HIPAA Nedir? İşte HIPAA Uyumlu Olduğunuzdan Nasıl Emin Olacağınız

Yayınlanan: 2023-01-23

Hiç kimse sağlık ve güvenlikten ödün vermemelidir ve HIPAA bunu sağlar.

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), hastaların sağlık bilgilerine daha iyi erişimini sağlamak ve korumasını düzenlemek için 1996 yılında yürürlüğe girmiştir. Yıllar geçtikçe HIPAA, veri ihlali bildirim gereksinimleri oluşturmak ve geçerli olduğu kuruluşları belirlemek için gelişti.

Sağlık sektöründe çalışıyorsanız, insanlar genellikle HIPAA hakkında konuşur, ancak bu nedir ve gereksinimlerini nasıl karşılayabilirsiniz?

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası nedir?

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), korunan sağlık bilgilerinin (PHI) doğru kullanımını ve ifşasını, nasıl güvenceye alınması gerektiğini ve bir ihlal durumunda ne yapılacağını açıklar. Sağlık ve İnsan Hizmetleri Departmanı (HHS) HIPAA'yı düzenlerken, Medeni Haklar Ofisi (OCR) uyumluluğu zorunlu kılar.

Bir sağlık kuruluşu aleyhine bir uyumsuzluk şikayeti yapıldığında, OCR iddiaların doğru olup olmadığını belirlemek için kuruluşu araştırır. Kuruluşun HIPAA'yı ihlal ettiği tespit edilirse para cezaları ve düzeltici eylemler uygulanabilir.

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası'nın üç kuralı

HIPAA yönetmeliği üç ana kuraldan oluşmaktadır. HIPAA Gizlilik, Güvenlik ve İhlal Bildirim Kuralları, sağlık kuruluşlarının bilgi paylaşması, hassas hasta bilgilerini koruması ve bir ihlali yanıtlaması ve bildirmesi için yönergeler sağlar.

HIPAA Gizlilik Kuralı

HIPAA Gizlilik Kuralı, öncelikle korunan sağlık bilgilerinin kullanılmasına ve ifşa edilmesine odaklanır. PHI'nin kullanımına ve ifşasına yalnızca tedavi, ödeme ve sağlık hizmetleri gibi belirli nedenlerle izin verilir. Başka herhangi bir kullanım veya ifşa, hastanın önceden yazılı onayını gerektirir.

HIPAA minimum standardı ayrıca PHI'ye erişimin kısıtlanmasını gerektirir. PHI erişimi yalnızca işleri için buna ihtiyaç duyan çalışanlara verilmelidir. Bu erişim ayrıca iş işlevlerini yerine getirmek için gerekli bilgilerle sınırlandırılmalıdır.

Örneğin, bir idari asistanın randevu ayarlamak için bazı hasta bilgilerine erişmesi gerekebilir. Bu çalışanın muhtemelen randevunun süresini belirlemek için hastanın adını, irtibat kişisini, sigorta bilgilerini ve bazı durumlarda temel prosedür bilgilerini bilmesi gerekir. Tam hasta dosyasına erişmeleri gerekmeyecek.

Gizlilik Uygulamaları Bildiriminiz (NPP), kuruluşunuzun hasta bilgilerini nasıl kullandığını ve ifşa ettiğini açıkça belirtmelidir. Ayrıca hastaların bilgilerine ilişkin haklarını da tartışmalıdır. Hastalara, alım üzerine gözden geçirmeleri için bir NPP sağlanmalıdır.

Hasta hakları (HIPAA erişim hakkı) ayrıca Gizlilik Kuralı'nda ayrıntılı olarak ele alınmaktadır. HIPAA Erişim Hakkı standardı, sağlık hizmeti sağlayıcılarının, talep üzerine hastalara tıbbi kayıtlarına erişim sağlamasını gerektirir. Talep edilen kayıtlar, talep tarihinden itibaren 30 gün içinde hastaya sunulmalıdır. Hastalar ayrıca kayıtlarını uygun olduğunda istedikleri formatta alma hakkına sahiptir.

HIPAA Güvenlik Kuralı

HIPAA Güvenlik Kuralı, PHI'nin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunmasını gerektirir. Temel olarak bu, sağlık kuruluşlarının PHI'nin gizliliğini koruması ve yetkisiz olarak değiştirilmesini veya yok edilmesini önlemesi gerektiği anlamına gelir. HIPAA korumaları, optimum veri güvenliğinin sağlanmasına yardımcı olur.

HIPAA önlemleri nelerdir?

