In onze vorige berichten hebben we de geschiedenis van HIPAA, de Health Insurance Portability and Accessibility Act, besproken. Zoals we al eerder zeiden, is de HIPAA een pakket wetgeving dat is onderverdeeld in vijf “titels”, die elk een ander onderwerp bestrijken. Van deze titels is Titel II het meest waarschijnlijk voor u bekend, aangezien deze betrekking heeft op privacy. Maar bij nadere bestudering van HIPAA Titel II blijkt dat het over veel meer gaat dan alleen maar privacy en in feite kan worden gesteld dat het de meest brede van alle titels heeft.
HIPAA Titel II Breakdown
In Titel II van HIPAA vindt u vijf regels:
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
Elk van deze regels wordt vervolgens verder uitgesplitst om de verschillende onderdelen ervan te behandelen. Voor het doel van deze post gaan we ons concentreren op de minder bekende delen van Titel II, maar het vertellen van het hele verhaal vereist dat we het ook over privacy hebben.
Het is nuttig om over Titel II te denken alsof de eerste sectie het overkoepelende doel is – het voorkomen van fraude en misbruik in de gezondheidszorg. Als je een stap terug doet en naar het geheel van Titel II kijkt, valt elk onderdeel in de lijn van het voorkomen van fraude, en worden de stukken die misschien ongelijksoortig lijken, weer in context gebracht.
Privacyregel
Het grootste deel van de Privacyregel heeft betrekking op Beschermde gezondheidsinformatie (PHI). In de meeste gevallen is het duidelijk wat wel en wat niet kan worden gedeeld, en met wie. Een onbedoeld gevolg van de Privacy Rule is dat sommige faciliteiten in feite te restrictief zijn in hun interpretaties. Dat gezegd hebbende, is het raadzaam om het zekere voor het onzekere te nemen, gezien de ernstige gevolgen die in de Handhavingsregel zijn neergelegd.
Het is gemakkelijk om te verdwalen in het spreekwoordelijke onkruid van de Privacy Rule, dus we zullen ons niet te ver op dit pad wagen. Als een overzicht, wat je moet weten is dat toestemming en openbaarmaking zijn beide sleutel, en dat het gebruik van PHI is beperkt tot zes gebieden:
- Wanneer openbaar gemaakt aan het individu
- Voor behandeling, betaling en operaties
- Wanneer toestemming is gegeven
- Wanneer incidenteel gebruikt
- Ten bate van het algemeen belang
- Wanneer persoonlijk identificeerbare informatie is verwijderd
Een paar van deze kunnen rode vlaggen oproepen, dus laten we het over hen hebben. De eerste is de uitzondering die “incidenteel gebruik” toestaat. Dit wordt gedefinieerd als een openbaarmaking die plaatsvindt als een incident van een toegestaan gebruik. De HHS geeft een voorbeeld, dat hier wordt geciteerd:
een bezoeker van een ziekenhuis kan het vertrouwelijke gesprek van een zorgverlener met een andere zorgverlener of een patiënt afluisteren, of een glimp opvangen van informatie over een patiënt op een aanmeldingsformulier of een whiteboard van een verpleegafdeling. De HIPAA-privacyregel is niet bedoeld om deze gebruikelijke en essentiële communicatie en praktijken te belemmeren en vereist dus niet dat alle risico’s van incidenteel gebruik of incidentele openbaarmaking worden geëlimineerd om aan de normen ervan te voldoen.
De andere uitzondering is die van het algemeen belang, en die wordt niet lichtvaardig genomen. Het openbaar belang wordt strikt gedefinieerd door 12 regels, waaronder die welke vereist zijn door de wet, slachtoffers van misbruik, en rechtshandhavingsdoeleinden. Het volstaat te zeggen dat de uitzondering in verband met het openbaar belang geen gemakkelijk gebruik van PHI mogelijk maakt.
Wederom zouden we diep in de Privacy Rule kunnen duiken, maar de kern van de dingen is al goed begrepen, dus ik wil hier niet te veel tijd aan besteden.
Transactions and Code Sets Rule
Hier wordt het pas echt interessant, vooral voor ons bij Eligible. Ten eerste, laten we teruggaan naar het begrip dat alle gebieden van Titel II zijn gericht op het voorkomen van fraude en misbruik. Eén van de doelstellingen van HIPAA is om het gezondheidszorgsysteem van de Verenigde Staten efficiënter te maken, en op zijn beurt ook veiliger. Efficiëntie vereist standaardisatie, en dat is wat de Transactions and Code Set Rule bestrijkt. Vóór de HIPAA vergde elke transactie papierwerk of telefoongesprekken. Na de HIPAA kan al deze informatie elektronisch worden overgedragen.
