Az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) napjaink egyik legtöbbet emlegetett, de keveset értett szabályozása.
Bár biztosan hallott már róla, felmerülhet a kérdés, hogy a HIPAA adatvédelem szövetségi törvény-e, vagy mi minősül HIPAA megsértésének. Tehát itt van egy közelebbi pillantás a dolgok tisztázása érdekében.
A HIPAA adatvédelmi szabály szövetségi törvény?
Először is; a HIPAA adatvédelem szövetségi törvény? A rövid válasz igen, de ez további magyarázat nélkül némi zavart okozhat. Bár szövetségi törvényről van szó, számos állami és szövetségi törvény megelőzheti a HIPAA szabályozását, ha ütközik.
Amikor a legtöbben a HIPAA-ra gondolnak, annak adatvédelmi szabályára gondolnak, amely egy későbbi módosítás a betegek magánéletének védelme érdekében. Az állami törvények felülírhatják a HIPAA adatvédelmi szabályt, ha szigorúbbak. Ha egy állam szabályozása több adattípusra vonatkozik, vagy magasabb jelentési követelményeket írnak elő, akkor felülbírálják a HIPAA-t.
Hasonlóképpen, az állami és szövetségi törvények megelőzhetik a HIPAA többi részét, amelyek többsége a biztosítás működésére vonatkozik. Általánosságban elmondható, hogy a szigorúbb szabályozás élvez elsőbbséget. Mivel a HIPAA meglehetősen nyílt végű, gyakran háttérbe szorul más törvényekkel szemben.
Mi a 3 fő dolog, amellyel a HIPAA törvény foglalkozik?
Felmerülhet az a kérdés, hogy mi a három fő dolog, amit a HIPAA törvény foglalkozik. A legtöbb válasz erre a kérdésre az adminisztratív, műszaki és fizikai védelemre hivatkozik, de ez a törvény viszonylag kis része. A HIPAA az eredeti szövegben mindössze 13 sor erejéig beszél ezekről a biztosítékokról.
A HIPAA törvény egészében a három fő dologgal foglalkozik:
- Az egészségügy reformja
- A visszaélések és csalások megelőzése az egészségügyben
- További fejlesztések az egészségügyben
Az adatvédelmi szabály és a kapcsolódó biztonsági intézkedések az első és a második cél alá tartoznak. Összességében azonban a HIPAA tágabb megközelítést alkalmaz, megpróbálja kiterjeszteni az egészségügyi ellátáshoz való hozzáférést és megvédeni a betegeket, főleg a biztosításuk tekintetében.
Kire és mire vonatkozik a HIPAA?
A legtöbb ember számára a HIPAA legfontosabb részei a magánéletükre vonatkozó előírások. Ezen a területen is sok a félreértés. Sokan úgy gondolják, hogy a HIPAA bizonyos információkra vonatkozik; nem.
A HIPAA adatvédelmi szabálya a személyes egészségügyi adatokra vagy a PHI-re vonatkozik, amely magában foglal minden olyan információt, amely visszavezethető az egyénre, például nevek, orvosi adatok és elérhetőségek. A HIPAA általában megköveteli a „fedett entitásoktól” az Ön engedélyét, mielőtt megosztaná ezt a PHI-t bárki mással.
A legtöbb ember téved a HIPAA-val kapcsolatban, hogy kire vonatkozik. A HIPAA által szabályozott lefedett entitások három fő felet foglalnak magukban: egészségügyi terveket (például biztosítókat), egészségügyi szolgáltatókat és egészségügyi elszámolóházakat. E felek egyes partnerei és üzleti partnerei is a HIPAA hatálya alá eshetnek, ha hozzáférhetnek az Ön PHI-jához.
Míg a PHI hatóköre meglehetősen széles, a lefedett entitások nem. A HIPAA adatvédelmi szabály alóli kivételek közé tartozik a munkáltató, a legtöbb iskola, a rendészeti szervek, a legtöbb webhely és a legtöbb nem egészségügyi vállalkozás. Ezek a felek általában gyűjthetnek és ossza meg adatait, ahogy akarja, amíg más szabályozás nem akadályozza.
Példák a HIPAA megsértésére és kivételekre
Tehát mi a HIPAA tényleges megsértése? A leggyakoribb példa az egészségügyi adatokkal kapcsolatos incidens. Most, ha egy kórház biztonsági megsértést szenved el amely felfedi a betegek adatait, ez nem feltétlenül szabálysértés. Ha azonban ez az elégtelen védelem eredménye, vagy nem hozták nyilvánosságra megfelelően, akkor az.
2020-ban A Nemzeti Jogi Szemle beszámolt arról, hogy a CHSPSC egészségügyi technológiai vállalatnak 2,3 millió dollárt kellett fizetnie a HIPAA megsértésével kapcsolatos megsértése miatt. Miután egy hacker hatmillió beteg adatait veszélyeztette a rendszer megcélzásával, a nyomozók megállapították, hogy a CHSPSC nem felel meg a HIPAA biztonsági szabványoknak. Mivel ezeknek az információknak nem biztosították a megfelelő védelmet, ami jogsértést eredményezett, megsértették a törvényt.
Ezzel szemben, ha a marketingszakemberek az Ön orvosi vonatkozású internetes kereséseit használják arra, hogy hirdetéseiket Önre célozzák, az nem HIPAA megsértése. Az Ön keresési tevékenységét gyűjtő webhelyek nem lefedett entitások, így nincs szükségük az Ön kifejezett engedélyére az adatok marketingesekkel való megosztásához.
A HIPAA bonyolult lehet
Mint sok törvény, a HIPAA is bonyolult. Az adatvédelmi szabály alóli kivételek gyakoribbak, mint gondolná, és maga a HIPAA sokkal többet takar, mint a biztonság. Következésképpen a sok félretájékoztatás miatt nehéz lehet tudni, hogy mi legális és mi nem.
Ez csak néhány példa arra, hogy mit takar a HIPAA. Ahogy a szabályozási megbeszélések folytatódnak, a törvény is változhat. Mindenesetre ne felejtse el a saját kezébe venni az adatvédelmet, és ügyeljen arra, hogy mit oszt meg.