By Leave a Comment on HIPAA afsnit II – et overblik fra beskyttelse af personlige oplysninger til håndhævelse

I vores tidligere indlæg har vi diskuteret historien om HIPAA, Health Insurance Portability and Accessibility Act. Som vi tidligere har nævnt, er HIPAA et sæt lovgivning, der er opdelt i fem “titler”, som hver dækker et andet emne. Af disse er afsnit II det afsnit, som du sandsynligvis vil være mest bekendt med, da det dækker privatlivets fred. Men en nærmere undersøgelse af HIPAA afsnit II afslører, at det handler om meget mere end blot privatlivets fred, og man kan faktisk hævde, at det er det afsnit, der har den største bredde af alle afsnit.

HIPAA afsnit II opdeling

I afsnit II i HIPAA finder du fem regler:

  1. Privacy Rule
  2. Transactions and Code Sets Rule
  3. Security Rule
  4. Unique Identifiers Rule
  5. Enforcement Rule

Hver af disse er så yderligere opdelt for at dække de forskellige dele. I dette indlæg vil vi fokusere på de mindre kendte dele af afsnit II, men for at fortælle hele historien er det nødvendigt, at vi også taler om privatlivets fred.

Det er nyttigt at tænke på afsnit II som om det første afsnit er det overordnede mål – Forebyggelse af svig og misbrug i sundhedsvæsenet. Hvis man træder et skridt tilbage og ser på hele afsnit II, falder hver del ind under forebyggelse af svig, og de dele, der kan virke uensartede, bliver sat tilbage i sammenhæng.

Privacy Rule

Størstedelen af Privacy Rule dækker beskyttede sundhedsoplysninger (Protected Health Information (PHI)). I de fleste tilfælde er det klart, hvad der kan og ikke kan deles, og med hvem. En utilsigtet konsekvens af Privacy Rule er, at nogle faciliteter i virkeligheden er for restriktive i deres fortolkninger. Når det er sagt, anbefales det at være forsigtig på grund af de alvorlige konsekvenser, der er beskrevet i håndhævelsesreglen.

Det er let at fortabe sig i det ordsproglige ukrudt i Privacy Rule, så vi vil ikke vove os for langt ned ad denne vej. Som et overblik er det, du skal vide, at samtykke og videregivelse begge er centrale, og at brugen af PHI er begrænset til seks områder:

  • Ved videregivelse til den enkelte
  • Til behandling, betaling og drift
  • Hvis der er givet tilladelse
  • Ved tilfældig anvendelse
  • I almenhedens interesse
  • Når personligt identificerbare oplysninger er blevet fjernet

Et par af disse punkter kan give anledning til røde flag, så lad os tale om dem. Den første er den undtagelse, der giver mulighed for “tilfældig brug”. Dette er defineret som en videregivelse, der sker i forbindelse med en tilladt anvendelse. HHS fortsætter med at give et eksempel, som citeres her:

En hospitalsbesøgende kan overhøre en udbyders fortrolige samtale med en anden udbyder eller en patient, eller kan få et glimt af en patients oplysninger på et indskrivningsark eller en whiteboardtavle på en sygeplejestation. HIPAA Privacy Rule har ikke til formål at hindre denne sædvanlige og væsentlige kommunikation og praksis og kræver derfor ikke, at al risiko for tilfældig brug eller videregivelse skal elimineres for at opfylde dens standarder.

Den anden undtagelse er den af offentlig interesse, og den tages ikke let på. Offentlige interesser er strengt defineret ved 12 regler, blandt dem er dem, der kræves af loven, ofre for misbrug og retshåndhævelsesformål. Det er tilstrækkeligt at sige, at undtagelsen vedrørende offentlighedens interesse ikke gør det let at anvende PHI.

Og vi kunne dykke dybt ned i Privacy Rule, men essensen af tingene er allerede godt forstået, så jeg vil ikke bruge for meget tid her.

Transactions and Code Sets Rule

Det er her, tingene bliver rigtig interessante, især for os hos Eligible. Lad os først gå tilbage til forståelsen af, at alle områder af afsnit II er fokuseret på at forebygge svig og misbrug. Et af målene med HIPAA er at gøre USA’s sundhedssystem mere effektivt og dermed også mere sikkert. Effektivitet kræver standardisering, og det er det, som transaktions- og kodesætreglen dækker. Før HIPAA krævede enhver transaktion papirarbejde eller telefonopkald. Efter HIPAA kan alle disse oplysninger overføres elektronisk.

