HIPAA
HIPAA (Health Insurance Portability and Accountability Act) — федеральный закон США, принятый в 1996 году, регулирующий вопросы сохранения медицинской страховки при смене работы, а также устанавливающий национальные стандарты защиты конфиденциальности и безопасности медицинской информации пациентов. Закон направлен на повышение эффективности системы здравоохранения, борьбу с мошенничеством и упрощение административных процессов.
История принятия
Необходимость принятия HIPAA возникла в 1980–1990-х годах в связи с ростом числа американцев, терявших медицинскую страховку при переходе на другую работу или при наличии у них хронических заболеваний. До 1996 года страховые компании могли отказать в покрытии или взимать непропорционально высокие взносы на основании предсуществующих состояний (pre-existing conditions).
Законопроект был внесён в Конгресс США сенаторами Эдвардом Кеннеди и Нэнси Кассебаум. Президент Билл Клинтон подписал HIPAA 21 августа 1996 года. Первоначально закон был сосредоточен на портативности страховки, но впоследствии его действие было расширено за счёт административных упрощений и правил конфиденциальности.
Основные разделы (Titles)
HIPAA состоит из пяти основных разделов (Titles), каждый из которых регулирует определённую сферу.
Title I: Защита медицинской страховки
Этот раздел гарантирует, что работник и его семья не потеряют страховое покрытие при смене работы или при потере работы. Он ограничивает возможность страховых компаний исключать из покрытия предсуществующие состояния (максимальный период исключения — 12 месяцев, а при позднем оформлении — 18). Также запрещается отказывать в страховке на основании состояния здоровья.
Title II: Административное упрощение и правила конфиденциальности
Наиболее известный раздел, который ввёл единые электронные стандарты для медицинских транзакций (выставление счетов, кодирование диагнозов) и обязал медицинские организации защищать персональные данные пациентов. В рамках Title II были разработаны:
- Правило конфиденциальности (Privacy Rule) — устанавливает права пациентов на доступ к своей медицинской информации, её изменение и ограничение разглашения.
- Правило безопасности (Security Rule) — определяет требования к защите электронной медицинской информации (ePHI) — шифрование, контроль доступа, аудит.
- Правило уведомлений о нарушениях (Breach Notification Rule) — обязывает организации сообщать пациентам и Министерству здравоохранения США об утечках незащищённой медицинской информации.
Title III: Налоговые положения
Содержит поправки к налоговому кодексу, касающиеся медицинских сберегательных счетов (MSA) и налоговых льгот для страховых взносов.
Title IV: Применение к групповым планам
Уточняет правила для групповых медицинских страховок, особенно в отношении продления покрытия и защиты от дискриминации.
Title V: Доходы и отмена налоговых льгот
Регулирует вопросы налогообложения страховых взносов и доходов от продажи страховых полисов.
Ключевые понятия
Защищённая медицинская информация (PHI)
Любая информация о состоянии здоровья, оказании медицинской помощи или оплате, которая может быть связана с конкретным человеком. Включает записи врачей, результаты анализов, страховые данные.
Электронная защищённая медицинская информация (ePHI)
PHI, хранящаяся или передаваемая в электронном виде (базы данных, электронные медицинские карты, электронная почта).
Покрываемые организации
HIPAA распространяется на:
- Медицинские учреждения (больницы, клиники, лаборатории, аптеки).
- Планы медицинского страхования (страховые компании, HMO, государственные программы Medicare/Medicaid).
- Расчётные центры (организации, обрабатывающие медицинские транзакции).
Бизнес-ассоциации (Business Associates)
Сторонние организации, которые обрабатывают PHI от имени покрываемых организаций (например, IT-компании, бухгалтерские фирмы, поставщики облачных услуг). Они также обязаны соблюдать HIPAA.
Правила конфиденциальности и безопасности
Правило конфиденциальности (Privacy Rule)
Вступило в силу в 2003 году. Предоставляет пациентам следующие права:
- Доступ к своим медицинским записям.
- Запрос на внесение изменений в записи.
- Получение уведомления о практике конфиденциальности.
- Ограничение разглашения информации (например, для определённых целей).
- Получение отчёта о раскрытиях PHI.
Организации обязаны получать письменное согласие пациента на разглашение PHI, за исключением случаев лечения, оплаты и административных операций.
Правило безопасности (Security Rule)
Вступило в силу в 2005 году. Устанавливает три типа мер защиты:
- Административные — политики безопасности, обучение персонала, назначение ответственного за защиту данных.
- Физические — контроль доступа к помещениям, защита серверов, уничтожение носителей.
- Технические — шифрование данных, аутентификация пользователей, аудит доступа.
Правило уведомлений о нарушениях (Breach Notification Rule)
Вступило в силу в 2009 году (в рамках HITECH Act). Требует:
- Уведомить пострадавших пациентов в течение 60 дней.
- Уведомить Министерство здравоохранения США.
- При крупных утечках (более 500 человек) — уведомить СМИ.
Применение и значение
HIPAA является основным законом США, защищающим медицинскую конфиденциальность. Он:
- Ограничивает доступ к медицинским данным со стороны работодателей, страховщиков и третьих лиц.
- Стимулирует переход на электронные медицинские записи и стандартизацию.
- Устанавливает ответственность за утечки данных — штрафы могут достигать 1,5 миллиона долларов в год за нарушение одного правила.
Закон также повлиял на развитие медицинской информатики, технологий шифрования и систем управления доступом.
Критика и ограничения
HIPAA подвергается критике по нескольким причинам:
- Бюрократическая нагрузка — требования к согласиям и уведомлениям увеличивают административные расходы медицинских учреждений.
- Недостаточная защита — закон не распространяется на все организации (например, на работодателей, не являющихся страховщиками, или на приложения для здоровья, не связанные с медицинскими учреждениями).
- Сложность для пациентов — многие пациенты не понимают своих прав или не знают, как подать жалобу.
- Утечки данных — несмотря на требования, крупные утечки медицинской информации происходят регулярно (например, взломы систем больниц).
Интересные факты
- HIPAA не запрещает врачам обсуждать состояние пациента с его родственниками, если пациент не возражает.
- Закон не распространяется на данные, собранные фитнес-трекерами или мобильными приложениями, если они не передаются медицинским учреждениям.
- Штрафы за нарушение HIPAA классифицируются по четырём уровням — от 100 до 50 000 долларов за одно нарушение в зависимости от степени вины.
- В 2023 году Министерство здравоохранения США оштрафовало несколько крупных больниц на суммы свыше 1 миллиона долларов за систематические нарушения.
Источники
- Health Insurance Portability and Accountability Act of 1996, Public Law 104-191.
- U.S. Department of Health and Human Services, HIPAA Privacy Rule.
- U.S. Department of Health and Human Services, HIPAA Security Rule.
- U.S. Department of Health and Human Services, Breach Notification Rule.
- Office for Civil Rights (OCR), HIPAA Enforcement Data.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →