Letno usposabljanje za skladnost HIPAA

Zakon o prenosljivosti in odgovornosti za zdravstveno zavarovanje je bil sprejet leta 1996. Uveljavlja ga Urad za državljanske pravice vlade Združenih držav Amerike. To je niz zveznih smernic, ki omogočajo zaposlenim, da opravijo zdravstveno zavarovanje z njimi, če zapustijo delodajalca, omogočijo dostop do zdravstvenega zavarovanja kljub obstoječim pogojem (pod nekaterimi pogoji) in določijo standarde zasebnosti za bolnikovo zdravje informacije.

• Pravilo o zasebnosti HIPAA ščiti zasebnost posameznikovih prepoznavnih zdravstvenih informacij.
• Varnostno pravilo HIPAA določa nacionalne standarde za varnost elektronskih zdravstvenih informacij.

Z zakonom je treba zagotoviti izobraževanje in usposabljanje HIPAA za posameznike, ki delajo v zdravstveni industriji, da bi zagotovili odgovornost za zasebnost in varnost varovanih zdravstvenih informacij. Zajete osebe morajo usposabljati vse člane delovne sile o politikah in postopkih HIPAA.

1 -

Pravilo o zasebnosti HIPAA

Standardi zasebnosti posameznih informacij o zdravju (Pravilnik o zasebnosti) so bili zasnovani posebej za zaščito osebnih zdravstvenih informacij. Za vitalnost vašega zdravstvenega urada je pomembno ohraniti skladnost s HIPAA.

Kdo je vključen v Pravilo o zasebnosti?

• Zdravstveni načrti
• Ponudniki zdravstvenih storitev
• Klirinške hiše za zdravstveno nego

Pokriti subjekt, kot je opredeljen v HIPAA, je lahko načrt zdravstvenega zavarovanja, zdravstvena zavarovalnica ali izvajalec zdravstvenega varstva, ki elektronsko prenese zaščitene zdravstvene podatke in so lahko organizacije, ustanove ali osebe.

Zdravniki in drugi zdravstveni delavci, ki delajo s pacienti in njihovi zaupni zdravstveni kartoteki, morajo upoštevati politike, postopke in zakone, namenjene varovanju zasebnosti in zaupnosti bolnikov. Vsi izvajalci zdravstvenega varstva so odgovorni, da svoje osebje obdržijo usposobljene in obveščene o skladnosti s HIPAA . Ali namerno ali naključno, nepooblaščeno razkritje PHI se šteje za kršitev HIPAA.

• Poslovna združenja

Poslovno sodelavko, kot ga opredeljuje HIPAA, je vsaka oseba ali subjekt, ki posluje z uporabo ali razkritjem zaščitenih zdravstvenih podatkov v imenu obvladovanega subjekta in ni zaposlen v kritju.

Katere informacije so zaščitene?

Podatki o varovanju zdravja ali zaščiteni zdravstveni podatki se nanašajo na vse posamezne podatke, ki se identificirajo v bolnikove zdravstvene kartoteke, ki se prenašajo ali vzdržujejo v kateri koli obliki.

Uporaba in razkritja

Pokrit subjekt sme uporabljati ali razkriti zaščitene zdravstvene podatke (PHI) brez dovoljenja pod določenimi pogoji.

1. Za posameznika
2. Zdravljenje, plačilo in zdravstveno varstvo
3. Uporaba in razkritja z možnostjo dogovarjanja ali predmeta
4. Naključna uporaba in razkritje.
5. Javni interes in ugodnosti
6. Omejen niz podatkov za namene raziskovanja, javnega zdravja ali zdravstvenega varstva

Obvestilo o varstvu zasebnosti

Izvajalci zdravstvenih storitev so dolžni svojim pacientom posredovati obvestilo o zasebnosti. To obvestilo, kot to zahteva Pravilnik o zasebnosti HIPAA, daje pacientom pravico do obveščenosti o svojih pravicah do zasebnosti, saj se nanaša na njihove zaščitene zdravstvene podatke (PHI).

