Godišnje osposobljavanje za usklađenost s HIPAA

Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja donesen je 1996. godine, a provodi ga Ured državnih prava Vlade SAD-a. To je skup saveznih smjernica stvorenih kako bi se omogućilo zaposlenicima da s njima preuzmu zdravstveno osiguranje ako napuste poslodavca, omogućuju ljudima pristup zdravstvenom osiguranju unatoč postojećim uvjetima (pod nekim uvjetima), te uspostavljanje standarda privatnosti za zdravlje pacijenta informacija.

• Pravilo o privatnosti HIPAA štiti privatnost pojedinačnih zdravstvenih informacija.
• Pravilo o sigurnosti HIPAA postavlja nacionalne standarde za sigurnost elektroničkih informacija o zdravlju.

Zakonom je propisano da HIPAA obrazovanje i osposobljavanje pružaju pojedincima koji rade u zdravstvenoj industriji kako bi osigurali odgovornost za privatnost i sigurnost zaštićenih zdravstvenih informacija. Obuhvaćeni subjekti moraju obučiti sve članove radne snage na politiku i postupke HIPAA-e.

1 -

Pravilo o privatnosti HIPAA

Standardi za privatnost pojedinačno identificirajućih zdravstvenih informacija (Pravilo o privatnosti) osmišljeno su da se specifično bave zaštitom osobnih podataka o zdravlju pojedinca. