De HIPAA is een lang en ingewikkeld stuk wetgeving. Het enige wat we kunnen doen is informatie geven op zeer hoog niveau. Deze checklist is bedoeld als een startpunt om je te helpen bij het naleven van de HIPAA. Als u dieper wilt gaan, moet u een jurist inschakelen.
Houd er ook rekening mee dat HIPAA niet alleen over privacy gaat. De wet omvat regels over beveiliging, overdraagbaarheidsregels, technische standaarden voor elektronische medische dossiers en meer. Naleving van de Privacyregel alleen is geen garantie voor naleving van de HIPAA als geheel. Vergeet de rest niet!
- Is HIPAA op mij van toepassing?
- Welke informatie valt onder de HIPAA?
- Ik ben een betrokken entiteit; wat nu?
- Ik ben een business associate/subcontractor; wat nu?
- Laatste gedachten
Is HIPAA op mij van toepassing?
Allereerst moet u uitzoeken of HIPAA op uw organisatie van toepassing is. Dit betekent dat u moet uitzoeken of u een gedekte entiteit, een business associate of een onderaannemer bent.
Als u geen van deze dingen bent, hoeft u zich helemaal geen zorgen te maken over HIPAA. Maar andere regels over gezondheidsgegevens kunnen nog steeds van toepassing zijn (bijvoorbeeld de regels van de CCPA over gevoelige gegevens).
Is mijn organisatie of mijn klant een onder HIPAA vallende entiteit?
Covered entities (CE's) behoren tot drie categorieën:
- zorgverleners. Dit zijn individuen, groepen of organisaties die medische diensten, zorg, apparatuur of benodigdheden leveren als onderdeel van hun gebruikelijke activiteiten.
- zorgplannen zijn individuele of groepsplannen die medische zorg leveren of betalen.
- clearinghouses in de gezondheidszorg worden op een zeer ingewikkelde manier gedefinieerd, maar in praktische termen zijn het meestal tussenpersonen zoals betalingsproviders en netwerken met toegevoegde waarde.
Houd er rekening mee dat er veel uitzonderingen zijn op deze juridische definities. Het is onmogelijk om ze allemaal op te sommen, dus controleer zeker § 160.103 in de geconsolideerde tekst van de wet.
Is mijn organisatie een business associate of onderaannemer?
Business associates (BA's) hebben ook verplichtingen onder de HIPAA- en privacyregels. Een BA is iemand die bepaalde diensten verleent aan een betrokken entiteit en beschermde gezondheidsinformatie (PHI) ontvangt van de betrokken entiteit.
Diensten die door BA's worden verleend, omvatten gegevensanalyse, verwerking en administratie. De wettelijke definitie dekt dus veel tussenpersonen die diensten van de informatiemaatschappij aanbieden, zoals webhosting en webanalyse. Het moeilijkste deel bij het bepalen of u een BA bent, is het beoordelen of uw klant een HIPAA-gedekte entiteit is (zie het gedeelte hierboven).
Houd er rekening mee dat werken voor een gedekte entiteit en toegang hebben tot PHI cumulatieve vereisten zijn. Als u geen PHI ontvangt, dan bent u geen BA, ongeacht met wie u werkt. Evenzo, als u gezondheidsinformatie verwerkt maar geen CE bent en niet met een werkt, dan hoeft u zich geen zorgen te maken over HIPAA (maar andere wetgeving, zoals de CCPA, kan op u van toepassing zijn).
De HIPAA heeft ook betrekking op onderaannemers die BA's helpen hun service te verlenen. U kunt een onderaannemer zien als de business associate van een business associate.
Welke informatie valt onder de HIPAA?
Als u in aanmerking komt als gecertificeerde entiteit/business associate/subcontractor, dan hebt u bepaalde verplichtingen onder HIPAA. Maar dit betekent niet dat deze verplichtingen alle gegevens dekken die u verwerkt! De volgende stap is dus om uit te zoeken wat wel en wat geen beschermde informatie is onder de gegevens die u verwerkt.
