De Health Insurance Portability and Accountability Act (HIPAA) is een van de meest besproken maar weinig begrepen regelgeving van vandaag.
Hoewel je er zeker van hebt gehoord, kun je je afvragen of HIPAA-privacy een federale wet is of wat een HIPAA-schending is. Dus, hier is een nadere blik om dingen op te helderen.
Is de HIPAA-privacyregel een federale wet?
Eerste dingen eerst; is HIPAA-privacy een federale wet? Het korte antwoord is ja, maar dat kan zonder verdere uitleg voor enige verwarring zorgen. Hoewel het een federale wet is, kunnen verschillende staats- en federale wetten voorrang hebben op HIPAA-regelgeving wanneer ze in strijd zijn.
Wanneer de meeste mensen aan HIPAA denken, denken ze aan de privacyregel, een wijziging die later kwam om de privacy van patiënten te beschermen. Staatswetten kunnen de HIPAA-privacyregel overschrijven als ze strenger zijn. Als de regelgeving van een staat meer gegevenstypen omvat of hogere rapportagevereisten heeft, overschrijven ze HIPAA.
Evenzo kunnen staats- en federale wetten vooruitlopen op de andere delen van HIPAA, waarvan de meeste van toepassing zijn op hoe verzekeringen werken. Over het algemeen heeft de strengste regelgeving voorrang. Omdat HIPAA vrij open is, neemt het vaak een achterbank in bij andere wetten.
Wat zijn de 3 belangrijkste dingen die worden aangepakt in de HIPAA-wet?
Je kunt je ook afvragen wat de drie belangrijkste dingen zijn die de HIPAA-wet behandelt. De meeste antwoorden die u op deze vraag zult vinden, noemen administratieve, technische en fysieke beveiliging, maar dit is een relatief klein onderdeel van de wet. HIPAA spreekt over deze waarborgen voor slechts 13 regels in de originele tekst.
De drie belangrijkste zaken die in de HIPAA-wet als geheel worden behandeld, zijn:
- De gezondheidszorg hervormen
- Misbruik en fraude in de zorg voorkomen
- Verdere verbeteringen in de gezondheidszorg stimuleren
De Privacyregel en bijbehorende beveiligingsmaatregelen vallen onder de eerste en tweede doelstelling. Over het algemeen kiest HIPAA echter voor een bredere benadering, waarbij wordt geprobeerd de toegang tot gezondheidszorg uit te breiden en patiënten te beschermen, voornamelijk in termen van hun verzekering.
Op wie en wat is HIPAA van toepassing?
Voor de meeste mensen zijn de meest relevante onderdelen van HIPAA de regelgeving over hun privacy. Ook in dit gebied zijn er veel misverstanden. Veel mensen denken dat HIPAA van toepassing is op bepaalde informatie; dat doet het niet.
De HIPAA-privacyregel heeft betrekking op persoonlijke gezondheidsinformatie, of PHI, die alle informatie bevat die u kunt herleiden tot een persoon, zoals namen, medische informatie en contactgegevens. Over het algemeen vereist HIPAA dat "gedekte entiteiten" uw toestemming krijgen voordat ze deze PHI met iemand anders delen.
Wat de meeste mensen verkeerd hebben over HIPAA, is op wie het van toepassing is. De gedekte entiteiten die HIPAA reguleert, omvatten drie hoofdpartijen: zorgplannen (zoals verzekeraars), zorgaanbieders en verrekenbureaus voor de gezondheidszorg. Sommige partners en zakenpartners van deze partijen kunnen ook onder HIPAA vallen als ze toegang hebben tot uw PHI.
Hoewel de reikwijdte van PHI vrij breed is, zijn gedekte entiteiten dat niet. Uitzonderingen op de HIPAA-privacyregel zijn uw werkgever, de meeste scholen, wetshandhavingsinstanties, de meeste websites en de meeste niet-gezondheidszorgbedrijven. Deze partijen kunnen over het algemeen verzamelen en deel uw informatie zoals ze willen, zolang andere regelgeving niet in de weg staat.
Voorbeelden van HIPAA-overtredingen en uitzonderingen
Dus, wat is een daadwerkelijke HIPAA-overtreding? Enkele van de meest voorkomende voorbeelden zijn datalekken in de gezondheidszorg. Nu, als een ziekenhuis lijdt aan een beveiligingsinbreuk die patiëntgegevens blootlegt, is niet per se een overtreding. Als dit echter het gevolg is van onvoldoende bescherming of als ze het niet goed hebben bekendgemaakt, is het dat wel.
in 2020, The National Law Review meldde dat CHSPSC, een technologiebedrijf in de gezondheidszorg, $ 2,3 miljoen moest betalen voor een inbreuk op de HIPAA-schending. Nadat een hacker de gegevens van zes miljoen patiënten had gecompromitteerd door zich op het systeem te richten, ontdekten onderzoekers dat CHSPSC niet voldeed aan de HIPAA-beveiligingsnormen. Omdat ze er niet in slaagden om de juiste bescherming voor deze informatie te bieden, wat resulteerde in een inbreuk, hebben ze de wet overtreden.
Als marketeers daarentegen uw medische zoekopdrachten op internet gebruiken om advertenties op u te targeten, is dit geen HIPAA-schending. De websites die uw zoekactiviteit verzamelen, zijn geen gedekte entiteiten, dus ze hebben uw expliciete toestemming niet nodig om die gegevens met marketeers te delen.
HIPAA kan ingewikkeld zijn
Zoals veel wetten is HIPAA ingewikkeld. Uitzonderingen op de privacyregel komen vaker voor dan u misschien denkt, en HIPAA zelf dekt veel meer dan alleen beveiliging. Met zoveel verkeerde informatie kan het daarom moeilijk zijn om te weten wat wel en niet legaal is.
Dit zijn slechts enkele voorbeelden van wat HIPAA dekt. Naarmate de discussies over regelgeving voortduren, kan de wet ook evolueren. Denk er in ieder geval aan om de privacy van gegevens in eigen handen te nemen en wees voorzichtig met wat u deelt.
