Годишно обучение за съответствие с HIPAA

Законът за преносимост и отчетност на здравното осигуряване беше приет през 1996 г. Той се прилага от Службата по граждански права на правителството на Съединените щати. Това е набор от федерални насоки, създадени, за да позволят на служителите да поемат медицинска застраховка при тях, ако напуснат работодател, дадат на хората достъп до медицинска застраховка въпреки съществуващите условия (при определени условия) и да установят стандарти за неприкосновеност на личния живот за здравето на пациента информация.

• Правилата за поверителност на HIPAA защитават поверителността на индивидуално идентифицируемата здравна информация.
• Правилото за сигурност на HIPAA определя национални стандарти за сигурността на електронната здравна информация.

От закона се изисква да предоставя обучение и обучение на HIPAA на лица, работещи в сектора на здравеопазването, за да гарантира отчетността за неприкосновеността на личния живот и сигурността на защитената здравна информация. Покритите субекти трябва да обучават всички членове на работната сила относно политиките и процедурите на HIPAA.

1 -

Правило за поверителност на HIPAA

Стандартите за поверителност на индивидуално идентифициращата се здравна информация (Правилото за поверителност) са разработени специално за защита на личната здравна информация на дадено лице. Важно е за жизнеността на Вашия медицински офис да поддържат съответствие с HIPAA.

Кой е обхванат от правилото за поверителност?

• Здравни планове
• Доставчици на здравни грижи
• Служби за здравеопазване

Защитено лице, както е определено в HIPAA, може да бъде план за здравно осигуряване, клирингова клиника или доставчик на здравно обслужване, който предава защитена здравна информация по електронен път и може да бъде организация, институция или лице.

Лекарите и другите здравни специалисти, които работят с пациентите и техните поверителни медицински досиета, трябва да се придържат към политиките, процедурите и законите, предназначени да защитават поверителността и поверителността на пациентите. Всички доставчици на здравни услуги са отговорни да държат своя персонал обучен и информиран относно съответствието с HIPAA . Дали умишлено или случайно неразрешено разкриване на PHI се счита за нарушение на HIPAA.

• Бизнес сътрудници

Бизнес съдружник, както е дефиниран от HIPAA, е всяко физическо или юридическо лице, което извършва дейност, включваща използването или разкриването на защитена здравна информация от името на обхванато лице и не е служител на обхванатото дружество.

Каква информация е защитена?

PHI или Защитена информация за здравето се отнася до всяка индивидуално идентифицираща информация, включена в медицинския регистър на пациента, която се предава или поддържа под каквато и да е форма.

Употреби и оповестявания

Защитено лице може да използва или да разкрива защитена здравна информация (ПЗ) без разрешение при определени условия.

1. За физическото лице
2. Лечение, плащане и здравни операции
3. Употреби и оповестявания с възможност за съгласие или обект
4. Случайна употреба и оповестяване.
5. Дейности от общ интерес и ползи
6. Ограничен набор от данни за целите на научните изследвания, общественото здравеопазване или здравните дейности

Декларация за практиките за поверителност

Доставчиците на здравни услуги имат задължението да предоставят на пациентите си известие за практики за защита на личните данни. Това известие, както се изисква от правилото за поверителност на HIPAA, дава на пациентите правото да бъдат информирани за техните права на личен живот, тъй като се отнасят до тяхната защитена здравна информация (PHI).

Съобщението трябва да описва определена информация в лесни за разбиране:

• Как доставчикът ще използва и разкрие техния PHI
• Правата, които пациентите имат по отношение на собствените си PHI
• Изявление, което информира пациента за законите, изискващи от доставчика да запази поверителността на своя PHI
• Кои пациенти могат да се свържат за допълнителна информация относно политиките за поверителност на доставчика

Изпълнение и наказания за несъответствие

Глоби за граждански пари

• $ 100 за неспазване
• $ 25,000 максимум на година за няколко нарушения на едно и също изискване

Наказателни санкции (за съзнателно получаване или разкриване на PHI в нарушение на HIPAA)

• $ 50 000 глоба и до една година лишаване от свобода
• $ 100,000 глоба и до пет години затвор (ако нарушението включва фалшиви претекст)
• $ 250,000 глоба и до десет години лишаване от свобода (ако нарушението включва намерение за продажба, прехвърляне или използване PHI)

2 -

Правило за сигурност на HIPAA

Стандартите за сигурност за защита на информацията за електронна защитена здравна информация (правилото за сигурност)

Сигурността на HIPAA се отнася до създаването на предпазни мерки за PHI във всеки електронен формат. Това включва всяка използвана, съхранявана или предадена по електронен път информация. Всяко съоръжение, определено от HIPAA като обхванат обект, носи отговорността да гарантира неприкосновеността на личния живот и сигурността на информацията на пациента си, както и да запазва поверителността на техния PHI.

Кой е обхванат от правилото за сигурност?

• Здравни планове
• Доставчици на здравни грижи
• Служби за здравеопазване

Защитено лице, както е определено в HIPAA, може да бъде план за здравно осигуряване, клирингова клиника или доставчик на здравно обслужване, който предава защитена здравна информация по електронен път и може да бъде организация, институция или лице.

• Бизнес сътрудници

Бизнес съдружник, както е дефиниран от HIPAA, е всяко физическо или юридическо лице, което извършва дейност, включваща използването или разкриването на защитена здравна информация от името на обхванато лице и не е служител на обхванатото дружество.

Каква информация е защитена?

Електронната информация за PHI или Защитена здравна информация се отнася до всяка индивидуално идентифицираща информация, включена в медицинския регистър на пациента, която се предава или поддържа под каквато и да е форма. Правилото за сигурност изключва PHI, предавани устно или писмено.

