Articles

Wat is HIPAA? Of is het HIPPA?

Hoe groot is de HIPAA-industrie? - PauboxAls u ook maar in de verste verte iets te maken hebt met de gezondheidszorg, dan hebt u waarschijnlijk wel eens gehoord van HIPAA (soms ten onrechte HIPPA genoemd).

Maar wat is HIPAA, behalve dat het een belangrijke overweging is voor zorgverleners?

Waar staat HIPAA voor?

Dat verwarrende acroniem, HIPAA, staat voor Health Insurance Portability and Accountability Act van 1996, een Amerikaanse wet die privacy- en beveiligingsbepalingen bevat voor de bescherming van medische informatie, zoals medische dossiers en andere identificeerbare gezondheidsinformatie.

De wet bevat vijf secties, titels genoemd:

  • Titel I beschermt de dekking van ziektekostenverzekeringen voor personen die hun baan verliezen of van baan veranderen en voorkomt ook dat collectieve ziektekostenverzekeringen bepaalde dekkingen weigeren of beperken.
  • Titel II geeft het Amerikaanse ministerie van Volksgezondheid en Human Services de bevoegdheid om nationale normen vast te stellen voor de gezondheidszorgindustrie bij de verwerking van elektronische transacties. Het vereist ook dat gezondheidszorgorganisaties de elektronische toegang tot gezondheidsgegevens beveiligen om in compliance te blijven.
  • Titel III bevat belastinggerelateerde bepalingen en richtsnoeren voor medische zorg.
  • Titel IV definieert verder de hervorming van de ziektekostenverzekering, inclusief bepalingen voor personen met reeds bestaande aandoeningen en diegenen die voortgezette dekking zoeken.
  • Titel V bevat bepalingen over levensverzekeringen in eigendom van de onderneming en de behandeling van personen die hun Amerikaanse staatsburgerschap verliezen voor de inkomstenbelasting.

De meeste berichtgeving over HIPAA-overtredingen heeft betrekking op HIPAA Titel II, met name de secties die de vereisten bevatten voor HIPAA-naleving en het beveiligen van gezondheidsgegevens van patiënten:

  • HIPAA Privacy Rule. De Privacy Rule heeft betrekking op het gebruik en de openbaarmaking van beschermde gezondheidsinformatie (PHI) en de normen die moeten worden nageleefd zodat personen kunnen begrijpen en controleren hoe hun individueel identificeerbare gezondheidsinformatie wordt gebruikt door een organisatie.
  • HIPAA Security Rule. De beveiligingsregel bepaalt welke beveiligingsnormen moeten worden gehanteerd om elektronische beschermde gezondheidsinformatie (ePHI) te beschermen, dat wil zeggen gezondheidsinformatie of gezondheidsdossiers die in elektronische vorm worden bewaard of overgedragen. Dit omvat de definitie van technische, fysieke en administratieve beveiligingsmaatregelen.
  • HIPAA-handhavingsregel. De handhavingsregel beschrijft hoe HIPAA zal worden gehandhaafd en wat er zal gebeuren als niet-naleving wordt ontdekt.

Een ondergewaardeerd stuk van HIPAA Titel II zijn echter de aanvullende bepalingen die in 2010 zijn toegevoegd door de Affordable Care Act (ACA) die betrekking heeft op HIPAA-transacties.

Bekend als HIPAA Administrative Simplification, was het doel om de zakelijke kant van de gezondheidszorg te vereenvoudigen. Dit is essentieel om interoperabiliteit te bevorderen en ervoor te zorgen dat organisaties van alle groottes binnen het gezondheidszorgsysteem met dezelfde standaarden kunnen werken.

Geachte reacties: Complete gids voor HIPAA-naleving voor drukbezette professionals

SEE RELATED: Wat betekent een HIPAA-transactie voor mij?

Op wie is HIPAA van toepassing?