HIPAA korumaları, PHI'nin yetkisiz erişimini, kullanımını veya ifşasını önlemek için alınan idari, teknik ve fiziksel önlemlerdir.

İdari güvenceler, çalışanlara PHI'yi uygun şekilde kullanmaları ve ifşa etmeleri için yönergeler sağlayan politikalar ve prosedürlerdir. Ayrıca, çalışanlar için HIPAA eğitimi ve güvenlik riski değerlendirme gerekliliklerini de özetlemektedir.

Teknik önlemler, elektronik PHI'yi (ePHI) korumaya yönelik önlemlerdir. Teknik korumaların yaygın örnekleri arasında şifreleme, kullanıcı kimlik doğrulaması, erişim kontrolleri ve denetim kontrolleri yer alır.

  • Şifreleme: yetkisiz kişilerin bilgileri okuyamaması için verileri kodlar.
  • Kullanıcı kimlik doğrulaması: kuruluşunuzun ağına erişmek için her kullanıcıya benzersiz bir kullanıcı kimliği sağlar.
  • Denetim kontrolleri: yöneticilerin, bir kullanıcının şüpheli bir konumdan bir ağa erişmesi veya tek bir kullanıcının birden çok başarısız oturum açma girişimi gibi bir ağdaki şüpheli etkinliği kolayca izlemesine olanak tanır.
  • Erişim kontrolleri: yöneticilerin, çalışanın iş rolüne göre hasta bilgilerine farklı erişim düzeyleri belirlemesine izin verir.

Kilitler ve alarm sistemleri gibi fiziksel korumalar bir kuruluşun fiziksel konumunu korur.

HIPAA İhlal Bildirim Kuralı

HIPAA İhlal Bildirim Kuralı, kapsanan şirketlerin ve iş ortaklarının PHI ihlallerini bildirmesini gerektirir.

Tüm olaylar ihlal değildir. Yaygın ihlal örnekleri arasında bilgisayar korsanlığı olayları, PHI'ye yetkisiz erişim, PHI'nin yetkisiz bir tarafa ifşası, kağıt kayıtların çalınması veya kaybı ve şifrelenmemiş taşınabilir elektronik cihazların çalınması veya kaybı yer alır.

Örneğin, şifrelenmiş bir dizüstü bilgisayarın çalınması veya kaybolması, bilgilere erişilemeyeceği için bir ihlal değildir. Dizüstü bilgisayardaki bilgiler güvenli değilse ve yetkisiz kişiler tarafından erişilebilir hale gelirse, bu bir ihlal olacaktır.

Hasta veri ihlallerinin bildirilmesi zorunludur. İhlal edilen kuruluş, olayın fark edilmesinden itibaren 60 gün içinde etkilenen hastaları yazılı olarak bilgilendirmelidir. Kuruluşlar ayrıca ihlali Sağlık ve İnsan Hizmetleri Departmanına (HHS) bildirmelidir.

Olay 500'den az hastayı etkiliyorsa, kuruluşların durumu HHS'ye bildirmek için takvim yılının bitiminden sonra altmış günü vardır. Olay 500 veya daha fazla hastayı etkiliyorsa, kuruluşlar bunu keşiften 30 gün sonra HHS'ye bildirmelidir. 500 veya daha fazla hastayı etkileyen ihlaller de medyaya bildirilmelidir.

HIPAA hangi bilgileri korur?

HIPAA, Korunan Sağlık Bilgileri (PHI) olarak bilinen hasta bilgilerini korur. PHI, geçmiş, şimdiki veya gelecekteki sağlık hizmeti sunumuyla ilişkili bireysel olarak tanımlanabilir herhangi bir sağlık bilgisi olarak tanımlanır.

Elektronik olarak korunan sağlık bilgileri (ePHI), dizüstü bilgisayar veya elektronik sağlık kayıtları platformu gibi elektronik bir biçimde depolanan PHI'dır. ePHI ayrıca HIPAA kapsamında korunmalıdır.

18 HIPAA tanımlayıcısı

Sağlık ve İnsani Hizmetler Departmanı (HHS), korunan sağlık bilgilerini 18 benzersiz tanımlayıcı olarak sınıflandırır. 18 tanımlayıcının her biri, sağlık hizmetlerinin sağlanmasıyla ilişkiliyse bir PHI olarak kabul edilir.

