Health Insurance Portability and Accountability Act (HIPAA) er en av de mest omtalte, men lite forståtte forskriftene i dag.
Selv om du sikkert har hørt om det, kan du lure på om HIPAA-personvern er en føderal lov eller hva som utgjør et HIPAA-brudd. Så her er en nærmere titt for å hjelpe med å rydde opp.
Er HIPAA personvernregel en føderal lov?
Første ting først; er HIPAA personvern en føderal lov? Det korte svaret er ja, men det kan skape litt forvirring uten ytterligere forklaring. Selv om det er en føderal lov, kan flere statlige og føderale lover foregripe HIPAA-forskrifter når de er i konflikt.
Når folk flest tenker på HIPAA, tenker de på dens personvernregel, en endring som kom senere for å beskytte pasientens personvern. Statlige lover kan overstyre HIPAAs personvernregel hvis de er strengere. Hvis en stats forskrifter dekker flere datatyper eller har høyere rapporteringskrav, overstyrer de HIPAA.
På samme måte kan statlige og føderale lover foregripe de andre delene av HIPAA, hvorav de fleste gjelder hvordan forsikring fungerer. Generelt sett har den strengeste reguleringen forrang. Siden HIPAA er ganske åpen, tar det ofte baksetet til andre lover.
Hva er de 3 viktigste tingene som tas opp i HIPAA-loven?
Du lurer kanskje også på hva de tre viktigste tingene HIPAA-loven omhandler er. De fleste svarene du finner på dette spørsmålet nevner administrativ, teknisk og fysisk beskyttelse, men dette er en relativt liten del av loven. HIPAA snakker om disse sikkerhetstiltakene for bare 13 linjer i originalteksten.
De tre viktigste tingene som tas opp i HIPAA-loven som helhet er:
- Reformere helsevesenet
- Forebygging av misbruk og svindel i helsevesenet
- Drive for ytterligere forbedringer i helsevesenet
Personvernregelen og relaterte sikkerhetstiltak faller inn under det første og andre målet. Totalt sett tar HIPAA imidlertid en bredere tilnærming, og prøver å utvide tilgangen til helsetjenester og beskytte pasienter, hovedsakelig når det gjelder forsikringen deres.
Hvem og hva gjelder HIPAA?
For de fleste er de mest relevante delene av HIPAA reglene for personvernet deres. Det er mye misforståelser rundt dette området også. Mange tror HIPAA gjelder noe informasjon; det gjør det ikke.
HIPAA Privacy Rule dekker personlig helseinformasjon, eller PHI, som inkluderer all informasjon du kan spore tilbake til en person, som navn, medisinsk informasjon og kontaktinformasjon. Generelt krever HIPAA "dekkede enheter" for å få din tillatelse før du deler denne PHI med noen andre.
Det de fleste tar feil om HIPAA er hvem det gjelder. De dekkede enhetene som HIPAA regulerer inkluderer tre hovedparter: helseplaner (som forsikringsselskaper), helseleverandører og helsetjenester. Noen partnere og forretningsforbindelser til disse partene kan også falle inn under HIPAA, hvis de har tilgang til PHI.
Mens PHIs omfang er ganske bredt, er det ikke dekkede enhetene. Unntak fra HIPAA Privacy Rule inkluderer din arbeidsgiver, de fleste skoler, rettshåndhevelse, de fleste nettsteder og de fleste ikke-helsetjenester. Disse partene kan generelt samle og dele informasjonen din som de vil, så lenge andre regler ikke kommer i veien.
Eksempler på HIPAA-brudd og unntak
Så, hva er et faktisk HIPAA-brudd? Noen av de vanligste eksemplene er datainnbrudd i helsevesenet. Nå, hvis et sykehus lider av et sikkerhetsbrudd som avslører pasientdata, er det ikke nødvendigvis et brudd. Men hvis det er et resultat av utilstrekkelig beskyttelse eller de ikke avslørte det på riktig måte, er det det.
I 2020, Den nasjonale lovrevyen rapporterte at helseteknologiselskapet CHSPSC måtte betale 2,3 millioner dollar for et brudd-relatert HIPAA-brudd. Etter at en hacker kompromitterte seks millioner pasientdata ved å målrette systemet, fant etterforskerne ut at CHSPSC ikke oppfylte HIPAA-sikkerhetsstandardene. Siden de ikke klarte å gi riktig beskyttelse for denne informasjonen, noe som resulterte i et brudd, brøt de loven.
Derimot, hvis markedsførere bruker dine medisinskrelaterte internettsøk for å målrette annonser mot deg, er det ikke et HIPAA-brudd. Nettstedene som samler søkeaktiviteten din er ikke dekkede enheter, så de trenger ikke din eksplisitte tillatelse til å dele disse dataene med markedsførere.
HIPAA kan være komplisert
Som mange lover er HIPAA komplisert. Unntak fra personvernregler er mer vanlige enn du kanskje tror, og HIPAA selv dekker langt mer enn bare sikkerhet. Følgelig, med så mye feilinformasjon rundt, kan det være vanskelig å vite hva som er og ikke er lovlig.
Dette er bare noen få eksempler på hva HIPAA dekker. Etter hvert som regulatoriske diskusjoner fortsetter, kan loven også utvikle seg. Husk uansett å ta personvernet i egne hender og vær forsiktig med hva du deler.
