Coroczne szkolenie zgodności z przepisami HIPAA

Ustawa o przenośności i odpowiedzialności ubezpieczeniowej została uchwalona w 1996 r. Egzekwowana jest przez Urząd Praw Obywatelskich rządu Stanów Zjednoczonych. Jest to zbiór federalnych wytycznych opracowanych w celu umożliwienia pracownikom zabrania ze sobą ubezpieczenia medycznego, jeśli opuszczą pracodawcę, umożliwiają dostęp do ubezpieczenia medycznego pomimo wcześniejszych warunków (pod pewnymi warunkami) oraz ustanowienia standardów prywatności dla zdrowia pacjenta Informacja.

• Reguła prywatności HIPAA chroni prywatność informacji osobistych umożliwiających identyfikację.
• Reguła bezpieczeństwa HIPAA określa krajowe standardy bezpieczeństwa elektronicznych informacji zdrowotnych.

Zgodnie z prawem wymagane jest zapewnienie kształcenia i szkolenia HIPAA osobom pracującym w branży medycznej, aby zapewnić odpowiedzialność za prywatność i bezpieczeństwo chronionych informacji zdrowotnych. Objęte podmioty muszą szkolić wszystkich pracowników na temat zasad i procedur HIPAA.

1

Zasada prywatności HIPAA

Standardy prywatności informacji identyfikowanych indywidualnie ("Reguła prywatności") zostały opracowane z myślą o ochronie danych osobowych danej osoby. Ważne jest, aby witalność gabinetu medycznego była zgodna z przepisami HIPAA.

Kto jest objęty zasadą prywatności?

• Plany zdrowotne
• Służby zdrowia
• Health Care Clearinghouses

Podmiotem ubezpieczonym, zdefiniowanym w HIPAA, może być plan ubezpieczenia zdrowotnego, zakład oczyszczania zdrowia lub podmiot świadczący opiekę zdrowotną, który przekazuje chronione informacje zdrowotne drogą elektroniczną i może być organizacją, instytucją lub osobą.

Lekarze i inni pracownicy służby zdrowia, którzy pracują z pacjentami i ich poufnymi dokumentami medycznymi, muszą przestrzegać zasad, procedur i przepisów mających na celu ochronę prywatności i poufności pacjentów. Wszyscy pracownicy służby zdrowia są odpowiedzialni za przeszkolenie personelu i informowanie o zgodności z przepisami HIPAA. Niezależnie od tego, czy celowe czy przypadkowe, nieuprawnione ujawnienie PHI jest uważane za naruszenie HIPAA.

• Współpracownicy biznesowi

Partner biznesowy, zdefiniowany przez HIPAA, to każda osoba lub podmiot, który prowadzi działalność polegającą na wykorzystaniu lub ujawnieniu chronionych informacji zdrowotnych w imieniu podmiotu objętego usługą i nie jest pracownikiem podmiotu objętego usługą.

Jakie informacje są chronione?

PHI lub chronione informacje zdrowotne odnoszą się do wszelkich informacji identyfikujących indywidualnie zawartych w dokumentacji medycznej pacjenta, które są przesyłane lub utrzymywane w dowolnej formie.

Zastosowania i ujawnienia

Podmiot objęty ochroną może wykorzystywać lub ujawniać chronione informacje zdrowotne (PHI) bez zezwolenia pod pewnymi warunkami.

1. Do Indywidualności
2. Leczenie, płatności i operacje zdrowotne
3. Zastosowania i ujawnienia z możliwością uzgodnienia lub obiektu
4. Przypadkowe użycie i ujawnienie.
5. Działania w zakresie publicznego zainteresowania i świadczeń
6. Ograniczony zestaw danych do celów badawczych, zdrowia publicznego lub opieki zdrowotnej

Powiadomienie o praktykach w zakresie ochrony prywatności

Podmioty świadczące opiekę zdrowotną mają obowiązek świadczenia swoim pacjentom Zawiadomienia o praktykach w zakresie ochrony prywatności. Niniejsze zawiadomienie, zgodnie z wymogami reguły prywatności HIPAA, daje pacjentom prawo do uzyskania informacji na temat ich praw do prywatności w odniesieniu do chronionych informacji zdrowotnych (PHI).

