Anuală de formare în domeniul conformității cu HIPAA

Legea privind portabilitatea și responsabilitatea în materie de asigurări de sănătate a fost adoptată în 1996. Aceasta se aplică de către Biroul pentru Drepturile Civile al Guvernului Statelor Unite. Este un set de linii directoare federale create pentru a le permite angajaților să-și asume asigurarea medicală în cazul în care părăsesc un angajator, să permită accesul persoanelor la asigurarea medicală în ciuda condițiilor preexistente (în anumite condiții) și să stabilească standarde de confidențialitate pentru sănătatea unui pacient informație.

• Regulamentul de confidențialitate HIPAA protejează confidențialitatea informațiilor de sănătate identificate individual.
• Norma de securitate HIPAA stabilește standarde naționale pentru securitatea informațiilor electronice privind sănătatea.

Este impus prin lege să furnizeze educație și formare HIPAA persoanelor care lucrează în industria de asistență medicală pentru a asigura responsabilitatea pentru confidențialitatea și securitatea informațiilor protejate în materie de sănătate. Entitățile acoperite trebuie să instruiască toți membrii forței de muncă cu privire la politicile și procedurile HIPAA.

1 -

Regulă de confidențialitate HIPAA

Standardele privind confidențialitatea informațiilor privind sănătatea identificabile individual (regula privind confidențialitatea) au fost concepute pentru a aborda în mod specific protecția informațiilor personale referitoare la sănătatea individului. Este important pentru vitalitatea cabinetului dvs. medical să mențină respectarea HIPAA.

Cine este acoperit de regula de confidențialitate?

• Planuri de sănătate
• Furnizori de servicii medicale
• Centrele de îngrijire a sănătății

O entitate acoperită, așa cum este definită în HIPAA, poate fi un plan de asigurare de sănătate, un centru de sănătate sau un furnizor de asistență medicală care transmite informațiile de sănătate protejate electronic și pot fi organizații, instituții sau persoane.

Medicii și alți profesioniști din domeniul sănătății care lucrează cu pacienții și înregistrările medicale confidențiale trebuie să respecte politicile, procedurile și legile menite să protejeze intimitatea și confidențialitatea pacienților. Toți furnizorii de asistență medicală au responsabilitatea de a-și păstra personalul instruiți și informați cu privire la respectarea normelor HIPAA . Dacă divulgarea intenționată sau accidentală, neautorizată a PHI este considerată o încălcare a HIPAA.

• Asociati de afaceri

Un asociat de afaceri, astfel cum este definit de HIPAA, este orice persoană sau entitate care desfășoară activități care implică utilizarea sau divulgarea informațiilor protejate în materie de sănătate în numele unei entități reglementate și nu este un angajat al entității acoperite.

Ce informații sunt protejate?

PHI sau informații privind sănătatea protejată se referă la orice informații de identificare individuală incluse în dosarul medical al unui pacient care este transmis sau menținut sub orice formă.

Utilizări și dezvăluiri

O entitate acoperită poate utiliza sau dezvălui informații de sănătate protejate (PHI) fără autorizație în anumite condiții.

1. Pentru individ
2. Tratament, plată și operații de asistență medicală
3. Utilizări și dezvăluiri cu posibilitatea de a accepta sau obiect
4. Utilizarea și dezvăluirea accidentală.
5. Activitățile publice și beneficiile publice
6. Set limitat de date în scopuri de cercetare, de sănătate publică sau de asistență medicală

Declarație privind practicile de confidențialitate

Furnizorii de servicii medicale au obligația de a oferi pacienților lor o notificare privind practicile de confidențialitate. Această notificare, conform cerințelor HIPAA Privacy Privacy, le oferă pacienților dreptul de a fi informați cu privire la drepturile lor de confidențialitate, deoarece se referă la informațiile despre sănătate protejate (PHI).

