A korábbi bejegyzéseinkben már tárgyaltuk a HIPAA, az egészségbiztosítás hordozhatóságáról és hozzáférhetőségéről szóló törvény történetét. Mint már említettük, a HIPAA egy olyan jogszabálycsomag, amely öt “címre” van bontva, amelyek mindegyike más-más témát fed le. Ezek közül a II. cím az, amelyik a leginkább ismerős lehet Önnek, mivel az adatvédelemmel foglalkozik. A HIPAA II. címét vizsgálva azonban kiderül, hogy az sokkal többről szól, mint az adatvédelem, és valójában azt lehet állítani, hogy a címek közül ez a legszélesebb körű.
HIPAA II. cím szerinti bontás
A HIPAA II. címében öt szabály található:
- Adatvédelmi szabály
- Tranzakciók és kódkészletek szabály
- Biztonsági szabály
- Egyedi azonosítók szabály
- Kényszerítési szabály
Ezek mindegyikét tovább bontják a különböző részeire. E bejegyzés céljaira a II. cím kevésbé ismert részeire fogunk összpontosítani, de a teljes történet elmondása megköveteli, hogy az adatvédelemről is beszéljünk.
Segítő úgy gondolkodni a II. címről, mintha az első szakasz lenne az átfogó cél – az egészségügyi csalás és visszaélés megelőzése. Ha egy lépést hátralépünk, és a II. cím egészét tekintjük át, akkor minden része a csalás megelőzéséhez illeszkedik, és az esetleg széttartónak tűnő részek újra összefüggésbe kerülnek.
Az adatvédelmi szabály
Az adatvédelmi szabály nagy része a védett egészségügyi információkkal (PHI) foglalkozik. A legtöbb esetben egyértelmű, hogy mit lehet és mit nem lehet megosztani, és kivel. Az Adatvédelmi Szabály egyik nem szándékolt következménye, hogy egyes létesítmények valójában túlságosan korlátozóan értelmezik. Ennek ellenére a végrehajtási szabályban meghatározott súlyos következmények miatt tanácsos az óvatosságot választani.
Egyszerű elveszni az Adatvédelmi Szabályzat közmondásos gyomrában, ezért nem merészkedünk túl messzire ezen az úton. Áttekintésként annyit kell tudni, hogy a hozzájárulás és a közzététel egyaránt kulcsfontosságú, és hogy a PHI felhasználása hat területre korlátozódik:
- Ha az egyénnek adják ki
- Kezelésre, fizetésre és műveletekre
- Ha engedélyt adtak
- Ha véletlenül használják fel
- A közérdek érdekében
- Ha a személyazonosításra alkalmas adatokat eltávolították
Ezek közül néhány vörös zászlót vethet fel, ezért beszéljünk róluk. Az első az a kivétel, amely lehetővé teszi a “véletlenszerű felhasználást”. Ezt úgy határozzák meg, mint olyan közzétételt, amely egy engedélyezett felhasználás kísérőjeként történik. A HHS a továbbiakban egy példát hoz, amelyet itt idézünk:
egy kórházi látogató meghallhatja egy szolgáltató bizalmas beszélgetését egy másik szolgáltatóval vagy beteggel, vagy megpillanthatja a beteg adatait a bejelentkezési lapon vagy az ápolási állomás tábláján. A HIPAA adatvédelmi szabályának nem célja, hogy akadályozza ezeket a szokásos és alapvető fontosságú kommunikációkat és gyakorlatokat, és ezért nem követeli meg, hogy az előírásoknak való megfelelés érdekében a véletlen felhasználás vagy nyilvánosságra hozatal minden kockázatát ki kell küszöbölni.
A másik kivétel a közérdekűség, és ezt nem veszik félvállról. A közérdekűséget 12 szabály határozza meg szigorúan, köztük a törvény által előírtak, a visszaélések áldozatai és a bűnüldözési célok. Elég, ha azt mondjuk, hogy a közérdekű kivétel nem teszi könnyűvé a PHI felhasználását.
Még mélyen belemerülhetnénk az adatvédelmi szabályba, de a dolgok lényege már jól érthető, így nem akarok itt túl sok időt tölteni.
Tranzakciók és kódkészletek szabálya
Itt válik igazán érdekessé a dolog, különösen számunkra, az Eligible-nél. Először is térjünk vissza ahhoz a felfogáshoz, hogy a II. cím minden területe a csalás és visszaélés megelőzésére összpontosít. A HIPAA egyik célja, hogy hatékonyabbá tegye az Egyesült Államok egészségügyi rendszerét, és ezáltal biztonságosabbá is. A hatékonysághoz szabványosításra van szükség, és ez az, amit a Transactions and Code Set Rule (Tranzakciók és kódkészletek szabálya) lefed. A HIPAA előtt minden tranzakcióhoz papírmunkára vagy telefonhívásra volt szükség. A HIPAA után minden ilyen információ elektronikusan továbbítható.
