Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası - Health Insurance Portability and Accountability Act

1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası
Amerika Birleşik Devletleri'nin Büyük Mührü
Diğer kısa başlıklar Kassebaum–Kennedy Yasası, Kennedy–Kassebaum Yasası
Uzun başlık Grup ve bireysel pazarlarda sağlık sigortası kapsamının taşınabilirliğini ve sürekliliğini iyileştirmek, sağlık sigortası ve sağlık hizmeti sunumunda israf, dolandırıcılık ve suistimalle mücadele etmek, tıbbi tasarruf hesaplarının kullanımını teşvik etmek için 1996 İç Gelir Kanununu değiştirmek için bir Kanun , uzun süreli bakım hizmetlerine ve kapsamına erişimi iyileştirmek, sağlık sigortasının yönetimini basitleştirmek ve diğer amaçlar için.
Kısaltmalar (konuşma dili) HIPAA (telaffuz / h ɪ p ə / HIP-ah)
tarafından yasalaştırıldı 104 Amerika Birleşik Devletleri Kongresi
alıntılar
Kamu hukuku Yayınevi  104–191 (metin) (pdf)
Genel Olarak Tüzükler 110  Stat.  1936
yasama tarihi
  • Evi sunulan olarak H.R. 3103 tarafından Bill Archer ( R - TX ) üzerine , 1996 18 Mart
  • House Ways and Means tarafından komite değerlendirmesi
  • House on Geçti 28 Mart 1996 ( 267-151 )
  • Senato geçti (23 Nisan 1996 100-0 yerine, 1028 S. )
  • 31 Temmuz 1996 tarihinde ortak konferans komitesi tarafından rapor edilmiştir ; Meclis tarafından 1 Ağustos 1996'da ( 421–2 ) ve Senato tarafından 2 Ağustos 1996'da ( 98–0 ) kabul edildi.
  • Başkan tarafından kanun haline Signed Bill Clinton ile , 1996 21 Ağustos

Sağlık Sigortası Taşınabilirlik ve Sorumluluk 1996 Yasası ( HIPAA veya Kennedy - Kassebaum Yasası) tarafından çıkarılan bir ABD federal yasa olan 104 ABD Kongresinde ve Başkan tarafından kanun haline imzalanan Bill Clinton'ın Bu akışını modernize 21 Ağustos 1996 tarihinde sağlık bilgileri, sağlık ve sağlık sigortası endüstrileri tarafından tutulan kişisel olarak tanımlanabilir bilgilerin dolandırıcılık ve hırsızlıktan nasıl korunacağını şart koşar ve sağlık sigortası kapsamındaki bazı sınırlamalara değinir . Kapsam dahilindeki kuruluşlar olarak adlandırılan sağlık hizmeti sağlayıcılarının ve sağlık işletmelerinin, korunan bilgileri bir hasta ve hastanın yetkili temsilcileri dışında herhangi birine rızaları olmadan ifşa etmesini genellikle yasaklar . Sınırlı istisnalar dışında, hastaların kendileri hakkında bilgi almasını kısıtlamaz. Sağlık bilgilerini istedikleri şekilde gönüllü olarak paylaşmalarını yasaklamaz veya - tıbbi bilgileri aile üyelerine, arkadaşlara veya kapsam dahilindeki bir kuruluşun parçası olmayan diğer kişilere ifşa ederlerse - yasal olarak gizliliği korumalarını gerektirmez.

Kanun beş başlıktan oluşmaktadır. HIPAA'nın I. Başlığı , işlerini değiştirdikleri veya kaybettiklerinde işçiler ve aileleri için sağlık sigortası kapsamını korur . İdari Basitleştirme (AS) hükümleri olarak bilinen HIPAA'nın II. Başlığı, elektronik sağlık hizmetleri işlemleri için ulusal standartların ve sağlayıcılar, sağlık sigortası planları ve işverenler için ulusal tanımlayıcıların oluşturulmasını gerektirir . Başlık III, vergi öncesi tıbbi harcama hesapları için yönergeler belirler, Başlık IV, grup sağlık planları için yönergeler belirler ve Başlık V, şirkete ait hayat sigortası poliçelerini yönetir.

Başlıklar

Başlıklar olarak bilinen hareketin beş bölümü vardır.

Başlık I: Sağlık Hizmetlerine Erişim, Taşınabilirlik ve Yenilenebilirlik

HIPAA Başlık I, grup sağlık planlarının ve belirli bireysel sağlık sigortası poliçelerinin mevcudiyetini ve kapsamını düzenler. Çalışan Emeklilik Gelir Güvenliği Yasasını, Halk Sağlığı Hizmetleri Yasasını ve İç Gelir Yasasını değiştirmiştir.

Başlık I, bir grup sağlık planının önceden var olan koşullar için sağlanan faydalara getirebileceği kısıtlamaların kapsamını gerektirir ve ayrıca sınırlandırır. Grup sağlık planları, plana kayıttan sonraki 12 ay veya geç kayıt durumunda 18 ay boyunca önceden var olan koşullarla ilgili olarak fayda sağlamayı reddedebilir. Başlık I, bireylerin, plana kaydolmadan önce ve sigorta kapsamındaki herhangi bir "önemli kesintiden" sonra "güvenilir kapsama" sahip oldukları süre kadar hariç tutma süresini azaltmalarına olanak tanır. "Güvenilir kapsam" oldukça geniş bir şekilde tanımlanır ve neredeyse tüm grup ve bireysel sağlık planlarını, Medicare'i ve Medicaid'i içerir. Kapsamda "önemli bir kırılma", herhangi bir kredilendirilebilir teminat olmaksızın herhangi bir 63 günlük dönem olarak tanımlanır. Bir istisna ile birlikte, işverenlerin prim veya katkı paylarını tütün kullanımına veya vücut kitle indeksine bağlamasına izin vermek.

Başlık I ayrıca, sigortacıların, 18 ayı aşan kredilendirilebilir teminatlı (yukarıya bakınız) grup sağlık planlarından ayrılanları hariç tutmadan poliçeler düzenlemesini ve teklif edildiği sürece bireysel poliçeleri yenilemesini veya sigorta şirketi olduğu sürece durdurulan planlara alternatifler sağlamasını gerektirir. sağlık durumu ne olursa olsun piyasada dışlanmadan kalır.

Bazı sağlık bakım planları, uzun vadeli sağlık planları ve genel sağlık planından ayrı olarak sunulan diş veya görme planları gibi sınırlı kapsamlı planlar gibi Başlık I gerekliliklerinden muaftır. Ancak, bu tür faydalar genel sağlık planının bir parçasıysa, HIPAA yine de bu tür faydalar için geçerlidir. Örneğin, yeni plan diş sağlığı faydaları sunuyorsa, o zaman eski sağlık planı kapsamındaki güvenilir sürekli kapsamı, dişçilik yardımları için hariç tutma sürelerinden herhangi biri için saymalıdır.