18 HIPAA tanımlayıcısı

Kaynak: Uyumluluk Grubu

Aşağıdakiler 18 HIPAA tanımlayıcısıdır:

  1. hasta isimleri
  2. Sokak adresi, şehir, ilçe veya posta kodu gibi coğrafi öğeler
  3. 89 yaşından büyük bir hastanın doğum tarihi, yatış tarihi, taburcu tarihi, ölüm tarihi veya tam yaşı dahil olmak üzere bireylerin sağlığı veya kimliğiyle ilgili tarihler
  4. Telefon numaraları
  5. faks numaraları
  6. E-mail adresleri
  7. Sosyal güvenlik numaraları
  8. Tıbbi kayıt numaraları
  9. Sağlık sigortası yararlanıcı numaraları
  10. Hesap numaraları
  11. Sertifika veya lisans numaraları
  12. Araç tanımlayıcıları
  13. Cihaz özellikleri veya seri numaraları
  14. Web sitesi URL'leri gibi dijital tanımlayıcılar
  15. IP adresleri
  16. Parmak, retinal ve ses izleri dahil olmak üzere biyometrik öğeler
  17. Tam yüz fotoğraf görüntüleri
  18. Diğer tanımlayıcı numaralar veya kodlar

Kimin HIPAA uyumlu olması gerekir?

Sağlık bilgilerine erişildiğinde veya ifşa edildiğinde HIPAA'nın geçerli olduğu yaygın bir yanılgıdır. HIPAA, PHI'nin kullanımını ve ifşasını kısıtlarken, HIPAA yalnızca tedavi, ödeme veya sağlık hizmetleri operasyonlarında yer alan kuruluşlar için geçerlidir. Bu kuruluşlara "kapsanan kuruluşlar" ve "iş ortakları" denir.

PHI veya ePHI'ye erişme potansiyeli olan kuruluşların HIPAA uyumlu olması gerekir.

Kapsanan varlıklar

Kapsanan kuruluşlar sağlık hizmeti sağlayıcılarını, sigorta şirketlerini ve takas odalarını içerir. Doktorlar, diş hekimleri, akıl sağlığı uzmanları, kiropraktörler ve sağlık sigortası sağlayıcılarının tümü kapsanan kuruluşlardır.

İş ortakları

İş ortakları, PHI'ye erişimi olabilecek, kapsam dahilindeki bir kuruluş tarafından sözleşme yapılan satıcılardır. Elektronik sağlık kaydı (EHR) platformları, e-posta hizmet sağlayıcıları, çevrimiçi randevu programlayıcıları ve yönetilen hizmet sağlayıcıları, iş ortaklarının yaygın örnekleridir.

Nasıl HIPAA uyumlu olunur?

HIPAA uyumluluğu birkaç adımı içerir. Bu daha ziyade bir geçiş ya da başarısızlıktır. Uyumlusun ya da değilsin. HIPAA uyumlu olmak için her adımın gerekliliklerini karşılamanız ve bu gerekliliklerden bazılarını yıllık olarak tamamlamanız gerekir.

hipaa uyumluluğu

Kaynak: Uyumluluk Grubu

Güvenlik Riski Değerlendirmeleri gerçekleştirin, boşlukları belirleyin ve iyileştirme planlarını dahil edin

Güvenlik Riski Değerlendirmeleri (SRA'lar), HIPAA gereksinimlerinizi karşılamak için gereklidir. HIPAA uyumlu olmak için, her yıl bir HIPAA Güvenlik Riski Değerlendirmesi tamamlamanız gerekir. Bunun nedeni, SRA'ların mevcut korumalarınızı HIPAA standartlarına göre ölçmesidir. Mevcut işiniz HIPAA standartlarını karşılamak için yeterli olmadığında bir boşluk oluşur.

"Boşluklar", HIPAA ihlallerine ve ihlallerine neden olabilecek eksikliklerdir. İşte burada iyileştirme planları devreye giriyor. Düzeltme planları, uyumluluk açıklarını kapatmak için eyleme geçirilebilir adımlar oluşturur. İyileştirme planlarının etkili olabilmesi için, açığı kapatmak için ne yapılacağı, iyileştirmeden kimin sorumlu olduğu ve iyileştirme için bir zaman çizelgesi dahil olmak üzere spesifik olması gerekir.

Politikaları ve prosedürleri uygulayın

Politikalar ve prosedürler, üç HIPAA kuralı göz önünde bulundurularak tasarlanmalıdır. Politikalar ve prosedürler, bir organizasyonun tipine ve büyüklüğüne göre uyarlanmalı ve etkili olabilmesi için yıllık olarak gözden geçirilmeli ve güncellenmelidir.

