HIPAA Gizlilik ve Güvenlik Kurallarına kimler uymak zorundadır?

Kurallar, kapsanan kuruluşları (çoğu sağlık hizmeti sağlayıcısı, sağlık planı ve sağlık hizmeti takas kurumu) ve onlar adına korunan sağlık bilgilerini oluşturan, alan, sürdüren veya ileten iş ortaklarını bağlamaktadır. Sağlıkla ilgili verileri işleyen her kuruluşu doğrudan kapsamamaktadırlar.

Asgari gereklilik standardı nedir?

Bu, Gizlilik Kuralı'nın, çoğu kullanım ve ifşa için, kapsanan kuruluşların, amaçlanan hedefi gerçekleştirmek için korunan sağlık bilgilerini gereken minimum düzeyle sınırlamak için makul çabalar göstermesi gerektiğini belirten ilkesidir; varsayılan olarak tüm kayıtları paylaşmak yerine.

HIPAA Gizlilik ve Güvenlik Kuralları

HIPAA Gizlilik ve Güvenlik Kuralları, Amerika Birleşik Devletleri'nde tanımlanabilir sağlık bilgilerinin kullanımı, ifşası ve korunmasını düzenleyen başlıca federal standartlardır. 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (Health Insurance Portability and Accountability Act of 1996) kapsamında çıkarılan Gizlilik Kuralı, korunan sağlık bilgilerinin nasıl kullanılabileceği ve ifşa edilebileceğine dair ulusal standartlar belirlemekte ve bireylere kendi bilgileri üzerinde haklar tanımaktadır; Güvenlik Kuralı ise bu bilgilerin elektronik ortamda tutulduğu veya iletildiği durumlarda korunmasına yönelik standartları belirlemektedir.

PaperMind ile konu bulYakındaMakale ve konu bul

Tools & resources

Slaytları indir

Learn & explore

VideoYakında

Tanım

HIPAA Gizlilik Kuralı, kapsanan kuruluşlar ve iş ortakları tarafından tutulan veya iletilen bireysel olarak tanımlanabilir sağlık bilgilerinin korunmasına yönelik ulusal standartlar belirlemekte, izin verilen kullanımları ve ifşaları ile bireysel hakları tanımlamaktadır; HIPAA Güvenlik Kuralı ise elektronik korunan sağlık bilgilerini koruyan idari, fiziksel ve teknik güvencelere yönelik standartlar oluşturmaktadır.

Kapsam

Bu madde, iki kuralın yapısını ve temel kavramlarını açıklamaktadır: korunan sağlık bilgilerinin tanımı, bağlayıcı oldukları kapsanan kuruluşlar (covered entities) ve iş ortakları (business associates) kategorileri, izin verilen kullanımlar ve ifşalar ile asgari gereklilik ilkesi (minimum-necessary principle), bireylerin erişim ve düzeltme hakları ve elektronik bilgiler için gerekli idari, fiziksel ve teknik güvenceler. Bu madde, kuralları bir referans ve eğitim amaçlı düzenleyici bir çerçeve olarak ele almakta olup, herhangi bir belirli kuruluş veya durum için uyum belirlemeleri sağlamamaktadır.

Temel sorular

Kurallar hangi kuruluşlara ve bilgilere uygulanmaktadır?
Bireysel yetkilendirme olmaksızın korunan sağlık bilgilerinin hangi kullanımlarına ve ifşalarına izin verilmektedir?
Bireylerin kendi sağlık bilgileri üzerinde hangi hakları bulunmaktadır?
Elektronik korunan sağlık bilgilerini hangi güvenceler korumalıdır?
Yaptırım ve ihlalle ilgili yükümlülükler kuralları nasıl güçlendirmektedir?

Anahtar kavramlar

Korunan sağlık bilgileri (PHI)
Kapsanan kuruluşlar (covered entities) ve iş ortakları (business associates)
İzin verilen kullanımlar ve ifşalar
Asgari gereklilik standardı
Bireylerin erişim ve düzeltme hakları
İdari, fiziksel ve teknik güvenceler
Zorunluya karşı ele alınabilir Güvenlik Kuralı özellikleri
Gizlilik uygulamaları bildirimi

