Op zoek naar een HIPAA-samenvatting of HIPAA 101-gids? Begin hier.
Wanneer het aankomt op het begrijpen van HIPAA-basics, kan de taak ontmoedigend lijken. Het lezen van de verordening betekent het sorteren van ingewikkeld juridisch jargon, en vertrouwen op van horen zeggen kan leiden tot meer misverstanden dan verduidelijkingen.
Daarom hebben we deze HIPAA 101 The Basics-gids samengesteld. U krijgt alles wat u nodig hebt om de wet met vertrouwen te begrijpen, in een gemakkelijk te lezen gids om u te helpen de HIPAA-naleving te begrijpen.
Wat is HIPAA?
De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een reeks nationale normen die organisaties in de gezondheidszorg moeten hanteren om de privacy en veiligheid van beschermde gezondheidsinformatie (PHI) te beschermen. PHI is alle demografische, individueel identificeerbare informatie die kan worden gebruikt om een patiënt te identificeren. Veel voorkomende voorbeelden van PHI zijn namen, adressen, e-mails, telefoonnummers, volledige gezichtsfoto’s,
Voordat we beginnen, laten we eens kijken naar een paar belangrijke definities die betrekking hebben op HIPAA basics.
Er zijn twee soorten organisaties die in de HIPAA-regelgeving worden beschreven, waaronder:
- Covered Entities (CE): Zorgaanbieders, ziektekostenverzekeringsplannen, en clearinghouses voor de gezondheidszorg. CE’s zijn betrokken bij de directe creatie van PHI en moeten voldoen aan de volledige reikwijdte van de HIPAA-regelgeving.
- Business Associates (BA): Elke organisatie die door een CE (of andere BA) wordt ingehuurd en die noodzakelijkerwijs met PHI in aanraking zal komen in de loop van het werk waarvoor zij zijn ingehuurd om uit te voeren. Bekende voorbeelden van BA’s zijn IT-aanbieders, praktijkbeheerbedrijven, aanbieders van fysieke opslag, aanbieders van cloud-opslag, e-mailcodering, gegevensback-up, en vele anderen. BA’s hoeven niet te voldoen aan de HIPAA-privacyregel in zijn geheel, maar moeten voldoen aan de rest van de regelgevingsnormen die van toepassing zijn.
Sinds het voor het eerst werd uitgevaardigd in 1996, heeft HIPAA veel wijzigingen, herzieningen en toevoegingen ondergaan. Gezamenlijk zijn deze bekend geworden als de HIPAA-regels. De HIPAA-regels omvatten:
- HIPAA-privacyregel: De Privacy Rule stelt nationale normen voor de privacy, integriteit en beschikbaarheid van PHI. In de regel worden de waarborgen beschreven die moeten worden ingebouwd om ervoor te zorgen dat PHI privé blijft. De regel stelt ook richtlijnen vast voor het recht van patiënten op toegang tot hun medische dossiers, naast het gebruik, de openbaarmaking en de autorisaties die CE’s moeten hebben.
- HIPAA Security Rule: De Security Rule stelt nationale normen vast voor het handhaven van de beveiliging van PHI door middel van een reeks technische, fysieke en administratieve beveiligingen die CE’s en BA’s moeten implementeren.
- HIPAA Breach Notification Rule: De Breach Notification Rule beschrijft de processen die HIPAA-beheerde entiteiten moeten volgen in het geval van een datalek. Afhankelijk van het aantal personen dat door een bepaalde inbreuk wordt getroffen, zijn er verschillende tijdlijnen en meldingsnormen die de regel vereist.
- HIPAA Omnibus Rule: De Omnibus Rule bracht verschillende belangrijke wijzigingen aan in de HIPAA-regelgeving, specifiek met betrekking tot de rol van BA’s. Sinds de Regel in 2013 van kracht werd, zijn BA’s wettelijk verplicht om HIPAA-compliant te worden. Bovendien stelde de Omnibus Rule strengere regels vast voor de uitvoering van Business Associate Agreements, die later in dit stuk zullen worden besproken.
Nu u een gevoel hebt voor de fundamenten van HIPAA-naleving, zullen we een duik nemen in wat er nodig is voor uw praktijk om effectief aan de wet te voldoen.
Hoe wordt u HIPAA-conform
HIPAA-audits
De eerste stap in elk effectief compliance-programma is het uitvoeren van een reeks audits. Deze audits geven u een basislijn van waar uw praktijk staat ten opzichte van de HIPAA-wetgeving.
