessasi, voit ryhtyä korjaamaan näitä puutteita.
Kullekin tarkastuksissasi esiin tulleelle puutteelle tulisi avata korjaussuunnitelmat. Ne on dokumentoitava täydellisesti yhteen keskitettyyn arkistoon, jossa on rajoitettu roolipohjainen käyttöoikeus korjaamisprosessiin osallistuvien osapuolten mukaan. Jokaisessa korjaussuunnitelmassa on määriteltävä vastuu jollekin henkilöstöön kuuluvalle henkilölle puutteen korjaamisesta sekä toimintakohteet ja toteutusaikataulu.
Kun organisaatiosi sulkee jokaisen puutteen, sinun on dokumentoitava prosessi, kunnes kaikki puutteet on suljettu.
Politiikat, menettelyt, työntekijöiden koulutus
Politiikat ja menettelyt ovat tehokkaan HIPAA-vaatimustenmukaisuusohjelman kulmakivi.
HIPAA-vaatimustenmukaisuutta noudattavilla organisaatioilla on oltava käytössään politiikat ja menettelyt, jotka kattavat kaikki HIPAA-standardit. Niiden tarkoituksena on luoda yhdenmukaiset prosessit organisaatiosi kaikkiin osiin PHI:n käsittelyä ja kaikkia muita HIPAA:n edellyttämiä täytäntöönpanomäärittelyjä varten.
Vaikka standardit, jotka kunkin toimintaohjeen ja -menettelyn on käsiteltävä, ovat samat jokaiselle HIPAA:n alaiselle organisaatiolle, toimintaohjeiden ja -menettelyjen varsinainen kieli on räätälöitävä organisaatiosi tarpeiden mukaan. Tämän vuoksi käytäntöjen kansioiden kaltaisen ratkaisun löytämistä ei pidetä tehokkaana ratkaisuna HIPAA-vaatimusten noudattamiseen. Jos organisaatiosi toteuttamat käytännöt eivät koske liiketoimintasi laajuutta, ne eivät pysty suojaamaan sinua HIPAA-loukkauksen sattuessa.
Kun organisaatiosi on ottanut käyttöön HIPAA-käytännöt ja -menettelyt, sinun on varmistettava, että kaikki työntekijät on koulutettu niiden sisältöön. Jotta tämä koulutus voidaan dokumentoida asianmukaisesti, kaikkien työntekijöiden on allekirjoitettava todistus siitä, että he ovat lukeneet ja ymmärtäneet kunkin politiikan sisällön. Nämä todistukset olisi otettava käyttöön, jotta organisaatiosi voi suojautua vastuulta siinä tapauksessa, että työntekijä aiheuttaa HIPAA-rikkomuksen, joka on ristiriidassa jonkin toimintatapasi kanssa.
Työntekijöiden koulutus on suoritettava vuosittain. Kaikki organisaatiosi palvelukseen tulevat uudet työntekijät on koulutettava käytännöistä ja menettelytavoista osana heidän perehdyttämisprosessiaan.
BA/Vendor Management
Toinen olennainen osa HIPAA-vaatimustenmukaisuutta on sen ymmärtäminen, miten suojata PHI-tiedot, joihin toimittajilla on pääsy. Kuten edellä todettiin, BA on palkkaamasi myyjä, jonka työhön liittyy välttämättä jonkinlaista PHI:n kohtaamista.
HIPAA:n mukaan organisaatiosi on tehtävä BAA-sopimus (Business Associate Agreement) kyseisen myyjän kanssa, ennen kuin PHI:tä voidaan jakaa. Tämä koskee CE:iden ja BA:iden välisiä suhteita sekä BA:n ja toisen BA:n välisiä suhteita (BA:n BA:ta kutsutaan HIPAA:n mukaan ”alihankkijaksi”).
BAA:t PITÄÄ tehdä ennen kuin mitään PHI:tä voidaan jakaa. Tehokkaassa BAA:ssa olisi todettava, että:
- Organisaatio 1 tunnustaa olevansa HIPAA:n alainen.
- Organisaation 1 BA tunnustaa olevansa HIPAA:n alainen.
- Vastuu tietoturvaloukkauksen sattuessa kuuluu tietoturvaloukkauksesta vastuussa olevalle osapuolelle.