Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wat is HIPAA en wat betekent het voor mij?

Startpagina Woordenlijst Wat is HIPAA en wat betekent het voor mij?

Wat is HIPAA en hoe kunnen de HIPAA Security Rule, Omnibus Rule en Privacy Rule van toepassing zijn op mij en mijn bedrijf? Lees verder om erachter te komen.

Waar staat HIPAA voor? HIPAA staat voor Health Insurance Portability and Accountability Act.

Wat is HIPAA?

De Health Insurance Portability and Accountability Act (HIPAA) is een federale wet die in 1996 door het Congres is aangenomen en door president Clinton is ondertekend om een reeks standaarden te creëren voor het beheren, beschermen en delen van patiëntinformatie. Meer specifiek regelt deze wet wanneer, hoe en onder welke omstandigheden zorgverleners en hun zakelijke partners beschermde gezondheidsinformatie (PHI) mogen delen. Deze wet is bedoeld om patiënten in het zorgsysteem te ondersteunen door verschillende vormen van ondersteuning te bieden, waaronder:

  • Beheer en overdracht van zorginformatie en dekking tussen diverse eerstelijnszorgverleners (ziekenhuizen, artsen en verzekeringsmaatschappijen)
  • Vermindering van diefstal van informatie en identiteitsfraude
  • Standaardisatie van administratie en beveiligingsstandaarden tussen staten
  • Handhaving van privacy en vertrouwelijkheid voor alle patiëntendossiers en PHI

Wat is HIPAA en wat betekent het voor mij?

HIPAA wordt beheerd door het U.S. Department of Health and Human Services Office for Civil Rights (HHS), dat toezicht houdt op naleving door organisaties en klachten afhandelt bij overtredingen van regelgeving of systeemlekken. Het HHS, dat verantwoordelijk is voor het ontwikkelen en implementeren van HIPAA-regelgeving, heeft vijf kernsecties of “regels” opgesteld die de rechten van patiënten en de verantwoordelijkheden van zorgverleners onder de wet beschrijven:

  1. De Privacy Rule
  2. De Security Rule
  3. De Transactions Rule
  4. De Identifiers Rule
  5. De Enforcement Rule

Wat valt onder HIPAA?

HIPAA dekt uiteindelijk de privacy en beveiliging van beschermde gezondheidsinformatie (PHI). PHI is alle individueel identificeerbare gezondheidsinformatie, waaronder fysieke en mentale gezondheidsdossiers zoals diagnoses, medicatiegeschiedenis, verzekeringsclaims, verzameld en beheerd door zorgverleners, zorgverzekeraars en andere organisaties die zorggerelateerde diensten leveren.

HIPAA regelt ook de overdraagbaarheid van verzekeringen, waardoor individuen hun zorgverzekering kunnen behouden, zelfs als ze van baan wisselen of een belangrijke levensgebeurtenis meemaken, zoals ontslag of huwelijk.

Daarnaast stelt HIPAA standaarden voor elektronische transacties en transacties in codering en facturering van zorgdiensten.

Tot slot beschermt de Privacy Rule van HIPAA de PHI van individuen door te eisen dat zorgverleners en organisaties specifieke privacybeleid en procedures hebben om de gezondheidsinformatie van individuen te beschermen. De Security Rule vereist daarentegen dat onder HIPAA vallende entiteiten passende maatregelen nemen om PHI te beschermen tegen misbruik of ongeautoriseerde toegang.

Wat wordt onder HIPAA als PHI beschouwd?

Beschermde gezondheidsinformatie (PHI) onder HIPAA is alle individueel identificeerbare gezondheidsinformatie (IIHI) in welke vorm of medium dan ook. Dit omvat informatie over het verleden, heden of de toekomst van de fysieke of mentale gezondheid of conditie van een individu, de levering van zorg aan een individu, of betalingen voor de levering van zorg aan een individu.

PHI is informatie waarmee een persoon geïdentificeerd kan worden, zoals naam, adres, burgerservicenummer, medisch dossiernummer, medische geschiedenis, medicatie, behandelplannen, testresultaten en verzekeringsinformatie. PHI kan ook genetische informatie en demografische gegevens bevatten zoals leeftijd, ras, etniciteit en land van herkomst. Over het algemeen moet PHI veilig worden bewaard en moeten individuen hun PHI kunnen inzien en kopiëren.

De Privacy Rule

De HIPAA Privacy Rule is wellicht het meest bekend. Deze beschrijft de algemene definities en verwachtingen van patiënten, beschermde gegevens en verplichtingen van zorgverleners. In dit onderdeel wordt de basis van HIPAA uiteengezet: Zorgorganisaties en hun zakelijke partners moeten PHI en andere medische dossiers beschermen tegen ongeautoriseerde openbaarmaking.

