HIPAA Security Rules for Business Associates

Kongressen tok i 1996 sikte på helseforsikringsmarkedet og la merke til en overflod av problemer, inkludert svindel og avfall som hindret helsevesenet og helseforsikringen. De utpekte helsepersonellportabilitet og ansvarlighetsloven, eller HIPAA, for å bekjempe disse problemene. En av de primære seksjonene av HIPAA beskytter en persons personlige helseinformasjon. Spesifikke sikkerhetsregler gjelder både for helsesektoren og deres forretningsforbindelser.

Personlig helseinformasjon og forretningsforbindelser

HIPAA definerer personlig helseinformasjon i stor grad. Enkelt sagt, det er informasjon som enten separat eller samlet kan brukes til å bestemme identiteten til en bestemt pasient. HIPAA gjelder ikke bare helsepersonell, for eksempel sykehus eller forsikringsagenter. Forretningsforbindelser - uavhengige entreprenører som utfører tjenester til helsevesenet - må også overholde visse HIPAA-forskrifter. HIPAAs sikkerhetsregler beskytter personlig helseinformasjon gjennom tre primære beskyttelsesforanstaltninger: administrativt, fysisk og teknisk.

Administrative garantier

Ifølge Helsedepartementet består over halvparten av HIPAA-sikkerhetskravene av administrative sikkerhetstiltak. Disse inkluderer retningslinjer og prosedyrer for å opprettholde og beskytte integriteten til beskyttet helseinformasjon. Forretningsforbindelser må avgjøre og implementere retningslinjer og prosedyrer som er utformet for å "hindre, oppdage, inneholde og rette" sikkerhetsbrudd.

Fysiske og tekniske sikkerhetstiltak

De fysiske og tekniske sikkerhetstiltakene er nært knyttet til de administrative sikkerhetstiltakene. For eksempel kan den administrative beskyttelsen kreve at kun personell fra forretningsforbindelsen som "trenger å vite" eller på annen måte har tilgang til personlig helseinformasjon, får tilgang til slik informasjon. Det er da opp til forretningsforbindelsen å sette opp fysiske eller tekniske sikringer for å møte den administrative beskyttelsen. En fysisk beskyttelse kan innebære å holde filer under lås og nøkkel. På samme måte omfatter tekniske sikkerhetstiltak bruk av riktige nettverkssikkerhetsforanstaltninger for å forhindre uautorisert tilgang.

Melding

En annen viktig del av HIPAAs sikkerhetsregler er rask varsling. Hvis en forretningsforetak oppdager brudd på sikkerhetssikringene, har den tilknyttede en plikt til å varsle helsepersonell umiddelbart. Unnlatelse av å varsle - og unnlatelse av ellers tilstrekkelig beskyttelse av personlig helseinformasjon - kan føre til betydelige straffer, inkludert både strafferettslige sanksjoner og sivile tiltak.