Edellisissä viesteissämme olemme käsitelleet HIPAA:n eli sairausvakuutuksen siirrettävyys- ja saatavuuslain historiaa. Kuten aiemmin mainitsimme, HIPAA on lainsäädäntökokonaisuus, joka on jaettu viiteen ”osastoon”, joista kukin kattaa eri aiheen. Näistä osasto II on sinulle todennäköisesti tutuin, sillä se kattaa yksityisyyden suojan. HIPAA:n II osastoon perehtyminen paljastaa kuitenkin, että siinä on kyse paljon muustakin kuin vain yksityisyyden suojasta, ja itse asiassa voidaan väittää, että se on kaikista osastoista kaikkein laajin.
HIPAA:n II osaston erittely
HIPAA:n II osaston sisällä on viisi sääntöä:
- Privacy Rule
- Transaktioita ja koodisarjoja koskeva sääntö
- Turvallisuussääntö
- Yksilöllisiä tunnisteita koskeva sääntö
- Valvontasääntö
Jokainen näistä on sen jälkeen jaettu tarkemmin kattamaan sen eri osat. Tässä kirjoituksessa keskitymme II osaston vähemmän tunnettuihin osiin, mutta koko tarinan kertominen edellyttää, että puhumme myös yksityisyyden suojasta.
On hyödyllistä ajatella II osastoa ikään kuin ensimmäinen jakso olisi kaiken kattava tavoite – terveydenhuollon petosten ja väärinkäytösten ehkäiseminen. Jos otat askeleen taaksepäin ja tarkastelet II osaston kokonaisuutta, jokainen osa liittyy petosten ehkäisemiseen, ja palaset, jotka saattavat tuntua toisistaan erillisiltä, palautuvat asiayhteyteen.
Privacy Rule
Privacy Rule -säädöksestä suurin osa koskee suojattuja terveystietoja (Protected Health Information, PHI). Useimmissa tapauksissa on selvää, mitä voidaan ja mitä ei voida jakaa ja kenen kanssa. Yksi yksityisyydensuojasäännön tahaton seuraus on, että jotkut laitokset ovat itse asiassa liian rajoittavia tulkinnoissaan. Varovaisuutta on kuitenkin syytä noudattaa, koska täytäntöönpanosäännössä määrätään vakavista seurauksista.
Privacy Rule -säännön sananlaskuihin on helppo eksyä, joten emme mene liian pitkälle tällä tiellä. Yleiskatsauksena on hyvä tietää, että suostumus ja tietojen luovuttaminen ovat molemmat keskeisiä ja että PHI:n käyttö on rajoitettu kuuteen alueeseen:
- Kun tietoja luovutetaan yksilölle
- Hoitoon, maksamiseen ja toimintaan
- Kun lupa on annettu
- Kun tietoja käytetään satunnaisesti
- Kun tietoja käytetään yleishyödylliseen tarkoitukseen
- Kun henkilöllisyystietoja on poistettu
Pari noista saattaa herättää epäilyksiä, joten puhutaanpa niistä. Ensimmäinen on poikkeus, joka sallii ”satunnaisen käytön”. Tämä määritellään luovutukseksi, joka tapahtuu sallitun käytön yhteydessä. HHS antaa esimerkin, jota lainataan tässä:
Sairaalavierailija saattaa kuulla, kun hoitohenkilökunta keskustelee luottamuksellisesti toisen hoitohenkilökunnan tai potilaan kanssa, tai hän saattaa vilkaista potilastietoja ilmoittautumislomakkeessa tai hoitopaikan taululla. HIPAA:n tietosuojasäännön tarkoituksena ei ole estää näitä tavanomaisia ja olennaisia viestintätapoja ja -käytäntöjä, eikä se näin ollen edellytä, että kaikki satunnaisen käytön tai luovuttamisen riski on poistettava, jotta sen vaatimukset täyttyisivät.
Toinen poikkeus on yleiseen etuun liittyvä poikkeus, eikä siihen suhtauduta kevyesti. Yleinen etu on määritelty tiukasti 12 säännön avulla, joiden joukossa ovat muun muassa lain edellyttämät, väärinkäytösten uhrit ja lainvalvontatarkoitukset. Riittää, kun sanotaan, että yleistä etua koskeva poikkeus ei tee PHI:n käytöstä helppoa.
Vaikka voisimme sukeltaa syvälle yksityisyyden suojaa koskevaan sääntöön, mutta asioiden ydin on jo hyvin ymmärretty, joten en halua käyttää tähän liikaa aikaa.
Transaktioita ja koodisarjoja koskeva sääntö
Tässä kohtaa asiat muuttuvat todella mielenkiintoisiksi, erityisesti meille Eligible-yrityksessä. Palataan ensin siihen, että kaikilla II osaston osa-alueilla keskitytään petosten ja väärinkäytösten ehkäisemiseen. Yksi HIPAA:n tavoitteista on tehdä Yhdysvaltojen terveydenhuoltojärjestelmästä tehokkaampi ja siten myös turvallisempi. Tehokkuus edellyttää standardointia, ja juuri se sisältyy Transactions and Code Set Rule -sääntöön. Ennen HIPAA:ta jokainen tapahtuma vaati paperityötä tai puhelinsoittoja. HIPAA:n jälkeen kaikki nämä tiedot voidaan siirtää sähköisesti.