Административно опростяване

Разпоредбите за административно опростяване на HIPAA установяват национални стандарти за сигурност на електронно защитената здравна информация. Това включва правилата и стандартите за транзакции и набор от кодове и идентификатори за работодатели и доставчици.

Транзакции и стандарти за кодиране на кодове

Стандартните транзакции за електронни данни за обмен (EDI) на данни за здравни грижи включват искове и информация за срещи, съвети за плащане и преводи, статус на искове, допустимост, записване и отписване, препратки и разрешения, координация на обезщетения и плащане на премии.

Стандартни набори от кодове за диагностика, процедури и кодекси за лекарства включват HCPCS (спомагателни услуги / процедури), CPT-4 (процедури за лекари), CDT (дентална терминология), ICD-9 (диагностични и болнични стационарни процедури) От 1 октомври 2015 г.) и кодовете на NDC (National Drug Codes).

Идентификационни стандарти за работодатели и доставчици

Стандартните идентификатори включват идентификационния номер на работодателя (EIN) и идентификатора на националния доставчик (NPI). EIN се използва за идентифициране на работодателите по стандартните транзакции. Идентификацията на националния доставчик или NPI е 10-цифрен, уникален идентификационен номер, използван за заместване на идентификаторите на доставчика, като уникален идентификационен номер на доставчика (UPIN) в стандартните транзакции на HIPAA. Доставчиците на здравни грижи се изискват от правителството на HIPAA да получи НПИ.

Правилата за поддържане на сигурността на HIPAA включват предпазни мерки за три ключови области.

Административни предпазни мерки

1. Разработване на формален процес за управление на сигурността, включващ разработването на политики и процедури, вътрешни одити, план за действие в извънредни ситуации и други предпазни мерки за осигуряване на спазването от служителите на медицинските служби.
2. Задайте отговорността за сигурността на определено лице, което да управлява и контролира използването на мерките за сигурност и поведението на персонала.
3. Изпълнете функции, които гарантират, че персоналът има подходящо обучение и подходящо разрешение за достъп до PHI.
4. Определете нивата на достъп на целия персонал и как му се предоставя
5. Изисква всички медицински служители, включително мениджмънта, да преминат обучение по сигурността и да имат периодични напомняния и обучение на потребителите.

Физически предпазни мерки

1. File PHI на сигурно място и работно място за служители (това включва използването на брави, ключове и значки, които отключват вратите), които ограничават достъпа до неупълномощени лица и нарушители.
2. Разработване на правила за проверка на разрешения за достъп, контрол на оборудването и работа с посетителите. Разработване и предоставяне на документация, включително указания как вашият медицински офис може да ви помогне да защитите PHI (например да излезете от компютъра, преди да го напуснете без надзор)
3. Осигурете защита срещу пожар и други опасности

Технически предпазни мерки

1. Установяване на уникална идентификация на потребителя, включваща пароли и номера на ПИН
2. Приемете автоматичен контрол на отклонението
3. Запишете и изследвайте системната дейност за целите на одита
4. Използвайте контролите за шифроване, за да защитите предадените данни по мрежата

Изпълнение и наказания за несъответствие

Глоби за граждански пари

• $ 100 за неспазване
• $ 25,000 максимум на година за няколко нарушения на едно и също изискване

Наказателни санкции (за съзнателно получаване или разкриване на PHI в нарушение на HIPAA)

• $ 50,000 глоба и до една година лишаване от свобода
• $ 100,000 глоба и до пет години затвор (ако нарушението включва фалшиви претекст)
• $ 250,000 глоба и до десет години лишаване от свобода (ако нарушението включва намерение за продажба, прехвърляне или използване PHI)

3 -

Съвети за избягване на нарушаването на HIPAA

1. Вземете необходимите стъпки, за да не разкривате информация чрез рутинен разговор. Избягвайте разкриването на информация чрез рутинен разговор; обсъждане на информация за пациентите в чакащи зони, коридори или асансьори; правилното изхвърляне на PHI; и достъпът до информация се ограничава стриктно до служителите, чиято работа изисква тази информация. Основната информация може да изглежда толкова незначителна, че може лесно да се спомене в рутинния разговор, но трябва да се споделя само на основание, на което трябва да се знае.
2. Избягвайте обсъждането на информация за пациентите в чакащи зони, коридори или асансьори. Чувствителна информация може да бъде чута от посетители или други пациенти. Също така не забравяйте да съхранявате записите на пациентите извън областите, достъпни за обществеността. Тъй като бюрата за бележки и медицинските сестри са на открито, отидете на допълнителната миля, за да сте сигурни, че компютрите са винаги обезопасени. Поддържащите диаграми трябва да се монтират и предният панел да се покрие съгласно стандартите на HIPAA.
3. PHI никога не трябва да се изхвърля в кошчето за боклук. Всеки документ, изхвърлен в кошчето, е отворен за обществеността и следователно нарушение на информацията. Има много начини за унищожаване на PHI. Правилното изхвърляне на хартия PHI включва изгаряне или раздробяване. Електронният PHI може да бъде изхвърлен чрез изтриване, изтриване, преформатиране, изгаряне, топене или раздробяване.
4. Съществуват редица налични технологии, предназначени да осигурят данни за пациентите. Бъдете селективни при избора на устройства и софтуер, които осигуряват данни чрез безжична връзка, включително защитни стени, антивирус, антиспайуер и технология за откриване на проникване. Изключително внимавайте при достъп до данни чрез отдалечена връзка. ИТ специалистите предлагат използването на двуфакторна система за удостоверяване със символи за сигурност и пароли.