Ročný výcvik na dodržiavanie HIPAA

Zákon o prenosnosti a zodpovednosti zdravotného poistenia bol prijatý v roku 1996. Vykonáva ho Úrad pre občianske práva vlády Spojených štátov. Je to súbor federálnych smerníc vytvorených tak, aby umožňovali zamestnancom vziať si s nimi zdravotné poistenie, ak opustia zamestnávateľa, umožnia ľuďom prístup k zdravotnému poisteniu napriek predtým existujúcim podmienkam (za určitých podmienok) a stanovia normy ochrany súkromia pre zdravie pacienta informácie.

• Pravidlo ochrany súkromia HIPAA chráni súkromie individuálne identifikovateľných zdravotných informácií.
• Bezpečnostné pravidlo HIPAA stanovuje národné normy pre bezpečnosť elektronických zdravotných informácií.

Z právnych predpisov sa vyžaduje, aby poskytovali vzdelávanie a odbornú prípravu HIPAA osobám pracujúcim v zdravotníckom priemysle s cieľom zabezpečiť zodpovednosť za ochranu súkromia a bezpečnosť chránených zdravotných informácií. Pokryté subjekty musia školiť všetkých členov pracovnej sily o zásadách a postupoch HIPAA.

1 -

Pravidlo ochrany súkromia HIPAA

Štandardy ochrany súkromia individuálne identifikovateľných zdravotných informácií (pravidlo ochrany osobných údajov) boli navrhnuté tak, aby konkrétne riešili ochranu osobných zdravotných informácií jednotlivca. Je dôležité, aby si vaša zdravotnícka kancelária udržala súlad s HIPAA.

Kto je zahrnutý v pravidle ochrany osobných údajov?

• Plány zdravia
• Poskytovatelia zdravotnej starostlivosti
• Zúčtovacie strediská zdravotnej starostlivosti

Začlenený subjekt, ako je definovaný v HIPAA, môže byť plán zdravotného poistenia, zdravotnícky servis alebo poskytovateľ zdravotnej starostlivosti, ktorý elektronicky prenáša chránené zdravotné informácie a môžu to byť organizácie, inštitúcie alebo osoby.

Lekári a ďalší zdravotnícki pracovníci, ktorí pracujú s pacientmi a ich dôverné zdravotné záznamy, musia dodržiavať zásady, postupy a zákony určené na ochranu súkromia a dôvernosti pacientov. Všetci poskytovatelia zdravotnej starostlivosti sú zodpovední za udržiavanie svojich zamestnancov zaškolených a informovaných ohľadom dodržiavania HIPAA . Či úmyselné alebo náhodné, neoprávnené zverejnenie PHI sa považuje za porušenie HIPAA.

• Podnikateľskí partneri

Obchodným partnerom podľa definície HIPAA je každá osoba alebo subjekt, ktorý vykonáva podnikanie zahŕňajúce použitie alebo zverejnenie chránených zdravotných informácií v mene zainteresovanej osoby a nie je zamestnancom dotknutej osoby.

Aké informácie sú chránené?

PHI alebo informácie o ochrane zdravia odkazujú na akékoľvek individuálne identifikujúce informácie obsiahnuté v lekárskom zázname pacienta, ktorý sa prenáša alebo udržiava v akejkoľvek forme.

Použitie a zverejňovanie informácií

Zakrytá entita môže používať alebo zverejňovať chránené zdravotné informácie (PHI) bez povolenia za určitých podmienok.

1. Osobám
2. Liečebných, platobných a zdravotníckych operácií
3. Použitie a zverejňovanie s možnosťou súhlasu alebo objektov
4. Náhodné použitie a zverejnenie.
5. Činnosti vo verejnom záujme a prospech
6. Obmedzený súbor údajov na účely výskumu, verejného zdravia alebo zdravotnej starostlivosti

Upozornenie o ochrane osobných údajov

Poskytovatelia zdravotnej starostlivosti majú povinnosť poskytovať svojim pacientom oznámenie o postupoch ochrany osobných údajov. Toto oznámenie, ako to vyžaduje Pravidlo ochrany súkromia HIPAA, dáva pacientom právo byť informovaný o svojich právach na súkromie, pretože sa týka ich chránených zdravotných informácií (PHI).

