Coroczne szkolenie zgodności z przepisami HIPAA

Ustawa o przenośności i odpowiedzialności ubezpieczeniowej została uchwalona w 1996 r. Egzekwowana jest przez Urząd Praw Obywatelskich rządu Stanów Zjednoczonych. Jest to zbiór federalnych wytycznych opracowanych w celu umożliwienia pracownikom zabrania ze sobą ubezpieczenia medycznego, jeśli opuszczą pracodawcę, umożliwiają dostęp do ubezpieczenia medycznego pomimo wcześniejszych warunków (pod pewnymi warunkami) oraz ustanowienia standardów prywatności dla zdrowia pacjenta Informacja.

• Reguła prywatności HIPAA chroni prywatność informacji umożliwiających identyfikację indywidualnie.
• Reguła bezpieczeństwa HIPAA określa krajowe standardy bezpieczeństwa elektronicznych informacji medycznych.

Zgodnie z prawem wymagane jest zapewnienie kształcenia i szkolenia HIPAA osobom pracującym w branży medycznej, aby zapewnić odpowiedzialność za prywatność i bezpieczeństwo chronionych informacji zdrowotnych. Objęte podmioty muszą szkolić wszystkich pracowników na temat zasad i procedur HIPAA.

Zasada prywatności 1HIPAA

Standardy prywatności informacji identyfikowanych indywidualnie (zasada prywatności) zostały opracowane z myślą o ochronie danych osobowych danej osoby. Ważne jest, aby witalność gabinetu medycznego była zgodna z przepisami HIPAA.

Kto jest objęty zasadą prywatności?

• Plany zdrowia
• Dostawcy usług zdrowotnych
• Placówki ochrony zdrowia

Podmiotem ubezpieczeniowym, zgodnie z definicją w HIPAA, może być plan ubezpieczeń zdrowotnych, zakład opieki zdrowotnej lub podmiot świadczący opiekę zdrowotną, który przekazuje chronione informacje zdrowotne drogą elektroniczną i może być organizacją, instytucją lub osobą .

Lekarze i inni pracownicy służby zdrowia, którzy pracują z pacjentami i ich poufnymi dokumentami medycznymi, muszą przestrzegać zasad, procedur i przepisów mających na celu ochronę prywatności i poufności pacjenta. Wszyscy pracownicy służby zdrowia są odpowiedzialni za przeszkolenie personelu i informowanie o zgodności z przepisami HIPAA. Niezależnie od tego, czy celowe czy przypadkowe, nieuprawnione ujawnienie PHI jest uważane za naruszenie HIPAA.

• Business Associates

Partner biznesowy, zgodnie z definicją HIPAA, oznacza dowolną osobę lub podmiot prowadzący działalność polegającą na wykorzystaniu lub ujawnieniu chronionych informacji zdrowotnych w imieniu podmiotu objętego gwarancją i nie jest on pracownikiem podmiotu objętego usługą.

Jakie informacje są chronione?

Informacje o PHI lub chronionej informacji zdrowotnej odnoszą się do każdej indywidualnej informacji identyfikacyjnej zawartej w dokumentacji medycznej pacjenta, która jest przesyłana lub utrzymywana w dowolnej formie.

Zastosowania i ujawnienia

Podmiot objęty umową może wykorzystywać lub ujawniać chronione informacje zdrowotne (PHI) bez upoważnienia pod pewnymi warunkami.

1. Do Indywidualnych
2. Leczenie, płatności i opieka zdrowotna
3. Zastosowania i ujawnienia ze sposobnością do wyrażenia zgody lub obiektu
4. Przypadkowe wykorzystanie i ujawnienie.
5. Działania w zakresie publicznego zainteresowania i korzyści
6. Ograniczony zestaw danych dla celów badań, zdrowia publicznego lub opieki zdrowotnej

Wskazówki dotyczące zachowania prywatności

Pracownicy służby zdrowia mają obowiązek dostarczać swoim pacjentom Zawiadomienia o praktykach w zakresie ochrony prywatności. Niniejsze zawiadomienie, zgodnie z wymogami reguły prywatności HIPAA, daje pacjentom prawo do uzyskania informacji na temat ich praw do prywatności w odniesieniu do chronionych informacji zdrowotnych (PHI).

Ogłoszenie powinno opisywać pewne informacje w łatwy do zrozumienia sposób:

• W jaki sposób dostawca będzie używał i ujawniał swoje PHI
• Prawa pacjentów dotyczące ich PHI
• Oświadczenie informujące pacjenta o przepisach wymagających od usługodawcy zachowania prywatności swoich PHI
• Z kim pacjenci mogą się kontaktować w celu uzyskania dalszych informacji na temat polityki prywatności usługodawcy

Egzekwowanie i kary za nieprzestrzeganie przepisów

Kary pieniężne w obrocie cywilnym

• 100 USD za nieprzestrzeganie
• 25 000 USD rocznie za wielokrotne naruszenia tego samego wymogu

Sankcje karne (za świadome uzyskiwanie lub ujawnianie PHI z naruszeniem HIPAA)

• 50 000 USD grzywny i do 1 roku pozbawienia wolności
• 100 000 USD grzywny i do 5 lat pozbawienia wolności (jeśli naruszenie wiąże się z fałszywymi pretekstami)
• 250 000 USD grzywny i do 10 lat pozbawienia wolności ( jeśli naruszenie wiąże się z zamiarem sprzedaży, przekazania lub użycia PHI)

2 Zasady bezpieczeństwa HIPAA

Standardy bezpieczeństwa w zakresie ochrony elektronicznych informacji medycznych chronionych (zasada bezpieczeństwa)

Ochrona HIPAA odnosi się do ustanowienia zabezpieczeń dla PHI w dowolnym formacie elektronicznym. Obejmuje to wszelkie informacje wykorzystywane, przechowywane lub przesyłane elektronicznie. Każdy obiekt zdefiniowany przez HIPAA jako podmiot objęty ochroną jest odpowiedzialny za zapewnienie prywatności i bezpieczeństwa informacji o nim pacjenta, a także zachowanie poufności ich PHI.

Kto jest objęty zasadą bezpieczeństwa?

• Plany zdrowia
• Dostawcy usług zdrowotnych
• Placówki ochrony zdrowia

Podmiotem ubezpieczeniowym, zgodnie z definicją w HIPAA, może być plan ubezpieczeń zdrowotnych, zakład opieki zdrowotnej lub podmiot świadczący opiekę zdrowotną, który przekazuje chronione informacje zdrowotne drogą elektroniczną i może być organizacją, instytucją lub osobą .

• Business Associates

Partner biznesowy, zgodnie z definicją HIPAA, oznacza dowolną osobę lub podmiot prowadzący działalność polegającą na wykorzystaniu lub ujawnieniu chronionych informacji zdrowotnych w imieniu podmiotu objętego gwarancją i nie jest on pracownikiem podmiotu objętego usługą.

Jakie informacje są chronione?

Elektroniczne informacje o PHI lub chronione informacje zdrowotne odnoszą się do wszelkich informacji identyfikujących indywidualnie zawartych w dokumentacji medycznej pacjenta, które są przesyłane lub utrzymywane w dowolnej formie. Zasada bezpieczeństwa wyklucza podawanie PHI doustnie lub na piśmie.

Uproszczenie administracyjne

Przepisy HIPAA dotyczące uproszczenia administracyjnego ustanawiają krajowe normy bezpieczeństwa elektronicznych informacji dotyczących zdrowia. Obejmuje to zasady i standardy dotyczące transakcji i zestawów kodów oraz identyfikatorów dla pracodawców i dostawców.

Transakcje i standardy ustalania kodeksów

Transakcje standardowe dotyczące elektronicznej wymiany danych (EDI) danych opieki zdrowotnej obejmują informacje o roszczeniach i spotkaniach, porady dotyczące płatności i przekazów pieniężnych, status roszczeń, uprawnienia, rejestrację i wyrejestrowanie, polecenia i upoważnienia, koordynację świadczeń i składkę Zapłata.

Standardowe zestawy kodów dla diagnozy, procedury i kodów leków obejmują HCPCS (Usługi dodatkowe / Procedury), CPT-4 (procedury lekarzy), CDT (terminologia stomatologiczna), ICD-9 (diagnoza i szpitalne procedury hospitalizacyjne), ICD-10 (Od 1 października 2015 r.) I kody NDC (krajowe kody leków)

Standardy identyfikacyjne dla pracodawców i dostawców

Identyfikatory standardowe obejmują numer identyfikacyjny pracodawcy (EIN) i identyfikator krajowego dostawcy (NPI). EIN służy do identyfikacji pracodawców przy standardowych transakcjach. Identyfikator dostawcy krajowego lub NPI to 10-cyfrowy, niepowtarzalny numer identyfikacyjny używany do zastępowania identyfikatorów dostawców, takich jak numer identyfikacyjny unikalnego dostawcy (UPIN) w standardowych transakcjach HIPAA. Dostawcy usług zdrowotnych są zobowiązani do regulowania HIPAA w celu uzyskania NPI.

Zasady utrzymania bezpieczeństwa HIPAA obejmują zabezpieczenia dla trzech kluczowych obszarów.