Başlık I kapsamındaki sağlık planı için kredilendirilebilir sürekli kapsamı hesaplamak için alternatif bir yöntem mevcuttur. Yani, diş ve görme kapsamı dahil olmak üzere 5 sağlık sigortası kategorisi ayrı olarak değerlendirilebilir. Bu 5 kategori altında olmayan herhangi bir şey genel hesaplamayı kullanmalıdır (örneğin, yararlanıcı 18 aylık genel sigorta kapsamına sahip olabilir, ancak yalnızca 6 aylık diş sigortası kapsamına alınabilir, çünkü yararlanıcının 6 aya kadar dişhekimliğini kapsayan bir genel sağlık planı yoktur). başvuru tarihinden önce). Sınırlı kapsama planları HIPAA gerekliliklerinden muaf olduğundan, genel bir grup sağlık planına başvuranın, dişhekimliği gibi bağımsız sınırlı kapsamlı planlar için güvenilir sürekli kapsama sertifikaları alamadığı garip bir durum mevcuttur. bu teminatları içeren plan.

Gizli kapsam dışı kalma süreleri Başlık I kapsamında geçerli değildir (örneğin, "Kapsanacak olan kaza, lehtar tam olarak bu aynı sağlık sigortası sözleşmesi kapsamındayken meydana gelmiş olmalıdır"). Bu tür maddeler sağlık planı tarafından uygulanmamalıdır. Ayrıca, HIPAA'ya uymaları için yeniden yazılmalıdırlar.

Başlık II: Sağlık Hizmetlerinde Dolandırıcılık ve İstismarın Önlenmesi; İdari Basitleştirme; Tıbbi Sorumluluk Reformu

HIPAA'nın II. Başlığı, bireysel olarak tanımlanabilir sağlık bilgilerinin gizliliğini ve güvenliğini korumaya yönelik politikalar ve prosedürler belirler, sağlık hizmetleriyle ilgili sayısız suçun ana hatlarını verir ve ihlaller için para ve cezai cezalar belirler. Ayrıca sağlık sistemi içinde dolandırıcılığı ve kötüye kullanımı kontrol etmek için çeşitli programlar oluşturur. Ancak, Başlık II'nin en önemli hükümleri, İdari Basitleştirme kurallarıdır. Başlık II , Sağlık ve İnsan Hizmetleri Departmanı'nın (HHS), sağlık bakımı bilgilerinin kullanımı ve yayılması için standartlar oluşturarak sağlık bakım sisteminin verimliliğini artırmasını gerektirir .

Bu kurallar, HIPAA ve HHS tarafından tanımlandığı şekliyle "kapsanan kuruluşlar" için geçerlidir. Kapsanan kuruluşlar arasında sağlık planları, sağlık hizmetleri takas odaları (faturalama hizmetleri ve toplum sağlığı bilgi sistemleri gibi) ve sağlık hizmeti verilerini HIPAA tarafından düzenlenen bir şekilde ileten sağlık hizmeti sağlayıcıları bulunur.

Başlık II gereklilikleri uyarınca, HHS İdari Basitleştirme ile ilgili beş kural yayınlamıştır: Gizlilik Kuralı, İşlemler ve Kod Kümeleri Kuralı, Güvenlik Kuralı, Benzersiz Tanımlayıcılar Kuralı ve Yürütme Kuralı.

Gizlilik Kuralı

HIPAA Gizlilik Kuralı, Korunan Sağlık Bilgilerinin (PHI) sağlık bakımı, ödeme ve kapsam dahilindeki kuruluşlar tarafından operasyonlarda kullanılması ve ifşa edilmesi için ulusal düzenlemelerden oluşur.

Gizlilik Kuralının yürürlüğe girme tarihi, belirli "küçük planlar" için bir yıllık uzatma ile 14 Nisan 2003'tür. HIPAA Gizlilik Kuralı , "kapsanan kuruluşlar" (genellikle, sağlık hizmetleri takas odaları, işveren destekli sağlık planları, sağlık sigortaları ve belirli işlemlerde bulunan tıbbi hizmet sağlayıcıları) tarafından tutulan korunan sağlık bilgilerinin (PHI) kullanımını ve ifşasını düzenler . Düzenlemeyle, HHS, HIPAA gizlilik kuralını, "iş ortakları" tanımına uyan, kapsam dahilindeki kuruluşların bağımsız yüklenicilerini kapsayacak şekilde genişletti. PHI, sağlık durumu, sağlık hizmeti sunumu veya herhangi bir kişiyle ilişkilendirilebilecek sağlık hizmeti ödemesi ile ilgili olarak kapsanan bir kuruluş tarafından tutulan herhangi bir bilgidir. Bu, oldukça geniş bir şekilde yorumlanır ve bir bireyin tıbbi kaydının veya ödeme geçmişinin herhangi bir bölümünü içerir . Kapsam dahilindeki kuruluşlar, talep üzerine 30 gün içinde bireye PHI'yi ifşa etmelidir. Ayrıca, şüpheli çocuk istismarını eyalet çocuk esirgeme kurumlarına bildirmek gibi kanunen bunu yapmaları gerektiğinde PHI'yi ifşa etmelidirler .

Kapsam dahilindeki kuruluşlar, korunan sağlık bilgilerini yasaların gerektirdiği şekilde (mahkeme emirleri, mahkeme emirleri, mahkeme celpleri dahil) ve idari talepler için kolluk kuvvetlerine ifşa edebilir; veya bir şüpheliyi, bir kaçağı, maddi bir tanığı veya kayıp bir kişiyi tanımlamak veya bulmak için.

Kapsam dahilindeki bir kuruluş, hastanın açık yazılı izni olmadan tedavi, ödeme veya sağlık bakım işlemlerini kolaylaştırmak için PHI'yi belirli taraflara ifşa edebilir. PHI'nin diğer tüm açıklamaları, kapsam dahilindeki kuruluşun açıklama için kişiden yazılı izin almasını gerektirir. Her halükarda, kapsam dahilindeki bir kuruluş herhangi bir PHI'yi ifşa ettiğinde, amacına ulaşmak için gerekli olan minimum bilgiyi ifşa etmek için makul bir çaba göstermelidir.

Gizlilik Kuralı, bireylere, kapsam dahilindeki bir kuruluştan herhangi bir hatalı PHI'yı düzeltmesini talep etme hakkı verir. Ayrıca, kapsanan kuruluşların bireylerle iletişimlerinin gizliliğini sağlamak için bazı makul adımlar atmasını gerektirir. Örneğin, bir kişi ev veya cep telefonu numarası yerine iş numarasından aranmasını isteyebilir.

Gizlilik Kuralı, kapsam dahilindeki kuruluşların bireyleri PHI kullanımları konusunda bilgilendirmelerini gerektirir. Kapsam dahilindeki kuruluşlar ayrıca PHI açıklamalarını takip etmeli ve gizlilik politikaları ve prosedürlerini belgelemelidir. Bir Gizlilik Görevlisi ve şikayetleri almaktan sorumlu bir irtibat kişisi atamalı ve PHI ile ilgili prosedürler konusunda işgücünün tüm üyelerini eğitmelidirler.

Gizlilik Kuralına uyulmadığına inanan bir kişi, Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisine (OCR) şikayette bulunabilir. 2006'da Wall Street Journal , OCR'nin uzun bir birikime sahip olduğunu ve çoğu şikayeti görmezden geldiğini bildirdi. "Sağlık ve İnsan Hizmetleri Departmanında mahremiyet ihlali şikayetleri birikiyor. Nisan 2003 ile Kasım 2006 arasında, ajans tıbbi gizlilik kurallarıyla ilgili 23.886 şikayette bulundu, ancak henüz hastanelere karşı herhangi bir yaptırım uygulamadı, Doktorlar, sigortacılar veya başka herhangi biri kural ihlalleri için. Ajansın bir sözcüsü, şikayetlerin dörtte üçünü kapattığını, genellikle ihlal bulunmadığı için veya ilgili taraflara gayri resmi rehberlik sağladıktan sonra kapattığını söyledi. Ancak, Temmuz 2011'de, California Üniversitesi, Los Angeles, potansiyel HIPAA ihlalleriyle ilgili bir anlaşmada 865.500 $ ödemeyi kabul etti. Bir HHS Sivil Haklar Ofisi araştırması, 2005'ten 2008'e kadar, yetkisiz çalışanların defalarca ve meşru bir sebep olmaksızın çok sayıda UCLAHS hastasının elektronik korumalı sağlık bilgilerine baktığını gösterdi.

Gizlilik Kuralı'nın, bir işveren veya işletme tarafından talep edilmesi halinde herhangi bir kişiye herhangi bir sağlık bilgisini (kronik durumlar veya aşı kayıtları gibi) ifşa etmeyi reddetme hakkı yarattığı yanlış bir kanıdır. HIPAA Gizlilik Kuralı gereklilikleri, yalnızca kapsam dahilindeki kuruluşlar ve onların iş ortakları tarafından, kayıtları talep edilen kişinin rızası olmadan ifşa edilmesine kısıtlamalar getirir; sağlık bilgilerinin doğrudan bu bilgilerin konusundan talep edilmesi konusunda herhangi bir kısıtlama getirmezler.

2013 Son Omnibus Kuralı Güncellemesi

Ocak 2013'te HIPAA, Son Omnibus Kuralı aracılığıyla güncellendi. Güncellemeler, HITECH Yasasının Güvenlik Kuralı ve İhlal Bildirimi bölümlerindeki değişiklikleri içeriyordu. En önemli değişiklikler, başlangıçta yalnızca kapsam dahilindeki kuruluşların yasanın bu bölümlerini desteklemek için tutulduğu iş ortaklarını da kapsayacak şekilde gereksinimlerin genişletilmesiyle ilgili.

Ayrıca, bir ihlalin analizinde bir bireye yönelik "önemli zarar" tanımı, daha önce bildirilmeyen ihlalleri ifşa etmek amacıyla kapsam dahilindeki kuruluşlara daha fazla inceleme sağlamak için güncellendi. Önceden, bir kuruluş zararın meydana geldiğine dair kanıta ihtiyaç duyarken, şimdi kuruluşların zararın meydana gelmediğini kanıtlaması gerekiyor.

PHI koruması, ölümden 50 yıl sonra süresizden 50 yıla değiştirildi. PHI gizlilik gereksinimlerinin ihlali için daha ağır cezalar da onaylandı.

HIPAA Gizlilik kuralı, doğal afet sırasında feragat edilebilir. 2017'de Harvey Kasırgası ile durum buydu.

HITECH Yasası: Gizlilik Gereksinimleri

Bkz Gizlilik bölümünü ait Ekonomik ve Klinik Sağlık Yasası için Sağlık Bilgi Teknolojisi ( Hitech Yasası ).

Kişinin PHI'sına erişme hakkı

Gizlilik Kuralı, tıbbi sağlayıcıların bireylere PHI'larına erişim vermesini gerektirir. Bir kişi yazılı olarak bilgi talep ettikten sonra (genellikle bu amaçla sağlayıcının formunu kullanarak), sağlayıcının bilgilerin bir kopyasını bireye sağlamak için 30 günü vardır. Bir kişi, bilgileri elektronik biçimde veya basılı kopya olarak talep edebilir ve sağlayıcı, istenen formata uymaya çalışmakla yükümlüdür. CEHRT (Sertifikalı Elektronik Sağlık Kaydı Teknolojisi) kriterleri kullanılarak sertifikalandırılmış bir elektronik sağlık kaydı ( EHR ) sistemi kullanan sağlayıcılar için, bireylerin PHI'yi elektronik biçimde almalarına izin verilmelidir. Sağlayıcıların, özellikle elektronik kayıt taleplerinde, bilgileri hızlı bir şekilde sağlamaları teşvik edilir.

Bireyler, tıbbi kayıtlar, notlar, görüntüler, laboratuvar sonuçları ve sigorta ve fatura bilgileri dahil olmak üzere sağlıkla ilgili bilgilere erişme konusunda geniş haklara sahiptir. Bir sağlayıcının özel psikoterapi notları ve bir sağlayıcı tarafından bir davaya karşı savunmak için toplanan bilgiler açıkça hariç tutulmuştur.

Sağlayıcılar, kopyayı sağlama maliyetleriyle ilgili olarak makul bir ücret alabilir, ancak sertifika için gerekli olan "görüntüleme, indirme ve aktarma" özelliğini kullanarak onaylı bir EHR'den elektronik olarak veri sağlarken hiçbir ücret talep edilemez. Bireye elektronik biçimde teslim edildiğinde, kişi şifreli veya şifresiz e-posta kullanarak teslimi, medya kullanarak teslimi (bir ücret gerektirebilir USB sürücüsü, CD vb.), doğrudan mesajlaşmayı (ortak kullanımda güvenli bir e-posta teknolojisi) yetkilendirebilir. sağlık sektöründe) veya muhtemelen diğer yöntemlerde. Şifrelenmemiş e-posta kullanırken, kişi bu teknolojiyi kullanarak mahremiyet risklerini anlamalı ve kabul etmelidir (bilgiler başkaları tarafından ele geçirilebilir ve incelenebilir). Teslimat teknolojisinden bağımsız olarak, bir sağlayıcı kendi sistemindeyken PHI'yi tam olarak güvence altına almaya devam etmelidir ve sistemlerindeyken PHI için ek risk oluşturuyorsa teslimat yöntemini reddedebilir.

Kişi ayrıca (yazılı olarak) kendi PHI'larının aile bakım sağlayıcısı gibi belirlenmiş bir üçüncü tarafa teslim edilmesini talep edebilir.

Bir kişi ayrıca (yazılı olarak) sağlayıcının, Kişisel Sağlık Kaydı uygulaması gibi kayıtlarını toplamak veya yönetmek için kullanılan belirlenmiş bir hizmete PHI göndermesini talep edebilir. Örneğin, bir hasta yazılı olarak kadın doğum uzmanından en son doğum öncesi ziyaretinin kayıtlarını cep telefonunda bulunan bir hamilelik öz bakım uygulamasına dijital olarak iletmesini talep edebilir.

akrabalara açıklama

HIPAA'nın yorumlarına göre hastaneler, başvuran hastaların yakınlarına telefonla bilgi vermeyecek. Bu, bazı durumlarda kayıp kişilerin yerini engelledi. Sonra Asiana Hava Yolları Uçuş 214 San Francisco kazasında, bazı hastaneler zor Asiana ve akrabaları onları bulmak için yapım, onlar tedavi edildi yolcuların kimliklerini ifşa isteksiz. Bir durumda, Washington eyaletinde bir adam yaralı annesi hakkında bilgi alamadı.

