Health Insurance Portability and Accountability Act
De Health Insurance Portability and Accountability Act (kortweg HIPAA) is de Amerikaanse wetgeving uit 1996 voor de gezondheidssector.
Opzet van de wet
[bewerken | brontekst bewerken]De HIPAA bestaat uit twee belangrijke onderdelen. Title 1 richt zich op de bescherming van het recht op verzekering bij verlies of overgang van baan. Title 2 richt zich op het reguleren van het transport en beschikbaar stellen van medische informatie en het voorkomen van misbruik en oneigenlijk gebruik van medische gegevens.
Title I: Health Care Access, Portability, and Renewability
[bewerken | brontekst bewerken]Deze titel is gericht op individuele en collectieve ziektekostencontracten. Onder meer worden ten aanzien van collectieve contracten antidiscriminatie bepalingen opgenomen om te voorkomen dat binnen collectieve contracten individuele aanpassingen mogen voorkomen. Voor individuele contracten is een vorm van verplichte acceptatie geregeld in het geval iemand gedurende minimaal 18 maanden zonder problemen verzekerd is geweest.
Title II: Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform
[bewerken | brontekst bewerken]De HIPAA is in Europa vooral bekend vanwege de privacybescherming die hierin uitdrukkelijk is geregeld voor de zorgsector. Dat onderdeel is echter slechts een van de regels binnen de 'Administrative Simplification' sectie van Title 2 (regulering gericht op administratieve lastenverlichting). Voor Amerika is wellicht het feit dat voor misbruik en fraude civielrechtelijke sancties kunnen worden opgelegd van groter belang.
De Administrative Simplification omvat 5 sets regels:
- de 'Privacy Rule', waarin regels worden vermeld ten aanzien van de privacybescherming van individuen. De regels komen grotendeels overeen met de 'Europese Data Protection Act'. Zo heeft onder meer iedereen recht op inzage in zijn eigen gegevens en bestaat het recht van het aanvragen van correctie van fouten in die gegevens.
- de 'Transactions and Code Sets Rule' beschrijft een aantal standaard (EDI) protocollen voor gegevensoverdracht
- de 'Security Rule' beschrijft de normen ten aanzien van informatiebeveiliging, waarbij procedurele, technische en fysieke beveiligingsmaatregelen worden voorgesteld.
- de 'Unique Identifiers Rule' schrijft voor dat iedere zorgverlener een uniek kenmerk krijgt, de 'National Provider Identifier' (NPI). deze regel is van kracht sedert 2005.
- de 'Enforcement Rule' stelt de boetes vast die in civielrechtelijke procedures als sanctie worden opgelegd.
Relevantie buiten de Verenigde Staten
[bewerken | brontekst bewerken]De HIPAA reguleringen zijn bepalend geweest voor ontwikkelingen rond de privacybescherming. Met name ontwikkeling van technische beveiligingsmaatregelen zijn door HIPAA op gang gekomen en de bewustwording rond het realiseren van adequate privacybescherming zou vermoedelijk aanzienlijk minder snel tot stand zijn gekomen.