Drie cumulatieve criteria definiëren beschermde gezondheidsinformatie:
- a. het wordt verzameld door een gedekte entiteit
- b. het heeft betrekking op de gezondheid
- c. het is persoonlijk identificeerbaar
Als een van deze voorwaarden ontbreekt, dan verwerk je geen PHI.
Stel, een ziekenhuis biedt medische professionals een seminar aan over een nieuwe en innovatieve behandeling en adverteert voor het seminar via zijn website. De website gebruikt Google Analytics op de pagina voor het seminar. Is hier sprake van openbaarmaking van PHI?
Laten we het opsplitsen:
- een ziekenhuis is een zorgverlener,_ dus aan eis a is voldaan_.
- Google Analytics verzamelt gegevens die kwalificeren als persoonlijk identificeerbare informatie onder de HIPAA (cookie-ID's en mogelijk IP, afhankelijk van instellingen en softwareversie). Aan eis c is voldaan
- Het feit dat iemand een seminar over het onderwerp wil bijwonen, betekent niet dat hij de ziekte heeft. In feite is het seminar gericht op medische professionals die waarschijnlijk professioneel geïnteresseerd zijn in het onderwerp. Aan vereiste b is NIET voldaan
In dit geval wordt er geen PGI openbaar gemaakt. Maar het antwoord zou anders kunnen zijn als de pagina informatie verschafte aan het algemene publiek in plaats van een seminar te promoten.
Waar het op neerkomt is dat het niet eenvoudig is om uit te zoeken welke informatie wel en welke informatie niet PGI is! Alle drie de vereisten onder HIPAA moeten in gedachten worden gehouden.
Maar het is ook heel belangrijk! Proberen om HIPAA-compliant te zijn met betrekking tot alle gegevens die u verwerkt, zal ongelooflijk belastend zijn voor uw organisatie. Daarom is het cruciaal om te bepalen welke gegevens onder HIPAA vallen en welke niet.
Onthoud dat als u een BA bent, alle informatie die u niet ontvangt van een CE per definitie geen PHI kan zijn. Aan de andere kant betekent het feit dat u informatie ontvangt van een CE op zichzelf nog niet dat het om PHI gaat. Nogmaals, u moet elke gegevenscategorie onderzoeken op basis van de HIPAA-definitie van PHI.
Met betrekking tot webanalyse biedt de website van de HHS nuttige informatie over de openbaarmaking van PHI. Als u er nog steeds niet 100% zeker van bent wat wel en wat niet onder PHI valt, vraag dan juridisch advies - het antwoord is echt belangrijk voor naleving!
Ik ben een betrokken entiteit; wat nu?
Als je een gedekte entiteit bent, moet je voldoen aan specifieke regels met betrekking tot de openbaarmaking van PHI.
Sommige openbaarmakingen zijn altijd toegestaan omdat ze nodig zijn om de patiënt te behandelen of om het functioneren van het gezondheidszorgsysteem als geheel te waarborgen. U kunt bijvoorbeeld het elektronisch patiëntendossier van een patiënt doorgeven aan het nieuwe ziekenhuis of de medische rekeningen doorsturen naar de ziektekostenverzekering.
Voor elke andere openbaarmaking is schriftelijke toestemming van de patiënt nodig. Dit is erg belangrijk, want ongeautoriseerde openbaarmakingen zijn strafbaar onder de HIPAA!
De HIPAA bevat gedetailleerde regels over wat schriftelijke toestemming is. Als vuistregel geldt dat de patiënt echt de vrijheid moet hebben om de toestemming te weigeren. Je mag een patiënt geen gezondheidszorgdiensten weigeren om toestemming af te dwingen!
De HHS heeft overigens verduidelijkt dat het klikken op "ok" op cookiebanners en soortgelijke pop-ups niet geldt als het geven van schriftelijke toestemming. Als je een online dienst gebruikt, zoals een webanalysedienst, kun je niet vertrouwen op pop-ups om toestemming te verzamelen.