HIPAA-voorschriften zijn van toepassing op gedekte entiteiten en hun zakenpartners. Een gedekte entiteit wordt gedefinieerd als:

  • Een zorgverlener zoals artsen, klinieken of apotheken
  • Een gezondheidsplan zoals zorgverzekeraars, HMO’s en bedrijfsgezondheidsplannen
  • Een clearinghouse voor de gezondheidszorg dat niet-standaard gezondheidsinformatie die het van een andere entiteit ontvangt, verwerkt tot een standaard

Business associates, zoals partners, zijn derden die een gedekte entiteit kan aanwijzen om namens haar bepaalde functies of activiteiten uit te voeren die het gebruik van PHI met zich meebrengen. Enkele voorbeelden zijn:

  • Een externe beheerder die een zorgverzekeraar helpt bij de verwerking van claims
  • Een advocaat wiens diensten toegang tot PHI inhouden
  • Een e-mailencryptieprovider zoals Paubox

In elk geval is het belangrijk een business associate agreement (BAA) te laten ondertekenen om te verzekeren dat de derde partij de juiste stappen neemt om te voldoen aan de vereisten van HIPAA-naleving.

HITECH Act and the Omnibus Rule

In 2009 werd de Health Information Technology for Economic and Clinical Health (HITECH) Act in wet omgezet om de invoering en het zinvolle gebruik van technologie in de gezondheidszorg te bevorderen.

De bijbehorende stimuleringsmaatregelen, vereisten en regelgeving hebben een enorme impact gehad, en de gezondheidszorg probeert nog steeds gelijke tred te houden. In de HITECH Act zijn bepalingen opgenomen dat technologieën de HIPAA-regels niet mogen schenden.

De HIPAA Omnibus Rule werd in 2013 door de HHS ingevoerd om de HIPAA aan te passen aan de richtlijnen die door de HITECH Act zijn vastgesteld met betrekking tot de verantwoordelijkheden van business associates van gedekte entiteiten. Ook zijn de boetes voor overtredingen van de HIPAA-regels verhoogd tot een maximum van $ 1,5 miljoen per incident.

Zorg ervoor dat uw e-mail voldoet aan de HIPAA-regels. Weet u niet hoe?
Wij hebben deze gratis snelgids voor HIPAA-compliant e-mail samengesteld.
Nu downloaden

Vermijd HIPAA-overtredingen

HIPAA-overtredingen kunnen zeer kostbaar zijn voor organisaties in de gezondheidszorg.

In de eenvoudigste vorm is er sprake van een HIPAA-overtreding wanneer een gedekte entiteit niet de juiste waarborgen handhaaft om het opzettelijke of onopzettelijke gebruik of de openbaarmaking van PHI te voorkomen, volgens de richtlijnen in de HIPAA Privacy Rule.

De kosten kunnen onder meer bestaan uit het informeren van patiënten na een datalek door de gedekte entiteiten en alle getroffen zakenpartners. Naast de meldingskosten zijn er boetes die worden opgelegd door het Office for Civil Rights (OCR) nadat HIPAA-overtredingen zijn onderzocht.

De boetes voor HIPAA-overtredingen zelf kunnen oplopen tot $ 1,5 miljoen en kunnen gevangenisstraf omvatten als er strafrechtelijke aanklachten zijn in verband met de overtredingen.

Om overtredingen te voorkomen, is planning nodig. Gedekte entiteiten en zakenpartners kunnen de risico’s beperken door ervoor te zorgen dat het personeel een HIPAA-nalevingsopleidingsprogramma doorloopt. Consultants kunnen ook aan boord komen om ervoor te zorgen dat de juiste processen aanwezig zijn om inbreuken te voorkomen en aan te pakken.

SEE RELATED: The Complete Guide to HIPAA Violations

Conclusion

Hoewel er geen officieel keurmerk of certificeringsprogramma is voor HIPAA compliance, zijn er veel bedrijven die referenties aanbieden die aantonen dat een organisatie de juiste stappen heeft genomen om aan de vereisten van HIPAA te voldoen.

Als technologie een steeds groter deel van de gezondheidszorg gaat uitmaken, zullen er altijd nieuwe potentiële plaatsen zijn waar een inbreuk kan plaatsvinden. Maar door de HIPAA-regels in gedachten te houden, kunnen alle organisaties er zeker van zijn dat ze hun best doen om PHI te beschermen.

Probeer Paubox vandaag nog.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *