A HIPAA adatvédelmi törvények céljai
A HIPAA adatvédelmi törvényeket először 2002-ben hozták meg azzal a céllal, hogy megvédjék a betegek egészségügyi információinak bizalmas jellegét anélkül, hogy akadályoznák a kezeléshez szükséges információáramlást. A HIPAA adatvédelmi törvények szabályozzák, hogy ki férhet hozzá a védett egészségügyi információkhoz (Protected Health Information, PHI), milyen feltételek mellett használhatók fel, és kinek adhatók át.
A HIPAA adatvédelmi törvények nem csak az egészségügyi szolgáltatókra és az általuk foglalkoztatott szervezetekre vonatkoznak. A törvények minden olyan szervezetre vonatkoznak, amely hozzáférhet egy betegre vonatkozó egészségügyi információkhoz, amelyek – ha rossz kezekbe kerülnének – a beteg pénzügyeit vagy jó hírnevét veszélyeztethetik. Ezért az egészségbiztosítóknak, az egészségügyi elszámolóházaknak és a házon belüli egészségügyi terveket nyújtó munkáltatóknak is meg kell felelniük a HIPAA adatvédelmi törvényeknek.
A HIPAA adatvédelmi törvények által védett információk
A HIPAA adatvédelmi törvények által védett információkat “egyénileg azonosítható egészségügyi információknak” nevezik. Ez minden olyan információ, amely felfedheti a beteg személyazonosságát, tekintettel:
- a beteg múltbeli, jelenlegi vagy jövőbeli fizikai vagy mentális állapotára,
- a betegnek nyújtott egészségügyi kezelésre és egészségügyi szolgáltatásokra, vagy
- a betegnek nyújtott egészségügyi ellátás múltbeli, jelenlegi vagy jövőbeli fizetésére.
Mivel a védett adatok közé tartoznak a fizetési információk is, az egyénileg azonosítható egészségügyi információk nem csak olyan adatokat tartalmaznak, mint a név, a születési dátum, a társadalombiztosítási szám és a telefonszám, hanem az autó rendszámát, a hitelkártya adatait, sőt még a beteg kézírásának mintáit is.
Az érintett szervezetek számára fontos megjegyezni, hogy a HIPAA adatvédelmi törvényei nem csak az írásos formában tárolt adatokra vonatkoznak. Azokat a képeket és videókat is védik a HIPAA adatvédelmi törvényei, amelyek egyénileg azonosítható egészségügyi információkat tartalmaznak.
Ha például egy egészségügyi szolgáltató fényképet készítene egy beteg sebéről – és a beteg személyazonossága bármely megkülönböztető jegy alapján megállapítható lenne -, a fénykép bizalmas kezelése és nyilvánosságra hozatala a HIPAA adatvédelmi törvényeiben foglalt feltételek hatálya alá tartozna.
PHI:
A PHI-re vonatkozó HIPAA adatvédelmi törvények minden fedezett szervezetre és minden olyan harmadik fél szolgáltatóra (vagy “üzleti partnerre”) vonatkoznak, akivel a fedezett szervezet üzleti kapcsolatban áll. Csak ezek a felek férhetnek hozzá a PHI-hez, kivéve, ha a beteg engedélyt ad arra, hogy azt kutatási, marketing vagy adománygyűjtési célokra kiadják.
A PHI kezelés, fizetés vagy egészségügyi műveletek céljából történő kiadása csak a fedezett szervezeten vagy üzleti társult vállalkozáson belül történhet – kivéve, ha a kiadást törvény írja elő, az a közérdek vagy a beteg érdekeit szolgálja (például, ha a beteg gyermekbántalmazás, elhanyagolás vagy családon belüli erőszak áldozata).
A HIPAA adatvédelmi törvényei még ebben az esetben is előírják, hogy a fedezett szervezeteknek be kell tartaniuk a “minimálisan szükséges szabályt” – egy olyan szabályt, amely kimondja, hogy a PHI-t csak a megadott cél eléréséhez minimálisan szükséges mértékben szabad nyilvánosságra hozni. Minden egyes közzétételi kérelmet eseti alapon is felül kell vizsgálni, ahelyett, hogy azért adnának hozzáférést a PHI-hez egy üzleti társultnak, mert korábban már engedélyezték a hozzáférést.