Als je met een BA werkt, heb je bovendien een business associate agreement (BAA) nodig. Een BAA is een contract dat een BA vertelt wat hij wel en niet mag doen met PHI. Een BAA bevat standaardclausules die zijn opgesteld door het Amerikaanse ministerie van Volksgezondheid en Human Services (meer informatie over deze clausules vindt u hier).
Ik ben een business associate/subcontractor; wat nu?
Als u een BA of onderaannemer bent, moet u een business associate overeenkomst hebben met uw business associate/gedekte entiteit.
BAA's houden BA's en onderaannemers aan dezelfde privacy- en beveiligingsnormen als Covered Entities. Het hebben van een BAA is dus niet alleen een kwestie van het ondertekenen van wat papierwerk - u moet de inhoud ervan in detail bestuderen en ervoor zorgen dat u aan alle vereisten kunt voldoen. Dit omvat het reageren op verzoeken om informatie van patiënten en het beschikbaar stellen van bepaalde documentatie.
Als u een BAA ondertekent, bent u aansprakelijk voor elke schending van de overeenkomst. Je moet niet aanbieden om een BAA te ondertekenen tenzij je echt zeker bent dat je organisatie informatie kan verwerken in overeenstemming met HIPAA. Dit is de reden waarom veel diensten, waaronder zeer grote zoals Google Analytics, niet beschikbaar zijn om een BAA te ondertekenen! Als je twijfelt, moet je een jurist raadplegen om aansprakelijkheid onder HIPAA te voorkomen.
Er zijn verschillende HIPAA-nalevingscertificaten beschikbaar voor serviceproviders en deze kunnen een voordeel zijn bij het onderhandelen over contracten met betrokken entiteiten. Maar houd er rekening mee dat geen enkele certificering wettelijk erkend is. Het nut van een certificering hangt volledig af van de erkenning ervan in de sector. U moet onderzoek doen en een jurist raadplegen voordat u geld uitgeeft aan een certificering.
Tot slot is het de moeite waard om op te merken dat BA's en onderaannemers meestal geen directe relatie hebben met patiënten. Dit betekent dat u niet kunt vertrouwen op toestemming van patiënten voor openbaarmakingen.
Laatste gedachten
Compliance begint altijd met het stellen van de juiste vragen, en compliance met de HIPAA Privacy Rule is niet anders. Hier zijn enkele nuttige stappen die u kunt doorlopen:
- evalueer of je een gedekte entiteit, een business associate, een onderaannemer of geen van bovenstaande bent
- uitzoeken welke gegevens onder HIPAA vallen en welke niet
- zorg ervoor dat u voldoet aan de Privacy Rule en de regels voor openbaarmakingsbeperking
- beoordelen of alle overeenkomsten met zakelijke partners die u nodig hebt, aanwezig zijn (en ervoor zorgen dat u ze kunt naleven)
- (optioneel) overweeg een HIPAA-certificering van een gerenommeerde instantie
- vergeet alle andere regels van HIPAA niet!
- vergeet andere wetten over gezondheidsgegevens niet! (CCPA, My Health My Data, etc.)
Nogmaals, HIPAA is een lang en complex stuk wetgeving. Deze blog bevat alleen informatie op zeer hoog niveau en is geen vervanging voor de mening van een gekwalificeerde professional.
Uiteindelijk is naleving niet eenvoudig. Het is dus de moeite waard om jezelf af te vragen: moet ik deze gegevens echt openbaar maken? Misschien zijn er volledig geanonimiseerde en privacy-vriendelijke alternatieven die je een hoop hoofdpijn over compliance kunnen besparen.
Simple Analytics kan zo'n oplossing zijn voor je web analytics. We volgen geen bezoekers en verzamelen geen gevoelige gegevens. We gebruiken alleen IP-adressen voor communicatie; zelfs deze minimale openbaarmaking kan worden vermeden door het adres te proxyden.
Simple Analytics kan eenvoudig HIPAA-conform worden geïmplementeerd en vereist geen BAA. Als dit u aanspreekt, probeer ons dan gerust uit!