HIPAA & zakelijke geassocieerde overeenkomsten
De Portability and Accountability Act van Health Insurance, ook bekend als HIPAA, roept het Amerikaanse ministerie van Volksgezondheid en Human Services op om nationale criteria vast te stellen voor de opslag en overdracht van specifieke patiëntinformatie. De meeste zorgverleners sluiten overeenkomsten met leveranciers om ervoor te zorgen dat die leveranciers aan deze criteria voldoen. Deze "business associate agreements" bepalen de omstandigheden waaronder de verkopers toegang hebben tot vitale patiëntgegevens.
Health Insurance Portability and Accountability Act
De komst van het internet en het toenemende gemak van het verzenden van elektronische gegevens spoorde het Congres aan om de Health Insurance Portability and Accountability Act in augustus 1996 te halen. HIPAA stelde de normen vast voor de overdracht en opslag van persoonlijke medische informatie tussen zorgaanbieders, verzekeringsagentschappen, werkgevers en andere partijen in de gezondheidszorg. De wet riep al deze partijen op om speciale bescherming te bieden voor hun databases en in hun elektronische communicatie om gevoelige patiëntendossiers te beschermen.
Zakelijke partnerovereenkomst
Veel partijen buiten de zorgaanbieder en de verzekeringsmaatschappij moeten vaak toegang hebben tot de patiëntgegevens en deze verwerken. Deze partijen kunnen medische transcriptionists, apothekers en factureringsagentschappen omvatten. Elk van deze partijen moet een zakenpartnersovereenkomst ondertekenen waarin staat dat ze bereid zijn om te voldoen aan HIPAA-normen voor gegevensbeveiliging in zowel hun gegevensopslagbeleid als internettransmissiepraktijken. Zonder een zakelijke partnerovereenkomst kunnen zorgaanbieders niet legaal patiëntgegevens doorgeven aan deze andere partijen.
Beschermde gezondheidsinformatie
De gegevens die HIPAA probeert te beveiligen vallen onder het kopje "beschermde gezondheidsinformatie". Beschermde gezondheidsinformatie verwijst naar alle gegevens die betrekking hebben op de identiteit of gezondheidsstatus van een persoon. Deze gegevens kunnen records bevatten over de vroegere, huidige of verwachte fysieke of mentale gezondheid van het individu, het type zorg dat de persoon heeft ontvangen en de betalingsstatus voor die zorg. Andere typische identificatiegegevens omvatten persoonlijke informatie, zoals naam, sofinummer, geboortedatum en verzekeringspolisnummer.
HIPAA en zorgaanbieders
Omdat zorgaanbieders deze gevoelige gegevens in handen van derden plaatsen, moeten zij ervoor zorgen dat die partijen voldoen aan de HIPAA-normen. Veel providers vereisen dat zakelijke partners hun onthullingen registreren bij externe bronnen en beleid opstellen dat voldoet aan de HIPAA-regels. Zakenpartners moeten ook proberen om gevallen te onthullen waarbij onbevoegd personeel toegang heeft tot door HIPAA beschermde gegevens. Providers hoeven echter geen business associate-overeenkomsten te hebben met instellingen die verband houden met de behandeling van patiënten, zoals testlaboratoria, omdat zij zich houden aan HIPAA en andere vertrouwelijkheidsregels voor patiënten.