Health Insurance Portability and Accountability Act of 1996 (HIPAA)

De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een federale wet die de invoering voorschreef van nationale normen ter bescherming van gevoelige gezondheidsinformatie van patiënten tegen openbaarmaking zonder toestemming of medeweten van de patiënt. Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft de HIPAA-privacyregel uitgevaardigd om de voorschriften van de HIPAA ten uitvoer te leggen. De HIPAA Security Rule beschermt een deelverzameling van informatie die onder de Privacy Rule valt.

HIPAA Privacy Rule

De normen van de Privacy Rule hebben betrekking op het gebruik en de openbaarmaking van gezondheidsinformatie van individuen (bekend als “beschermde gezondheidsinformatie”) door entiteiten die onder de Privacy Rule vallen. Deze personen en organisaties worden “betrokken entiteiten” genoemd. De Privacy Rule bevat ook normen voor het recht van personen om te begrijpen en te controleren hoe hun gezondheidsinformatie wordt gebruikt. Een van de belangrijkste doelstellingen van de Privacy Rule is ervoor te zorgen dat de gezondheidsinformatie van individuele personen naar behoren wordt beschermd en tegelijkertijd de uitwisseling van gezondheidsinformatie mogelijk te maken die nodig is om gezondheidszorg van hoge kwaliteit te verstrekken en te bevorderen en om de gezondheid en het welzijn van het publiek te beschermen. De Privacy Rule zorgt voor een evenwicht dat belangrijk gebruik van informatie mogelijk maakt en tegelijkertijd de privacy beschermt van mensen die zorg en genezing zoeken.

Gedekte entiteiten

De volgende soorten personen en organisaties vallen onder de Privacy Rule en worden beschouwd als gedekte entiteiten:

• Zorgaanbieders: Elke zorgverlener, ongeacht de omvang van zijn praktijk, die gezondheidsinformatie elektronisch overdraagt in verband met bepaalde transacties. Deze transacties omvatten claims, verzoeken om in aanmerking te komen voor vergoedingen, verzoeken om toestemming voor doorverwijzing, en andere transacties waarvoor de HHS normen heeft vastgesteld in het kader van de HIPAA Transactions Rule.
• Gezondheidsplannen: Entiteiten die de kosten van medische zorg verstrekken of betalen. Gezondheidsplannen omvatten verzekeraars voor gezondheidszorg, tandheelkunde, visie en geneesmiddelen op recept; organisaties voor gezondheidsonderhoud (HMO’s); Medicare-, Medicaid-, Medicare+Choice- en Medicare-supplementverzekeraars; en verzekeraars voor langdurige zorg (met uitzondering van verpleeghuisverzekeringen met vaste vergoedingen). Gezondheidsplannen omvatten ook door de werkgever gesponsorde collectieve gezondheidsplannen, door de overheid of kerk gesponsorde gezondheidsplannen en door meerdere werkgevers gesponsorde gezondheidsplannen.
  • Uitzondering: Een groepsgezondheidsplan met minder dan 50 deelnemers dat uitsluitend wordt beheerd door de werkgever die het plan heeft opgericht en onderhoudt, is geen gedekte entiteit.
• Informatiecentra voor gezondheidszorg: Entiteiten die niet-standaardinformatie die ze van een andere entiteit ontvangen, verwerken tot een standaard (d.w.z. standaardformaat of gegevensinhoud), of vice versa. In de meeste gevallen zullen clearinginstellingen voor gezondheidszorg alleen individueel identificeerbare gezondheidsinformatie ontvangen wanneer zij deze verwerkingsdiensten verlenen aan een gezondheidsplan of zorgaanbieder als een business associate.
• Business associates: Een persoon of organisatie (anders dan een personeelslid van een gedekte entiteit) die individueel identificeerbare gezondheidsinformatie gebruikt of bekendmaakt om functies, activiteiten of diensten uit te voeren of te verlenen voor een gedekte entiteit. Deze functies, activiteiten of diensten omvatten het verwerken van claims, het analyseren van gegevens, het beoordelen van het gebruik en het factureren.

Toegestaan gebruik en openbaarmaking

Een gedekte entiteit mag, maar is niet verplicht, beschermde gezondheidsinformatie te gebruiken en openbaar te maken, zonder toestemming van een individu, voor de volgende doeleinden of situaties:

• Openbaarmaking aan het individu (als de informatie nodig is voor toegang of boekhouding van openbaarmakingen, MOET de entiteit openbaar maken aan het individu)
• Behandeling, betaling, en gezondheidszorgoperaties
• Mogelijkheid om in te stemmen met of bezwaar te maken tegen de openbaarmaking van PHI (Informele toestemming kan worden verkregen door het individu ronduit te vragen, of door omstandigheden die de persoon duidelijk de gelegenheid geven in te stemmen, te berusten of bezwaar te maken)
• Tussenkomst bij een anderszins toegestaan gebruik en openbaarmaking
• Het algemeen belang en activiteiten ten behoeve van het algemeen nut-De privacyregel staat het gebruik en de openbaarmaking van beschermde gezondheidsinformatie toe, zonder de toestemming of machtiging van een persoon, voor 12 nationale prioritaire doeleindenxtern pictogram:

1. Wanneer wettelijk vereist
2. Publieke gezondheidsactiviteiten
3. Slachtoffers van mishandeling of verwaarlozing of huiselijk geweld
4. Het toezicht op de gezondheidszorg
5. Juridische en administratieve procedures
6. Wetshandhaving
7. Functies (zoals identificatie) met betrekking tot overleden personen
8. Cadaverische orgaan, oog-, of weefseldonatie
9. Onderzoek, onder bepaalde voorwaarden
10. Om een ernstige bedreiging van de gezondheid of veiligheid te voorkomen of te verminderen
11. Essentiële overheidstaken
12. Werknemerscompensatie

• Beperkte dataset voor onderzoek, volksgezondheid, of gezondheidszorg

HIPAA Beveiligingsregel

De HIPAA-privacyregel beschermt beschermde gezondheidsinformatie (PHI), terwijl de beveiligingsregel een deelverzameling beschermt van informatie die onder de privacyregel valt. Deze subgroep bestaat uit alle individueel identificeerbare gezondheidsinformatie die een betrokken entiteit in elektronische vorm creëert, ontvangt, bewaart of verzendt. Deze informatie wordt “elektronische beschermde gezondheidsinformatie” (e-PHI) genoemd. De beveiligingsregel is niet van toepassing op mondeling of schriftelijk overgedragen PGHI.

Om aan de HIPAA-beveiligingsregel te voldoen, moeten alle betrokken entiteiten het volgende doen:

• Zorg voor de vertrouwelijkheid, integriteit en beschikbaarheid van alle elektronische beschermde gezondheidsinformatie
• Opsporen van en bescherming bieden tegen verwachte bedreigingen voor de veiligheid van de informatie
• Beschermen tegen verwachte ontoelaatbare gebruiken of openbaarmakingen
• Certificeren dat hun personeel de regels naleeft

Bedekte entiteiten moeten vertrouwen op professionele ethiek en het beste oordeel bij het overwegen van verzoeken om deze permissieve gebruiken en openbaarmakingen. Het HHS Office for Civil Rights ziet toe op de naleving van de HIPAA-regels en alle klachten moeten aan dat kantoor worden gemeld. Overtredingen van de HIPAA-regels kunnen leiden tot civielrechtelijke of strafrechtelijke sancties.

Voor meer informatie kunt u terecht op de HIPAA-website van het Department of Health and Human Services.

Extern pictogram. Amerikaans ministerie van Volksgezondheid en Human Services.