Entiteiten die onder de rechtsbevoegdheid van HIPAA vallen volgens de Privacy Rule worden “covered entities” (CE’s) genoemd, en dit omvat een beperkte groep organisaties zoals artsen, ziekenhuizen, apotheken, verzekeringsmaatschappijen, zorgorganisaties (HMO’s) en een selecte groep gerelateerde aanbieders. Omdat de meeste CE’s bedrijfs- en zorgfuncties uitbesteden aan externe leveranciers en partners, is er een tweede categorie gecreëerd voor deze entiteiten, genaamd “business associates” (BA’s), waarop HIPAA ook van toepassing is.

De Privacy Rule definieert PHI juridisch. Onder HIPAA is PHI alle informatie die betrekking heeft op het volgende:

  • Alle informatie uit het verleden, heden of de toekomst over de fysieke of mentale conditie van een patiënt
  • Elke vorm van zorgverlening aan patiënten, zowel mentaal als fysiek
  • Alle financiële of betalingsinformatie met betrekking tot zorgverlening aan die patiënt, of dit nu in het verleden, heden of de toekomst is

Tot slot bepaalt de Privacy Rule dat elke patiënt het recht heeft om alle PHI die door een organisatie wordt bewaard, in te zien, te corrigeren of te archiveren.

De Security Rule

De Security Rule bouwt voort op de Privacy Rule en voegt standaarden, vereisten en methoden toe voor het beveiligen van PHI. Volgens de Security Rule moeten organisaties beveiligingsmaatregelen implementeren om de privacy en vertrouwelijkheid van patiëntinformatie te beschermen, met name elektronische PHI (ePHI). Om dit te realiseren, biedt de Security Rule richtlijnen voor het verwachte beveiligingsniveau in drie contexten:

  1. Technisch: Beveiligingsmaatregelen in deze categorie weerspiegelen wat we doorgaans onder cyberbeveiliging verstaan: encryptieprotocollen, firewalls voor dataservers, anti-malwaretoepassingen, enzovoorts. Door de opkomst van cloudgebaseerde Software-as-a-Service (SaaS)-programma’s vereist HIPAA ook duidelijke beveiligingsmaatregelen voor communicatie tussen CE’s en BA’s, beveiliging van cloudservers en systeemback-ups.
  2. Fysiek: Hoewel ePHI technisch gezien een digitaal bezit is, bestaat het binnen een fysieke infrastructuur. Fysieke beveiligingsmaatregelen voor ePHI richten zich op het beschermen van fysieke toegang tot datacenters via sloten, camera’s en bedieningspanelen en het beperken of elimineren van toegang tot werkplekken en mobiele apparaten.
  3. Administratief: HIPAA-naleving vereist zorgvuldigheid en begrip van medewerkers van elke CE of BA. Administratieve beveiligingsmaatregelen, waaronder juiste HIPAA- en beveiligingstraining, gegevensbeheer, risicobeheerbeleid, duidelijke documentatie en institutionele rapportage, worden verwacht van gereguleerde organisaties.

Met deze beveiligingsaspecten in gedachten is in de Security Rule vastgelegd dat CE’s en BA’s de integriteit, vertrouwelijkheid en beschikbaarheid van ePHI moeten waarborgen. Ze moeten ook beveiligingsdreigingen detecteren en beperken, ongeautoriseerde gegevensopenbaarmaking voorkomen en naleving binnen hun organisatie aantonen.

De Transactions Rule

De Transactions Rule standaardiseert de codering en identificatie van ePHI-transacties binnen medische systemen. Deze regel heeft lokale codes en organisatorische standaarden die op gemeentelijk, staats- of privéniveau werden gebruikt, afgeschaft. Deze standaarden zijn van toepassing op medische dossiers, financiële dossiers en alles wat als PHI wordt aangemerkt. Deze codes zijn gebaseerd op diverse codeverzamelingen:

  • De International Classification of Diseases, 9e editie
  • De Current Procedural Terminology, uitgegeven door de American Medical Association, 4e editie
  • Het HCFA Common Procedure Coding System (HCPCS)
  • De Code on Dental Procedures and Nomenclature, verkrijgbaar bij de American Dental Association, 2e editie
  • National Drug Codes, gepubliceerd door de Food and Drug Administration (FDA)

De Identifiers Rule

Organisaties moeten unieke identificatienummers gebruiken volgens de richtlijnen van de Internal Revenue Service (IRS) om uniforme identificatie van zorgorganisaties voor privacydoeleinden te ondersteunen, en deze identificatoren moeten op alle HIPAA-transacties aanwezig zijn. Dit zijn onder andere de volgende identificatoren: 

  • De National Provider Identifier (NPI): Een unieke identificatiecode voor zorgverleners die wordt gebruikt bij alle administratieve en financiële transacties.
  • Employer Identification Number (EIN): Een uniek nummer dat werkgevers gebruiken als identificatie bij financiële transacties.