I henhold til AMA blev dette regelsæt faktisk efterspurgt af sundhedssektoren for at hjælpe med at håndtere “de ekstra udgifter til fakturering af enkeltpersoner for fortsat dækning”. Logikken omkring anmodningen omhandler de måder, hvorpå patientoplysninger skulle oprettes, vedligeholdes og opbevares i et digitalt landskab. Endvidere var det med overgangen til elektroniske sundhedsjournaler vigtigt at have standardiserede metoder til disse data.

Helheden af transaktioner og kodesæt er alt for kompleks til, at vi kan opdele den her. Så med henblik på dette indlæg er her, hvad du skal vide:

Alt fra de første rapporter om skader til patientens berettigelse og en anmodning om kravstatus får en unik transaktionstype med et tilsvarende nummer. Hvis du f.eks. har set 270/271, er det koderne for en anmodning om berettigelse og et svar på denne anmodning. Hver af disse transaktionstyper blev formaliseret af American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, eller blot X12).

Hvis en enhed er omfattet af HIPAA (og det er de fleste), er den forpligtet til at anvende X12 EDI til elektroniske transaktioner.

Sikkerhedsregel

Det er nok nemmest at tænke på sikkerhedsreglen i forbindelse med Privacy Rule. Hvor Privacy Rule havde indflydelse på alle former for PHI, vedrører Security Rule specifikt elektroniske PHI (ePHI). Den opstiller krav til de sikkerhedsforanstaltninger, der skal være på plads, hvis en HIPAA-dækket enhed vælger at bruge ePHI.

Disse sikkerhedsforanstaltninger kan opdeles i tre områder:

  • Administrativ
  • Fysisk
  • Teknisk

Inden for disse områder er der detaljer for de skridt, som en omfattet enhed skal tage. For eksempel kræver de administrative sikkerhedsforanstaltninger, at der skal være skriftlige procedurer for beskyttelse af privatlivets fred, som dækker godkendelse, oprettelse, ændring og ophør. Fysiske sikkerhedsforanstaltninger kræver adgangskontrol som f.eks. sikkerhedsplaner, vedligeholdelsesregistre og ledsagelse af besøgende. Endelig indeholder de tekniske sikkerhedsforanstaltninger krav om brug af checksumme, kryptering og dokumentation.

Unique Identifiers Rule

Du har sikkert hørt om NPIs før. National Provider Identifier er en 10-cifret, alfanumerisk streng, som er unik for hver enkelt HIPAA-dækket enhed. Den erstatter ikke et DEA-nummer, et skatte-ID-nummer eller en anden identifikator, og den kan ikke indeholde nogen oplysninger. Den skal dog være på plads, for at en HIPAA-dækket enhed kan behandle og håndtere PHI.

Håndhævelsesregel

Så nu, hvor vi har opstillet alle de krav, der er fastsat i afsnit II, hvad sker der så, hvis de bliver overtrådt? Det er her, at håndhævelsesreglen kommer i spil. I stedet for blot at sige, at en overtrædelse vil medføre en specifik bøde, fastsætter håndhævelsesreglen procedurer for undersøgelser, sanktioner og høringer.

I henhold til Enforcement Rule varierer bøderne fra 100 til 250.000 dollars og varierer afhængigt af overtrædelsens grovhed. Der er også en betegnelse mellem overtrædelser, der sker ved et uheld, og overtrædelser, der er begået bevidst. Som du kan udlede, vil bøden på 100 dollars ske, når en person ved en fejl overtræder HIPAA, mens de største bøder er forbeholdt overtrædelser, der har til hensigt at sælge eller overføre PHI til kommerciel brug, personlig vinding eller ondsindet skade.

Det skal siges, at afsnit II er et enormt regelsæt, og at det dækker en lang række emner. Men ved at fokusere på idéen om, at alle dens dele har til formål at forhindre svig og misbrug, kan vi få en bedre forståelse af, hvordan de fungerer.

(Besøgt 19.810 gange, 2 besøg i dag)

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.