Obvestilo bi moralo opisovati nekatere informacije v razumljivih pogojih:

• Kako bo ponudnik storitev uporabljal in razkril svoj PHI
• Pravice pacientov glede lastnega PHI
• Izjava, ki pacientu obvešča o zakonih, ki od ponudnika zahtevajo, da ohranja zasebnost svoje zdravstvene službe
• Kateri pacienti lahko stopijo v stik z nadaljnjimi informacijami o pravilnikih o zasebnosti ponudnika

Izvrševanje in kazni za neupoštevanje

Kazenske denarne kazni

• 100 $ na neizpolnjevanje
• 25.000 dolarjev na leto za več kršitev iste zahteve

Kazenske sankcije (za zavestno pridobitev ali razkritje zdravstvenih zavodov v nasprotju s HIPAA)

• 50.000 dolarjev in do enega leta zapora
• $ 100.000 glob in do pet let zapora (če kršitev vključuje lažne izjave)
• 250.000 USD in do deset let zapora (če kršitev vključuje namen prodaje, prenosa ali uporabe PHI)

2 -

Varnostno pravilo HIPAA

Varnostni standardi za varovanje elektronskih varovanih informacij o zdravju (varnostno pravilo)

Varnost HIPAA se nanaša na vzpostavitev zaščitnih ukrepov za javno zdravstveno varstvo v katerem koli elektronskem formatu. To vključuje vse podatke, ki se uporabljajo, shranjujejo ali prenašajo elektronsko. Vsak objekt, ki ga HIPAA opredeli kot zajeto osebo, je odgovoren za zagotavljanje zasebnosti in varnosti njegovih bolnikovih informacij ter ohranjanje zaupnosti njihovih zdravstvenih storitev.

Kdo pokriva varnostno pravilo?

• Zdravstveni načrti
• Ponudniki zdravstvenih storitev
• Klirinške hiše za zdravstveno nego

Pokriti subjekt, kot je opredeljen v HIPAA, je lahko načrt zdravstvenega zavarovanja, zdravstvena zavarovalnica ali izvajalec zdravstvenega varstva, ki elektronsko prenese zaščitene zdravstvene podatke in so lahko organizacije, ustanove ali osebe.

• Poslovna združenja

Poslovno sodelavko, kot ga opredeljuje HIPAA, je vsaka oseba ali subjekt, ki posluje z uporabo ali razkritjem zaščitenih zdravstvenih podatkov v imenu obvladovanega subjekta in ni zaposlen v kritju.

Katere informacije so zaščitene?

Elektronski podatki o varovanju zdravja ali varovane zdravstvene informacije se nanašajo na vse posamezne podatke za identifikacijo, vključene v bolnikove zdravstvene kartoteke, ki se prenašajo ali vzdržujejo v kateri koli obliki. Varnostno pravilo izključuje PHI, ki se posreduje ustno ali pisno.

Upravno poenostavitev

Določbe upravne poenostavitve HIPAA določajo nacionalne standarde za varnost elektronskih zaščitenih zdravstvenih informacij. To vključuje pravila in standarde za transakcije in niz kod in identifikatorje za delodajalce in ponudnike.

Transakcije in standardi kodeksa

Standardni posli za elektronsko izmenjavo podatkov (EDI) podatkov o zdravstveni oskrbi vključujejo podatke o zahtevkih in informacije o srečanju, plačilnem in nakazilu, statusu terjatev, upravičenosti, vpisu in odvzemu, napotitvam in pooblastilom, usklajevanju ugodnosti in plačilu premije.

Standardne kode za diagnozo, postopek in kodo zdravil vključujejo HCPCS (pomožne storitve / postopke), CPT-4 (zdravniki), CDT (zobna terminologija), ICD-9 (diagnosticiranje in bolnišnični postopki), ICD-10 Od 1. oktobra 2015) in NDC (Nacionalni kodeksi o drogah).

Identifikacijski standardi za delodajalce in ponudnike

Standardni identifikatorji vključujejo Identifikacijsko številko delodajalca (EIN) in Nacionalni identifikator ponudnika (NPI). EIN se uporablja za identifikacijo delodajalcev na standardnih transakcijah. Identifikacija nacionalnega ponudnika ali NPI je 10-mestna enotna identifikacijska številka, ki se uporablja za identifikacijske oznake ponudnika, kot je enotna identifikacijska številka ponudnika (UPIN) v standardnih transakcijah HIPAA. Ponudniki zdravstvenih storitev se z uredbo HIPAA zahteva, da pridobijo NPI.

Pravila za vzdrževanje varnosti HIPAA vključujejo zaščitne ukrepe za tri ključna področja.