Oznámenie by malo opísať určité informácie v ľahko pochopiteľných podmienkach:

• Ako poskytovateľ použije a zverejní svoje PHI
• Práva pacientov majú vzťah k ich vlastnému PHI
• Vyhlásenie informujúce pacienta o zákonoch, ktoré od poskytovateľa vyžadujú zachovanie súkromia svojho PHI
• Ktorí pacienti môžu kontaktovať ďalšie informácie týkajúce sa pravidiel ochrany osobných údajov poskytovateľa

Výkon a pokuty za nedodržanie

Tresty za civilné peniaze

• $ 100 za neplnenie
• Maximálne 25 000 dolárov za rok za viacnásobné porušenia tej istej požiadavky

Trestné tresty (na vedomé získanie alebo zverejnenie PHI v rozpore s HIPAA)

• 50.000 dolárov pokutu a až jeden rok väzenia
• 100 000 dolárov pokutu a až päť rokov väzenia (ak porušenie zahŕňa falošné zámienky)
• 250 000 dolárov pokutu a až 10 rokov väzenia (ak porušenie znamená úmysel predať, preniesť alebo použiť PHI)

2 -

Bezpečnostné pravidlo HIPAA

Bezpečnostné normy pre ochranu informácií o elektronickom chránenom zdraví (bezpečnostné pravidlo)

Bezpečnosť HIPAA znamená vytvorenie bezpečnostných opatrení pre PHI v akomkoľvek elektronickom formáte. Toto zahŕňa všetky informácie, ktoré sa používajú, uchovávajú alebo prenášajú elektronicky. Akékoľvek zariadenie, ktoré HIPAA vymedzuje ako krytá entita, má povinnosť zabezpečiť súkromie a bezpečnosť svojich pacientových informácií, ako aj zachovávať dôvernosť ich PHI.

Kto je zahrnutý bezpečnostným pravidlom?

• Plány zdravia
• Poskytovatelia zdravotnej starostlivosti
• Zúčtovacie strediská zdravotnej starostlivosti

Začlenený subjekt, ako je definovaný v HIPAA, môže byť plán zdravotného poistenia, zdravotnícky servis alebo poskytovateľ zdravotnej starostlivosti, ktorý elektronicky prenáša chránené zdravotné informácie a môžu to byť organizácie, inštitúcie alebo osoby.

• Podnikateľskí partneri

Obchodným partnerom podľa definície HIPAA je každá osoba alebo subjekt, ktorý vykonáva podnikanie zahŕňajúce použitie alebo zverejnenie chránených zdravotných informácií v mene zainteresovanej osoby a nie je zamestnancom dotknutej osoby.

Aké informácie sú chránené?

Elektronické PHI alebo informácie o ochrane zdravia odkazujú na akékoľvek individuálne identifikujúce informácie uvedené v lekárskom zázname pacienta, ktorý sa prenáša alebo udržiava v akejkoľvek forme. Bezpečnostné pravidlo vylučuje ústne alebo písomne ​​zaslané PHI.

Zjednodušenie administratívy

Ustanovenia o administratívnom zjednodušení HIPAA stanovujú národné normy pre bezpečnosť elektronických chránených zdravotných informácií. Patria sem pravidlá a štandardy pre transakcie a súbory kódov a identifikátory pre zamestnávateľov a poskytovateľov.

Transakcie a štandardy kódových súborov

Štandardné transakcie pre elektronickú výmenu dát o zdravotnej starostlivosti zahŕňajú informácie o pohľadávkach a stretnutiach, poradenstvo v oblasti platieb a platieb, štatút nárokov, oprávnenosť, zápis a rozširovanie, postúpenia a povolenia, koordinácia dávok a prémiová platba.

Štandardné súbory kódov pre diagnostické, procedurálne a kódy liekov zahŕňajú HCPCS ( pomocné služby / postupy), CPT-4 (lekárske postupy), CDT (dentálna terminológia), ICD-9 (diagnostické a nemocničné lôžkové postupy) K 1. októbru 2015) a kódy NDC (National Drug Codes).

Identifikačné štandardy pre zamestnávateľov a poskytovateľov

Štandardné identifikátory zahŕňajú identifikačné číslo zamestnávateľa (EIN) a identifikátor národného poskytovateľa (NPI). EIN sa používa na identifikáciu zamestnávateľov v štandardných transakciách. Identifikácia národného poskytovateľa alebo NPI je 10-miestne jedinečné identifikačné číslo, ktoré slúži ako náhrada identifikátorov poskytovateľa, ako napríklad jedinečné identifikačné číslo poskytovateľa (UPIN) v štandardných transakciách HIPAA. Poskytovatelia zdravotnej starostlivosti sú povinní podľa nariadenia HIPAA získať NPI.

Pravidlá pre zachovanie bezpečnosti HIPAA zahŕňajú bezpečnostné opatrenia pre tri kľúčové oblasti.

Administratívne bezpečnostné opatrenia

1. Vyvinúť formálny proces riadenia bezpečnosti vrátane vývoja politík a postupov, vnútorných auditov, pohotovostného plánu a iných bezpečnostných opatrení na zabezpečenie súladu so zdravotníckymi pracovníkmi.
2. Priraďte zodpovednosť za bezpečnosť určenej osobe, aby riadila a kontrolovala používanie bezpečnostných opatrení a správanie zamestnancov.
3. Implementujte funkcie, ktoré zabezpečia, že zamestnanci majú riadne školenie a riadne oprávnenie na prístup k PHI.
4. Definujte úrovne prístupu pre všetkých zamestnancov a spôsob ich poskytovania
5. Požadovať, aby všetci zamestnanci zdravotníckych kancelárií, vrátane manažmentu, absolvovali bezpečnostný výcvik a mali pravidelné pripomienky a vzdelávanie používateľov.

Fyzické bezpečnostné opatrenia

1. Súbor PHI na bezpečnom mieste a pracovnom priestore pre zamestnancov (zahŕňa použitie zámkov, kľúčov a odznakov, ktoré odomknú dvere), ktoré obmedzujú prístup k neoprávneným osobám a votrelcom.
2. Vytvorte zásady na overenie oprávnení na prístup, kontrolu zariadení a manipuláciu s návštevníkmi. Vypracujte a poskytnite dokumentáciu vrátane pokynov o tom, ako môže vaša zdravotnícka kancelária pomôcť chrániť PHI (napríklad odhlásenie počítača pred opustením bez dozoru)
3. Zabezpečte ochranu pred požiarom a inými nebezpečenstvami

Technické záruky

1. Vytvorte jedinečnú identifikáciu používateľa vrátane hesiel a čísel pinov
2. Prijať automatické ovládanie odhlásenia
3. Zaznamenávajte a skúmajte systémovú činnosť na účely auditu
4. Použite ovládacie prvky šifrovania na ochranu prenášaných dát v sieti

Výkon a pokuty za nedodržanie

Tresty za civilné peniaze

• $ 100 za neplnenie
• Maximálne 25 000 dolárov za rok za viacnásobné porušenia tej istej požiadavky

Trestné tresty (na vedomé získanie alebo zverejnenie PHI v rozpore s HIPAA)

• 50.000 dolárov pokutu a až jeden rok väzenia
• 100 000 dolárov pokutu a až päť rokov väzenia (ak porušenie zahŕňa falošné zámienky)
• 250 000 dolárov pokutu a až 10 rokov väzenia (ak porušenie znamená úmysel predať, preniesť alebo použiť PHI)

3 -

Tipy, ako zabrániť porušovaniu HIPAA

1. Pripravte potrebné kroky, aby ste nezverejňovali informácie prostredníctvom rutinných rozhovorov. Zabráňte zverejňovaniu informácií prostredníctvom rutinných rozhovorov; diskusia o informáciách o pacientoch v čakacích priestoroch, chodbách alebo výťahoch; správna likvidácia PHI; a prístup k informáciám sa prísne obmedzuje na zamestnancov, ktorých pracovné miesta si vyžadujú tieto informácie. Základné informácie sa môžu zdajú byť také bezvýznamné, že ich možno ľahko spomenúť v rutinných rozhovoroch, ale mali by sa zdieľať iba na základe potreby vedieť.
2. Nepoužívajte informácie o pacientoch v čakacích priestoroch, chodbách alebo výťahoch. Citlivé informácie môžu návštevníci alebo iní pacienti zaslechnúť. Takisto nezabudnite uchovávať záznamy pacientov z oblastí, ktoré sú prístupné verejnosti. Keďže odbavovacie stoly a zdravotné sály sú vonku, prejdite na ďalšiu míľu, aby ste zabezpečili, že počítače sú stále zabezpečené. Držiaky diagramov by mali byť namontované a čelný panel by mal byť pokrytý podľa noriem HIPAA.
3. PHI by sa nikdy nemali likvidovať do koša. Každý dokument, ktorý je v koši uložený, je prístupný verejnosti, a preto porušuje informácie. Existuje mnoho spôsobov likvidácie PHI. Správna likvidácia papiera PHI zahŕňa spaľovanie alebo drvenie. Elektronické PHI možno zlikvidovať vymazaním, vymazaním, preformátovaním, spaľovaním, roztavením alebo skartovaním.
4. Existuje množstvo dostupných technológií, ktoré sú navrhnuté na zabezpečenie údajov pacientov. Byť selektívny pri výbere zariadení a softvéru, ktoré zabezpečujú dáta cez bezdrôtové pripojenie vrátane firewallov, anti-vírusov, anti-spyware a technológií detekcie narušenia. Pri prístupu k dátam cez vzdialené pripojenie buďte obzvlášť opatrní. Špecialisti na IT navrhujú použitie dvojfaktorového autentifikačného systému s bezpečnostnými symbolmi a heslami.