AMA:n mukaan terveydenhuoltoala itse asiassa pyysi tätä sääntökokonaisuutta, jotta se voisi auttaa selviytymään ”lisäkustannuksista, joita aiheutuu yksityishenkilöiden laskuttamisesta vakuutusturvan jatkamisesta”. Pyyntöön liittyvä logiikka koskee tapoja, joilla potilastietoja oli luotava, ylläpidettävä ja säilytettävä digitaalisessa ympäristössä. Lisäksi sähköisiin terveyskertomuksiin siirtymisen myötä oli tärkeää, että näille tiedoille oli standardoidut menetelmät.
Tapahtumien ja koodisarjojen kokonaisuus on aivan liian monimutkainen, jotta voisimme eritellä sitä tässä. Siksi tässä viestissä kerrotaan, mitä sinun on tiedettävä:
Jokainen asia ensimmäisistä vammailmoituksista potilaan kelpoisuuteen ja korvaushakemuksen statuspyyntöön saa yksilöllisen tapahtumatyypin ja sitä vastaavan numeron. Jos olet esimerkiksi nähnyt koodit 270/271, ne ovat koodit tukikelpoisuuspyynnölle ja vastaukselle kyseiseen pyyntöön. American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12 tai yksinkertaisesti X12) on virallistanut jokaisen näistä tapahtumatyypeistä.
Jos yksikkö kuuluu HIPAA:n piiriin (ja useimmat kuuluvat siihen), sen on käytettävä X12 EDI:tä sähköisiin transaktioihin.
Turvallisuussääntö
Turvallisuussääntöä on luultavasti helpointa ajatella suhteessa tietosuojasääntöön. Siinä missä Privacy Rule koski kaikenlaista PHI:tä, Security Rule koskee erityisesti sähköistä PHI:tä (ePHI). Siinä asetetaan vaatimukset suojatoimille, jotka on otettava käyttöön, jos HIPAA:n piiriin kuuluva yksikkö päättää käyttää sähköistä tietoa.
Nämä suojatoimet jakautuvat kolmeen osa-alueeseen:
- Hallinnollinen
- Fyysinen
- Tekninen
Näillä alueilla on yksityiskohtaisia tietoja toimista, jotka suojatun yksikön on toteutettava. Esimerkiksi hallinnolliset suojatoimet edellyttävät, että käytössä on kirjalliset yksityisyyden suojaa koskevat menettelyt, jotka kattavat luvan antamisen, laatimisen, muuttamisen ja lopettamisen. Fyysiset suojatoimet edellyttävät pääsyn valvontaa, kuten turvallisuussuunnitelmia, huoltokirjoja ja vierailijoiden saattamista. Teknisissä suojatoimissa säädetään tarkistussumman käyttöä, salausta ja dokumentointia koskevista vaatimuksista.
Yksilöllisiä tunnisteita koskeva sääntö
Olet luultavasti kuullut NPI:stä ennenkin. Kansallinen palveluntarjoajan tunniste on 10-numeroinen aakkosnumeerinen merkkijono, joka on yksilöllinen jokaiselle HIPAA:n piiriin kuuluvalle yksikölle. Se ei korvaa DEA-numeroa, veronumeroa tai muuta tunnistetta, eikä se voi sisältää mitään tietoja. Sen on kuitenkin oltava olemassa, jotta HIPAA:n piiriin kuuluva yksikkö voi käsitellä ja käsitellä PHI-tietoja.
Valvontasääntö
Nyt kun olemme esittäneet kaikki II osastossa asetetut vaatimukset, mitä tapahtuu, jos niitä rikotaan? Tässä kohtaa täytäntöönpanosääntö astuu kuvaan. Täytäntöönpanosäännössä ei vain sanota, että rikkominen johtaa tiettyyn sakkoon, vaan siinä määritellään menettelyt tutkimuksia, rangaistuksia ja kuulemisia varten.
Enforcement Rule -säännön mukaan sakot vaihtelevat 100 ja 250 000 dollarin välillä ja vaihtelevat rikkomuksen vakavuuden mukaan. On myös erotettu toisistaan rikkomukset, jotka tapahtuvat vahingossa, ja rikkomukset, jotka tehdään tietoisesti. Kuten voit päätellä, 100 dollarin sakko tulee silloin, kun henkilö vahingossa rikkoo HIPAA:ta, kun taas suurimmat sakot on varattu rikkomuksista, joiden tarkoituksena on myydä tai siirtää PHI-tietoja kaupalliseen käyttöön, henkilökohtaiseen hyötyyn tai pahansuovaan vahingoittamiseen.
Tiedoksi vain, että II osasto on valtava sääntökokonaisuus, ja se kattaa monenlaisia aiheita. Mutta keskittymällä ajatukseen siitä, että kaikkien sen osien tarkoituksena on estää petokset ja väärinkäytökset, voimme ymmärtää paremmin, miten ne toimivat.