Health Insurance Portability and Accountability Act (HIPAA) er en af de mest omtalte, endnu lidt forståede regler i dag.
Selvom du helt sikkert har hørt om det, kan du undre dig over, om HIPAA privatliv er en føderal lov, eller hvad der udgør en HIPAA-overtrædelse. Så her er et nærmere kig for at hjælpe med at opklare tingene.
Er HIPAA Privacy Rule en føderal lov?
Første ting først; er HIPAA privatliv en føderal lov? Det korte svar er ja, men det kan skabe en vis forvirring uden yderligere forklaring. Selvom det er en føderal lov, kan flere statslige og føderale love foregribe HIPAA-regler, når de er i konflikt.
Når de fleste mennesker tænker på HIPAA, tænker de på dens privatlivsregel, en ændring, der kom senere for at beskytte patientens privatliv. Statslove kan tilsidesætte HIPAA Privacy Rule, hvis de er strengere. Hvis en stats regler dækker flere datatyper eller har højere rapporteringskrav, tilsidesætter de HIPAA.
På samme måde kan statslige og føderale love foregribe de andre dele af HIPAA, hvoraf de fleste gælder for, hvordan forsikring fungerer. Generelt har den strengeste regulering forrang. Da HIPAA er ret åben, tager det ofte en bagsædet til andre love.
Hvad er de 3 vigtigste ting, der behandles i HIPAA-loven?
Du kan også undre dig over, hvad de tre vigtigste ting, HIPAA-loven omhandler, er. De fleste svar, du finder på dette spørgsmål, nævner administrativ, teknisk og fysisk beskyttelse, men dette er en relativt lille del af loven. HIPAA taler om disse sikkerhedsforanstaltninger for kun 13 linjer i den originale tekst.
De tre vigtigste ting, der behandles i HIPAA-loven som helhed, er:
- Reform af sundhedssektoren
- Forebyggelse af misbrug og bedrageri i sundhedsvæsenet
- Fremme yderligere forbedringer i sundhedsvæsenet
Fortrolighedsreglen og relaterede sikkerhedsforanstaltninger falder ind under det første og andet mål. Generelt har HIPAA dog en bredere tilgang og forsøger at udvide adgangen til sundhedsydelser og beskytte patienter, for det meste med hensyn til deres forsikring.
Hvem og hvad gælder HIPAA for?
For de fleste mennesker er de mest relevante dele af HIPAA reglerne for deres privatliv. Der er også en masse misforståelser omkring dette område. Mange mennesker tror, at HIPAA gælder for nogle oplysninger; det gør det ikke.
HIPAA Privacy Rule dækker personlige helbredsoplysninger eller PHI, som omfatter enhver information, du kan spore tilbage til en person, såsom navne, medicinske oplysninger og kontaktoplysninger. Generelt kræver HIPAA "dækkede enheder" for at få din tilladelse, før du deler denne PHI med andre.
Det, de fleste tager fejl af ved HIPAA, er, hvem det gælder for. De omfattede enheder, som HIPAA regulerer, omfatter tre hovedparter: sundhedsplaner (som forsikringsselskaber), sundhedsudbydere og sundhedsclearinghouses. Nogle partnere og forretningsforbindelser til disse parter kan også falde ind under HIPAA, hvis de kan få adgang til din PHI.
Mens PHI's omfang er ret bredt, er omfattede enheder det ikke. Undtagelser fra HIPAA Privacy Regel omfatter din arbejdsgiver, de fleste skoler, retshåndhævelse, de fleste websteder og de fleste ikke-sundhedsvirksomheder. Disse parter kan generelt indsamle og dele dine oplysninger, som de vil, så længe andre regler ikke kommer i vejen.
Eksempler på HIPAA-overtrædelser og undtagelser
Så hvad er en faktisk HIPAA-overtrædelse? Nogle af de mest almindelige eksempler er databrud i sundhedssektoren. Nu, hvis et hospital lider af et sikkerhedsbrud der afslører patientdata, er det ikke nødvendigvis en overtrædelse. Men hvis det er resultatet af utilstrækkelig beskyttelse, eller de ikke afslørede det korrekt, er det det.
I 2020, National Law Review rapporterede, at sundhedsteknologiselskabet CHSPSC skulle betale 2,3 millioner dollars for en brudrelateret HIPAA-overtrædelse. Efter at en hacker kompromitterede seks millioner patienters data ved at målrette mod systemet, fandt efterforskerne ud af, at CHSPSC ikke opfyldte HIPAA-sikkerhedsstandarderne. Da de undlod at yde den rette beskyttelse af disse oplysninger, hvilket resulterede i et brud, overtrådte de loven.
Hvis marketingfolk derimod bruger dine medicinsk-relaterede internetsøgninger til at målrette annoncer til dig, er det ikke en HIPAA-overtrædelse. De websteder, der indsamler din søgeaktivitet, er ikke omfattede enheder, så de behøver ikke din udtrykkelige tilladelse til at dele disse data med marketingfolk.
HIPAA kan være kompliceret
Ligesom mange love er HIPAA kompliceret. Undtagelser fra privatlivets fredsregler er mere almindelige, end du måske tror, og HIPAA dækker selv langt mere end blot sikkerhed. Derfor kan det med så megen misinformation være svært at vide, hvad der er og ikke er lovligt.
Dette er blot nogle få eksempler på, hvad HIPAA dækker over. Efterhånden som lovgivningsdiskussioner fortsætter, kan loven også udvikle sig. Under alle omstændigheder skal du huske at tage databeskyttelse i egne hænder og være forsigtig med, hvad du deler.