Volgens de AMA is deze set regels feitelijk aangevraagd door de gezondheidszorgindustrie om te helpen omgaan met de “extra kosten van het factureren van individuen voor voortzetting van de dekking.” De logica rond het verzoek heeft te maken met de manieren waarop patiënteninformatie moest worden gecreëerd, onderhouden en opgeslagen in een digitaal landschap. Verder, met de overgang naar elektronische gezondheidsdossiers, was het belangrijk om gestandaardiseerde methoden voor deze gegevens te hebben.
Het geheel van transacties en codesets is veel te complex voor ons om hier uit te splitsen. Dus voor het doel van deze post, hier is wat u moet weten:
Alles, van de eerste meldingen van letsel tot de in aanmerking komende patiënt en een verzoek om claimstatus, krijgt een uniek transactietype met een bijbehorend nummer. Bijvoorbeeld, als u 270/271 hebt gezien, zijn dat de codes voor een verzoek om in aanmerking te komen en een antwoord op dat verzoek. Elk van deze transactietypes werd geformaliseerd door het American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, of gewoon X12).
Als een entiteit onder de HIPAA valt (en de meeste zijn dat), is deze verplicht om de X12 EDI te gebruiken voor elektronische transacties.
Veiligheidsregel
Het is waarschijnlijk het gemakkelijkst om te denken aan de Beveiligingsregel als het verband houdt met de Privacyregel. Waar de Privacy Rule betrekking had op alle vormen van PHI, heeft de Security Rule specifiek betrekking op elektronische PHI (ePHI). Het stelt eisen aan de veiligheidsmaatregelen die moeten worden genomen als een onder de HIPAA vallende entiteit ervoor kiest ePHI te gebruiken.
Deze voorzorgsmaatregelen kunnen in drie gebieden worden onderverdeeld:
- Administratieve
- Fysieke
- Technische
Binnen deze gebieden zijn er details voor de stappen die door een gedekte entiteit moeten worden genomen. Zo vereisen de administratieve waarborgen dat er schriftelijke privacyprocedures bestaan die betrekking hebben op autorisatie, vaststelling, wijziging en beëindiging. Fysieke veiligheidsmaatregelen vereisen toegangscontroles zoals veiligheidsplannen, onderhoudsverslagen en bezoekersbegeleiding. Technische waarborgen ten slotte stellen eisen aan het gebruik van controlesommen, encryptie en documentatie.
Unique Identifiers Rule
U hebt waarschijnlijk al eerder van NPI’s gehoord. De National Provider Identifier is een 10-cijferige, alfanumerieke reeks die uniek is voor elke HIPAA-gedekte entiteit. Het vervangt geen DEA-nummer, fiscaal identificatienummer of een andere identificatiecode, en het kan geen informatie bevatten. Het moet echter wel aanwezig zijn om een onder de HIPAA vallende entiteit in staat te stellen PHI te verwerken en te behandelen.
Enforcement Rule
Nu we alle vereisten van Titel II hebben uiteengezet, wat gebeurt er als ze worden overtreden? Dat is waar de handhavingsregel in het spel komt. In plaats van alleen maar te zeggen dat een overtreding zal leiden tot een specifieke boete, de handhaving regel legt procedures voor onderzoeken, sancties en hoorzittingen.
Volgens de handhavingsregel variëren de boetes van $ 100 tot $ 250.000 en zijn ze afhankelijk van de ernst van de overtreding. Er is ook een onderscheid tussen overtredingen die per ongeluk gebeuren en die welke bewust worden gedaan. Zoals u kunt afleiden, zou de boete van $ 100 gebeuren wanneer een persoon per ongeluk HIPAA schendt, terwijl de hoogste boetes zijn gereserveerd voor overtredingen die de intentie hebben om PHI te verkopen of over te dragen voor commercieel gebruik, persoonlijk gewin of kwaadwillige schade.
Het moge duidelijk zijn dat Titel II een enorme reeks regels is en een breed scala aan onderwerpen bestrijkt. Maar door ons te concentreren op het idee dat alle onderdelen ervan gericht zijn op het voorkomen van fraude en misbruik, kunnen we een beter begrip krijgen van hoe ze werken.