De doelstellingen van de HIPAA-privacywetten
De HIPAA-privacywetten werden in 2002 uitgevaardigd met als doel de vertrouwelijkheid van de gezondheidsinformatie van patiënten te beschermen zonder de informatiestroom te belemmeren die nodig was om een behandeling te kunnen bieden. De HIPAA-privacywetten bepalen wie toegang heeft tot Protected Health Information (PHI), de voorwaarden waaronder het kan worden gebruikt, en aan wie het kan worden bekendgemaakt.
De HIPAA-privacywetten zijn niet alleen van toepassing op zorgverleners en de organisaties waarvoor ze werken. De wetten zijn van toepassing op elke entiteit die toegang kan hebben tot gezondheidsinformatie over een patiënt die – als deze in verkeerde handen zou vallen – een risico zou kunnen inhouden voor de financiën of reputatie van de patiënt. Daarom moeten zorgverzekeraars, clearinginstellingen voor de gezondheidszorg en werkgevers die interne gezondheidsplannen aanbieden ook voldoen aan de HIPAA-privacywetten.
De informatie die wordt beschermd door de HIPAA-privacywetten
De informatie die wordt beschermd door de HIPAA-privacywetten staat bekend als “Individueel Identificeerbare Gezondheidsinformatie”. Dit is alle informatie die de identiteit van een patiënt kan onthullen met betrekking tot:
- het verleden, het heden of de toekomst van de fysieke of mentale toestand van de patiënt,
- de levering van gezondheidszorgbehandeling en gezondheidszorgdiensten aan de patiënt, of
- het verleden, het heden of de toekomst van de betaling voor de levering van gezondheidszorg aan de patiënt.
Omdat de beschermde gegevens betalingsinformatie omvatten, omvat individueel identificeerbare gezondheidsinformatie niet alleen gegevens zoals namen, geboortedata, sofi-nummers en telefoonnummers, maar ook autoregistratienummers, creditcardgegevens en zelfs voorbeelden van het handschrift van een patiënt.
Het is belangrijk voor de betrokken entiteiten om op te merken dat de HIPAA-wetgeving inzake de bescherming van de persoonlijke levenssfeer niet alleen van toepassing is op gegevens die in schriftelijke vorm zijn opgeslagen. Afbeeldingen en video’s die individueel identificeerbare gezondheidsinformatie bevatten, worden ook beschermd door de HIPAA-wetgeving inzake de bescherming van de persoonlijke levenssfeer.
Als een zorgverlener bijvoorbeeld een foto van de wond van een patiënt zou maken – en de identiteit van de patiënt zou kunnen worden vastgesteld aan de hand van een onderscheidend kenmerk – zou de vertrouwelijkheid en openbaarmaking van de foto onderworpen zijn aan de voorwaarden in de HIPAA-wetgeving inzake de bescherming van de persoonlijke levenssfeer.
PHI: Wie, wanneer en hoe?
De HIPAA-wetten inzake de bescherming van de persoonlijke levenssfeer in verband met PHI zijn van toepassing op elke gedekte entiteit en elke externe dienstverlener (of “Business Associate”) waarmee de gedekte entiteit zaken doet. Dit zijn de enige partijen die toegang mogen hebben tot PHI, tenzij de patiënt toestemming heeft gegeven om deze openbaar te maken voor onderzoeks-, marketing- of fondsenwervingsdoeleinden.
De openbaarmaking van PHI ten behoeve van behandeling, betaling of gezondheidszorgoperaties moet binnen een gedekte entiteit of Business Associate blijven – tenzij de openbaarmaking wettelijk verplicht is, in het algemeen belang is of in het belang van de patiënt (bijvoorbeeld als de patiënt het slachtoffer is van kindermishandeling, verwaarlozing of huiselijk geweld).
En dan nog schrijft de HIPAA-privacywetgeving voor dat de betrokken entiteiten zich moeten houden aan de “Minimum Necessary Rule” – een regel die stelt dat de openbaarmaking van PHI alleen het minimaal noodzakelijke mag zijn om het gestelde doel te bereiken. Elk verzoek om openbaarmaking moet ook per geval worden beoordeeld, in plaats van een Business Associate toegang te geven tot PHI omdat deze eerder toegang heeft gekregen.