Aanvullende identificatoren, waaronder de National Health Plan Identifier (HPID, een uniek ID-nummer om zorgverzekeraars te identificeren) en Other Entity Identifier (OEID), werden gebruikt maar zijn later afgeschaft door besluiten van het HHS.

De Enforcement Rule

Geïmplementeerd als onderdeel van de HITECH-wet, wijzigt en specificeert deze regel de sancties voor niet-naleving van HIPAA. Sinds 2020 specificeert de Enforcement Rule diverse typen HIPAA-overtredingen:

  • Onbewuste overtredingen, waarbij een CE of BA niet wist en redelijkerwijs niet kon weten van de overtreding. Boetes variëren van $100 tot $59.000 per overtreding, met een maximum van $25.000 per jaar voor identieke overtredingen.
  • Onbekende overtredingen, waarbij een CE of BA niet wist van een overtreding maar dat wel had moeten weten. Boetes variëren van $1.000 tot $50.000 per overtreding met een maximum van $100.000 per jaar voor identieke overtredingen.
  • Opzettelijke nalatigheid met corrigerende actie, waarbij de CE of BA op de hoogte was en het probleem niet aanpakte, maar vervolgens wel pogingen deed tot herstel. Boetes variëren van $10.000 tot $50.000 per overtreding met een maximum van $250.000 per jaar voor identieke overtredingen.
  • Opzettelijke nalatigheid zonder corrigerende actie, waarbij de CE of BA willens en wetens lekken negeerde en geen poging deed tot herstel. Boetes zijn minimaal $50.000 per overtreding met een maximum van $1,5 miljoen per jaar voor identieke overtredingen.

Daarnaast kunnen individuen die de Privacy Rule overtreden door nalatigheid zonder opzet of met de intentie PHI te stelen en daar winst uit te halen, strafrechtelijk worden vervolgd. Strafrechtelijke sancties kunnen het volgende omvatten:

  1. Overtredingen met redelijke oorzaak of onwetendheid: tot één jaar gevangenisstraf
  2. PHI verkrijgen onder valse voorwendselen: tot vijf jaar gevangenisstraf
  3. PHI verkrijgen met kwaadaardige intentie of persoonlijk gewin: tot tien jaar gevangenisstraf

Twee aanvullende regels spelen een belangrijke rol in HIPAA-naleving:

De Breach Notification Rule

Deze regel beschrijft de verplichtingen die CE’s en BA’s hebben zodra er een datalek optreedt. Hoewel verschillende situaties om diverse benaderingen vragen, moeten organisaties in het algemeen de volgende stappen nemen na een datalek:

  • CE’s en BA’s moeten datalekken alleen melden als ze betrekking hebben op onbeveiligde PHI. Als de PHI niet is versleuteld, beschermd of anderszins onbruikbaar is gemaakt, is deze onbeveiligd.
  • Organisaties die aan de eisen voldoen moeten het datalek melden aan getroffen patiënten, schriftelijk of per e-mail binnen 60 dagen na ontdekking van het lek. Als de organisatie voor 10 of meer getroffen patiënten geen volledige contactgegevens heeft, moet zij een melding op haar website plaatsen en een gratis telefoonnummer aanbieden voor getroffen patiënten. Zowel de melding als het telefoonnummer moeten minimaal 90 dagen actief en zichtbaar blijven.
  • Datalekken waarbij 500 of meer patiënten binnen één staat of rechtsbevoegdheid zijn getroffen, moeten via prominente mediakanalen binnen die staat of rechtsbevoegdheid worden gemeld. Deze melding via de media moet binnen 60 dagen na ontdekking van het datalek plaatsvinden.
  • Als het datalek meer dan 500 mensen treft, moet de organisatie de Secretary of Health and Human Services via een datalekmeldingsformulier binnen 60 dagen op de hoogte stellen.

De Omnibus Rule

De in 2013 aangenomen Omnibus Rule van HIPAA verfijnt bepaalde formuleringen in de Privacy en Security Rules om beter aan te sluiten bij moderne ePHI-technologieën en de overgang naar elektronische dossiers die onder de HITECH-wet van 2009 werd gestimuleerd.

