Posted By HIPAA Journal on Mar 9, 2018
Del denne artikel på:
Hvor længe har det været nødvendigt at overholde Health Insurance Portability and Accountability Act (HIPAA)? Hvornår blev HIPAA vedtaget, og hvad var overholdelsesdatoerne for den oprindelige lov og de efterfølgende ændringer?
Hvor blev HIPAA vedtaget?
HIPAA blev vedtaget den 21. august 1996, da præsident Bill Clinton tilføjede sin underskrift og underskrev loven som lov. Et af de vigtigste mål med lovgivningen var at forbedre overførbarheden af sygesikringsdækningen – at sikre, at de ansatte beholdt deres sygesikringsdækning, når de skiftede job. HIPAA gjorde også sundhedsorganisationerne ansvarlige for sundhedsdata og bidrog til at sikre, at sundhedsoplysninger forbliver private og fortrolige.
HIPAA bekæmpede også spild i sundhedsvæsenet og bidrog til at forhindre svig og misbrug i forbindelse med levering af sundhedsydelser og sundhedsforsikring, samtidig med at det forenklede administrationen af sundhedsvæsenet.
HIPAA blev vedtaget og underskrevet som lov i 1996, men der er sket større opdateringer af HIPAA-lovgivningen i årenes løb, navnlig indførelsen af HIPAA Privacy Rule, The HIPAA Security Rule, indarbejdelsen af HITECH Act-kravene og HIPAA Omnibus Rule.
Disse opdateringer tilføjede mange nye bestemmelser til HIPAA-lovgivningen og bidrog til at sikre, at patienternes privatliv blev beskyttet, at sundhedsdata blev sikret på passende vis, at patienter og planmedlemmer blev underrettet i tilfælde af et brud på deres beskyttede sundhedsoplysninger, og at forretningsforbindelser til HIPAA-dækkede enheder også skulle overholde HIPAA-reglerne.
Indførelsen af HIPAA Enforcement Rule i 2006 gav Department of Health and Human Services’ Office for Civil Rights beføjelser til at håndhæve HIPAA. Siden da har det været muligt for HHS at forfølge økonomiske sanktioner for manglende overholdelse af HIPAA-reglerne.
Hvornår blev HIPAA Privacy Rule indført?
HIPAA Privacy Rule blev første gang foreslået den 3. november 1999 med den endelige HIPAA Privacy Rule af HIPAA, der blev vedtaget den 20. december 2000, selv om der blev foretaget rettelser næsten øjeblikkeligt. Den vigtigste dato er den 14. april 2003, hvor HIPAA-dækkede enheder skulle overholde HIPAA Privacy Rule.
HIPAA Privacy Rule definerede Protected Health Information (PHI) og regulerede HIPAA-dækkede enheders brug af PHI, idet den fastlagde, hvem oplysningerne kunne videregives til og under hvilke omstændigheder. HIPAA Privacy Rule kræver, at der indføres passende sikkerhedsforanstaltninger for at beskytte patienternes privatliv. Patienterne fik også ret til at få kopier af de PHI, der opbevares af HIPAA-dækkede enheder.
Hvornår blev HIPAA Security Rule indført?
HIPAA Security Rule blev første gang foreslået den 12. august 1998, og den endelige Security Rule i HIPAA blev vedtaget den 20. februar 2003. Overholdelse af HIPAA-sikkerhedsreglen blev obligatorisk den 21. april 2006.
HIPAA-sikkerhedsreglen drejer sig primært om fastlæggelse af nationale standarder for sikkerhed til beskyttelse af elektroniske beskyttede sundhedsoplysninger. HIPAA Security Rule kræver, at der indføres administrative, fysiske og tekniske sikkerhedsforanstaltninger for at sikre fortrolighed, integritet og tilgængelighed af PHI. HIPAA Security Rule kræver også, at de omfattede enheder foretager en risikoanalyse for at identificere risici for fortroligheden, integriteten og tilgængeligheden af PHI og for at styre disse risici og reducere dem til et rimeligt niveau.
Hvornår blev HITECH Act inkorporeret i HIPAA?
The Health Information Technology for Economic and Clinical Health (HITECH) Act blev underskrevet som lov den 17. februar 2009. Visse elementer i HITECH trådte i kraft samme måned, f.eks. øgede straffe for overtrædelse af HIPAA-reglerne. De fleste af bestemmelserne i HITECH Act trådte i kraft og kunne håndhæves fra den 27. februar 2010.
HITECH Act’s indarbejdelse i HIPAA resulterede i oprettelsen af HIPAA Breach Notification Rule, som kræver, at omfattede enheder skal underrette enkeltpersoner, når PHI er udsat eller kompromitteret. HITECH krævede også, at forretningsforbindelser til HIPAA-dækkede enheder skulle overholde HIPAA-reglerne og gjorde dem direkte ansvarlige for HIPAA-overtrædelser.
HIPAA Omnibus Rule af 2013 færdiggjorde og indarbejdede mange af HITECH Act’s bestemmelser i HIPAA med HIPAA Omnibus Rule af HIPAA, der blev vedtaget den 17. januar 2013. Overholdelsesfristen var den 23. september 2013.
Vigtige datoer i HIPAA’s historie
- 21. august 1996 – HIPAA blev underskrevet som lov
- 20. december 2000 – HIPAA Final Privacy Rule udstedt
- 20. februar 2003 – HIPAA Final Security Rule udstedt
- 14. april 2003 – HIPAA Final Security Rule udstedt
- 14, 2003 – Frist for overholdelse af HIPAA Privacy Rule
- 21. april 2006 – Frist for overholdelse af HIPAA Security Rule
- 16. marts 2006 – HIPAA Enforcement Rule træder i kraft
- 17. februar, 2009 – HITECH Act trådte i kraft
- 27. februar 2010 – frist for overholdelse af HITECH Act
- 17. januar 2013 – HIPAA Omnibus Final Rule udstedt
- 23. september, 2013 – Frist for overholdelse af Omnibus Rule
Yderligere oplysninger om HIPAA
Du kan få mere at vide om overholdelse af HIPAA her, og for yderligere oplysninger om milepæle i HIPAA kan du se vores side om HIPAA’s historie og infografik.