Savunma grubu Health Privacy Project'in yöneticisi Janlori Goldman, Times'ın haberine göre bazı hastanelerin "fazla ihtiyatlı" olduğunu ve yasayı yanlış uyguladığını söyledi. Bethesda, Md.'deki Banliyö Hastanesi, hastanelerin hastaların hastane rehberinde yer almaktan vazgeçmelerine izin vermesini gerektiren federal bir düzenlemeyi, özellikle aksini söylemedikçe hastaların rehberin dışında tutulmak istedikleri anlamına gelecek şekilde yorumladı. Sonuç olarak, eğer bir hasta bilinçsizse veya başka bir şekilde dizine dahil olmayı seçemiyorsa, akrabaları ve arkadaşları onları bulamayabilir, dedi Goldman.

İşlemler ve Kod Kümeleri Kuralı

HIPAA, sağlık hizmetlerini standartlaştırarak Amerika Birleşik Devletleri'ndeki sağlık sistemini daha verimli hale getirmeyi amaçlıyordu. HIPAA, Sosyal Güvenlik Yasası'nın XI. Başlığına "İdari Basitleştirme" başlıklı yeni bir Bölüm C ekledi. Bunun, tüm sağlık planlarının sağlık hizmetleri işlemlerine standart bir şekilde katılmasını gerektirerek sağlık işlemlerini basitleştirmesi gerekiyor.

HIPAA/EDI ( elektronik veri değişimi ) hükmünün, belirli "küçük planlar" için bir yıllık bir uzatma ile 16 Ekim 2003 tarihinden itibaren yürürlüğe girmesi planlandı. Ancak, yaygın kafa karışıklığı ve kuralın uygulanmasındaki zorluk nedeniyle, CMS tüm taraflara bir yıllık uzatma verdi. 1 Ocak 2012'de daha yeni sürümler olan ASC X12 005010 ve NCPDP D.0, önceki ASC X12 004010 ve NCPDP 5.1 yetkilerinin yerini alarak yürürlüğe girdi. ASC X12 005010 versiyonu, diğer iyileştirmelerin yanı sıra ICD-10-CM kullanımına izin veren bir mekanizma sağlar .

1 Temmuz 2005'ten sonra, elektronik olarak başvuruda bulunan çoğu sağlık hizmeti sağlayıcısı, ödeme alabilmek için elektronik taleplerini HIPAA standartlarını kullanarak sunmak zorunda kaldı.

HIPAA kapsamında, HIPAA kapsamındaki sağlık planlarının artık standartlaştırılmış HIPAA elektronik işlemlerini kullanması gerekmektedir. Bakınız, 42 USC § 1320d-2 ve 45 CFR Bölüm 162. Bununla ilgili bilgiler, HIPAA elektronik işlem standartları için son kuralda bulunabilir (74 Fed. Reg. 3296, Federal Register'da 16 Ocak 2009'da yayınlandı) ve CMS web sitesinde.

HIPAA uyumluluğu için kullanılan temel EDI (X12) işlemleri şunlardır:

EDI Health Care Claim İşlem seti (837) , perakende eczane talepleri hariç sağlık hizmeti fatura bilgilerini, karşılaşma bilgilerini veya her ikisini göndermek için kullanılır (bkz. EDI Perakende Eczane Talebi İşlemi). Sağlık hizmeti sağlayıcılarından ödeme yapanlara doğrudan veya aracı faturacılar ve talep takas odaları aracılığıyla gönderilebilir. Ayrıca, yardımların koordinasyonunun gerekli olduğu durumlarda farklı ödeme sorumluluklarına sahip ödeyiciler arasında veya belirli bir süre içinde sağlık hizmetlerinin sunulmasını, faturalandırılmasını ve/veya ödenmesini izlemek için ödeyenler ve düzenleyici kurumlar arasında sağlık hizmetleri taleplerinin ve fatura ödeme bilgilerinin iletilmesi için de kullanılabilir. sağlık/sigorta sektörü segmenti.

Örneğin, bir devlet ruh sağlığı kurumu tüm sağlık hizmeti taleplerini zorunlu kılabilir, profesyonel (tıbbi) sağlık hizmeti taleplerini elektronik olarak ticaretini yapan Sağlayıcılar ve sağlık planları, talep göndermek için 837 Health Care Claim: Professional standardını kullanmalıdır. Sağlık Hizmeti talebi için birçok farklı iş başvurusu olduğundan, kurumlar, profesyoneller, kiropraktörler ve diş hekimleri vb. gibi benzersiz iddiaları içeren talepleri karşılamak için küçük türevler olabilir.

EDI Perakende Eczane Talebi İşlemi ( NCPDP Telekomünikasyon Standardı sürüm 5.1) , doğrudan veya aracı faturacılar ve talep takas odaları aracılığıyla ilaç dağıtan sağlık uzmanları tarafından perakende eczane taleplerini ödeyenlere göndermek için kullanılır. Ayrıca, perakende eczane hizmetlerine ilişkin talepleri ve faydaların koordinasyonunun gerekli olduğu durumlarda farklı ödeme sorumluluklarına sahip ödeyenler arasında veya perakende eczane hizmetlerinin sunulmasını, faturalandırılmasını ve/veya ödenmesini izlemek için ödeme yapanlar ve düzenleyici kurumlar arasında fatura ödeme bilgilerini iletmek için de kullanılabilir. eczane sağlık hizmetleri/sigorta sektörü segmenti.

EDI Health Care Talebi Ödeme/Tavsiye İşlem Seti (835) , ödeme yapmak, Fayda Açıklaması (EOB) göndermek, Ödeme Açıklaması (EOP) havale tavsiyesi göndermek veya ödeme yapmak ve EOP havale tavsiyesi göndermek için kullanılabilir. sadece bir sağlık sigortasından bir sağlık hizmeti sağlayıcısına ya doğrudan ya da bir finans kurumu aracılığıyla.

EDI Fayda Kayıt ve Bakım Seti (834) , işverenler, sendikalar, devlet kurumları, dernekler veya sigorta acenteleri tarafından bir ödeme yapana üye kaydetmek için kullanılabilir. Ödeyen, hasarları ödeyen, sigortayı veya faydayı veya ürünü yöneten bir sağlık kuruluşudur. Ödeme yapanlara örnek olarak bir sigorta şirketi, sağlık uzmanı (HMO), tercih edilen sağlayıcı kuruluş (PPO), devlet kurumu (Medicaid, Medicare vb.) veya bu eski gruplardan biri tarafından sözleşmeli olabilecek herhangi bir kuruluş verilebilir.

EDI Bordro Kesintisi ve diğer bir grup Sigorta Ürünleri Prim Ödemesi (820) , sigorta ürünleri için prim ödemesi yapmak için bir işlem setidir. Bir finans kuruluşunun alacaklıya ödeme yapmasını emretmek için kullanılabilir.

EDI Health Care Uygunluk/Yarar Sorgulaması (270) , bir abone veya bağımlı ile ilişkili sağlık hizmetleri yararları ve uygunluğu hakkında bilgi almak için kullanılır.