Politikalar ve prosedürler ana hatlarıyla:

  • PHI'nin kuruluşunuz ve çalışanlarınız tarafından uygun şekilde kullanılması ve ifşa edilmesi
  • Kuruluşunuz PHI'yi nasıl güvence altına alıyor?
  • Bir ihlal veya ihlal şüphesi durumunda ne yapılmalı?

Geçmişte kuruluşlar, politika ve prosedürleri için HIPAA kılavuzlarını kullandılar. Bununla birlikte, HIPAA kılavuzları kutudan çıktığı için, kuruluşunuzun işleyişine ilişkin nüansları ele almakta başarısız olurlar.

Küçük bir tıbbi uygulama için uygun olan politika ve prosedürler, büyük bir hastane grubu için etkili olmayabilir, tıpkı kapsanan bir kuruluş için yazılan politika ve prosedürlerin bir iş ortağı için geçerli olmayabileceği gibi.

Çalışanlar için HIPAA eğitimi düzenleyin

PHI veya ePHI'ye potansiyel erişimi olan çalışanların yıllık olarak eğitilmesi gerekir. Eğitim, HIPAA en iyi uygulamalarını, kuruluşunuzun politika ve prosedürlerine genel bir bakış ve en iyi siber güvenlik uygulamalarını içermelidir.

HIPAA, çalışanların işe alındıklarında eğitilmeleri gerektiğini tavsiye eder, bu nedenle yılda bir kez eğitim kursu düzenlemek yeterli değildir. Eğitim ihtiyaçlarını karşılamak için esnek bir HIPAA çalışan eğitim programı gereklidir.

Çevrimiçi bir eğitim aracı kullanmak, bunu başarmanın en iyi yoludur. Çevrimiçi bir eğitim programı ile çalışanlara gerektiğinde eğitim atanabilir, eğitimlerini kendi hızlarında tamamlayabilir ve yöneticiler çalışanların ilerlemesini takip edebilir.

İpucu: Bağımsız bir HIPAA eğitim programı kullanmak, bazı HIPAA eğitim gereksinimlerini karşılamanıza yardımcı olabilir, ancak çalışanların da kuruluşunuzun politika ve prosedürleri konusunda eğitim aldığından emin olun.

İş ortaklığı anlaşmaları imzalayın

HIPAA iş ortağı sözleşmeleri (HIPAA BAA'lar), kapsam dahilindeki bir kuruluş ile onun iş ortağı (veya iki iş ortağı) arasında imzalanması gereken yasal sözleşmelerdir. HIPAA BAA'lar, PHI veya ePHI değiştirilmeden önce imzalanmalıdır. Her satıcı, bir iş ortağı olarak hareket etmeye istekli veya muktedir değildir; sağlayıcı bir BAA imzalamazsa, herhangi bir iş ortağı görevini yerine getiremez.

Diyelim ki, hastaların kendi randevularını almalarına olanak tanıyan bir çevrimiçi randevu planlayıcı arıyorsunuz. İdari ihtiyaçlarınızı karşılayan bir satıcı buluyorsunuz, ancak bir ortaklık sözleşmesi imzalamak istemiyor. Bir BAA imzalayana kadar hasta planlaması için bu sağlayıcıyla sözleşme yapamazsınız.

Olay yönetimi ve müdahale

HIPAA uyumluluğunun bir parçası, test edilmiş bir olay müdahale planı uygulamaktır. Bir olay müdahale planı ile olayları hızlı bir şekilde tanımlayabilir, yanıtlayabilir ve raporlayabilirsiniz. Test edilmiş bir olay müdahale planına sahip kuruluşlar, bir olaydan kurtulmak için gereken süreyi önemli ölçüde azaltırken maliyetlerini de düşürür.

HIPAA ihlalleri ve para cezaları

Pek çok ihlal HIPAA ihlalleriyle sonuçlansa da, ihlalin kendisi hiçbir zaman bir şirketin para cezasına çarptırılmasına neden olmaz. HIPAA ihlalleri, bir kuruluş HIPAA standartlarına uymadığında ortaya çıkar. İhlalin ciddiyetine göre HIPAA para cezaları uygulanabilir.

hipa ihlalleri

Kaynak: Uyumluluk Grubu

HIPAA ihlallerinin yaygın örnekleri şunların yapılmamasını içerir:

  • Doğru ve kapsamlı bir risk değerlendirmesi yapın
  • Hastaların tıbbi kayıtlarına zamanında erişmelerini sağlayın
  • Çevrimiçi hasta incelemelerine uygun şekilde yanıt verin
  • Bir iş ortağıyla imzalanmış bir iş ortağı sözleşmesine sahip olmak
  • Hastanın tıbbi kayıtlarını uygun şekilde imha edin

Peki, bir kuruluş ihlal nedeniyle ne zaman cezalandırılır?

