V předchozích příspěvcích jsme se zabývali historií HIPAA, zákona o přenositelnosti a dostupnosti zdravotního pojištění. Jak jsme již zmínili, HIPAA je soubor právních předpisů, který je rozdělen do pěti „hlav“, z nichž každá se týká jiného tématu. Z nich je vám pravděpodobně nejznámější hlava II, která se týká ochrany osobních údajů. Při hlubším prozkoumání hlavy II HIPAA však zjistíte, že se týká mnohem více než jen ochrany soukromí, a ve skutečnosti lze tvrdit, že je ze všech hlav nejrozsáhlejší.
Rozdělení hlavy II HIPAA
V rámci hlavy II HIPAA najdete pět pravidel:
- Pravidlo o ochraně osobních údajů
- Pravidlo o transakcích a souborech kódů
- Pravidlo o bezpečnosti
- Pravidlo o jedinečných identifikátorech
- Pravidlo o vynucování
Každé z nich je pak dále členěno tak, aby pokrývalo jeho jednotlivé části. Pro účely tohoto příspěvku se zaměříme na méně známé části hlavy II, ale vyprávění celého příběhu vyžaduje, abychom hovořili také o ochraně osobních údajů.
Je užitečné přemýšlet o hlavě II, jako by první oddíl byl zastřešujícím cílem – Prevence podvodů a zneužívání zdravotní péče. Pokud uděláte krok zpět a podíváte se na celou hlavu II, každá její část zapadá do prevence podvodů a části, které by se mohly zdát nesourodé, jsou opět uvedeny do souvislostí.
Pravidlo o ochraně soukromí
Většina pravidla o ochraně soukromí se týká chráněných zdravotních informací (PHI). Ve většině případů je jasné, co lze a nelze sdílet a s kým. Jedním z nezamýšlených důsledků Pravidla o ochraně osobních údajů je, že některá zařízení jsou ve skutečnosti ve svých výkladech příliš restriktivní. To znamená, že se doporučuje chybovat na straně opatrnosti kvůli závažným důsledkům, které jsou stanoveny v Pravidle pro prosazování.
Je snadné ztratit se v příslovečném plevelu Pravidla o ochraně osobních údajů, takže se nebudeme pouštět příliš daleko po této cestě. V rámci přehledu je třeba vědět, že klíčový je souhlas i zpřístupnění a že používání informací PHI je omezeno na šest oblastí:
- Pokud jsou zpřístupněny jednotlivci
- Pro léčbu, platby a operace
- Pokud je dán souhlas
- Pokud jsou použity náhodně
- Ve prospěch veřejného zájmu
- Pokud byly odstraněny informace umožňující osobní identifikaci
Několik z nich by mohlo vzbuzovat obavy, takže si o nich povíme. První je výjimka, která umožňuje „náhodné použití“. Ta je definována jako zpřístupnění, ke kterému dochází v rámci povoleného použití. HHS dále uvádí příklad, který citujeme zde:
návštěvník nemocnice může zaslechnout důvěrný rozhovor poskytovatele s jiným poskytovatelem nebo pacientem nebo může zahlédnout informace o pacientovi na zápisovém listu nebo na tabuli ošetřovatelské stanice. Pravidlo HIPAA o ochraně soukromí nemá za cíl bránit těmto obvyklým a nezbytným komunikacím a postupům, a proto nevyžaduje, aby bylo pro splnění jeho norem vyloučeno veškeré riziko náhodného použití nebo zveřejnění.
Druhou výjimkou je výjimka z veřejného zájmu, která se nebere na lehkou váhu. Veřejný zájem je striktně definován 12 pravidly, mezi něž patří ty, které vyžaduje zákon, oběti zneužití a účely vymáhání práva. Stačí říci, že výjimka veřejného zájmu neumožňuje snadné použití PHI.
Znovu bychom se mohli ponořit do hloubky pravidla o ochraně osobních údajů, ale podstatu věci již dobře chápeme, takže zde nechci trávit příliš mnoho času.
Pravidlo o transakcích a souborech kódů
Tady to začíná být opravdu zajímavé, zejména pro nás ve společnosti Eligible. Nejprve se vraťme k tomu, že všechny oblasti hlavy II jsou zaměřeny na prevenci podvodů a zneužití. Jedním z cílů zákona HIPAA je zefektivnit systém zdravotní péče ve Spojených státech a následně také zvýšit jeho bezpečnost. Efektivita vyžaduje standardizaci, a právě té se týká pravidlo o transakcích a souborech kódů. Před zavedením HIPAA vyžadovala každá transakce papírování nebo telefonování. Po zavedení HIPAA lze všechny tyto informace přenášet elektronicky.