EDI Health Care Uygunluk/Yarar Yanıtı (271) , bir abone veya bağımlı ile ilişkili sağlık hizmetleri yararları ve uygunluk hakkında bir istek sorgusuna yanıt vermek için kullanılır.

EDI Health Care Claim Status Request (276) Bu işlem seti, bir sağlık hizmeti talebinin durumunu talep etmek için bir sağlayıcı, sağlık ürünleri veya hizmetlerinin alıcısı veya bunların yetkili temsilcisi tarafından kullanılabilir.

EDI Health Care Claim Status Notification (277) Bu işlem seti, bir sağlık hizmeti ödeyen veya yetkili acente tarafından bir sağlık hizmeti talebi veya karşılaşmasının durumu hakkında bir sağlayıcı, alıcı veya yetkili acenteye bildirimde bulunmak veya sağlayıcıdan ek bilgi talep etmek için kullanılabilir. bir sağlık hizmeti talebi veya karşılaşma ile ilgili olarak. Bu işlem seti, Sağlık Tazminatı Ödeme/Tavsiye İşlem Seti'nin (835) yerini almayı amaçlamaz ve bu nedenle hesap ödemesi kaydı için kullanılmaz. Bildirim, özet veya hizmet hattı ayrıntı düzeyindedir. Bildirim talep edilmiş veya talep edilmemiş olabilir.

EDI Health Care Service İnceleme Bilgileri (278) Bu işlem seti, abone, hasta, demografik, teşhis veya tedavi verileri gibi sağlık hizmeti bilgilerinin inceleme, sertifikasyon, bildirim veya sonucun raporlanması amacıyla iletilmesi için kullanılabilir. sağlık hizmetleri incelemesi.

EDI İşlevsel Alındı ​​Bildirimi İşlem Seti (997) bu işlem seti, elektronik olarak kodlanmış belgelerin sözdizimsel analizinin sonuçlarını belirtmek üzere bir dizi alındı ​​için kontrol yapılarını tanımlamak için kullanılabilir. HIPAA Mevzuatında veya Nihai Kuralda özel olarak adlandırılmamış olmasına rağmen, X12 işlem kümesi işleme için gereklidir. Kodlanmış belgeler, iş verileri değişimi için işlemlerin tanımlanmasında kullanılan, fonksiyonel gruplar halinde gruplandırılmış işlem setleridir. Bu standart, işlem setlerinde kodlanan bilgilerin anlamsal anlamını kapsamaz.

Kısa 5010 İşlemleri ve Kod Kümeleri Kural Güncelleme Özeti
  1. İşlem Seti (997), İşlem Seti (999) "onay raporu" ile değiştirilecektir.
  2. Birçok alanın {segment elemanları} boyutu genişletilecek ve tüm BT sağlayıcılarının ilgili alanları, öğeleri, dosyaları, GUI'yi, kağıt ortamını ve veritabanlarını genişletmesine ihtiyaç duyulacaktır.
  3. Bazı segmentler mevcut İşlem Setlerinden kaldırılmıştır.
  4. Maliyet ve hasta karşılaşmalarının daha iyi izlenmesine ve raporlanmasına olanak tanıyan mevcut İşlem Setlerine birçok segment eklenmiştir.
  5. Hem "Uluslararası Hastalık Sınıflandırması" sürüm 9 (ICD-9) hem de 10 (ICD-10-CM) kullanma kapasitesi eklendi.

Güvenlik Kuralı

Güvenlik Standartlarına İlişkin Nihai Kural 20 Şubat 2003'te yayınlandı. Kapsam dahilindeki çoğu kuruluş için 21 Nisan 2005 ve "küçük planlar" için 21 Nisan 2006 uyum tarihiyle 21 Nisan 2003'te yürürlüğe girdi. Güvenlik Kuralı, Gizlilik Kuralını tamamlar. Gizlilik Kuralı kağıt ve elektronik dahil olmak üzere tüm Korunan Sağlık Bilgileri (PHI) ile ilgiliyken, Güvenlik Kuralı özellikle Elektronik Korunan Sağlık Bilgileri (EPHI) ile ilgilidir. Uyumluluk için gereken üç tür güvenlik önlemi ortaya koyar: idari, fiziksel ve teknik. Bu türlerin her biri için Kural, çeşitli güvenlik standartlarını tanımlar ve her standart için hem gerekli hem de adreslenebilir uygulama özelliklerini belirtir. Gerekli özellikler, Kural tarafından belirtildiği şekilde benimsenmeli ve uygulanmalıdır. Adreslenebilir özellikler daha esnektir. Kapsam dahilindeki bireysel kuruluşlar, kendi durumlarını değerlendirebilir ve adreslenebilir özellikleri uygulamanın en iyi yolunu belirleyebilir. Bazı gizlilik savunucuları, bu "esnekliğin" kapsanan kuruluşlara çok fazla serbestlik sağlayabileceğini savundu. Kapsam dahilindeki kuruluşlara risk analizi ve iyileştirme takibinde yardımcı olmak için yazılım araçları geliştirilmiştir. Standartlar ve özellikler aşağıdaki gibidir:

  • İdari Önlemler – kurumun yasaya nasıl uyacağını açıkça göstermek için tasarlanmış politikalar ve prosedürler
    • Kapsam dahilindeki kuruluşlar (HIPAA gereksinimlerine uyması gereken kuruluşlar) bir dizi yazılı gizlilik prosedürü benimsemeli ve gerekli tüm politika ve prosedürlerin geliştirilmesinden ve uygulanmasından sorumlu olacak bir gizlilik görevlisi tayin etmelidir.
    • Politikalar ve prosedürler, belgelenmiş güvenlik kontrollerine uyum için yönetim gözetimine ve kurumsal katılıma atıfta bulunmalıdır.
    • Prosedürler, elektronik korumalı sağlık bilgilerine (EPHI) erişimi olan çalışanları veya çalışan sınıflarını açıkça tanımlamalıdır. EPHI'ye erişim, yalnızca iş işlevlerini tamamlamak için buna ihtiyacı olan çalışanlarla sınırlandırılmalıdır.
    • Prosedürler erişim yetkilendirmesini, kurulmasını, değiştirilmesini ve sonlandırılmasını ele almalıdır.
    • Kuruluşlar, sağlık planı idari işlevlerini yerine getiren çalışanlara PHI'nın ele alınmasına ilişkin uygun bir sürekli eğitim programının sağlandığını göstermelidir.
    • İş süreçlerinin bir kısmını üçüncü bir tarafa dış kaynak sağlayan kapsanan kuruluşlar, satıcılarının da HIPAA gereksinimlerine uymak için bir çerçeveye sahip olmasını sağlamalıdır. Şirketler genellikle bu güvenceyi, satıcının kapsanan kuruluş için geçerli olan aynı veri koruma gereksinimlerini karşılayacağını belirten sözleşmelerdeki maddeler aracılığıyla elde eder. Satıcının herhangi bir veri işleme işlevini diğer satıcılara daha fazla dış kaynak kullanıp kullanmadığını belirlemek ve uygun sözleşmelerin ve kontrollerin mevcut olup olmadığını izlemek için özen gösterilmelidir.
    • Acil durumlara müdahale etmek için bir acil durum planı mevcut olmalıdır. Kapsam dahilindeki kuruluşlar, verilerini yedeklemekten ve olağanüstü durum kurtarma prosedürlerine sahip olmaktan sorumludur. Plan, veri önceliğini ve hata analizini, test faaliyetlerini ve değişiklik kontrol prosedürlerini belgelemelidir.
    • İç denetimler, olası güvenlik ihlallerini belirlemek amacıyla operasyonları gözden geçirerek HIPAA uyumluluğunda kilit bir rol oynar. Politikalar ve prosedürler, denetimlerin kapsamını, sıklığını ve prosedürlerini özel olarak belgelemelidir. Denetimler hem rutin hem de olaya dayalı olmalıdır.
    • Prosedürler, ya denetim sırasında ya da operasyonların normal seyri sırasında tanımlanan güvenlik ihlallerini ele almak ve bunlara yanıt vermek için talimatları belgelemelidir.
  • Fiziksel Korumalar – korunan verilere uygunsuz erişime karşı koruma sağlamak için fiziksel erişimi kontrol etme
    • Kontroller, donanım ve yazılımın ağdan girişini ve kaldırılmasını yönetmelidir. (Ekipman kullanımdan kaldırıldığında, PHI'nın bozulmamasını sağlamak için uygun şekilde atılmalıdır.)
    • Sağlık bilgilerini içeren ekipmana erişim dikkatli bir şekilde kontrol edilmeli ve izlenmelidir.
    • Donanım ve yazılıma erişim, uygun şekilde yetkilendirilmiş kişilerle sınırlandırılmalıdır.
    • Gerekli erişim kontrolleri, tesis güvenlik planları, bakım kayıtları ve ziyaretçi oturum açma ve refakatçilerden oluşur.
    • Doğru iş istasyonu kullanımını ele almak için politikalar gereklidir. İş istasyonları, trafiğin yoğun olduğu alanlardan uzaklaştırılmalı ve monitör ekranları halkın doğrudan görebileceği bir yerde olmamalıdır.
    • Kapsam dahilindeki kuruluşlar yükleniciler veya acenteler kullanıyorsa, onların da fiziksel erişim sorumlulukları konusunda tam olarak eğitilmesi gerekir.
  • Teknik Önlemler – bilgisayar sistemlerine erişimi kontrol etme ve kapsam dahilindeki kuruluşların açık ağlar üzerinden elektronik olarak iletilen PHI içeren iletişimleri, amaçlanan alıcı dışında herhangi biri tarafından ele geçirilmesine karşı korumalarına olanak tanır.
    • PHI'yi barındıran bilgi sistemleri izinsiz girişlere karşı korunmalıdır. Bilgi açık ağlar üzerinden akarken, bir tür şifreleme kullanılmalıdır. Kapalı sistemler/ağlar kullanılıyorsa, mevcut erişim kontrolleri yeterli kabul edilir ve şifreleme isteğe bağlıdır.
    • Kapsam dahilindeki her kuruluş, sistemlerindeki verilerin yetkisiz bir şekilde değiştirilmemesini veya silinmemesini sağlamaktan sorumludur.
    • Veri bütünlüğünü sağlamak için sağlama toplamı, çift anahtarlama, mesaj doğrulama ve dijital imza dahil olmak üzere veri doğrulama kullanılabilir.
    • Kapsanan varlıklar ayrıca iletişim kurdukları varlıkların kimliğini doğrulamalıdır. Kimlik doğrulama, bir varlığın iddia ettiği kişi olduğunun doğrulanmasından oluşur. Doğrulama örnekleri arasında şifre sistemleri, iki veya üç yönlü el sıkışmaları, telefonla geri arama ve belirteç sistemleri bulunur.
    • Kapsam dahilindeki kuruluşlar, uygunluğu belirlemek için HIPAA uygulamalarının belgelerini hükümetin kullanımına sunmalıdır.
    • Politikalar, prosedürler ve erişim kayıtlarına ek olarak, bilgi teknolojisi belgeleri, bu bileşenler karmaşık, yapılandırılabilir ve her zaman değişken olduğundan, ağ bileşenleri üzerindeki tüm yapılandırma ayarlarının yazılı bir kaydını da içermelidir.
    • Belgelenmiş risk analizi ve risk yönetimi programları gereklidir. Kapsam dahilindeki kuruluşlar, yasaya uymak için sistemler uygularken faaliyetlerinin risklerini dikkatlice değerlendirmelidir. (Risk analizi ve risk yönetimi gerekliliği, yasanın güvenlik gereksinimlerinin asgari bir standart olduğu anlamına gelir ve kapsam dahilindeki kuruluşlara, PHI'nin sağlık dışı amaçlarla kullanılmasını önlemek için gerekli tüm makul önlemleri alma sorumluluğu verir.)

Benzersiz Tanımlayıcılar Kuralı (Ulusal Sağlayıcı Tanımlayıcı)

Elektronik işlemleri tamamlayan sağlayıcılar, sağlık takas merkezleri ve büyük sağlık planları gibi HIPAA kapsamındaki kuruluşlar, 23 Mayıs 2007'ye kadar standart işlemlerde kapsanan sağlık hizmeti sağlayıcılarını belirlemek için yalnızca Ulusal Sağlayıcı Tanımlayıcısını (NPI) kullanmalıdır. 23 Mayıs 2008. Mayıs 2006'dan itibaren (küçük sağlık planları için Mayıs 2007), elektronik iletişim kullanan tüm kapsanan kuruluşlar (örneğin doktorlar, hastaneler, sağlık sigortası şirketleri vb.) tek bir yeni NPI kullanmalıdır. NPI, sağlık planları, Medicare, Medicaid ve diğer hükümet programları tarafından kullanılan diğer tüm tanımlayıcıların yerini alır. Ancak NPI, bir sağlayıcının DEA numarasını, eyalet lisans numarasını veya vergi kimlik numarasını değiştirmez. NPI 10 basamaktır (alfanümerik olabilir), son basamak bir sağlama toplamıdır. NPI, herhangi bir yerleşik zeka içeremez; başka bir deyişle, NPI, kendisinin herhangi bir ek anlamı olmayan bir sayıdır. NPI benzersiz ve ulusaldır, asla yeniden kullanılmaz ve kurumlar dışında bir sağlayıcının genellikle yalnızca bir tane olabilir. Bir kurum, bağımsız bir kanser merkezi veya rehabilitasyon tesisi gibi farklı "alt bölümler" için birden fazla NPI alabilir.

Uygulama Kuralı

16 Şubat 2006'da HHS, HIPAA'nın uygulanmasına ilişkin Nihai Kuralı yayınladı. 16 Mart 2006'da yürürlüğe girdi. Yürütme Kuralı, HIPAA kurallarının ihlali için para cezaları belirler ve HIPAA ihlalleri için soruşturma ve duruşma prosedürleri belirler. Uzun yıllar boyunca ihlaller için çok az kovuşturma yapıldı.

Bu, 500'den az kişiyi etkileyen potansiyel bir HIPAA Güvenlik Kuralı ihlali nedeniyle ilk para cezasına çarptırılan ilk kuruluş olarak Kuzey Idaho Darülaceze'ye (HONI) 50.000 ABD Doları tutarında para cezası verilmesiyle değişmiş olabilir. HHS sözcüsü Rachel Seeger, "HONI, 2005'ten 17 Ocak 2012'ye kadar güvenlik yönetimi sürecinin bir parçası olarak ePHI'nin [elektronik Korunan Sağlık Bilgileri] gizliliğine yönelik doğru ve kapsamlı bir risk analizi yürütmedi." Bu soruşturma, 441 hasta kaydı içeren şifrelenmemiş bir dizüstü bilgisayarın bir çalışan aracından çalınmasıyla başlatıldı.

Mart 2013 itibariyle, ABD Sağlık ve İnsan Hizmetleri Departmanı (HHS), gizlilik uygulamasında değişiklik yapılması veya düzeltici eylemler gerektirilerek çözülen 19.306'dan fazla vakayı araştırdı. HHS tarafından uygunsuzluk belirlenirse, kuruluşlar düzeltici önlemler almalıdır. Ulusal eczane zincirleri, büyük sağlık merkezleri, sigorta grupları, hastane zincirleri ve diğer küçük sağlayıcılar gibi birçok farklı işletme türüne karşı şikayetler araştırılmıştır. HHS soruşturmasının HIPAA'nın doğru şekilde takip edildiğini tespit ettiği 9.146 vaka vardı. HHS'nin icra için uygun sebep bulamadığı 44.118 vaka vardı; örneğin, HIPAA başlamadan önce başlayan bir ihlal; takipçi tarafından geri alınan davalar; veya gerçekten Kuralları ihlal etmeyen bir faaliyet. HHS web sitesine göre, aşağıdaki sıklıklara göre bildirilen sorunları listeler:

  1. PHI'nin kötüye kullanılması ve ifşa edilmesi
  2. Sağlık bilgisi yerine koruma yok
  3. Hasta sağlık bilgilerine erişemiyor
  4. Gerekli minimum korunan sağlık bilgisinden fazlasını kullanmak veya ifşa etmek
  5. Elektronik korumalı sağlık bilgilerinin hiçbir güvencesi yoktur.

HHS'ye göre gönüllü uyum içinde olmak için düzeltici önlem alması gereken en yaygın kuruluşlar sıklıklarına göre listelenmiştir:

  1. Özel Uygulamalar
  2. hastaneler
  3. Ayakta Tedavi Olanakları
  4. Sigorta grupları gibi grup planları
  5. eczaneler

Başlık III: Tıbbi tasarruf hesaplarını yöneten vergiyle ilgili sağlık hükümleri

Başlık III, vergi öncesi tıbbi tasarruf hesabında kişi başına tasarruf edilebilecek miktarı standart hale getirir . 1997'den başlayarak, tıbbi tasarruf hesabı ("MSA"), küçük bir işverenin ve serbest meslek sahibi kişilerin işveren sponsorluğunda yüksek indirilebilir planı kapsamındaki çalışanlara sunulmaktadır.

Başlık IV: Grup sağlık sigortası gereksinimlerinin uygulanması ve icrası

Başlık IV, önceden mevcut koşullara sahip kişilerin kapsamına ilişkin grup sağlık planları için koşulları belirtir ve kapsam gereksinimlerinin devamını değiştirir. Ayrıca, devam kapsamı gereksinimlerini netleştirir ve COBRA açıklamasını içerir .

Başlık V: İşverenler için vergi kesintilerini yöneten gelir mahsuplaşması

Başlık V, şirkete ait hayat sigortası primleri sağlayan işverenler için şirkete ait hayat sigortasına ilişkin hükümler içerir, hayat sigortası kredileri, şirket bağışları veya şirketle ilgili sözleşmeler üzerindeki faizin vergiden düşülmesini yasaklar. Ayrıca, faiz tahsisi kurallarına ilişkin finansal kurum kuralını da yürürlükten kaldırmaktadır. Son olarak, Amerika Birleşik Devletleri vatandaşlığından veya daimi ikametgahından vazgeçen kişilerle ilgili yasa hükümlerini değiştirerek , vergi nedenleriyle ABD statüsünden vazgeçtiği kabul edilenlere karşı hesaplanacak gurbetçilik vergisini genişleterek ve eski vatandaşların adlarını bir parçası haline getirerek, kamu kayıt oluşturulması yoluyla Bireylere gurbetçi Have Seçilmiş Üç Aylık Yayını .

Araştırma ve klinik bakım üzerindeki etkiler

Gizlilik ve Güvenlik Kurallarının yürürlüğe girmesi, doktorların ve tıp merkezlerinin çalışma biçiminde büyük değişikliklere neden olmuştur. HIPAA ile ilişkili karmaşık yasallıklar ve potansiyel olarak katı cezaların yanı sıra evrak işlerindeki artış ve uygulama maliyeti, doktorlar ve tıp merkezleri arasında endişe kaynağı oldu. Annals of Internal Medicine dergisindeki Ağustos 2006 tarihli bir makale, HIPAA'nın uygulanması ve etkileriyle ilgili bazı endişeleri detaylandırdı.

Araştırma üzerindeki etkiler

Araştırmacılar üzerindeki HIPAA kısıtlamaları, onların geriye dönük, çizelgeye dayalı araştırma yapma yeteneklerini ve hastaları takip için onlarla iletişime geçerek ileriye dönük olarak değerlendirme yeteneklerini etkilemiştir. Michigan Üniversitesi'nden yapılan bir araştırma , HIPAA Gizlilik kuralının uygulanmasının, kalp krizinden sonra takip edilen çalışma hastaları tarafından tamamlanan takip anketlerinin oranında %96'dan %34'e düşüşle sonuçlandığını göstermiştir . HIPAA'nın kanser önleme üzerine bir çalışma için işe alım üzerindeki etkilerini detaylandıran bir başka çalışma, HIPAA tarafından zorunlu kılınan değişikliklerin hasta tahakkukunda %73'lük bir düşüşe, hastaları işe almak için harcanan zamanın üç katına çıkmasına ve ortalama işe alım maliyetlerinin üç katına çıkmasına neden olduğunu göstermiştir.

Buna ek olarak, araştırma çalışmaları için artık bilgilendirilmiş onam formlarının, katılımcının korunan sağlık bilgilerinin nasıl gizli tutulacağına dair kapsamlı ayrıntıları içermesi gerekmektedir. Bu tür bilgiler önemli olmakla birlikte, gizlilikle ilgili uzun, yasal bir bölümün eklenmesi, zaten karmaşık olan bu belgeleri okuması ve imzalaması istenen hastalar için daha az kullanıcı dostu hale getirebilir.

