Helseforsikring bærbarhet og Accountability Act (HIPAA) er en føderal lov som gir personvern for personlig helseinformasjon som finnes i elektronisk format. HIPAA gjelder ikke bare helsepersonell, men også enheter som behandler eller lagrer personlige helseopplysninger, herunder svartjenester som videresende personlig helseinformasjon til helsepersonell.

Tilgang til elektronisk lagret Pasientinformasjon

HIPAA fraråder unødvendig tilgang til elektronisk lagret personlig helseinformasjon. Regelverket krever også detaljert informasjon om ansattes tilgang til pasientopplysninger. For eksempel må callsentre granske hvem som har tilgang til elektronisk lagret informasjon om pasienten. Revisjonsrapportene må rapportere dato og klokkeslett for tilgang, samt ansattes navn eller nummer.

E-post Format og kryptering

Ansatte bør begrense pasientopplysninger ved bruk av e-post. HIPAA krever kryptering av e-poster som inneholder pasientopplysninger som overføres ved hjelp av internett. Spesiell programvare tillater brukere å hente krypterte e-postmeldinger med bruk av et sikkert passord.

Brudd Notification

I tilfelle av uautorisert adgang, bruk eller utlevering av pasientopplysninger, krever HIPAA varsling. Hvis et sikkerhetsbrudd involverer 500 eller mer helse plan deltakerne, må arbeidsgiver varsle nyhetsmedier og HHS og informere berørte individer av brudd innen 60 dager; innkalling til berørte enkeltpersoner må inneholde: (1) opplysninger om dato for bruddet og hvordan bruddet skjedde, (2) opplysninger om innholdet av dataene avslørt, (3) måter rammet pasienter kan forebygge skader forårsaket av brudd , (4) en beskrivelse av undersøkelsen og tiltak for å hindre ytterligere opplysninger, (5) kontaktinformasjon for personer med flere spørsmål.

Varsel Levering

HIPAA skisserer konkrete krav til å levere innkalling til personer berørt av en uautorisert bruk eller utlevering. Regelverk krever selskaper å varsle berørte enkeltpersoner via A-post på deres siste kjente adresse. Hvis den enkelte er død, må meddelelsen sendes til deres neste pårørende. Dersom et selskap ikke er i stand til å finne en adresse for en påvirket person, er en annen form for varsel som kreves. I tillegg, hvis en annen form for varsel er nødvendig for 10 eller flere berørte pasienter, må en enhet plassere en melding på sin hjemmeside eller informere en nyhetsorganisasjon.

Håndheving og Straff

Department of Health & Human Services kontor for Civil Rights håndhever HIPAA og undersøker brudd. HIPAA forskrifter etablere sivile monetære og kriminelle straffer for utlevering av pasientopplysninger; HIPAA etablerer sivile straffer på $ 100 for hver overtredelse med et maksimum på $ 25.000 per kalenderår for alle brudd. Sivile straffer kan ikke vurderes i tilfeller der bruddet skyldtes "til rimelig grunn og ikke forsettlig forsømmelse." (Referanse 2)