Mekanizmalar

Gizlilik Kuralı, korunan sağlık bilgilerini tanımlayarak ve ardından ne zaman kullanılabileceğini veya ifşa edilebileceğini belirterek işlemektedir: bazı kullanımlar (tedavi, ödeme ve sağlık hizmetleri operasyonları gibi) yetkilendirme olmaksızın izin verilirken, diğer birçok kullanım bireyin yazılı yetkilendirmesini gerektirmekte ve ifşalar asgari gereklilik ilkesiyle sınırlandırılmaktadır. Ayrıca, bireyin kendi kayıtlarına erişim ve düzeltme talep etme yeteneği de dahil olmak üzere bireysel haklar tanımaktadır. Güvenlik Kuralı bunu, elektronik korunan sağlık bilgilerini işleyen kapsanan kuruluşlar ve iş ortaklarının risk analizi yapmasını ve üç alanda güvenceler uygulamasını gerektirerek tamamlamaktadır: idari (politikalar, iş gücü eğitimi, erişim yönetimi), fiziksel (tesis ve cihaz kontrolleri) ve teknik (erişim kontrolü, denetim kontrolleri, bütünlük ve iletim güvenliği). Bazı uygulama özellikleri zorunlu olup, diğerleri ele alınabilir nitelikte olup, bir kuruluşun büyüklüğüne ve riskine göre ölçeklendirilmiş esneklik sağlamaktadır. Sivil Haklar Ofisi (Office for Civil Rights) her iki kuralı da uygulamaktadır (HHS OCR, 2013; Nass ve diğerleri, 2009).

Klinik önem

Kurallar, bakım ortamlarında günlük bilgi işleyişini şekillendirmektedir: kayıtların tedavi için nasıl paylaşıldığı, hastaların nelere erişebileceği ve klinik personelin hangi eğitim ve kontroller altında çalıştığı. Yorumcular, Gizlilik Kuralı'nın doğru uygulandığında uygun sağlık bilgisi alışverişini engellemek yerine desteklediğini savunmuşlardır (McDonald, 2009). Bu madde, düzenleyici çerçevenin bir referans açıklaması olup, yasal tavsiye veya belirli bir kuruluş için uyum belirlemesi niteliğinde değildir.

Kanıt ve kılavuzlar

Yetkili kaynak, düzenleyici metnin kendisi (45 CFR Kısım 160 ve 164) ve bunu yorumlayan Sivil Haklar Ofisi'nin (Office for Civil Rights) rehberliğidir (HHS OCR, 2013). Tıp Enstitüsü (Institute of Medicine), Gizlilik Kuralı'nın sağlık araştırmalarını nasıl etkilediğini incelemiş ve gizliliği araştırma faydasıyla daha iyi dengelemek için reformlar önermiştir (Nass ve diğerleri, 2009). Kurallar ve rehberlikleri periyodik olarak değiştirildiği için, belirli gereksinimler için güncel resmi HHS kaynaklarına başvurulması gerekmektedir.

Tarihçe

HIPAA, esas olarak sigorta taşınabilirliği ve idari basitleştirmeyi ele almak amacıyla 1996 yılında yürürlüğe girmiştir; gizlilik ve güvenlik hükümleri 2000'li yılların başında kural olarak çıkarılmış, Gizlilik Kuralı 2003'te ve Güvenlik Kuralı 2005'te yürürlüğe girmiştir. 2009 tarihli HITECH Yasası, yükümlülükleri doğrudan iş ortaklarına genişletmiş, yaptırımı güçlendirmiş ve ihlal bildirimi gereksinimleri eklemiş, 2013 tarihli Omnibus Kuralı ise bu değişiklikleri birleştirmiştir. Bu çerçeve, ABD sağlık bilgisi uygulamalarının çoğunun ölçüldüğü temel olmaya devam etmektedir (Nass ve diğerleri, 2009).

Tartışmalar

Gizlilik Kuralı, sağlık verilerinin korunması ve kullanımı arasında uygun bir denge sağlamakta mıdır?: Bazıları kuralın bakım koordinasyonunu ve araştırmayı gereksiz yere engellediğini savunurken, diğerleri kuralı uygun sağlık bilgisi alışverişiyle uyumlu olarak savunmaktadır; Tıp Enstitüsü (Institute of Medicine) özellikle araştırma bağlamı için hedeflenmiş reformlar önermiştir.

İlgili konular

Temel eserler

nass-2009
mcdonald-2009

Sıkça sorulan sorular

HIPAA Gizlilik ve Güvenlik Kurallarına kimler uymak zorundadır?: Kurallar, kapsanan kuruluşları (çoğu sağlık hizmeti sağlayıcısı, sağlık planı ve sağlık hizmeti takas kurumu) ve onlar adına korunan sağlık bilgilerini oluşturan, alan, sürdüren veya ileten iş ortaklarını bağlamaktadır. Sağlıkla ilgili verileri işleyen her kuruluşu doğrudan kapsamamaktadırlar.
Asgari gereklilik standardı nedir?: Bu, Gizlilik Kuralı'nın, çoğu kullanım ve ifşa için, kapsanan kuruluşların, amaçlanan hedefi gerçekleştirmek için korunan sağlık bilgilerini gereken minimum düzeyle sınırlamak için makul çabalar göstermesi gerektiğini belirten ilkesidir; varsayılan olarak tüm kayıtları paylaşmak yerine.