Anunțul trebuie să descrie anumite informații în termeni ușor de înțeles:

• Modul în care furnizorul va folosi și va dezvălui PHI-ul lor
• Pacienții cu drepturi au în privința propriului PHI
• O declarație care informează pacientul cu privire la legi care impun furnizorului să păstreze confidențialitatea PHI
• Cui pacienții pot contacta pentru informații suplimentare privind politicile de confidențialitate ale furnizorului

Executarea și sancțiunile pentru nerespectarea

Pedeapsa cu bani mobili

• 100 $ pentru fiecare nerespectare
• Maxim 25.000 USD pe an pentru mai multe încălcări ale aceleiași cerințe

Sancțiuni penale (pentru obținerea sau dezvăluirea cu bună știință a PHI care încalcă HIPAA)

• 50.000 dolari amendă și până la un an de închisoare
• 100.000 dolari amendă și până la cinci ani de închisoare (dacă încălcarea implică pretenții false)
• 250.000 USD amendă și până la zece ani de închisoare (dacă încălcarea implică intenția de a vinde, transfera sau utiliza PHI)

2 -

Regulă de securitate HIPAA

Standardele de securitate pentru protecția informațiilor electronice protejate (regula de securitate)

Securitatea HIPAA se referă la stabilirea garanțiilor pentru PHI în orice format electronic. Aceasta include orice informație utilizată, stocată sau transmisă electronic. Orice facilitate definită de HIPAA ca entitate acoperită are responsabilitatea de a asigura confidențialitatea și securitatea informațiilor pacientului, precum și de a păstra confidențialitatea PHI.

Cine este acoperit de regula de securitate?

• Planuri de sănătate
• Furnizori de servicii medicale
• Centrele de îngrijire a sănătății

O entitate acoperită, așa cum este definită în HIPAA, poate fi un plan de asigurare de sănătate, un centru de sănătate sau un furnizor de asistență medicală care transmite informațiile de sănătate protejate electronic și pot fi organizații, instituții sau persoane.

• Asociati de afaceri

Un asociat de afaceri, astfel cum este definit de HIPAA, este orice persoană sau entitate care desfășoară activități care implică utilizarea sau divulgarea informațiilor protejate în materie de sănătate în numele unei entități reglementate și nu este un angajat al entității acoperite.

Ce informații sunt protejate?

Informațiile electronice PHI sau protejate în domeniul sănătății se referă la orice informații de identificare individuală incluse în dosarul medical al unui pacient care este transmis sau întreținut sub orice formă. Norma de securitate exclude PHI transmis oral sau în scris.

Simplificarea administrativă

Dispozițiile administrative de simplificare ale HIPAA stabilesc standarde naționale pentru securitatea informațiilor electronice protejate în domeniul sănătății. Acestea includ regulile și standardele pentru tranzacții și seturi de coduri și identificatori pentru angajatori și furnizori.

Tranzacții și standarde de set de cod

Tranzacțiile standard pentru schimbul de date electronice (EDI) privind datele de îngrijire a sănătății includ cererile și informațiile despre întâlniri, consilierea de plată și remitere, statutul de daune, eligibilitatea, înscrierea și disenrolul, trimiterile și autorizațiile, coordonarea prestațiilor și plata primelor.

Seturile de coduri standard pentru codurile de diagnostic, procedură și medicamente includ HCPCS (proceduri / proceduri auxiliare), CPT-4 (proceduri medicale), CDT (Terminologie dentară), ICD-9 (Diagnostic și spitalizare) Începând cu data de 1 octombrie 2015) și codurile NDC (Codul Național privind Drogurile).

Standarde de identificare pentru angajatori și furnizori

Identificatorii standard includ numerele de identificare a angajatorului (EIN) și identificatorul furnizorului național (NPI). EIN este folosit pentru a identifica angajatorii cu privire la tranzacțiile standard. Identificarea furnizorului național sau NPI este un număr de identificare unic de 10 cifre folosit pentru a înlocui identificatorii furnizorilor, cum ar fi un număr de identificare a furnizorului unic (UPIN) în tranzacțiile standard HIPAA. Furnizorii de servicii medicale sunt obligați prin reglementarea HIPAA pentru obținerea unui NPI.

Regulile pentru menținerea securității HIPAA includ garanții pentru trei domenii cheie.