Upravni zaščitni ukrepi

1. Razviti formalni postopek upravljanja varnosti, vključno z razvojem politik in postopkov, notranjih revizij, načrta ukrepov ob nepredvidljivih dogodkih in drugih zaščitnih ukrepov, da se zagotovi skladnost s strani zdravstvenih delavcev.
2. Dodeli odgovornost za varnost določeni osebi za upravljanje in nadzor uporabe varnostnih ukrepov in ravnanja osebja.
3. Izvedite funkcije, ki zagotavljajo ustrezno usposobljenost osebja in ustrezno pooblastilo za dostop do informacij javnega zdravstva.
4. Določiti ravni dostopa za vse zaposlene in kako je dodeljeno
5. Zahtevajte, da se vsi zdravstveni delavci, vključno z menedžmentom, vključijo v varnostno usposabljanje in občasno opozarjajo in izobražujejo uporabnike.

Fizični zaščitni ukrepi

1. Datoteko PHI na varni lokaciji in delovnem prostoru za zaposlene (to vključuje uporabo ključavnic, ključev in značk, ki odklenejo vrata), ki omejujejo dostop do nepooblaščenih oseb in vsiljivcev.
2. Razvijte pravilnike za preverjanje pooblastil za dostop, nadzor opreme in ravnanje z obiskovalci. Razviti in predložiti dokumentacijo, vključno z navodili o tem, kako lahko vaš zdravstveni urad pomaga pri zaščiti PHI (na primer odjavljanje računalnika, preden ga pustite brez nadzora)
3. Zagotovite zaščito pred požari in drugimi nevarnostmi

Tehnični zaščitni ukrepi

1. Vzpostavite edinstveno identifikacijo uporabnika, vključno z gesli in številkami pink
2. Sprejmi samodejni nadzor nad logotipom
3. Zapišite in preglejte sistemske dejavnosti za namene revizije
4. Uporabite nadzor šifriranja za zaščito prenesenih podatkov prek omrežja

Izvrševanje in kazni za neupoštevanje

Kazenske denarne kazni

• 100 $ na neizpolnjevanje
• 25.000 dolarjev na leto za več kršitev iste zahteve

Kazenske sankcije (za zavestno pridobitev ali razkritje zdravstvenih zavodov v nasprotju s HIPAA)

• 50.000 dolarjev in do enega leta zapora
• $ 100.000 glob in do pet let zapora (če kršitev vključuje lažne izjave)
• 250.000 USD in do deset let zapora (če kršitev vključuje namen prodaje, prenosa ali uporabe PHI)

3 -

Nasveti za preprečevanje kršenja HIPAA

1. Sprejmite potrebne korake, da preprečite razkrivanje informacij prek rutinskega pogovora. Izogibajte se razkrivanju informacij prek rutinskega pogovora; razpravljanje o informacijah o pacientih v čakalnih območjih, hodnikih ali dvigalih; pravilno odstranjevanje PHI; dostop do informacij pa mora biti strogo omejen na zaposlene, katerih delovna mesta zahtevajo te informacije. Osnovne informacije se lahko zdijo tako nepomembne, da jih je mogoče enostavno omeniti v rutinskem pogovoru, vendar jih je treba deliti le na podlagi potrebe po poznavanju.
2. Izogibajte se razpravljanju o informacijah o bolnikih na čakalnih območjih, hodnikih ali dvigalih. Obiskovalce ali druge bolnike lahko zaznajo občutljive podatke. Prepričajte se tudi, da shranite zapise bolnikov iz območij, ki so dostopna javnosti. Ker so mize za prijavo in sestre na prostem na prostem, pojdite na dodatno miljo, da zagotovite, da so računalniki vedno zaščiteni. Nosilce grafikonov je treba pritrditi in sprednja plošča pokrivati ​​v skladu s standardi HIPAA.
3. PHI nikoli ne smete odstraniti v smeti. Vsak dokument, vržen v smeti, je odprt za javnost in zato kršitev informacij. Obstaja veliko načinov za odstranjevanje PHI. Pravilno odstranjevanje papirja PHI vključuje pekočo ali drobljenje. Elektronski PHI lahko odstranimo z brisanjem, brisanjem, preoblikovanjem, sežigom, taljenjem ali drobljenjem.
4. Obstajajo številne razpoložljive tehnologije, zasnovane za zagotavljanje podatkov o bolnikih. Bodite selektivni pri izbiri naprav in programske opreme, ki varujejo podatke prek brezžične povezave, vključno z požarnimi zidovi, protivirusnimi programi, protivirusnimi programi in tehnologijo zaznavanja vdorov. Pri dostopanju do podatkov prek oddaljene povezave uporabljajte previdno. Strokovnjaki za IT predlagajo uporabo dvotaktnega sistema za preverjanje pristnosti z varnostnimi žetoni in gesli.