De ongeoorloofde openbaarmaking van PHI
Elke gedekte entiteit moet waarborgen implementeren om de ongeoorloofde openbaarmaking van PHI te voorkomen. Deze voorzorgsmaatregelen variëren naar gelang van de omvang van de betrokken entiteit en de aard van de gezondheidszorg die zij verleent, maar de sancties voor het niet beschermen van de integriteit van PHI kunnen zeer hoog zijn. Organisaties in de gezondheidszorg die zich opzettelijk of uit onachtzaamheid niet aan de HIPAA-privacywetten houden, kunnen een boete krijgen tot $ 50.000 per overtreding per dag.
Volgens het Office for Civil Rights van het Department of Health and Human Resources is de meest voorkomende reden voor de ongeoorloofde openbaarmaking van PHI het verlies of de diefstal van persoonlijke mobiele apparaten en draagbare media-apparaten (laptops, smartphones en USB-flashstations). Daarom hebben veel organisaties in de gezondheidszorg ervoor gekozen om oplossingen voor beveiligde berichtenuitwisseling te implementeren als geschikte vervanging voor onveilige communicatiekanalen zoals sms en e-mail.
Oplossingen voor beveiligde berichtenuitwisseling versleutelen PHI zodat het onleesbaar en onbruikbaar is als het onderweg wordt onderschept, en ze hebben ook beveiligingsmechanismen om ervoor te zorgen dat PHI niet per ongeluk of kwaadwillig kan worden verzonden buiten het privécommunicatienetwerk van een gedekte entiteit of kan worden gekopieerd naar een USB-flashstation. Indien een persoonlijk mobiel toestel verloren gaat of wordt gestolen, bestaan er administratieve controlemechanismen om op afstand alle door het toestel ontvangen PHI te wissen en de voor beveiligde berichtenuitwisseling gebruikte app te vergrendelen. Deze controles werken ook op desktopcomputers.
De voordelen van oplossingen voor beveiligd berichtenverkeer
Niet alleen voldoen oplossingen voor beveiligd berichtenverkeer aan de HIPAA-privacywetten, maar ook aan de administratieve, fysieke en technische vereisten van de HIPAA-beveiligingsregel. Dit betekent dat er mechanismen zijn om beveiligde berichten te bewaken en te zorgen voor 100% berichtverantwoordelijkheid, wat op zijn beurt de ‘phone tag’ vermindert – de hoeveelheid tijd die zorgverleners verspillen aan het wachten op bevestiging dat een bericht is ontvangen of een antwoord.
Een recent artikel in CNN Money meldde dat ‘phone tag’ de Amerikaanse gezondheidszorg elk jaar meer dan $ 7 miljard kost en dat de implementatie van beveiligde messaging-oplossingen zorgprocessen zoals ziekenhuisopnames en ontslagen van patiënten zou kunnen versnellen. Afzonderlijke studies hebben ook aangetoond dat beveiligd berichtenverkeer de communicatie versnelt, de samenwerking bevordert en, wanneer geïntegreerd met een EHR, de incidenten op het gebied van patiëntveiligheid en medicatiefouten vermindert.
Met beveiligd berichtenverkeer blijft de door de HIPAA-privacywetten beschermde informatie beschermd, krijgen alleen geautoriseerde gebruikers toegang tot PHI en kunnen zorgverleners communiceren met dezelfde snelheid en hetzelfde gemak als sms of e-mail, maar zonder het risico te lopen op ongeautoriseerde openbaarmaking van PHI. Beveiligde berichtenuitwisseling voldoet aan de voorwaarden van de HIPAA-privacywetten over wie toegang heeft tot PHI, de voorwaarden waaronder het kan worden gebruikt, en aan wie het kan worden bekendgemaakt.
Volgende informatie over HIPAA-privacywetten
Als u meer wilt weten over de HIPAA-privacywetten, kunt u hier aanvullende informatie vinden.