Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), bugün en çok konuşulan ancak az anlaşılan düzenlemelerden biridir.
Bunu kesinlikle duymuş olsanız da, HIPAA gizliliğinin federal bir yasa olup olmadığını veya HIPAA ihlalini neyin oluşturduğunu merak edebilirsiniz. Bu yüzden, işleri netleştirmeye yardımcı olacak daha yakından bir bakış.
HIPAA Gizlilik Kuralı Federal Bir Yasa mı?
Her şey sırayla; HIPAA gizliliği federal bir yasa mı? Kısa cevap evet, ancak bu daha fazla açıklama yapmadan biraz kafa karışıklığı yaratabilir. Federal bir yasa olsa da, birkaç eyalet ve federal yasa, birbiriyle çeliştiğinde HIPAA düzenlemelerini önleyebilir.
Çoğu insan HIPAA'yı düşündüğünde, daha sonra hasta mahremiyetini korumak için yapılan bir değişiklik olan Gizlilik Kuralını düşünürler. Eyalet yasaları, daha katı olmaları durumunda HIPAA Gizlilik Kuralını geçersiz kılabilir. Bir eyaletin düzenlemeleri daha fazla veri türünü kapsıyorsa veya daha yüksek raporlama gereksinimlerine sahipse, HIPAA'yı geçersiz kılar.
Benzer şekilde, eyalet ve federal yasalar, HIPAA'nın çoğu sigortanın nasıl çalıştığına ilişkin diğer kısımlarını önleyebilir. Genel olarak konuşursak, hangisi daha katı düzenleme ise önceliklidir. HIPAA oldukça açık uçlu olduğundan, genellikle diğer yasalara göre arka planda kalır.
HIPAA Yasasında Ele Alınan 3 Önemli Şey Nelerdir?
HIPAA yasasının ele aldığı üç ana şeyin ne olduğunu da merak edebilirsiniz. Bu soruya bulacağınız yanıtların çoğu idari, teknik ve fiziksel korumadan bahseder, ancak bu yasanın nispeten küçük bir parçasıdır. HIPAA, orijinal metinde sadece 13 satır için bu önlemlerden bahsediyor.
HIPAA yasasında bir bütün olarak ele alınan üç ana şey şunlardır:
- Sağlık sektöründe reform
- Sağlık hizmetlerinde suistimal ve dolandırıcılığın önlenmesi
- Sağlık hizmetlerinde daha fazla iyileştirme sağlamak
Gizlilik Kuralı ve ilgili güvenlik önlemleri birinci ve ikinci hedefler kapsamındadır. Genel olarak, HIPAA daha geniş bir yaklaşım benimsiyor, sağlık hizmetlerine erişimi genişletmeye ve hastaları çoğunlukla sigortaları açısından korumaya çalışıyor.
HIPAA Kime ve Neye Uygulanır?
Çoğu insan için HIPAA'nın en alakalı kısımları, mahremiyetlerine ilişkin düzenlemelerdir. Bu alanda da çok fazla yanlış anlama var. Birçok kişi HIPAA'nın bazı bilgiler için geçerli olduğunu düşünür; değil.
HIPAA Gizlilik Kuralı, kişisel sağlık bilgilerini veya adlar, tıbbi bilgiler ve iletişim bilgileri gibi bir bireye kadar takip edebileceğiniz her türlü bilgiyi içeren PHI'yi kapsar. Genel olarak, HIPAA, bu PHI'yı başkalarıyla paylaşmadan önce "kapsanan kuruluşların" izninizi almasını gerektirir.
HIPAA hakkında çoğu insanın yanlış anladığı şey, bunun kime uygulanacağıdır. HIPAA'nın düzenlediği kapsanan kuruluşlar üç ana tarafı içerir: sağlık planları (sigortacılar gibi), sağlık hizmeti sağlayıcıları ve sağlık takas odaları. Bu tarafların bazı ortakları ve iş ortakları da, PHI'nıza erişebiliyorlarsa HIPAA kapsamına girebilir.
PHI'nin kapsamı oldukça geniş olsa da, kapsanan kuruluşlar değildir. HIPAA Gizlilik Kuralı istisnaları arasında işvereniniz, çoğu okul, kolluk kuvvetleri, çoğu web sitesi ve sağlıkla ilgili olmayan işletmelerin çoğu yer alır. Bu taraflar genellikle toplayabilir ve bilgilerinizi istedikleri gibi paylaşın, diğer düzenlemeler araya girmediği sürece.
HIPAA İhlalleri ve İstisnaları Örnekleri
Peki, gerçek bir HIPAA ihlali nedir? En yaygın örneklerden bazıları sağlık veri ihlalleridir. Şimdi, eğer bir hastane güvenlik ihlali yaşıyor hasta verilerini ifşa ederse, bu mutlaka bir ihlal değildir. Ancak, yetersiz korumanın bir sonucuysa veya uygun şekilde ifşa etmemişlerse, öyledir.
2020 yılında Ulusal Hukuk İncelemesi sağlık teknolojisi şirketi CHSPSC'nin ihlalle ilgili bir HIPAA ihlali için 2,3 milyon dolar ödemek zorunda kaldığını bildirdi. Bir bilgisayar korsanının sistemi hedef alarak altı milyon hastanın verilerini ele geçirmesinin ardından araştırmacılar CHSPSC'nin HIPAA güvenlik standartlarını karşılamadığını buldu. Bu bilgiler için uygun korumayı sağlayamadıkları için bir ihlale yol açtılar ve yasayı ihlal ettiler.
Buna karşılık, pazarlamacılar size reklamları hedeflemek için tıpla ilgili internet aramalarınızı kullanıyorsa, bu bir HIPAA ihlali değildir. Arama etkinliğinizi toplayan web siteleri kapsam dahilindeki varlıklar değildir, bu nedenle bu verileri pazarlamacılarla paylaşmak için açık izninize ihtiyaç duymazlar.
HIPAA Karmaşık Olabilir
Birçok yasa gibi, HIPAA da karmaşıktır. Gizlilik Kuralı istisnaları düşündüğünüzden daha yaygındır ve HIPAA'nın kendisi güvenlikten çok daha fazlasını kapsar. Sonuç olarak, etrafta çok fazla yanlış bilgi varken, neyin yasal olup olmadığını bilmek zor olabilir.
Bunlar, HIPAA'nın kapsadığı şeylerin sadece birkaç örneğidir. Düzenleyici tartışmalar devam ettikçe, yasa da gelişebilir. Her durumda, veri gizliliğini kendi elinize almayı ve paylaştığınız şeyler konusunda dikkatli olmayı unutmayın.