Podle AMA si tento soubor pravidel vlastně vyžádal zdravotnický průmysl, aby pomohl vypořádat se s „dodatečnými náklady na účtování jednotlivcům za pokračování pojištění“. Logika žádosti se týká způsobů, jakými bylo třeba vytvářet, udržovat a uchovávat informace o pacientech v digitálním prostředí. Dále bylo s přechodem na elektronické zdravotní záznamy důležité mít pro tyto údaje standardizované metody.
Celá řada transakcí a sad kódů je příliš složitá na to, abychom ji zde rozebírali. Pro účely tohoto příspěvku tedy uvádíme, co byste měli vědět:
Všechno od prvního hlášení úrazu až po oprávněnost pacienta a žádost o status nároku má jedinečný typ transakce s odpovídajícím číslem. Pokud jste například viděli 270/271, jsou to kódy pro žádost o způsobilost a odpověď na tuto žádost. Každý z těchto typů transakcí byl formalizován akreditovanou normalizační komisí American National Standards Institute X12 (ANSI ASC X12 nebo jednoduše X12).
Pokud se na subjekt vztahuje HIPAA (a to se na většinu z nich vztahuje), je povinen používat pro elektronické transakce EDI X12.
Pravidlo bezpečnosti
Je asi nejjednodušší představit si pravidlo bezpečnosti v souvislosti s pravidlem ochrany osobních údajů. Tam, kde se pravidlo o ochraně soukromí týkalo všech forem PHI, se pravidlo o zabezpečení týká konkrétně elektronických PHI (ePHI). Stanovuje požadavky na ochranná opatření, která musí být zavedena, pokud se subjekt, na který se vztahuje HIPAA, rozhodne používat ePHI.
Tato ochranná opatření se dělí do tří oblastí:
- Administrativní
- Fyzické
- Technické
V rámci těchto oblastí jsou uvedeny podrobnosti o krocích, které musí krytý subjekt podniknout. Například administrativní záruky vyžadují, aby byly zavedeny písemné postupy ochrany osobních údajů, které se týkají autorizace, stanovení, změny a ukončení. Fyzické záruky vyžadují kontroly přístupu, jako jsou bezpečnostní plány, záznamy o údržbě a doprovody návštěvníků. A konečně technické záruky stanoví požadavky na používání kontrolních součtů, šifrování a dokumentaci.
Pravidlo o jedinečných identifikátorech
O identifikátorech NPI jste již pravděpodobně slyšeli. Národní identifikátor poskytovatele je desetimístný alfanumerický řetězec, který je jedinečný pro každý subjekt, na který se vztahuje HIPAA. Nenahrazuje číslo DEA, daňové identifikační číslo ani žádný jiný identifikátor a nemůže obsahovat žádné informace. Musí však existovat, aby subjekt, na který se vztahuje HIPAA, mohl zpracovávat a nakládat s PHI.
Pravidlo pro vymáhání
Takže teď, když jsme si vyložili všechny požadavky, které jsou stanoveny v hlavě II, co se stane, když budou porušeny? V tomto případě přichází na řadu pravidlo o prosazování. Pravidlo o prosazování spíše než pouhé konstatování, že za porušení bude uložena konkrétní pokuta, stanoví postupy pro vyšetřování, sankce a slyšení.
Podle pravidla Enforcement Rule se pokuty pohybují od 100 do 250 000 USD a liší se v závislosti na závažnosti porušení. Existuje také rozlišení mezi porušeními, ke kterým došlo náhodně, a těmi, která byla provedena vědomě. Jak lze odvodit, pokuta 100 USD by se stala, pokud by osoba omylem porušila HIPAA, zatímco nejvyšší pokuty jsou vyhrazeny pro přestupky, které mají v úmyslu prodat nebo předat PHI za účelem komerčního využití, osobního prospěchu nebo škodlivého úmyslu.
Lze říci, že hlava II je obrovský soubor pravidel a pokrývá širokou škálu témat. Pokud se však zaměříme na myšlenku, že všechny její části jsou zaměřeny na prevenci podvodů a zneužití, můžeme lépe pochopit, jak fungují.