HIPAA Sikkerhedsregler for Business Associates
I 1996 tog kongressen sig på sundhedsforsikringsmarkedet og bemærkede en overflod af problemer, herunder svindel og affald, der hæmmer sundhedspleje og sygesikring. De udpegede loven om sundhedsforsikring, ansvarlighed og ansvarlighed, eller HIPAA, for at bekæmpe disse problemer. En af de primære afsnit af HIPAA beskytter enkeltpersoners personlige sundhedsoplysninger. Specifikke sikkerhedsregler gælder både for sundhedsvæsenets organisationer og deres forretningsforbindelser.
Personal Health Information og Business Associates
HIPAA definerer personlige sundhedsoplysninger bredt. Enkelt sagt er det nogen information, der hver for sig eller samlet kan bruges til at bestemme en bestemt patients identitet. HIPAA gælder ikke kun sundhedsudbydere, såsom hospitaler eller forsikringsagenter. Forretningsforbindelser - uafhængige entreprenører, der udfører tjenester til sundhedsorganisationen - skal også overholde visse HIPAA-regler. HIPAAs sikkerhedsregler beskytter personlige sundhedsoplysninger gennem tre primære sikkerhedsforanstaltninger: administrative, fysiske og tekniske.
Administrative sikkerhedsforanstaltninger
Ifølge Department of Health and Human Services består over halvdelen af HIPAA's sikkerhedskrav af administrative sikkerhedsforanstaltninger. Disse omfatter politikker og procedurer designet til at opretholde og beskytte integriteten af beskyttede sundhedsoplysninger. Forretningsforbindelser skal afgøre og gennemføre politikker og procedurer, der er designet til at "forhindre, opdage, indeholde og rette" sikkerhedsbrud.
Fysiske og tekniske sikkerhedsforanstaltninger
De fysiske og tekniske sikkerhedsforanstaltninger er tæt forbundet med de administrative sikkerhedsforanstaltninger. For eksempel kan den administrative beskyttelse kræve, at kun personale fra forretningsforbindelsen, der "har brug for at vide" eller på anden måde har adgang til de personlige sundhedsoplysninger, får adgang til sådanne oplysninger. Det er så op til forretningsforbindelsen at oprette fysiske eller tekniske sikkerhedsforanstaltninger for at opfylde den administrative beskyttelse. En fysisk beskyttelse kan indebære at holde filer under lås og nøgle. På samme måde omfatter tekniske sikkerhedsforanstaltninger anvendelse af passende netværkssikkerhedsforanstaltninger for at forhindre uautoriseret adgang.
Notifikation
En anden vigtig del af HIPAAs sikkerhedsregler er hurtig anmeldelse. Hvis en forretningsforbindelse opdager en krænkelse af sine sikkerhedsforanstaltninger, har denne associeret pligt til straks at underrette sundhedstjenesteudbyderen. Manglende underretning - og undladelse af ellers tilstrækkelig beskyttelse af personlige sundhedsoplysninger - kan medføre betydelige sanktioner, herunder både strafferetlige sanktioner og civile handlinger.