Ogłoszenie powinno opisywać niektóre informacje w łatwy do zrozumienia sposób:

• W jaki sposób dostawca wykorzysta i ujawni ich PHI
• Prawa pacjentów dotyczą ich własnych PHI
• Oświadczenie informujące pacjenta o przepisach wymagających od usługodawcy zachowania prywatności swoich PHI
• Z kim pacjenci mogą się kontaktować w celu uzyskania dalszych informacji na temat polityki prywatności dostawcy

Egzekwowanie i kary za nieprzestrzeganie prawa

Cywilne kary pieniężne

• 100 USD za nieprzestrzeganie
• Maksymalnie 25 000 USD rocznie za wielokrotne naruszenia tego samego wymogu

Sankcje karne (za świadome uzyskiwanie lub ujawnianie PHI z naruszeniem HIPAA)

• 50 000 $ grzywny i do 1 roku pozbawienia wolności
• 100 000 USD grzywny i do 5 lat pozbawienia wolności (jeżeli naruszenie wiąże się z fałszywymi pretekstami)
• Grzywna w wysokości 250 000 USD i do 10 lat pozbawienia wolności (jeżeli naruszenie wiąże się z zamiarem sprzedaży, przeniesienia lub użycia PHI)

2

Zasada bezpieczeństwa HIPAA

Standardy bezpieczeństwa w zakresie ochrony elektronicznych informacji medycznych na temat zdrowia (zasada bezpieczeństwa)

Zabezpieczenie HIPAA odnosi się do ustanowienia zabezpieczeń dla PHI w dowolnym formacie elektronicznym. Obejmuje to wszelkie informacje wykorzystywane, przechowywane lub przesyłane elektronicznie. Każdy obiekt zdefiniowany przez HIPAA jako podmiot objęty ochroną jest odpowiedzialny za zapewnienie prywatności i bezpieczeństwa informacji o nim pacjenta, a także zachowanie poufności ich PHI.

Kto jest objęty zasadą bezpieczeństwa?

• Plany zdrowotne
• Służby zdrowia
• Health Care Clearinghouses

Podmiotem ubezpieczonym, zdefiniowanym w HIPAA, może być plan ubezpieczenia zdrowotnego, zakład oczyszczania zdrowia lub podmiot świadczący opiekę zdrowotną, który przekazuje chronione informacje zdrowotne drogą elektroniczną i może być organizacją, instytucją lub osobą.

• Współpracownicy biznesowi

Partner biznesowy, zdefiniowany przez HIPAA, to każda osoba lub podmiot, który prowadzi działalność polegającą na wykorzystaniu lub ujawnieniu chronionych informacji zdrowotnych w imieniu podmiotu objętego usługą i nie jest pracownikiem podmiotu objętego usługą.

Jakie informacje są chronione?

Elektroniczna informacja o PHI lub chroniona informacja zdrowotna odnosi się do każdej indywidualnie identyfikującej informacji zawartej w dokumentacji medycznej pacjenta, która jest przesyłana lub utrzymywana w dowolnej formie. Zasada bezpieczeństwa wyklucza podawanie PHI doustnie lub na piśmie.

Uproszczenie administracyjne

Przepisy HIPAA dotyczące uproszczenia procedur administracyjnych ustanawiają krajowe normy bezpieczeństwa elektronicznych informacji dotyczących zdrowia. Obejmuje to zasady i standardy dotyczące transakcji i zestawów kodów oraz identyfikatorów dla pracodawców i dostawców.

Transakcje i standardy kodowe

Standardowe transakcje dotyczące elektronicznej wymiany danych (EDI) danych opieki zdrowotnej obejmują informacje o roszczeniach i spotkaniach, porady dotyczące płatności i przekazów pieniężnych, status roszczeń, uprawnienia, rejestrację i wyrejestrowanie, polecenia i upoważnienia, koordynację świadczeń i płatności składek.

Standardowe zestawy kodów dla diagnozy, procedury i kodów leków obejmują HCPCS (Usługi dodatkowe / Procedury), CPT-4 (procedury lekarzy), CDT (terminologia stomatologiczna), ICD-9 (diagnoza i szpitalne procedury hospitalizacyjne), ICD-10 (Od 1 października 2015 r.) I kody NDC (National Drug Codes).

Standardy identyfikacyjne dla pracodawców i dostawców

Standardowymi identyfikatorami są: Employer Identification Number (EIN) i National Provider Identifier (NPI). EIN służy do identyfikacji pracodawców przy standardowych transakcjach. Krajowa identyfikacja dostawcy lub NPI to 10-cyfrowy, niepowtarzalny numer identyfikacyjny używany do zastępowania identyfikatorów dostawców, takich jak numer identyfikacyjny unikalnego dostawcy (UPIN) w standardowych transakcjach HIPAA. Dostawcy usług opieki zdrowotnej są zobowiązani do regulowania HIPAA w celu uzyskania NPI.

Zasady utrzymania bezpieczeństwa HIPAA obejmują zabezpieczenia dla trzech kluczowych obszarów.

Zabezpieczenia administracyjne

1. Opracowanie formalnego procesu zarządzania bezpieczeństwem, w tym opracowanie polityk i procedur, audyt wewnętrzny, plan awaryjny i inne zabezpieczenia w celu zapewnienia zgodności ze strony personelu medycznego biura.
2. Przypisanie odpowiedzialności za bezpieczeństwo wyznaczonej osobie w celu zarządzania i nadzorowania stosowania środków bezpieczeństwa i zachowania personelu.
3. Zaimplementuj funkcje zapewniające odpowiednie przeszkolenie personelu i odpowiednią autoryzację dostępu do PHI.
4. Określ poziomy dostępu dla wszystkich pracowników i sposób ich przyznawania
5. Wymagać, aby wszyscy pracownicy gabinetu medycznego, w tym kierownictwo, przechodzili szkolenie z zakresu bezpieczeństwa i mieli okresowe przypomnienia oraz edukację użytkowników.

Fizyczne zabezpieczenia

1. Plik PHI w bezpiecznym miejscu i obszarze roboczym dla pracowników (obejmuje to użycie zamków, kluczy i plakietek, które otwierają drzwi), które ograniczają dostęp do nieuprawnionych osób i intruzów.
2. Opracuj zasady weryfikacji uprawnień dostępu, kontroli sprzętu i obsługi odwiedzających. Opracuj i dostarcz dokumentację, w tym instrukcje dotyczące tego, w jaki sposób Twoje biuro medyczne może pomóc w ochronie PHI (na przykład wylogowanie z komputera przed pozostawieniem go bez nadzoru)
3. Zapewnić ochronę przed ogniem i innymi zagrożeniami

Zabezpieczenia techniczne

1. Ustanowić unikalną identyfikację użytkownika, w tym hasła i numery pinów
2. Zastosuj automatyczną kontrolę wylogowania
3. Zarejestruj i sprawdź aktywność systemu do celów audytu
4. Wykorzystaj kontrolę szyfrowania, aby chronić przesyłane dane przez sieć

Egzekwowanie i kary za nieprzestrzeganie prawa

Cywilne kary pieniężne

• 100 USD za nieprzestrzeganie
• Maksymalnie 25 000 USD rocznie za wielokrotne naruszenia tego samego wymogu

Sankcje karne (za świadome uzyskiwanie lub ujawnianie PHI z naruszeniem HIPAA)

• 50 000 $ grzywny i do 1 roku pozbawienia wolności
• 100 000 USD grzywny i do 5 lat pozbawienia wolności (jeżeli naruszenie wiąże się z fałszywymi pretekstami)
• Grzywna w wysokości 250 000 USD i do 10 lat pozbawienia wolności (jeżeli naruszenie wiąże się z zamiarem sprzedaży, przeniesienia lub użycia PHI)

3

Wskazówki, jak unikać HIPAA

1. Podejmij niezbędne kroki, aby nie ujawniać informacji poprzez rutynową rozmowę. Unikaj ujawniania informacji poprzez rutynową rozmowę; omawianie informacji o pacjencie w poczekalniach, korytarzach lub windach; właściwe usuwanie PHI; a dostęp do informacji jest ściśle ograniczony do pracowników, których praca wymaga tych informacji. Podstawowe informacje mogą wydawać się tak nieistotne, że można je łatwo wymienić w rutynowych rozmowach, ale powinny być udostępniane tylko w oparciu o potrzebę wiedzy.
2. Unikaj omawiania informacji o pacjencie w poczekalniach, korytarzach lub windach. Wrażliwe informacje mogą być podsłuchane przez odwiedzających lub innych pacjentów. Upewnij się także, że zapisy pacjentów są niedostępne dla obszarów ogólnodostępnych.Ponieważ stanowiska odpraw i stacje pielęgniarek są otwarte, postaraj się, aby komputery były przez cały czas zabezpieczone. Uchwyty na mapy powinny być montowane, a panel przedni pokryty zgodnie ze standardami HIPAA.
3. PHI nigdy nie powinien być wyrzucany do kosza na śmieci. Każdy dokument wyrzucony do kosza jest otwarty dla publiczności, a zatem stanowi naruszenie informacji. Istnieje wiele sposobów na pozbycie się PHI. Prawidłowe usuwanie papieru PHI obejmuje palenie lub niszczenie. Elektroniczne PHI można usuwać, kasując, usuwając, ponownie formatując, spalając, topiąc lub niszcząc.
4. Istnieje szereg dostępnych technologii opracowanych w celu zabezpieczenia danych pacjentów. Należy wybierać urządzenia i oprogramowanie zabezpieczające dane przez połączenie bezprzewodowe, w tym zapory ogniowe, oprogramowanie antywirusowe, antyspyware i technologię wykrywania włamań. Zachowaj szczególną ostrożność podczas uzyskiwania dostępu do danych przez połączenie zdalne. Specjaliści IT sugerują stosowanie systemu uwierzytelniania dwuskładnikowego z tokenami bezpieczeństwa i hasłami.