HIPAA cezaları, algılanan ihmal düzeyine göre verilir.

  • Aşama 1 , en az ciddi ihlaller içindir. Kademe 1 cezalar, kapsanan bir kuruluş veya iş ortağının ihlal ettiği kuralın farkında olmaması nedeniyle bir HIPAA ihlali meydana geldiğinde uygulanır. Aşama 1 cezası olarak nitelendirilebilmesi için, ihlalin aynı zamanda bir kuruluşun HIPAA'ya uymak için makul özeni göstermesi durumunda kaçınılamayan bir ihlal olması gerekir. Bu seviyedeki para cezaları, ihlal başına 120$ ile 60.226$ arasında değişmektedir.
  • 2. Kademe ihlaller, kapsam dahilindeki bir kuruluş veya iş ortağı işlenen ihlalden haberdar olduğunda ortaya çıkar. 2. Kademe ihlal olarak nitelendirilebilmesi için, makul derecede bir özenle bile kaçınılabilecek bir ihlaldir. Bu seviyedeki para cezaları, ihlal başına 12.045 ABD doları ile 60.226 ABD doları arasında değişmektedir.
  • 3. Kademe ihlalleri, 1. Kademe veya 2. Kademe ihlallerinden daha ciddi kabul edilir ve daha maliyetli para cezalarına tabidir. Aşama 3 ihlalleri, HIPAA'nın kasıtlı olarak ihmal edilmesinden kaynaklanır. Kademe 3'ü ihlal eden olarak değerlendirilmek için kuruluş, durum tespiti yaparken HIPAA'yı ihlal ettiğini bilmelidir. Bu ihlallerin 3. Kademe ihlal olarak nitelendirilmesi için 30 gün içinde düzeltilmesi gerekir. Bu seviyedeki para cezaları, ihlal başına 1.205 ila 12.045 ABD Doları arasında değişmektedir.
  • Aşama 4 ihlalleri, HIPAA kurallarının kasıtlı olarak ihmal edilmesini içerir. Kapsam dahilindeki kuruluş veya iş ortağı ihlali düzeltmeye çalışmadığında OCR, Kademe 4 cezaları uygular. Bu seviyedeki para cezaları, ihlal başına 60.226 ABD Doları ile 1.806.757 ABD Doları arasında değişmektedir.

HIPAA'yı ihlal ettiği tespit edilen kuruluşlar genellikle OCR izlemesine ve düzeltici eyleme tabi tutulur. Düzeltici eylem planları, kuruluşlar eksiklikleri tespit ettiğinde HIPAA ihlali soruşturmalarının tamamlanmasının ardından OCR tarafından geliştirilir. Kuruluşun uyumluluk programını HIPAA standartlarıyla uyumlu hale getirerek daha fazla ihlal ve olayı önlemek için tasarlanmıştır.

Uyumlu kalın; güvende kal

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası, sağlık hizmetlerine dahil olan herhangi bir kuruluş (kapsanan kuruluş veya iş ortağı) için en yüksek önceliğe sahip olmalıdır. Basitçe söylemek gerekirse, sağlık hizmetlerinde çalışmak için HIPAA uyumlu olmalısınız.

HIPAA olmadan, hasta verileri yetkisiz kullanım ve ifşaya karşı savunmasızdır. Bir ihlal meydana geldiğinde, hastalar yalnızca bir kuruluşun gizli bilgilerini koruma becerisine olan güvenlerini kaybetmekle kalmaz, aynı zamanda HIPAA ihlallerine ve maliyetli para cezalarına da neden olabilir.

Tüm HIPAA standartlarını karşılayan etkili bir HIPAA uyum programı uygulayarak, genel güvenlik duruşunuzu geliştirir ve ihlal ve ihlal olasılığını azaltırsınız.

Hastalar artık HIPAA ve hakları konusunda daha bilinçli. HIPAA uyumluluğu, hassas bilgileri konusunda size güvenebilecekleri konusunda içlerinin rahat olmasını sağlar.

Gizlilik yönetimi, bir tür uyumluluk elde etmekle bitmez. Veri gizliliği yönetimi ve kuruluşunuzu güvende tutma hakkında her şeyi öğrenin.