Er is geen vooraf vastgestelde lijst van audits die moeten worden uitgevoerd, maar deze audits moeten worden uitgevoerd voor alle elementen van uw bedrijf om te meten in hoeverre u voldoet aan de HIPAA-normen. Elke HIPAA-regel is samengesteld uit vele HIPAA-normen, elk met hun eigen implementatiespecificaties. Om uw bedrijf effectief te kunnen auditen, moet u deze HIPAA-normen gebruiken als basis voor uw audits. Door uw bedrijf te auditen aan de hand van de HIPAA-normen, krijgt u een idee van waar uw hiaten in de naleving zitten, zodat u ze later kunt gaan repareren.
Remediation Plans
Nadat u uw audits hebt voltooid en uw hiaten in uw huidige HIPAA-naleving hebt ontwikkeld, kunt u beginnen met het repareren van die hiaten.
Remediation plannen moeten worden geopend voor elk hiaat dat uw audits aan het licht hebben gebracht. Deze moeten volledig worden gedocumenteerd in een centrale repository, met beperkte rolgebaseerde toegang afhankelijk van de partijen die betrokken zijn bij het saneringsproces. Elk herstelplan moet de verantwoordelijkheid toewijzen aan iemand in uw personeel om de kloof te dichten, samen met actiepunten en een tijdlijn voor de voltooiing.
Naarmate uw organisatie elke kloof dicht, moet u het proces documenteren totdat alle kloven zijn gedicht.
Beleid, procedures, werknemersopleidingen
Beleid en procedures vormen de hoeksteen van een effectief HIPAA-complianceprogramma.
HIPAA-plichtige organisaties zijn verplicht om beleid en procedures te hebben die elke HIPAA-norm behandelen. Ze zijn bedoeld om uniforme processen te creëren in alle delen van uw organisatie voor het omgaan met PHI en alle andere HIPAA-gemandateerde implementatiespecificaties.
Hoewel de normen die elk beleid en elke procedure moeten adresseren voor elke HIPAA-beheerde entiteit hetzelfde zullen zijn, moet de feitelijke taal van het beleid en de procedures worden afgestemd op de behoeften van uw organisatie. Daarom wordt een oplossing zoals een beleidsmap niet beschouwd als een effectieve oplossing voor HIPAA-naleving. Als de beleidsregels die uw organisatie implementeert niet van toepassing zijn op de reikwijdte van uw bedrijf, zullen ze u niet kunnen beschermen in het geval van een HIPAA-overtreding.
Zodra uw organisatie HIPAA-beleid en -procedures heeft geïmplementeerd, moet u ervoor zorgen dat alle werknemers zijn getraind op de inhoud ervan. En om goed te documenteren dat deze opleiding heeft plaatsgevonden, moet uw organisatie alle werknemers een verklaring laten ondertekenen waarin staat dat zij de inhoud van elk beleid hebben gelezen en begrepen. Deze verklaringen moeten er zijn om uw organisatie te beschermen tegen aansprakelijkheid in het geval dat een werknemer een HIPAA-overtreding veroorzaakt die in strijd is met een van uw beleidsregels.
De opleiding van werknemers moet jaarlijks worden uitgevoerd. Nieuwe werknemers die zich bij uw organisatie voegen, moeten worden opgeleid over het beleid en de procedures als onderdeel van hun onboardingproces.
BA/Vendor Management
Een ander essentieel onderdeel van HIPAA-naleving is begrijpen hoe PHI moet worden beschermd die door verkopers wordt geraadpleegd. Zoals hierboven besproken, is een BA een door u ingehuurde leverancier wiens baan noodzakelijkerwijs een ontmoeting met enige vorm van PHI met zich meebrengt.
HIPAA schrijft voor dat voordat enige PHI kan worden gedeeld, uw organisatie een Business Associate Agreement (BAA) met deze leverancier moet sluiten. Dit geldt voor relaties tussen CE’s en BA’s, naast relaties tussen een BA en een andere (een BA van een BA wordt een “subcontractor” genoemd onder HIPAA).
BAA’s MOETEN worden uitgevoerd voordat enige PHI kan worden gedeeld. In een doeltreffende BAA moet het volgende staan:
- Organisatie 1 erkent dat zij gehouden is aan HIPAA.
- BA van organisatie 1 erkent dat zij gehouden is aan HIPAA.
- Aansprakelijkheid in geval van een datalek behoort toe aan de partij die verantwoordelijk is voor de inbreuk.