Af Jordan MacAvoy, vicepræsident for marketing, Reciprocity Labs.
Der er flere krav til overholdelse af lovgivningen, som sundhedsorganisationer skal følge. Alligevel er det Health Insurance Portability and Accountability Act (HIPAA), der får den største anerkendelse. Hvis din organisation er involveret i sundhedssektoren, bør du sikre, at den også overholder Health Information Technology for Economic and Clinical Health Act (HITECH).
Disse to overensstemmelseskrav er på en eller anden måde indbyrdes forbundne. HITECH har dog til formål at forbedre informationsteknologien i sundhedssektoren og samtidig beskytte sikkerheds- og fortrolighedshensyn vedrørende ePHI. HITECH ændrede HIPAA og Social Security Act betydeligt. Derfor kan det være svært at forstå, hvordan disse lovmæssige overholdelsesrammer supplerer hinanden.
Hvordan HITECH og HIPAA ligner hinanden
HITECH- og HIPAA-overholdelse overvåges af Health and Human Services Department (HHS). Typisk har sundhedsorganisationer tendens til at fokusere på HIPAA-overholdelse, da det er rygraden i Privacy Rule, der fastsætter nationale standarder vedrørende PHI og beskyttelse af patientjournaler. Privacy Rule blev vedtaget i 2000. Siden da har HHS kun foretaget en enkelt ændring. Det var i 2002, da Privacy Rule blev ændret til at blive en af de første regler om databeskyttelse og informationssikkerhed.
Office of the National Coordinator for Health Information Technology (ONC) har mandat til at fremme kvaliteten af sundhedsvæsenet ved at fremme sundheds-IT. ONC har også til opgave at sikre ePHI og fastlægge procedurer for elektroniske patientjournaler (EHR) for at fremme privatlivets fred.
Som HITECH og HIPAA supplerer hinanden, er de derfor forskellige, selv om de supplerer hinanden. HITECH fokuserer på informationsteknologi samt bevarelse af elektroniske oplysninger, mens HIPAA fokuserer på beskyttelse af privatlivets fred samt udvidelse ud over informationssystemer.
Hvordan HITECH og HIPAA adskiller sig fra hinanden
Selv om HITECH og HIPAA har mange ligheder, adskiller de to forordninger sig også på forskellige vigtige detaljer. HITECH havde til formål at udvide HIPAA. Alligevel er sidstnævnte stadig fokuseret på at behandle spørgsmål om beskyttelse af privatlivets fred og anmeldelse af brud for at beskytte mod identitetstyveri og svindel. På den anden side adskiller HITECH sig fra HIPAA ved at indføre omstrukturerede strafferetlige og civilretlige sanktioner for overholdelse af reglerne. Desuden udvidede HITECH HIPAA’s krav om anmeldelse af brud på HIPAA’s regler til også at omfatte forretningsforbindelser.
Fra et IT-perspektiv bør compliance-ansvarlige fokusere på betydningen af robust kryptering. Hvis ondsindede aktører bryder ind i ePHI, vil en effektiv kryptering mindske overtrædelser af reglerne. Hvis krypteringen gør oplysningerne ulæselige, vil organisationen derfor ikke få en bøde, hvis krypteringen gør dem ulæselige. Ikke desto mindre betyder bevis for effektiv kryptering, at man skal overholde NIST Federal Information Process Standard. Derfor kan overholdelse af sundhedslovgivningen kun realiseres, hvis du forstår din organisations it-infrastruktur fuldt ud.
Hvordan HITECH’s Medicaid- og Medicare-overholdelse påvirker HIPAA Business Associates
Du kan kun forstå overholdelse af sundhedslovgivningen, når du forstår de overlapninger, der findes mellem business associates, samt deres oplysninger, og hvordan dette påvirker hele forsyningskæden. Forretningsforbindelser er personer eller organisationer, der leverer tjenester til omfattede enheder eller udfører aktiviteter eller funktioner på vegne af enhederne.
Typisk omfatter Omnibus-reglens definition af forretningsforbindelser sundhedsforvaltningsvirksomheder, betalingsorganisationer for sundhedsydelser og sundhedsplaner under HITECH- og HIPAA-paraplyen. Ikke desto mindre kan yderligere tjenester for dem, der arbejder med Medicaid, blive indarbejdet under overensstemmelseskravene.
For eksempel, HIPAA og HITECH betragter Medicaid’s Non-Emergency Medical Transportation (NEMT) som en forretningspartner, der falder ind under Omnibus Rule. Derfor er de indsamlede oplysninger, på trods af at de er et netværk af transportmæglere, fortsat omfattet af de nødvendige sundhedsbestemmelser.
Organisationer bør bestemme deres placering i forsyningskæden, da dette vil minimere HITRUST- og HIPAA-overtrædelser. Desuden bør en organisation beslutte, om den ønsker at påtage sig overensstemmelsesrisici, hvis den vælger at skalere.
Hvad bør bestyrelser vide?
Organisationer, der ønsker at skifte til sundhedssektoren, bør sikre, at deres bestyrelser er klar over overensstemmelsesimplikationerne. At sikre det nødvendige niveau af bestyrelsestilsyn kræver dybdegående indsigt i sundhedslandskabet og organisationens compliance-miljø. Hvis en organisation beslutter sig for at inkludere sine leverandører eller sundhedsudbydere som en del af sin virksomhed, bør bestyrelsen desuden være opmærksom på, hvordan disse parter passer ind i forsyningskæden.
I henhold til HIPAA-reguleringskravene kan leverandørrisikoen skabe en virksomhedsrisiko. Uanset om din organisation sidder nederst, i forsyningskæden, ved roret eller i midten, betyder enhver interaktion, som den foretager med HIPAA-regulerede enheder, at den skal overholde alle de nødvendige lovkrav.
Du bør tænke på HITECH- og HIPAA-overtrædelser som dominobrikker, der er sat op i en række. Hvis en domino falder, vil de andre automatisk falde. Derfor kan betydningen af leverandørstyring øges, især hvis du beslutter dig for at ekspandere yderligere inden for sundhedssektoren.
Organisationer i sundhedssektoren bør ikke kun fokusere på HIPAA-overholdelse. Indarbejdelse af HITECH-overholdelse hjælper dig med at beskytte oplysninger, der er i dit privatliv. Ved at overholde reglerne undgår du også sanktioner, hvis der sker et brud. Derfor er det afgørende at forstå, hvordan HIPAA og HITECH supplerer hinanden.
Job inden for sundhedssektoren