Misschien wel het belangrijkste is dat de Omnibus Rule de formulering rondom business associates en hun verplichtingen aanpast. Volgens de nieuwe regels zijn BA’s even verantwoordelijk voor HIPAA-overtredingen en systeemlekken als covered entities, en moeten zij de wet op dezelfde manier naleven als CE’s. Bovendien omvat de definitie van BA nu elke organisatie die PHI verwerkt als onderdeel van het werk met een CE.

Tot slot verbiedt de Omnibus Rule het CE’s om zonder toestemming patiëntinformatie te verkopen en gelden er strengere beperkingen voor het gebruik van patiëntinformatie voor marketingdoeleinden.

Welke PHI-openbaarmakingen zijn toegestaan onder HIPAA?

Met al deze regels en voorschriften is er een select aantal situaties waarin een zorgverlener PHI mag delen zonder directe toestemming. Dit zijn onder andere:

  • Openbaarmaking aan de patiënt: CE’s en BA’s mogen alle informatie aan de persoon zelf verstrekken (de betrokkene van het rapport).
  • Intern voor behandeling: Organisaties mogen gegevens intern delen als onderdeel van hun eigen behandel-, operationele en betalingsprocessen.
  • In het belang van de patiënt: Informeel of bij noodsituaties mogen CE’s en BA’s (in beperkte mate) informatie uit faciliteitsregisters delen om familieleden te informeren.
  • Incidentele openbaarmaking: Als PHI per ongeluk wordt blootgesteld tijdens een geautoriseerde openbaarmaking en de CE of BA redelijke maatregelen heeft genomen om dit te voorkomen, volgt er geen sanctie onder de Privacy Rule.
  • Publiek belang: De CE of BA mag patiëntinformatie zonder toestemming delen onder 12 nationale prioriteiten:
    • Publieke gezondheidsactiviteiten zoals pandemieën, testen van medicijnen, symptoomonderzoek en het beheren van ziekte en letsel op de werkvloer.
    • Mishandeling: CE’s mogen informatie delen met overheidsinstanties die misbruik, verwaarlozing of geweld aan het licht brengen.
    • Toezicht: Informatie mag worden gedeeld als onderdeel van toezichtactiviteiten met instanties zoals gedefinieerd in de Privacy Rule. 
    • Gerechtelijke procedures: Bepaalde gerechtelijke bevelen kunnen het delen van PHI toestaan.
    • Wetshandhaving: Onder bepaalde omstandigheden mag PHI worden gedeeld met politie voor juridische bevelen, identificatie van verdachten of vermiste personen, of melding van overlijden aan de politie.
    • Overledenen: PHI mag worden gedeeld met lijkschouwers of medisch onderzoekers om identificatie te ondersteunen of de doodsoorzaak vast te stellen.
    • Donatie: PHI mag worden gedeeld om orgaandonatie en transplantaties te faciliteren.
    • Onderzoek: Onder bepaalde voorwaarden mag PHI worden gedeeld voor bepaalde vormen van geautoriseerd en beschermd onderzoek.
    • Publieke veiligheid: PHI mag worden gedeeld om schade aan individuen te voorkomen in bepaalde situaties, waaronder bedreigingen voor de patiënt zelf.
    • Overheidsfunctie: Uitvoering van militaire taken, inlichtingenmissies of andere activiteiten met betrekking tot nationale veiligheid vereisen geen toestemming voor het delen van PHI.
    • Werknemerscompensatie: PHI mag worden gedeeld met wettelijke toestemming voor het behandelen van claims en uitkeringen voor werknemerscompensatie. 
    • Wettelijk verplicht: Deze wettelijk verplichte PHI-openbaarmakingen zijn opgenomen in statuten, regelgeving of gerechtelijke bevelen.

Voldoe aan HIPAA en bescherm de privacy van patiënten

Als het gaat om HIPAA-naleving is het belangrijk dat de IT- en data management-infrastructuur van een organisatie geschikt is om patiënten en je teamleden te beschermen. Een uniform, gelogd, gevolgd en beveiligd systeem biedt niet alleen beheersbare naleving die je kunt rapporteren en monitoren, maar geeft je ook de basisinstrumenten om de privacy van je patiënten te waarborgen.

Tot slot betekent HIPAA-naleving niet dat je je volledig moet afsluiten van de buitenwereld. Met de juiste tools, zoals beveiligde bestandsoverdracht, beveiligde e-maillinks, conforme dataservices en private cloud-infrastructuur, kun je beveiliging en naleving prioriteren zonder in te leveren op gebruiksgemak of klanttevredenheid.

Plan een persoonlijke demo van Kiteworks om te ontdekken hoe jouw organisatie aan HIPAA kan voldoen bij het verzenden en delen van PII.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks