Ετήσια κατάρτιση συμμόρφωσης με το HIPAA

Ο νόμος περί φορητότητας και λογοδοσίας για την ασφάλιση υγείας τέθηκε σε ισχύ το 1996. Εφαρμόζεται από την Υπηρεσία Πολιτικών Δικαιωμάτων της κυβέρνησης των Ηνωμένων Πολιτειών. Πρόκειται για ένα σύνολο ομοσπονδιακών κατευθυντήριων γραμμών που δημιουργήθηκαν για να επιτρέπουν στους υπαλλήλους να λαμβάνουν ιατρική ασφάλιση μαζί τους αν εγκαταλείπουν εργοδότη, επιτρέπουν στους ανθρώπους να έχουν πρόσβαση σε ιατρική ασφάλιση παρά τις προϋπάρχουσες συνθήκες (κάτω από κάποιες συνθήκες) και να καθορίζουν πρότυπα προστασίας της ιδιωτικής ζωής για την υγεία ενός ασθενούς πληροφορίες.

• Ο κανόνας προστασίας προσωπικών δεδομένων HIPAA προστατεύει το απόρρητο των προσωπικά αναγνωρίσιμων πληροφοριών υγείας.
• Ο κανόνας ασφαλείας της HIPAA ορίζει εθνικά πρότυπα για την ασφάλεια των ηλεκτρονικών πληροφοριών για την υγεία.

Απαιτείται από το νόμο η παροχή εκπαίδευσης και κατάρτισης HIPAA σε άτομα που εργάζονται στον κλάδο της υγειονομικής περίθαλψης για να εξασφαλίσουν την υπευθυνότητα για την προστασία της ιδιωτικής ζωής και την ασφάλεια των προστατευμένων πληροφοριών για την υγεία. Οι καλυμμένες οντότητες πρέπει να εκπαιδεύουν όλα τα μέλη του εργατικού δυναμικού στις πολιτικές και τις διαδικασίες της HIPAA.

1 -

HIPAA Privacy Privacy Rule

Τα πρότυπα για την προστασία της ιδιωτικής ζωής των ατομικά αναγνωρίσιμων πληροφοριών υγείας (ο κανόνας περί απορρήτου) σχεδιάστηκαν ειδικά για την αντιμετώπιση της προστασίας των προσωπικών πληροφοριών υγείας ενός ατόμου. Είναι σημαντικό για τη ζωτικότητα του ιατρικού σας γραφείου να διατηρείται η συμμόρφωση με το HIPAA.

Ποιος καλύπτεται από τον κανόνα προστασίας προσωπικών δεδομένων;

• Σχέδια Υγείας
• Πάροχοι υπηρεσιών υγείας
• Κέντρα καθαρισμού υγειονομικής περίθαλψης

Μια καλυπτόμενη οντότητα, όπως ορίζεται στο HIPAA, μπορεί να είναι ένα σχέδιο ασφάλισης υγείας, ένα κέντρο εκκαθάρισης υγείας ή ένας πάροχος υγειονομικής περίθαλψης που μεταδίδει ηλεκτρονικά προστατευμένες πληροφορίες για την υγεία και μπορεί να είναι οργανώσεις, ιδρύματα ή άτομα.

Οι γιατροί και άλλοι επαγγελματίες του τομέα της υγείας που συνεργάζονται με τους ασθενείς και τα εμπιστευτικά ιατρικά τους αρχεία πρέπει να συμμορφώνονται με τις πολιτικές, τις διαδικασίες και τους νόμους που έχουν σχεδιαστεί για την προστασία της ιδιωτικής ζωής και της εμπιστευτικότητας των ασθενών. Όλοι οι πάροχοι υγειονομικής περίθαλψης έχουν την ευθύνη να κρατούν το προσωπικό τους εκπαιδευμένο και ενημερωμένο σχετικά με τη συμμόρφωση με το HIPAA . Είτε σκόπιμη είτε τυχαία, μη εξουσιοδοτημένη αποκάλυψη PHI θεωρείται παραβίαση της HIPAA.

• Συνεργάτες

Ένας επιχειρηματικός συνεργάτης, όπως ορίζεται από την HIPAA, είναι οποιοδήποτε πρόσωπο ή οντότητα που διεξάγει εργασίες που αφορούν τη χρήση ή τη γνωστοποίηση προστατευμένων πληροφοριών υγείας για λογαριασμό μιας καλυπτόμενης οντότητας και δεν είναι υπάλληλος της καλυπτόμενης οντότητας.

Τι πληροφορίες προστατεύονται;

Το PHI ή η Προστατευόμενη Πληροφορίες για την Υγεία αναφέρεται σε κάθε ατομικά αναγνωριστική πληροφορία που περιλαμβάνεται στο ιατρικό αρχείο ασθενούς που μεταδίδεται ή συντηρείται υπό οποιαδήποτε μορφή.

Χρήσεις και γνωστοποιήσεις

Μια καλυπτόμενη οντότητα μπορεί να χρησιμοποιεί ή να αποκαλύπτει προστατευμένες πληροφορίες για την υγεία χωρίς προηγούμενη έγκριση υπό ορισμένες προϋποθέσεις.

1. Στο άτομο
2. Θεραπεία, Πληρωμή και Υγειονομική Περίθαλψη
3. Χρήσεις και γνωστοποιήσεις με την ευκαιρία να συμφωνήσουν ή αντικειμενικά
4. Τυχαία χρήση και αποκάλυψη.
5. Δραστηριότητες δημόσιου ενδιαφέροντος και οφέλους
6. Περιορισμένο σύνολο δεδομένων για σκοπούς έρευνας, δημόσιας υγείας ή ιατρικής περίθαλψης

Προειδοποίηση για πρακτικές προστασίας προσωπικών δεδομένων

Οι πάροχοι υγειονομικής περίθαλψης έχουν την υποχρέωση να παρέχουν στους ασθενείς τους μια ειδοποίηση περί πρακτικών ιδιωτικού απορρήτου. Η παρούσα ειδοποίηση, όπως απαιτείται από τον κανόνα προστασίας προσωπικών δεδομένων της HIPAA, παρέχει στους ασθενείς το δικαίωμα να ενημερώνονται για τα δικαιώματά τους για την προστασία της ιδιωτικής ζωής, καθώς σχετίζονται με τις προστατευμένες πληροφορίες για την υγεία τους (PHI).

Η ειδοποίηση θα πρέπει να περιγράφει ορισμένες πληροφορίες με ευνόητους όρους:

• Πώς θα χρησιμοποιήσει ο παροχέας και θα αποκαλύψει το PHI του
• Τα δικαιώματα των ασθενών έχουν ως προς το δικό τους PHI
• Μια δήλωση που ενημερώνει τον ασθενή για νόμους που απαιτούν από τον πάροχο να διατηρήσει την ιδιωτική ζωή του PHI
• Ποιοι ασθενείς μπορούν να επικοινωνήσουν για περισσότερες πληροφορίες σχετικά με τις πολιτικές απορρήτου του παρόχου

Επιβολή και κυρώσεις για μη συμμόρφωση

Ποινές για αστικές χρήσεις

• $ 100 ανά παράλειψη συμμόρφωσης
• $ 25.000 κατ 'ανώτατο όριο ανά έτος για πολλαπλές παραβιάσεις της ίδιας απαίτησης

Ποινικές κυρώσεις (για την εν γνώσει απόκτηση ή αποκάλυψη PHI κατά παράβαση της HIPAA)

• $ 50.000 πρόστιμο και μέχρι ένα έτος φυλάκισης
• $ 100.000 πρόστιμο και μέχρι πέντε χρόνια φυλάκισης (αν η παραβίαση περιλαμβάνει ψευδείς προθέσεις)
• $ 250.000 πρόστιμο και μέχρι δέκα χρόνια φυλάκισης (αν η παραβίαση συνεπάγεται την πρόθεση να πουλήσει, να μεταφέρει ή να χρησιμοποιήσει PHI)

2 -

Κανόνας ασφάλειας HIPAA

Τα Πρότυπα Ασφαλείας για την Προστασία των Ηλεκτρονικών Προστατευόμενων Πληροφοριών Υγείας (ο Κανόνας Ασφαλείας)

Η ασφάλεια HIPAA αναφέρεται στη δημιουργία διασφαλίσεων για το PHI σε οποιαδήποτε ηλεκτρονική μορφή. Αυτό περιλαμβάνει όλες τις πληροφορίες που χρησιμοποιούνται, αποθηκεύονται ή μεταδίδονται ηλεκτρονικά. Οποιοδήποτε ίδρυμα ορίζεται από την HIPAA ως καλυπτόμενη οντότητα έχει την ευθύνη να διασφαλίζει την προστασία της ιδιωτικής ζωής και της ασφάλειας των πληροφοριών του ασθενούς καθώς και τη διατήρηση της εμπιστευτικότητας του PHI.

Ποιος καλύπτεται από τον κανόνα ασφαλείας;

• Σχέδια Υγείας
• Πάροχοι υπηρεσιών υγείας
• Κέντρα καθαρισμού υγειονομικής περίθαλψης

Μια καλυπτόμενη οντότητα, όπως ορίζεται στο HIPAA, μπορεί να είναι ένα σχέδιο ασφάλισης υγείας, ένα κέντρο εκκαθάρισης υγείας ή ένας πάροχος υγειονομικής περίθαλψης που μεταδίδει ηλεκτρονικά προστατευμένες πληροφορίες για την υγεία και μπορεί να είναι οργανώσεις, ιδρύματα ή άτομα.

• Συνεργάτες

Ένας επιχειρηματικός συνεργάτης, όπως ορίζεται από την HIPAA, είναι οποιοδήποτε πρόσωπο ή οντότητα που διεξάγει εργασίες που αφορούν τη χρήση ή τη γνωστοποίηση προστατευμένων πληροφοριών υγείας για λογαριασμό μιας καλυπτόμενης οντότητας και δεν είναι υπάλληλος της καλυπτόμενης οντότητας.

Τι πληροφορίες προστατεύονται;

Οι ηλεκτρονικές πληροφορίες PHI ή Προστατευόμενης Υγείας αναφέρονται σε κάθε ατομικά αναγνωριστική πληροφορία που περιλαμβάνεται στο ιατρικό αρχείο ασθενούς και διαβιβάζεται ή συντηρείται σε οποιαδήποτε μορφή. Ο κανόνας ασφαλείας αποκλείει το PHI που διαβιβάζεται προφορικά ή εγγράφως.

Απλοποίηση της διαχείρισης

Οι διατάξεις διοικητικής απλούστευσης της HIPAA θεσπίζουν εθνικά πρότυπα για την ασφάλεια των ηλεκτρονικά προστατευμένων πληροφοριών για την υγεία. Αυτό περιλαμβάνει τους κανόνες και τα πρότυπα για τις συναλλαγές και τα σύνολα κωδικών και τα αναγνωριστικά στοιχεία για τους εργοδότες και τους παρόχους υπηρεσιών.

Συναλλαγές και πρότυπα κωδικών

Οι τυπικές συναλλαγές για την ηλεκτρονική ανταλλαγή δεδομένων (EDI) των δεδομένων περί υγειονομικής περίθαλψης περιλαμβάνουν αξιώσεις και πληροφορίες συναντήσεων, συμβουλές πληρωμής και εμβάσματος, κατάσταση απαιτήσεων, επιλεξιμότητα, εγγραφή και διαγραφή, παραπομπές και άδειες, συντονισμός παροχών και πληρωμή ασφαλίστρων.

Τα πρότυπα σύνολα κωδικών για τους κωδικούς διάγνωσης, διαδικασίας και φαρμάκων περιλαμβάνουν τις HCPCS (Επικουρικές Υπηρεσίες / Διαδικασίες), CPT-4 (Διαδικασίες γιατρούς), CDT (Οδοντιατρική Ορολογία), ICD-9 (Διαδικασία Διαγνωστικής και νοσοκομειακής νοσηλείας) Από την 1η Οκτωβρίου 2015) και τους κώδικες NDC (National Drug Codes).

Πρότυπα αναγνώρισης για εργοδότες και πάροχους υπηρεσιών

Τα πρότυπα αναγνωριστικά περιλαμβάνουν τον αριθμό αναγνώρισης εργοδότη (EIN) και τον εθνικό αναγνωριστή παροχέα (NPI). Το EIN χρησιμοποιείται για τον εντοπισμό των εργοδοτών στις τυποποιημένες συναλλαγές. Ο αναγνωριστικός κωδικός του εθνικού παρόχου ή ο NPI είναι ένας 10-ψήφιος μοναδικός αριθμός ταυτοποίησης που χρησιμοποιείται για να αντικαταστήσει τα αναγνωριστικά παρόχου, όπως είναι ο μοναδικός αριθμός ταυτοποίησης παροχέα (UPIN) στις τυποποιημένες συναλλαγές της HIPAA. Οι πάροχοι υγειονομικής περίθαλψης απαιτούνται από τη ρύθμιση της HIPAA για την απόκτηση ενός NPI.

Οι κανόνες για τη διατήρηση της ασφάλειας της HIPAA περιλαμβάνουν διασφαλίσεις για τρεις βασικούς τομείς.

Διαχειριστικές διασφαλίσεις

1. Ανάπτυξη μιας επίσημης διαδικασίας διαχείρισης της ασφάλειας, η οποία περιλαμβάνει την ανάπτυξη πολιτικών και διαδικασιών, εσωτερικούς ελέγχους, σχέδιο έκτακτης ανάγκης και άλλες διασφαλίσεις για τη διασφάλιση της συμμόρφωσης του προσωπικού των ιατρικών γραφείων.
2. Αναθέστε την ευθύνη της ασφάλειας σε ένα ορισμένο πρόσωπο για τη διαχείριση και εποπτεία της χρήσης των μέτρων ασφάλειας και της συμπεριφοράς του προσωπικού.
3. Εφαρμόστε χαρακτηριστικά που εξασφαλίζουν ότι το προσωπικό έχει την κατάλληλη εκπαίδευση και τη σωστή εξουσιοδότηση για πρόσβαση στο PHI.
4. Καθορίστε τα επίπεδα πρόσβασης για όλο το προσωπικό και τον τρόπο χορήγησής του
5. Απαίτηση για όλα τα μέλη του ιατρικού γραφείου, συμπεριλαμβανομένης της διοίκησης, να υποβάλλονται σε εκπαίδευση ασφάλειας και να έχουν περιοδικές υπενθυμίσεις και εκπαίδευση των χρηστών.

Φυσικές ασφάλειες

1. Αρχείο PHI σε ασφαλή τοποθεσία και χώρο εργασίας για τους υπαλλήλους (αυτό περιλαμβάνει τη χρήση κλειδαριών, κλειδιών και εμβλήματα που ξεκλειδώνουν τις πόρτες) που περιορίζουν την πρόσβαση σε μη εξουσιοδοτημένα άτομα και εισβολείς.
2. Ανάπτυξη πολιτικών για την επαλήθευση των εξουσιοδοτήσεων πρόσβασης, τον έλεγχο του εξοπλισμού και το χειρισμό των επισκεπτών. Αναπτύξτε και παρέχετε τεκμηρίωση που περιλαμβάνει οδηγίες σχετικά με τον τρόπο με τον οποίο το ιατρικό γραφείο σας μπορεί να βοηθήσει στην προστασία του PHI (για παράδειγμα αποσυνδέοντας τον υπολογιστή πριν τον αφήσετε χωρίς επιτήρηση)
3. Παρέχετε προστασία από πυρκαγιά και άλλους κινδύνους

Τεχνικές εγγυήσεις

1. Δημιουργία μοναδικής ταυτότητας χρήστη, συμπεριλαμβανομένων κωδικών και αριθμών καρφίτσας
2. Υιοθετήστε ένα αυτόματο έλεγχο απόκρισης
3. Καταγράψτε και εξετάστε τη δραστηριότητα του συστήματος για σκοπούς ελέγχου
4. Χρησιμοποιήστε στοιχεία ελέγχου κρυπτογράφησης για να προστατεύσετε τα μεταδιδόμενα δεδομένα μέσω δικτύου

Επιβολή και κυρώσεις για μη συμμόρφωση

Ποινές για αστικές χρήσεις

• $ 100 ανά παράλειψη συμμόρφωσης
• $ 25.000 κατ 'ανώτατο όριο ανά έτος για πολλαπλές παραβιάσεις της ίδιας απαίτησης

Ποινικές κυρώσεις (για την εν γνώσει απόκτηση ή αποκάλυψη PHI κατά παράβαση της HIPAA)

• $ 50.000 πρόστιμο και μέχρι ένα έτος φυλάκισης
• $ 100.000 πρόστιμο και μέχρι πέντε χρόνια φυλάκισης (αν η παραβίαση περιλαμβάνει ψευδείς προθέσεις)
• $ 250.000 πρόστιμο και μέχρι δέκα χρόνια φυλάκισης (αν η παραβίαση συνεπάγεται την πρόθεση να πουλήσει, να μεταφέρει ή να χρησιμοποιήσει PHI)

3 -

Συμβουλές για την αποφυγή παραβίασης της HIPAA

1. Λάβετε τα απαραίτητα βήματα για να μην αποκαλύπτετε πληροφορίες μέσω συνήθους συνομιλίας. Αποφύγετε την αποκάλυψη πληροφοριών μέσω συζήτησης ρουτίνας. συζητώντας τις πληροφορίες για τους ασθενείς σε περιοχές αναμονής, διάδρομους ή ανελκυστήρες. κατάλληλη διάθεση του PHI · και η πρόσβαση στην πληροφόρηση περιορίζεται αυστηρά στους υπαλλήλους των οποίων οι θέσεις εργασίας απαιτούν αυτές τις πληροφορίες. Οι βασικές πληροφορίες μπορεί να φανεί τόσο ασήμαντες ώστε να μπορούν εύκολα να αναφερθούν στη συνήθη συζήτηση, αλλά πρέπει να μοιράζονται μόνο σε μια ανάγκη να γνωρίζουμε τη βάση.
2. Αποφύγετε να συζητάτε τις πληροφορίες για τους ασθενείς σε περιοχές αναμονής, διάδρομους ή ανελκυστήρες. Οι ευαίσθητες πληροφορίες μπορούν να ακουστούν από επισκέπτες ή άλλους ασθενείς. Επίσης, φροντίστε να κρατάτε τα αρχεία ασθενών έξω από περιοχές που είναι προσιτές στο κοινό. Εφόσον τα γραφεία ελέγχου και οι σταθμοί νοσοκόμων βρίσκονται έξω από την άκρη, πηγαίνετε το επιπλέον μίλι για να εξασφαλίσετε ότι οι υπολογιστές είναι ασφαλισμένοι ανά πάσα στιγμή. Οι υποδοχές των διαγραμμάτων πρέπει να τοποθετηθούν και η πρόσοψη να καλύπτεται σύμφωνα με τα πρότυπα HIPAA.
3. Το PHI δεν πρέπει ποτέ να απορριφθεί στο δοχείο απορριμμάτων. Κάθε έγγραφο που απορρίπτεται στα σκουπίδια είναι ανοικτό για το κοινό και συνεπώς παραβίαση πληροφοριών. Υπάρχουν πολλοί τρόποι απόρριψης του PHI. Η σωστή διάθεση του χαρτιού PHI περιλαμβάνει καύση ή τεμαχισμό. Το ηλεκτρονικό PHI μπορεί να απορριφθεί με διαγραφή, διαγραφή, επαναδιαμόρφωση, αποτέφρωση, τήξη ή τεμαχισμό.
4. Υπάρχουν αρκετές διαθέσιμες τεχνολογίες που έχουν σχεδιαστεί για τη διασφάλιση δεδομένων ασθενών. Να είστε επιλεκτικοί στην επιλογή συσκευών και λογισμικού που εξασφαλίζουν δεδομένα μέσω ασύρματης σύνδεσης, συμπεριλαμβανομένων τείχους προστασίας, προστασίας από ιούς, προστασίας από spyware και τεχνολογίας ανίχνευσης εισβολής. Να είστε ιδιαίτερα προσεκτικοί κατά την πρόσβαση στα δεδομένα μέσω μιας απομακρυσμένης σύνδεσης. Οι ειδικοί της πληροφορικής προτείνουν τη χρήση ενός συστήματος ελέγχου ταυτότητας δύο παραγόντων με μάρκες και κωδικούς ασφαλείας.