A PHI jogosulatlan közzététele
Minden fedezett szervezetnek biztosítékokat kell bevezetnie a PHI jogosulatlan közzétételének megakadályozása érdekében. Ezek a biztosítékok a fedezett szervezet méretétől és az általa nyújtott egészségügyi ellátás jellegétől függően változnak, de a PHI integritásának védelmének elmulasztásáért kiszabható büntetések rendkívül magasak lehetnek. Azok az egészségügyi szervezetek, amelyek szándékosan vagy gondatlanságból nem tartják be a HIPAA adatvédelmi törvényeit, szabálysértésenként és naponta akár 50 000 USD bírsággal is sújthatók.
Az Egészségügyi és Emberi Erőforrások Minisztériumának Polgári Jogi Hivatala szerint a PHI jogosulatlan felfedésének leggyakoribb oka a személyes mobileszközök és hordozható médiaeszközök (laptopok, okostelefonok és USB flash meghajtók) elvesztése vagy ellopása. Emiatt számos egészségügyi szervezet úgy döntött, hogy biztonságos üzenetküldési megoldásokat vezet be, amelyek alkalmasak a nem biztonságos kommunikációs csatornák, például az SMS és az e-mail helyettesítésére.
A biztonságos üzenetküldési megoldások titkosítják a PHI-t, hogy az megfejthetetlen és használhatatlan legyen, ha az útközben lehallgatják, és olyan biztonsági mechanizmusokkal is rendelkeznek, amelyek biztosítják, hogy a PHI-t nem lehet véletlenül vagy rosszindulatúan az érintett szervezet magán kommunikációs hálózatán kívülre küldeni vagy USB flash meghajtóra másolni. Abban az esetben, ha egy személyes mobileszköz elveszik vagy ellopják, az adminisztratív ellenőrzések lehetővé teszik az eszköz által fogadott PHI távoli törlését és a biztonságos üzenetküldésre használt alkalmazás zárolását. Ezek az ellenőrzések asztali számítógépeken is működnek.
A biztonságos üzenetküldési megoldások előnyei
A biztonságos üzenetküldési megoldások nemcsak a HIPAA adatvédelmi törvényeknek, hanem a HIPAA biztonsági szabályának adminisztratív, fizikai és technikai követelményeinek is megfelelnek. Ez azt jelenti, hogy léteznek mechanizmusok a biztonságos üzenetek ellenőrzésére és az üzenetek 100%-os elszámolhatóságának biztosítására, ami viszont csökkenti a telefonos üzenetek számát – az egészségügyi szakemberek által elvesztegetett időt, amikor az üzenet kézhezvételének megerősítésére vagy a válaszra várnak.
A CNN Money egy nemrégiben megjelent cikke szerint a telefonos üzenetek évente több mint 7 milliárd dollárba kerülnek az amerikai egészségügyi ágazatnak, és a biztonságos üzenetküldési megoldások bevezetése felgyorsíthatja az egészségügyi folyamatokat, például a kórházi felvételeket és a betegek elbocsátását. Külön tanulmányok azt is kimutatták, hogy a biztonságos üzenetküldés felgyorsítja a kommunikációt, elősegíti az együttműködést, és az EHR-rel integrálva csökkenti a betegbiztonsági incidenseket és a gyógyszerelési hibákat.
A biztonságos üzenetküldéssel a HIPAA adatvédelmi törvények által védett információk védettek maradnak, csak a jogosult felhasználók férnek hozzá a PHI-hez, és az egészségügyi szolgáltatók ugyanolyan gyorsan és kényelmesen kommunikálhatnak, mint az SMS vagy az e-mail, de a PHI jogosulatlan felfedésének kockázata nélkül. A biztonságos üzenetküldés megfelel a HIPAA adatvédelmi törvények azon feltételeinek, hogy kik férhetnek hozzá a PHI-hez, milyen feltételek mellett használhatók fel, és kinek adhatók át.
Bővebb információ a HIPAA adatvédelmi törvényekről
Ha többet szeretne megtudni a HIPAA adatvédelmi törvényekről, itt talál további információkat.
További információkat itt talál.