Zabezpieczenia administracyjne

1. Opracowanie formalnego procesu zarządzania bezpieczeństwem, w tym opracowanie polityk i procedur, audyt wewnętrzny, plan awaryjny i inne zabezpieczenia w celu zapewnienia zgodności przez personel medyczny gabinetu.
2. Przypisanie odpowiedzialności za bezpieczeństwo wyznaczonej osobie w celu zarządzania i nadzorowania stosowania środków bezpieczeństwa i postępowania personelu.
3. Zaimplementuj funkcje zapewniające odpowiednie przeszkolenie personelu i odpowiednią autoryzację dostępu do PHI.
4. Określ poziomy dostępu dla wszystkich pracowników i sposób ich przyznawania
5. Wymagaj, aby wszyscy pracownicy gabinetu medycznego, w tym kierownictwo, przechodzili szkolenie z zakresu bezpieczeństwa i mieli okresowe przypomnienia oraz edukację użytkowników.

Zabezpieczenia fizyczne

1. Plik PHI w bezpiecznym miejscu i obszarze roboczym dla pracowników (obejmuje to użycie zamków, kluczy i plakietek, które otwierają drzwi), które ograniczają dostęp do nieuprawnionych osób i intruzów.
2. Opracuj zasady sprawdzania uprawnień dostępu, kontroli sprzętu i obsługi odwiedzających. Opracuj i przekaż dokumentację, w tym instrukcje dotyczące tego, w jaki sposób Twoje biuro medyczne może pomóc w ochronie PHI (na przykład wylogowanie z komputera przed pozostawieniem go bez nadzoru)
3. Zapewnienie ochrony przed pożarem i innymi zagrożeniami

Zabezpieczenia techniczne

1. Ustal unikalną identyfikację użytkownika, w tym hasła i numery PIN
2. Przyjęcie automatycznej kontroli wylogowania
3. Zapisać i zbadać aktywność systemu do celów kontrolnych
4. Wykorzystać kontrolę szyfrowania w celu ochrony przesyłanych danych przez sieć

Egzekwowanie i kary za nieprzestrzeganie przepisów

Kary pieniężne w obrocie cywilnym

• 100 USD za nieprzestrzeganie
• 25 000 USD za rok dla wielu osób naruszenia tego samego wymogu

Kary karne (za świadome uzyskiwanie lub ujawnianie PHI z naruszeniem HIPAA)

• 50 000 USD grzywny i do 1 roku pozbawienia wolności
• 100 000 USD grzywny i do 5 lat pozbawienia wolności (jeśli naruszenie wiąże się z fałszywymi pretekstami)
• 250 000 USD grzywny i więcej do 10 lat pozbawienia wolności (jeżeli naruszenie faktury zamierza sprzedawać, przenosić lub używać PHI)

3 Wskazówki, których należy unikać Naruszenie HIPAA

1. Podejmij niezbędne kroki, aby nie ujawniać informacji poprzez rutynową rozmowę. Unikaj ujawniania informacji poprzez rutynową rozmowę; omawianie informacji o pacjencie w poczekalniach, korytarzach lub windach; właściwe usuwanie PHI; dostęp do informacji jest ściśle ograniczony do pracowników, których praca wymaga tych informacji. Podstawowe informacje mogą wydawać się tak nieistotne, że można je łatwo wymienić w rutynowych rozmowach, ale powinny być udostępniane tylko w oparciu o potrzebę wiedzy.
2. Unikaj omawiania informacji o pacjencie w poczekalniach, korytarzach lub windach. Wrażliwe informacje mogą być podsłuchane przez odwiedzających lub innych pacjentów. Upewnij się także, że zapisy pacjentów są niedostępne dla obszarów ogólnodostępnych. Ponieważ stanowiska odpraw i stacje pielęgniarek są otwarte, postaraj się, aby komputery były przez cały czas zabezpieczone. Uchwyty na mapy powinny być montowane, a panel przedni pokryty zgodnie ze standardami HIPAA.
3. PHI nigdy nie powinien być wyrzucany do kosza na śmieci. Każdy dokument wyrzucony do kosza jest otwarty dla publiczności, a zatem stanowi naruszenie informacji. Istnieje wiele sposobów na pozbycie się PHI. Prawidłowe usuwanie papieru PHI obejmuje palenie lub niszczenie. Elektroniczne PHI można usuwać, kasując, usuwając, ponownie formatując, spalając, topiąc lub niszcząc.
4. Dostępnych jest szereg dostępnych technologii zabezpieczających dane pacjentów. Należy wybierać urządzenia i oprogramowanie zabezpieczające dane przez połączenie bezprzewodowe, w tym zapory ogniowe, oprogramowanie antywirusowe, antyspyware i technologię wykrywania włamań. Zachowaj szczególną ostrożność podczas uzyskiwania dostępu do danych przez połączenie zdalne. Specjaliści IT sugerują stosowanie systemu uwierzytelniania dwuskładnikowego z tokenami bezpieczeństwa i hasłami.