I våra tidigare inlägg har vi diskuterat HIPAA:s historia, Health Insurance Portability and Accessibility Act. Som vi tidigare nämnt är HIPAA en uppsättning lagar som är uppdelade i fem ”titlar”, som var och en täcker ett annat ämne. Av dessa är avdelning II mest den som du troligen känner till, eftersom den behandlar sekretess. Men om man gräver i HIPAA avdelning II visar det sig att den handlar om mycket mer än bara sekretess, och man skulle faktiskt kunna hävda att den har den största bredden av alla avdelningar.
HIPAA Title II Breakdown
I Title II i HIPAA finns fem regler:
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
Varje av dessa är sedan ytterligare uppdelad för att täcka dess olika delar. I det här inlägget kommer vi att fokusera på de mindre kända avsnitten i avdelning II, men för att berätta hela historien måste vi också tala om integritet.
Det är bra att tänka på avdelning II som om det första avsnittet är det övergripande målet – Preventing Healthcare Fraud and Abuse. Om man tar ett steg tillbaka och tittar på hela avdelning II faller varje del i linje med att förhindra bedrägerier, och de delar som kan verka disparata sätts tillbaka i sitt sammanhang.
Privacy Rule
Majoriteten av Privacy Rule täcker skyddad hälsoinformation (PHI). I de flesta fall är det tydligt vad som kan och inte kan delas och med vem. En oavsiktlig konsekvens av Privacy Rule är att vissa inrättningar faktiskt är alltför restriktiva i sina tolkningar. Med detta sagt rekommenderas försiktighet på grund av de allvarliga konsekvenser som anges i verkställighetsregeln.
Det är lätt att gå vilse i det ordspråksmässiga ogräset i Privacy Rule, så vi kommer inte att ge oss in på denna väg alltför långt. Som en översikt är det du behöver veta att samtycke och utlämnande båda är viktiga och att användningen av PHI är begränsad till sex områden:
- När det lämnas ut till individen
- För behandling, betalning och verksamhet
- När tillstånd ges
- När det används tillfälligt
- För att tillgodose ett allmänintresse
- När personligen identifierbar information har avlägsnats
Ett par av dessa kan ge upphov till röda flaggor, så låt oss tala om dem. Det första är undantaget som tillåter ”tillfällig användning”. Detta definieras som ett utlämnande som sker i samband med en tillåten användning. HHS ger ett exempel som citeras här:
En sjukhusbesökare kan höra en vårdgivares konfidentiella samtal med en annan vårdgivare eller en patient, eller kan få en glimt av en patients information på ett signeringsblad eller en whiteboardtavla på en vårdavdelning. HIPAA Privacy Rule är inte avsedd att hindra dessa sedvanliga och viktiga kommunikationer och rutiner och kräver därför inte att alla risker för tillfällig användning eller avslöjande elimineras för att uppfylla dess normer.
Det andra undantaget är det av allmänt intresse, och det tas inte lättvindigt. Offentligt intresse är strikt definierat genom 12 regler, bland dem finns de som krävs enligt lag, offer för missbruk och brottsbekämpande ändamål. Det räcker med att säga att undantaget för allmänintresse inte gör det lätt att använda PHI.
Också här skulle vi kunna dyka djupt ner i Privacy Rule, men kontentan av saker och ting är redan välkända så jag vill inte spendera för mycket tid här.
Transactions and Code Sets Rule
Det är här som saker och ting blir riktigt intressanta, särskilt för oss på Eligible. Låt oss först gå tillbaka till förståelsen att alla områden av avdelning II är inriktade på att förhindra bedrägerier och missbruk. Ett av målen med HIPAA är att göra USA:s hälso- och sjukvårdssystem effektivare och i sin tur också säkrare. Effektivitet kräver standardisering, och det är vad Transactions and Code Set Rule omfattar. Före HIPAA krävde varje transaktion pappersarbete eller telefonsamtal. Efter HIPAA kan all denna information överföras elektroniskt.
Enligt AMA begärdes detta regelverk faktiskt av hälso- och sjukvårdsbranschen för att hjälpa till att hantera den ”extra kostnaden för att fakturera individer för fortsatt täckning”. Logiken kring begäran handlar om hur patientinformation behövde skapas, underhållas och lagras i ett digitalt landskap. I och med övergången till elektroniska patientjournaler var det dessutom viktigt att ha standardiserade metoder för dessa uppgifter.
Helheten av transaktioner och koduppsättningar är alldeles för komplex för att vi ska kunna bryta ner den här. Så för det här inlägget är det här vad du behöver veta:
Allt från de första skaderapporterna till patientens rätt till ersättning och en begäran om status för en ansökan om ersättning får en unik transaktionstyp med ett motsvarande nummer. Om du till exempel har sett 270/271 är det koderna för en begäran om stödberättigande och ett svar på denna begäran. Var och en av dessa transaktionstyper formaliserades av American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, eller helt enkelt X12).
Om en enhet omfattas av HIPAA (vilket de flesta gör) måste den använda X12 EDI för elektroniska transaktioner.
Säkerhetsregel
Det är förmodligen enklast att tänka på säkerhetsregeln i förhållande till sekretessregeln. Medan Privacy Rule påverkade alla former av PHI, gäller säkerhetsregeln särskilt elektronisk PHI (ePHI). Den ställer krav på de skyddsåtgärder som måste finnas på plats om en HIPAA-täckt enhet väljer att använda ePHI.
Dessa skyddsåtgärder kan delas in i tre områden:
- Administrativt
- Fysiskt
- Tekniskt
Inom dessa områden finns det detaljer för de åtgärder som måste vidtas av en täckt enhet. För administrativa skyddsåtgärder krävs till exempel att det finns skriftliga sekretessrutiner som täcker auktorisering, upprättande, ändring och uppsägning. Fysiska skyddsåtgärder kräver åtkomstkontroller som säkerhetsplaner, underhållsregister och eskort för besökare. Slutligen innehåller tekniska skyddsåtgärder krav på användning av kontrollsummor, kryptering och dokumentation.
Regel om unika identifierare
Du har förmodligen hört talas om NPIs tidigare. National Provider Identifier är en 10-siffrig, alfanumerisk sträng som är unik för varje HIPAA-täckt enhet. Den ersätter inte ett DEA-nummer, skatte-ID-nummer eller någon annan identifierare, och den kan inte innehålla någon information. Den måste dock finnas på plats för att en HIPAA-täckt enhet ska kunna behandla och hantera PHI.
Enforcement Rule
Så nu när vi har lagt fram alla de krav som anges i avdelning II, vad händer om de bryts? Det är där verkställighetsregeln kommer in i bilden. I stället för att bara säga att en överträdelse kommer att leda till ett visst bötesbelopp, fastställs i verkställighetsregeln förfaranden för utredningar, påföljder och utfrågningar.
Enligt Enforcement Rule varierar böterna mellan 100 och 250 000 dollar och varierar beroende på hur allvarlig överträdelsen är. Det finns också en beteckning mellan överträdelser som sker oavsiktligt och överträdelser som görs medvetet. Som du kan utläsa skulle böterna på 100 dollar inträffa när en person av misstag bryter mot HIPAA, medan de största böterna är reserverade för brott som har för avsikt att sälja eller överföra PHI för kommersiell användning, personlig vinning eller illvillig skada.
Det räcker med att säga att avdelning II är ett enormt regelverk och att det täcker ett brett spektrum av ämnen. Men genom att fokusera på idén att alla dess delar syftar till att förhindra bedrägeri och missbruk kan vi få en bättre förståelse för hur de fungerar.