Garanții administrative

1. Dezvoltarea unui proces oficial de gestionare a securității, inclusiv elaborarea de politici și proceduri, audituri interne, plan de urgență și alte măsuri de protecție pentru a asigura respectarea de către personalul medical.
2. Atribuiți responsabilitatea securității unei persoane desemnate pentru a gestiona și supraveghea utilizarea măsurilor de securitate și a conduitei personalului.
3. Implementați caracteristici care să asigure personalului instruirea adecvată și autorizația corespunzătoare pentru a accesa PHI.
4. Definiți nivelurile de acces pentru întregul personal și modul în care acesta este acordat
5. Solicitați ca toți membrii personalului medical, inclusiv conducerea, să beneficieze de formare în domeniul securității și să aibă memento-uri periodice și educație pentru utilizatori.

Dispoziții fizice de salvgardare

1. Fișierul PHI într-o locație sigură și spațiu de lucru pentru angajați (aceasta include utilizarea de încuietori, chei și insigne care deblochează ușile) care restricționează accesul persoanelor neautorizate și intrușilor.
2. Elaborați politici pentru verificarea autorizațiilor de acces, controlul echipamentelor și manipularea vizitatorilor. Elaborați și furnizați documentație, inclusiv instrucțiuni privind modul în care cabinetul medical vă poate ajuta să protejeze PHI (de exemplu, vă deconectați de la computer înainte de al părăsi fără supraveghere)
3. Asigurați protecție împotriva incendiilor și a altor pericole

Garanții tehnice

1. Stabiliți identificarea unică a utilizatorilor, inclusiv parolele și numerele PIN
2. Adoptați un control automat al dezactivării
3. Înregistrați și examinați activitatea sistemului în scopuri de audit
4. Utilizați controale de criptare pentru a proteja datele transmise printr-o rețea

Executarea și sancțiunile pentru nerespectarea

Pedeapsa cu bani mobili

• 100 $ pentru fiecare nerespectare
• Maxim 25.000 USD pe an pentru mai multe încălcări ale aceleiași cerințe

Sancțiuni penale (pentru obținerea sau dezvăluirea cu bună știință a PHI care încalcă HIPAA)

• 50.000 dolari amendă și până la un an de închisoare
• 100.000 dolari amendă și până la cinci ani de închisoare (dacă încălcarea implică pretenții false)
• 250.000 USD amendă și până la zece ani de închisoare (dacă încălcarea implică intenția de a vinde, transfera sau utiliza PHI)

3 -

Sfaturi pentru a evita violarea HIPAA

1. Luați pașii necesari pentru a păstra dezvăluirea informațiilor prin conversații de rutină. Evitați divulgarea informațiilor prin conversații de rutină; discutarea informațiilor despre pacient în zonele de așteptare, holuri sau lifturi; eliminarea corespunzătoare a PHI; iar accesul la informații se limitează strict la angajații a căror loc de muncă necesită această informație. Informațiile de bază pot părea atât de nesemnificative încât pot fi ușor menționate în conversația de rutină, dar ar trebui să fie împărtășite doar pe baza necesității de a cunoaște.
2. Evitați discutarea informațiilor despre pacient în zonele de așteptare, holuri sau lifturi. Informațiile sensibile pot fi auzite de vizitatori sau de alți pacienți. De asemenea, asigurați-vă că păstrați dosarele pacientului din zone accesibile publicului. Deoarece birourile de check-in și posturile de asistente medicale sunt în aer liber, mergeți la o distanță suplimentară pentru a vă asigura că calculatoarele sunt securizate în orice moment. Suporturile pentru carduri trebuie montate, iar panoul frontal acoperit conform standardelor HIPAA.
3. PHI nu trebuie niciodată să fie aruncat în coșul de gunoi. Orice document aruncat în coșul de gunoi este deschis publicului și, prin urmare, o încălcare a informațiilor. Există multe modalități de a dispune de PHI. Dezafectarea corectă a hârtiei PHI include arderea sau mărunțirea. Electronic PHI pot fi eliminate prin ștergere, ștergere, reformatare, incinerare, topire sau mărunțire.
4. Există o serie de tehnologii disponibile pentru a asigura datele pacientului. Fiți selectiv în alegerea dispozitivelor și a software-ului care securizează datele printr-o conexiune fără fir, incluzând firewall-uri, tehnologii anti-virus, anti-spyware și detectarea intruziunilor. Acordați o atenție deosebită accesării datelor printr-o conexiune la distanță. Specialiștii IT sugerează utilizarea unui sistem de autentificare cu două factori, cu jetoane de securitate și parole.