Posted By HIPAA Journal on Mar 9, 2018
Jaa tämä artikkeli osoitteessa:
Kuinka kauan sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (HIPAA) noudattaminen on ollut tarpeen? Milloin HIPAA säädettiin ja mitkä olivat alkuperäisen lain ja sen myöhempien muutosten noudattamisen päivämäärät?
Milloin HIPAA säädettiin?
HIPAA säädettiin 21. elokuuta 1996, jolloin presidentti Bill Clinton lisäsi allekirjoituksensa ja allekirjoitti lain. Yksi lainsäädännön keskeisistä tavoitteista oli parantaa sairausvakuutusturvan siirrettävyyttä – varmistaa, että työntekijät säilyttävät sairausvakuutusturvan vaihtaessaan työpaikkaa. HIPAA teki myös terveydenhuollon organisaatiot vastuullisiksi terveystiedoista ja auttoi varmistamaan, että terveystiedot pysyvät yksityisinä ja luottamuksellisina.
HIPAA:lla torjuttiin myös tuhlausta terveydenhuollossa ja se auttoi ehkäisemään petoksia ja väärinkäytöksiä terveydenhuollon tarjonnassa ja sairausvakuutuksessa sekä yksinkertaistamaan terveydenhuollon hallintoa.
HIPAA säädettiin ja allekirjoitettiin vuonna 1996, mutta HIPAA-lainsäädäntöön on vuosien varrella tehty merkittäviä päivityksiä, erityisesti HIPAA Privacy Rule, The HIPAA Security Rule, HITECH Actin vaatimusten sisällyttäminen ja HIPAA Omnibus Rule.
Näillä päivityksillä HIPAA-lainsäädäntöön lisättiin monia uusia säännöksiä, ja niiden avulla voitiin varmistaa, että potilaiden yksityisyyttä suojellaan, terveydenhuollon tiedot suojataan asianmukaisesti, potilaille ja terveydenhuoltosuunnitelmien jäsenille ilmoitetaan heidän suojattujen terveystietojensa tietoturvaloukkauksista, ja HIPAA:n soveltamisalaan kuuluvien yhteisöjen liikekumppaneiden oli myös noudatettava HIPAA-sääntöjä.
HIPAA:n täytäntöönpanosäännön (HIPAA Enforcement Rule) käyttöönotolla vuonna 2006 annettiin terveys- ja terveyspalveluiden ministeriön kansalaisoikeusvirastolle valtuudet valvoa HIPAA:n noudattamista. Siitä lähtien HHS:n on ollut mahdollista määrätä taloudellisia seuraamuksia HIPAA-sääntöjen noudattamatta jättämisestä.
Milloin HIPAA:n tietosuojasääntö otettiin käyttöön?
HIPAA:n tietosuojasääntöä ehdotettiin ensimmäisen kerran 3. marraskuuta 1999, ja HIPAA:n lopullinen tietosuojasääntö (HIPAA Final Privacy Rule) otettiin käyttöön 20. joulukuuta 2000, vaikkakin siihen tehtiin korjauksia melkein välittömästi. Tärkein päivämäärä on 14. huhtikuuta 2003, jolloin HIPAA:n piiriin kuuluvien yhteisöjen oli noudatettava HIPAA Privacy Rule -sääntöä.
HIPAA Privacy Rule -säädöksessä määritellään suojattu terveystieto (Protected Health Information, PHI) ja säännellään HIPAA:n piiriin kuuluvien yhteisöjen suorittamaa PHI:n käyttöä määrittelemällä, kenelle tietoja voidaan luovuttaa ja missä olosuhteissa. HIPAA Privacy Rule edellyttää asianmukaisten suojatoimien toteuttamista potilaiden yksityisyyden suojaamiseksi. Potilaille annettiin myös oikeus saada kopiot HIPAA:n piiriin kuuluvien yhteisöjen hallussa olevista PHI-tiedoista.
Milloin HIPAA:n turvallisuussääntö otettiin käyttöön?
HIPAA:n turvallisuussääntöä ehdotettiin ensimmäisen kerran 12. elokuuta 1998, ja lopullinen HIPAA:n turvallisuussääntö tuli voimaan 20. helmikuuta 2003. HIPAA Security Rule -säännön noudattaminen tuli pakolliseksi 21. huhtikuuta 2006.
HIPAA Security Rule -sääntö koskee ensisijaisesti kansallisten turvallisuusstandardien laatimista suojattujen sähköisten terveystietojen suojaamiseksi. HIPAA Security Rule edellyttää hallinnollisten, fyysisten ja teknisten suojatoimien toteuttamista henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi. HIPAA:n turvallisuussäännössä edellytetään myös, että suojattavat yhteisöt suorittavat riskianalyysin yksilöidäkseen PHI:n luottamuksellisuuteen, eheyteen ja saatavuuteen kohdistuvat riskit ja hallitakseen näitä riskejä ja vähentääkseen ne kohtuulliselle tasolle.
Kuinka HITECH-laki sisällytettiin HIPAA:han?
Terveystietotekniikkaa taloudellisen ja kliinisen terveyden edistämiseksi koskeva laki (Health Information Technology for Economic and Clinical Health – HITECH Act, HITECH-lainsäädäntö) allekirjoitettiin laiksi 17. helmikuuta 2009. Tietyt HITECH-lain osat tulivat voimaan samassa kuussa, kuten tiukemmat rangaistukset HIPAA-sääntöjen rikkomisesta. Useimmat HITECH-lain säännökset tulivat voimaan ja olivat täytäntöönpanokelpoisia 27. helmikuuta 2010 alkaen.
HITECH-lain sisällyttäminen HIPAA:an johti HIPAA Breach Notification Rule -säännön laatimiseen, jossa edellytetään, että suojattujen yksikköjen on ilmoitettava yksityishenkilöille, kun PHI-tiedot ovat paljastuneet tai vaarantuneet. HITECH edellytti myös, että HIPAA:n piiriin kuuluvien yhteisöjen liikekumppanit noudattavat HIPAA-sääntöjä, ja asetti ne suoraan vastuuseen HIPAA:n rikkomuksista.
Vuoden 2013 HIPAA Omnibus Rule -säädöksellä viimeisteltiin ja sisällytettiin HIPAA:an monia HITECH Actin säännöksiä HIPAA:an 17. tammikuuta 2013 voimaan tulleella HIPAA:n HIPAA:n Omnibus-säännöllä. Vaatimusten noudattamisen määräaika oli 23. syyskuuta 2013.
Tärkeitä päivämääriä HIPAA:n historiassa
- 21. elokuuta 1996 – HIPAA allekirjoitettiin laiksi
- 20. joulukuuta 2000 – HIPAA:n lopullinen tietosuojasääntö annettiin
- 20. helmikuuta 2003 – HIPAA:n lopullinen turvallisuussääntö annettiin
- 14. huhtikuuta, 2003 – HIPAA:n tietosuojasäännön noudattamisen määräaika
- 21. huhtikuuta 2006 – HIPAA:n turvallisuussäännön noudattamisen määräaika
- 16. maaliskuuta 2006 – HIPAA:n täytäntöönpanosääntö tulee voimaan
- 17. helmikuuta, 2009 – HITECH Act allekirjoitettiin laiksi
- 27. helmikuuta 2010 – HITECH Actin noudattamisen määräaika
- 17. tammikuuta 2013 – HIPAA Omnibus Final Rule julkaistiin
- 23. syyskuuta, 2013 – Omnibus-säännön noudattamisen määräaika
Lisätietoa HIPAA:sta
Lisätietoa HIPAA:n noudattamisesta saat täältä, ja lisätietoja HIPAA:n merkkipaaluista saat HIPAA:n historiasivulta ja infograafista.