Bu veriler, şu anda uygulanmakta olan HIPAA gizlilik kuralının tıbbi araştırmaların maliyeti ve kalitesi üzerinde olumsuz etkileri olabileceğini düşündürmektedir . Michigan Üniversitesi'nde iç hastalıkları profesörü olan Dr. Kim Eagle, Annals makalesinde şu sözleri alıntılanmıştır: "Gizlilik önemlidir, ancak araştırma, bakımı iyileştirmek için de önemlidir. Bunu çözeceğimizi ve doğru yapacağımızı umuyoruz. "

Klinik bakım üzerindeki etkiler

HIPAA'nın karmaşıklığı, ihlal edenler için potansiyel olarak katı cezalarla birleştiğinde, doktorların ve tıp merkezlerinin, buna hakkı olabilecek kişilerden bilgi saklamasına neden olabilir. ABD Hükümeti Hesap Verebilirlik Ofisi tarafından HIPAA Gizlilik Kuralının uygulanmasına ilişkin bir inceleme, sağlık hizmeti sağlayıcılarının "yasal mahremiyet sorumlulukları konusunda emin olmadıklarını ve genellikle, kurallara uygunluğu sağlamak için gerekenden daha fazla bilgiyi ifşa etme konusunda aşırı temkinli bir yaklaşımla yanıt verdiklerini ortaya koydu. Gizlilik kuralı". Bu belirsizliğin raporları devam ediyor.

Uygulama maliyetleri

HIPAA Gizlilik ve Güvenlik Yasası'nın yürürlüğe girmesinden hemen önceki dönemde, tıp merkezleri ve tıbbi uygulamalar "uyum sağlamak" ile suçlandı. İhlalle ilişkili potansiyel olarak ağır cezalara erken bir vurgu yaparak, birçok uygulama ve merkez, mevzuatın ayrıntılarını yakından bilen ve doktorların ve tıp merkezlerinin güvenliğini sağlamak için hizmetlerini sunan özel, kar amacı gütmeyen "HIPAA danışmanlarına" döndü. tamamen "uyumlu". Sistem ve uygulamaların geliştirilmesi ve yenilenmesinin maliyetlerine ek olarak, HIPAA'nın yasal gerekliliklerini karşılamak için gereken evrak ve personel süresindeki artış, sigorta şirketlerinin ve Medicare geri ödemelerinin de azaldığı bir dönemde tıp merkezlerinin ve uygulamaların finansmanını etkileyebilir. .

Eğitim ve öğretim

Sağlık hizmeti sağlayıcılarının eğitimi ve eğitimi, HIPAA Gizlilik ve Güvenlik Kanunlarının doğru uygulanması için önemli bir gerekliliktir. Etkili eğitim, HIPAA'nın yasal ve düzenleyici arka planını ve amacını ve Gizlilik Kuralı'nın ilkelerinin ve temel hükümlerinin genel bir özetini tanımlamalıdır. Her HIPAA eğitim kursu, kursa katılan çalışanların rollerine göre uyarlanmalıdır, ancak bazı hayati unsurlar vardır. bu dahil edilmelidir: [ kime göre? ]

  • HIPAA nedir?
  • HIPAA neden önemlidir?
  • HIPAA Tanımları
  • hasta hakları
  • HIPAA Gizlilik Kuralı
  • PHI Açıklamaları
  • İhlal Bildirimleri
  • BA Anlaşmaları
  • HIPAA Güvenlik Kuralı
  • ePHI'yi koruma
  • Olası İhlaller
  • Çalışan Yaptırımları

HIPAA kısaltması

HIPAA kısaltması, 1996 tarihli Kamu Yasası 104-191, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası başlığıyla eşleşmesine rağmen , HIPAA bazen yanlış bir şekilde "Sağlık Bilgileri Gizliliği ve Taşınabilirlik Yasası (HIPPA)" olarak anılır.

İhlaller

Türe göre HIPAA ihlallerini gösteren HIPAA Şeması
Kişisel bilgilerin yasa dışı olarak ifşa edilmesiyle sonuçlanan HIPAA ihlallerinin dökümü.

ABD Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Dairesi'ne göre, Nisan 2003 ile Ocak 2013 arasında, 22.000'i çeşitli türlerde (yerleşimlerden para cezalarına kadar) icra eylemlerine yol açan ve 521'i HIPAA ihlallerine ilişkin 91.000 şikayet aldı. Suç teşkil eden eylemler olarak ABD Adalet Bakanlığı'na havaleler. Korunan bilgilerin önemli ihlallerine ve diğer HIPAA ihlallerine ilişkin örnekler şunları içerir:

  • 2011'de Virginia'daki Tricare Management tarafından 4,9 milyon kişiyi etkileyen en büyük veri kaybı
  • 2017 yılında Memorial Sağlık Sistemlerine 115,143 hastanın gizli bilgilerine eriştiği için 5,5 milyon dolarlık ve 2010 yılında Cignet Health of Maryland'e, hastaların kendi kayıtlarının kopyalarını alma taleplerini görmezden geldiği ve federal yetkilileri tekrar tekrar görmezden geldiği için alınan 5,5 milyon dolarlık para cezası ' Araştırma
  • İlk suç duyurusu 2011 yılında, "hastanın ciddi ve yakın bir tehdit oluşturduğuna dair yanlış iddialar altında bir hastanın işvereniyle bilgi paylaşan Virginialı bir hekime karşı açılmıştır. böyle bir tehdit."

Koczkodaj ve diğerleri, 2018'e göre, Ekim 2009'dan bu yana etkilenen toplam kişi sayısı 173.398.820'dir.

Hukuki ve cezai cezalar arasındaki farklar aşağıdaki tabloda özetlenmiştir:

İhlal Türü medeni ceza (dk) medeni ceza (maks)
Kişi, HIPAA'yı ihlal ettiğini bilmiyordu (ve makul özeni göstererek bilemezdi). Tekrarlanan ihlaller için yıllık maksimum 25.000 ABD Doları olmak üzere, ihlal başına 100 ABD Doları Yıllık maksimum 1,5 milyon ABD Doları olmak üzere ihlal başına 50.000 ABD Doları
Makul nedenle ve kasıtlı ihmal nedeniyle değil, HIPAA ihlali Tekrarlanan ihlaller için yıllık maksimum 100.000 ABD Doları olmak üzere, ihlal başına 1.000 ABD Doları Yıllık maksimum 1,5 milyon ABD Doları olmak üzere ihlal başına 50.000 ABD Doları
Kasıtlı ihmal nedeniyle HIPAA ihlali, ancak ihlal gerekli süre içinde düzeltilir Tekrarlanan ihlaller için yıllık maksimum 250.000 ABD Doları olmak üzere, ihlal başına 10.000 ABD Doları Yıllık maksimum 1,5 milyon ABD Doları olmak üzere ihlal başına 50.000 ABD Doları
HIPAA ihlali kasıtlı ihmalden kaynaklanır ve düzeltilmez Yıllık maksimum 1.000.000 ABD Doları olmak üzere ihlal başına 50.000 ABD Doları Yıllık maksimum 1,5 milyon ABD Doları olmak üzere ihlal başına 50.000 ABD Doları
İhlal Türü CEZAİ CEZA
Kapsam dahilindeki kuruluşlar ve bireysel olarak tanımlanabilir sağlık bilgilerini "bilerek" elde eden veya açıklayan belirli kişiler 50 bin dolara kadar para cezası

1 yıla kadar hapis

Yalan beyanla işlenen suçlar 100 bin dolara kadar para cezası

5 yıla kadar hapis

Kişisel olarak tanımlanabilir sağlık bilgilerini ticari avantaj, kişisel kazanç veya kötü niyetli zarar için satmak, aktarmak veya kullanmak amacıyla işlenen suçlar 250 bin dolara kadar para cezası

10 yıla kadar hapis

Mevzuat bilgisi

Referanslar

Dış bağlantılar