Melindungi data dalam catatan kesehatan elektronik tidak dimulai dengan munculnya HIPAA – Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 – seperti yang dipikirkan banyak orang. Melindungi catatan kesehatan telah menjadi persyaratan penting di ruang layanan kesehatan karena komputer menjadi perlengkapan di rumah sakit. Namun, HIPAA menambahkan laporan publik mengenai denda yang dikeluarkan untuk kegagalan entitas yang tercakup dalam melindungi data yang terkandung dalam EHRs.
Banyak orang beranggapan bahwa data EHR memiliki nilai terbatas pada pengguna yang tidak diotorisasi. (Siapa yang peduli dengan hasil tes darah saya, atau bahwa saya baru saja mengunjungi dokter kulit saya?) Memahami nilai mereka cukup sederhana. Selain informasi kesehatan pribadi, atau PHI, EHRs mengandung nomor Jaminan Sosial, yang tidak pernah kadaluarsa – dan penggunaan SSN dari dunia maya tidak mudah terdeteksi.
Tidak ada tanggal kadaluwarsa
Mencuri EHRs lebih baik untuk penjahat dunia maya daripada mencuri kartu kredit, yang hanya bisa digunakan sampai kartu habis, maxed out atau dibatalkan, menurut studi Trend Micro yang dirilis bulan lalu.
“… sebuah database EHR yang berisi PII yang tidak kedaluwarsa – seperti nomor Jaminan Sosial – dapat digunakan berkali-kali untuk maksud jahat,” studi tersebut menjelaskan. “EHR yang dicuri dapat digunakan untuk mendapatkan obat resep, menerima perawatan medis, memalsukan klaim asuransi, mengajukan pengembalian pajak palsu, membuka rekening kredit, mendapatkan dokumen resmi yang diterbitkan pemerintah seperti paspor [dan] surat izin mengemudi, dan bahkan membuat identitas baru.”
Statistik penting lainnya yang membantu menjelaskan mengapa penjahat dunia maya tertarik pada data EHR adalah bahwa 91 persen populasi AS memiliki asuransi kesehatan. Maka tak heran bila 113,2 juta catatan terkait perawatan kesehatan dicuri pada tahun 2015, menurut Trend Micro.
Bagaimana dengan hukum federal?
Semua orang ingat menandatangani puluhan dokumen sebelum menemui dokter. Jika Anda membaca setiap dokumen, Anda akan mendapati bahwa Anda setuju untuk mengizinkan perlindungan informasi kesehatan pribadi Anda. Departemen Kesehatan dan Layanan Kemanusiaan AS bertanggung jawab atas pengawasan HIPAA.
Di bawah HIPAA, semua entitas yang dilindungi harus melindungi PHI dengan cara yang sangat spesifik. Penyedia layanan kesehatan yang diliputi oleh entitas meliputi dokter, klinik, psikolog, dokter gigi, ahli tulang belakang, panti jompo dan apotek – namun hanya jika mereka mengirimkan informasi apapun dalam bentuk elektronik sehubungan dengan transaksi yang menerapkan standar HHS.
Ada ribuan entitas tertutup di luar sana, termasuk dokter, psikolog, dokter gigi, dan ahli tulang rontok tunggal, yang semuanya memiliki kewajiban untuk melindungi PHI – tetapi bagaimana praktisi kecil yang tidak dapat membayar infrastruktur TI dengan benar melindungi PHI?
Entitas tertutup kecil mempekerjakan perusahaan untuk membantu, yang oleh HIPAA disebut sebagai “rekan bisnis”. Di bawah HIPAA, setiap rekan bisnis harus menandatangani perjanjian dengan entitas yang dilindungi untuk melindungi PHI, yang secara tepat disebut “perjanjian bisnis asosiasi”, atau BAA.
Di bawah HIPAA Privacy Rule, sebuah BAA “memungkinkan penyedia layanan dan kesehatan yang tercakup untuk mengungkapkan informasi kesehatan yang dilindungi ke ‘rekan bisnis’ ini jika penyedia atau rencana tersebut memperoleh jaminan yang memuaskan bahwa rekan bisnis akan menggunakan informasi tersebut hanya untuk tujuan penggunaannya. Yang dilibatkan oleh entitas yang dilindungi, akan melindungi informasi dari penyalahgunaan, dan akan membantu entitas yang tercakup mematuhi beberapa kewajiban entitas yang tercakup dalam Aturan Privasi. ”
HHS menawarkan contoh BAA yang menjelaskan kewajiban potensial rekan bisnis berdasarkan HIPAA:
“Rekan bisnis bertanggung jawab langsung berdasarkan Aturan HIPAA dan tunduk pada perdata dan, dalam beberapa kasus, hukuman pidana untuk penggunaan dan pengungkapan informasi kesehatan yang dilindungi yang tidak diizinkan oleh kontraknya atau dipersyaratkan oleh undang-undang. Asisten bisnis juga secara langsung Bertanggung jawab dan dikenai hukuman perdata karena gagal melindungi informasi kesehatan terlindungi secara elektronik sesuai dengan Peraturan Keamanan HIPAA. ”
Dengan adanya potensi tanggung jawab tersebut, semua entitas yang tercakup dan rekan bisnisnya menggunakan upaya luar biasa untuk melindungi PHI dan EHRs.
Siapa yang Melindungi EHRs?
Kantor Hak Sipil HHS (HCR) Menyelidiki “hak-hak sipil, privasi informasi kesehatan, dan kerahasiaan kerahasiaan pasien untuk mengidentifikasi diskriminasi atau pelanggaran hukum dan mengambil tindakan untuk memperbaiki masalah.”
OCR sering melaporkan entitas tertutup yang gagal melindungi PHI dengan benar, dan entitas tersebut dikenai denda.
Sejumlah negara bagian, termasuk Texas, New York dan Ohio, telah menciptakan undang-undang mereka sendiri untuk melindungi PHI. Texas pada tahun 2011 melewati House Bill 300, yang “menempatkan persyaratan yang lebih ketat mengenai privasi kesehatan pasien daripada yang dipersyaratkan oleh HIPAA dan juga memperluas definisi entitas yang tercakup untuk memasukkan barang-barang yang memiliki, memperoleh, mengumpulkan, mengumpulkan, menganalisis, mengevaluasi, menyimpan , Atau mengirimkan informasi kesehatan yang dilindungi. ”
Dengan nilai jangka panjang yang sangat besar, penjahat dunia maya kemungkinan akan menargetkan database PHI dan EHR selama bertahun-tahun yang akan datang, sehingga wajib bagi semua entitas dan rekan bisnis yang tercakup untuk membuat keamanan informasi ini menjadi prioritas utama, dan melakukan segala kemungkinan untuk melindungi Database PHI dan EHR.
