Health Insurance Portability and Accountability Act (HIPAA) är en av de mest omtalade ännu lite förstådda reglerna idag.
Även om du säkert har hört talas om det, kanske du undrar om HIPAA-integritet är en federal lag eller vad som utgör en HIPAA-överträdelse. Så här är en närmare titt för att hjälpa till att klara upp saker och ting.
Är HIPAA: s integritetsregel en federal lag?
Först till kvarn; är HIPAA integritet en federal lag? Det korta svaret är ja, men det kan skapa viss förvirring utan ytterligare förklaring. Även om det är en federal lag, kan flera statliga och federala lagar föregripa HIPAA-regler när de är i konflikt.
När de flesta människor tänker på HIPAA, tänker de på dess sekretessregel, en ändring som kom senare för att skydda patienternas integritet. Statliga lagar kan åsidosätta HIPAA: s sekretessregel om de är strängare. Om en stats bestämmelser omfattar fler datatyper eller har högre rapporteringskrav, åsidosätter de HIPAA.
På samma sätt kan statliga och federala lagar föregripa de andra delarna av HIPAA, varav de flesta gäller hur försäkring fungerar. Generellt sett har den strängare regleringen företräde. Eftersom HIPAA är ganska öppet tar det ofta en baksätet till andra lagar.
Vilka är de tre viktigaste sakerna som tas upp i HIPAA-lagen?
Du kanske också undrar vad de tre huvudsakliga sakerna som HIPAA-lagen tar upp är. De flesta svar du hittar på denna fråga hänvisar till administrativt, tekniskt och fysiskt skydd, men detta är en relativt liten del av lagen. HIPAA talar om dessa skyddsåtgärder för bara 13 rader i originaltexten.
De tre viktigaste sakerna som tas upp i HIPAA-lagen som helhet är:
- Reformera sjukvårdsbranschen
- Förebygga övergrepp och bedrägerier inom vården
- Att driva på ytterligare förbättringar inom vården
Integritetsregeln och relaterade säkerhetsåtgärder faller under det första och andra målet. Men totalt sett tar HIPAA ett bredare tillvägagångssätt och försöker utöka tillgången till sjukvård och skydda patienter, mestadels när det gäller deras försäkring.
Vem och vad gäller HIPAA?
För de flesta människor är de mest relevanta delarna av HIPAA reglerna för deras integritet. Det finns många missförstånd kring det här området också. Många tror att HIPAA gäller viss information; det gör det inte.
HIPAA Privacy Rule täcker personlig hälsoinformation, eller PHI, som inkluderar all information du kan spåra tillbaka till en individ, som namn, medicinsk information och kontaktinformation. I allmänhet kräver HIPAA "omfattade enheter" för att få ditt tillstånd innan du delar denna PHI med någon annan.
Vad de flesta har fel om HIPAA är vem det gäller. De täckta enheterna som HIPAA reglerar inkluderar tre huvudparter: hälsoplaner (som försäkringsbolag), vårdgivare och vårdcentraler. Vissa partners och affärspartners till dessa parter kan också falla under HIPAA, om de kan komma åt din PHI.
Även om PHI: s räckvidd är ganska bred, är det inte täckta enheter. Undantag från HIPAA Privacy Rule inkluderar din arbetsgivare, de flesta skolor, brottsbekämpande myndigheter, de flesta webbplatser och de flesta icke-sjukvårdsföretag. Dessa parter kan i allmänhet samla och dela din information som de vill, så länge andra bestämmelser inte står i vägen.
Exempel på HIPAA-överträdelser och undantag
Så vad är en faktisk HIPAA-överträdelse? Några av de vanligaste exemplen är dataintrång inom sjukvården. Nu, om ett sjukhus drabbas av ett säkerhetsintrång som avslöjar patientdata, det är inte nödvändigtvis en överträdelse. Men om det är resultatet av otillräckligt skydd eller om de inte avslöjade det ordentligt, är det det.
År 2020, National Law Review rapporterade att sjukvårdsteknikföretaget CHSPSC var tvunget att betala 2,3 miljoner dollar för ett intrångsrelaterat HIPAA-brott. Efter att en hacker äventyrat sex miljoner patientdata genom att rikta in sig på systemet fann utredarna att CHSPSC inte uppfyllde HIPAAs säkerhetsstandarder. Eftersom de inte gav rätt skydd för denna information, vilket resulterade i ett brott, bröt de mot lagen.
Om marknadsförare däremot använder dina medicinskt relaterade internetsökningar för att rikta annonser mot dig, är det inte ett HIPAA-brott. Webbplatserna som samlar in din sökaktivitet omfattas inte av enheter, så de behöver inte ditt uttryckliga tillstånd för att dela denna data med marknadsförare.
HIPAA kan vara komplicerat
Liksom många lagar är HIPAA komplicerat. Undantag från sekretessregeln är vanligare än du kanske tror, och HIPAA i sig täcker mycket mer än bara säkerhet. Följaktligen, med så mycket desinformation runt omkring, kan det vara svårt att veta vad som är och inte är lagligt.
Det här är bara några exempel på vad HIPAA täcker. Allt eftersom regleringsdiskussioner fortsätter kan även lagen utvecklas. Kom i alla fall ihåg att ta datasekretessen i egna händer och var försiktig med vad du delar.