Målen med HIPAA Privacy Laws
HIPAA Privacy Laws antogs första gången 2002 med målet att skydda sekretessen för patienternas hälsouppgifter utan att hindra det informationsflöde som krävs för att ge behandling. HIPAA-lagarna reglerar vem som kan få tillgång till skyddad hälsoinformation (Protected Health Information, PHI), på vilka villkor den kan användas och vem den kan lämnas ut till.
HIPAA-lagarna om skyddad hälsoinformation gäller inte bara för vårdgivare och de organisationer som de arbetar för. Lagarna gäller för alla enheter som kan ha tillgång till hälso- och sjukvårdsinformation om en patient som – om den skulle hamna i fel händer – skulle kunna utgöra en risk för skada på patientens ekonomi eller rykte. Därför måste även sjukförsäkringsbolag, clearinghus för hälso- och sjukvård och arbetsgivare som tillhandahåller interna hälsoplaner följa HIPAA:s sekretesslagar.
Den information som skyddas av HIPAA:s sekretesslagar
Den information som skyddas av HIPAA:s sekretesslagar kallas för ”Individually Identifiable Health Information” (individuellt identifierbar hälsoinformation). Detta är all information som kan avslöja en patients identitet när det gäller:
- patientens tidigare, nuvarande eller framtida fysiska eller psykiska tillstånd,
- tillhandahållande av vårdbehandling och vårdtjänster till patienten, eller
- tidigare, nuvarande eller framtida betalning för tillhandahållande av vård till patienten.
Då de skyddade uppgifterna omfattar betalningsinformation, omfattar individuellt identifierbar hälsoinformation inte bara uppgifter som namn, födelsedatum, personnummer och telefonnummer, utan även bilregistreringsnummer, kreditkortsinformation och till och med exempel på patientens handstil.
Det är viktigt för de berörda enheterna att notera att HIPAA:s sekretesslagar inte bara gäller uppgifter som sparats i ett skriftligt format. Bilder och videor som innehåller individuellt identifierbar hälsoinformation skyddas också av HIPAA:s sekretesslagar.
Om till exempel en vårdgivare tog ett foto av en patients sår – och patientens identitet kunde fastställas med hjälp av något särskiljande kännetecken – skulle sekretessen och utlämnandet av fotot omfattas av villkoren i HIPAA:s sekretesslagar.
PHI: Vem, när och hur?
HIPAA:s sekretesslagar om PHI gäller för varje täckt enhet och varje tredjepartsleverantör (eller ”Business Associate”) som den täckta enheten gör affärer med. Dessa är de enda parter som ska ha tillgång till PHI, såvida inte patienten har gett sitt tillstånd till att den avslöjas för forsknings-, marknadsförings- eller insamlingssyften.
Offentliggörande av PHI i samband med behandling, betalning eller hälso- och sjukvårdsinsatser måste ske inom en täckt enhet eller en Business Associate – såvida inte offentliggörandet är lagstadgat, ligger i allmänhetens eller patientens intresse (t.ex. om patienten har utsatts för misshandel av barn, försummelse eller våld i hemmet).
Även då föreskriver HIPAA:s lagar om skydd av privatlivet att de berörda enheterna ska följa ”Minimum Necessary Rule” – en regel som säger att utlämnandet av PHI endast ska vara det minimum som är nödvändigt för att uppnå det angivna syftet. Varje begäran om utlämnande bör också granskas från fall till fall, snarare än att ge tillgång till PHI till en affärspartner för att de har fått tillgång tidigare.
Otillåtet utlämnande av PHI
Varje täckt enhet är skyldig att införa skyddsåtgärder för att förhindra obehörigt utlämnande av PHI. Dessa skyddsåtgärder kommer att variera beroende på den täckta enhetens storlek och vilken typ av hälso- och sjukvård den tillhandahåller, men straffen för att inte skydda PHI:s integritet kan vara extremt höga. Hälso- och sjukvårdsorganisationer som avsiktligt eller av oaktsamhet underlåter att följa HIPAA:s sekretesslagar kan dömas till böter på upp till 50 000 dollar per överträdelse och dag.
Enligt Department of Health and Human Resources´ Office for Civil Rights är den vanligaste orsaken till obehörigt utlämnande av PHI förlusten eller stölden av personliga mobila enheter och bärbara mediaenheter (bärbara datorer, smarttelefoner och USB-flash-minnen). Av denna anledning har många sjukvårdsorganisationer valt att införa lösningar för säkra meddelanden som lämpliga ersättare för osäkra kommunikationskanaler som SMS och e-post.
Säkra meddelandelösningar krypterar PHI så att den är omöjlig att tyda och oanvändbar om den skulle avlyssnas under transporten, och de har också säkerhetsmekanismer för att se till att PHI inte kan sändas oavsiktligt eller illasinnat utanför den täckta enhetens privata kommunikationsnätverk eller kopieras till ett USB-minnesminne. Om en personlig mobil enhet förloras eller stjäls finns det administrativa kontroller för att på distans radera all PHI som mottagits av enheten och låsa den app som används för säkra meddelanden. Dessa kontroller fungerar även på stationära datorer.
Fördelarna med lösningar för säkra meddelanden
Säkra meddelandelösningar uppfyller inte bara HIPAA:s integritetslagar, utan även de administrativa, fysiska och tekniska kraven i HIPAA:s säkerhetsregel. Detta innebär att det finns mekanismer för att övervaka säkra meddelanden och säkerställa en hundraprocentig ansvarighet för meddelanden, vilket i sin tur minskar antalet telefonsamtal – den tid som sjukvårdspersonal slösar bort i väntan på en bekräftelse på att ett meddelande har mottagits eller på ett svar.
En färsk artikel i CNN Money rapporterade att telefonsamtal kostar den amerikanska sjukvårdsbranschen mer än 7 miljarder dollar varje år och att införandet av lösningar för säkra meddelanden skulle kunna påskynda vårdprocesser, t.ex. sjukhusintag och utskrivningar av patienter. Separata studier har också visat att säkra meddelanden påskyndar kommunikationen, främjar samarbete och, när de är integrerade med ett EHR, minskar patientsäkerhetsincidenter och medicineringsfel.
Med säkra meddelanden förblir den information som skyddas av HIPAA:s integritetslagar skyddad, endast auktoriserade användare får tillgång till PHI och vårdgivare kan kommunicera med samma snabbhet och bekvämlighet som SMS eller e-post, men utan att riskera obehörigt avslöjande av PHI. Säker meddelandehantering uppfyller villkoren i HIPAA:s sekretesslagar om vem som kan få tillgång till PHI, på vilka villkor den kan användas och vem den kan lämnas ut till.
Mer information om HIPAA:s sekretesslagar
Om du vill veta mer om HIPAA:s sekretesslagar kan du hitta ytterligare information här.