Az AMA szerint ezt a szabályrendszert valójában az egészségügyi ágazat kérte, hogy segítsen kezelni “az egyéneknek a fedezet folytatásával kapcsolatos számlázással járó többletköltségeket”. A kérést övező logika azzal foglalkozik, hogy a betegadatokat milyen módon kellett létrehozni, karbantartani és tárolni a digitális környezetben. Továbbá az elektronikus egészségügyi nyilvántartásokra való áttéréssel fontos volt, hogy szabványosított módszerek álljanak rendelkezésre ezen adatokhoz.
A tranzakciók és kódkészletek összessége túlságosan összetett ahhoz, hogy itt lebontsuk. Ezért e bejegyzés céljára a következőket kell tudni:
A sérülés első jelentésétől kezdve a beteg jogosultságán át az igényjogosultságig és az igénylési státuszkérelemig mindenhez egyedi tranzakciótípus tartozik egy megfelelő számmal. Ha például látta a 270/271-es kódot, ezek a kódok a jogosultsági kérelem és a kérelemre adott válasz kódjai. Mindegyik tranzakciótípust az American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, vagy egyszerűen csak X12) szabványosított.
Ha egy szervezet a HIPAA hatálya alá tartozik (és a legtöbb ilyen), akkor az X12 EDI-t kell használnia az elektronikus tranzakciókhoz.
Biztonsági szabály
A biztonsági szabályra talán a legegyszerűbb úgy gondolni, mint az adatvédelmi szabályra. Míg az adatvédelmi szabály a PHI minden formáját érintette, a biztonsági szabály kifejezetten az elektronikus PHI-re (ePHI) vonatkozik. Meghatározza azokra a biztosítékokra vonatkozó követelményeket, amelyeknek meg kell valósulniuk, ha a HIPAA hatálya alá tartozó szervezet úgy dönt, hogy ePHI-t használ.
Ezek a biztosítékok három területre oszlanak:
- Adminisztratív
- Fizikai
- Technikai
Ezeken a területeken belül részletezik azokat a lépéseket, amelyeket az érintett szervezetnek meg kell tennie. Az adminisztratív biztosítékok például megkövetelik, hogy írásos adatvédelmi eljárások legyenek érvényben, amelyek kiterjednek az engedélyezésre, a létrehozásra, a módosításra és a megszüntetésre. A fizikai biztosítékok olyan hozzáférési ellenőrzéseket írnak elő, mint a biztonsági tervek, a karbantartási nyilvántartások és a látogatók kísérete. Végül a technikai biztosítékok az ellenőrző összegek használatára, a titkosításra és a dokumentációra vonatkozó követelményeket határozzák meg.
Egyedi azonosítók szabálya
Valószínűleg már hallott az NPI-kről. A nemzeti szolgáltatói azonosító egy 10 számjegyű, alfanumerikus karakterlánc, amely minden egyes HIPAA-kötelezett szervezet számára egyedi. Nem helyettesíti a DEA-számot, adóazonosító számot vagy más azonosítót, és nem tartalmazhat semmilyen információt. Ennek azonban meg kell lennie ahhoz, hogy a HIPAA hatálya alá tartozó szervezet feldolgozhassa és kezelhesse a PHI-t.
Végrehajtási szabály
Azt követően, hogy lefektettük a II. címben meghatározott összes követelményt, mi történik, ha ezeket megszegik? Itt jön a képbe a végrehajtási szabály. Ahelyett, hogy csak azt mondaná, hogy a jogsértés konkrét bírságot von maga után, a végrehajtási szabály meghatározza a vizsgálatokra, büntetésekre és meghallgatásokra vonatkozó eljárásokat.
A végrehajtási szabály értelmében a bírságok 100 és 250 000 dollár között mozognak, és a jogsértés súlyosságától függően változnak. Megkülönböztetnek továbbá véletlenül és tudatosan elkövetett jogsértéseket is. Amint arra következtetni lehet, a 100 dolláros bírság akkor fordulna elő, ha valaki tévedésből sérti meg a HIPAA-t, míg a legnagyobb bírságokat azokra a jogsértésekre tartják fenn, amelyeknél a szándék a PHI kereskedelmi célú eladása vagy átadása, személyes haszonszerzés vagy rosszindulatú károkozás.
Elég, ha azt mondjuk, hogy a II. cím egy hatalmas szabályrendszer, és a témák széles körére terjed ki. De ha arra a gondolatra összpontosítunk, hogy valamennyi részének célja a csalás és a visszaélés megelőzése, jobban megérthetjük működésüket.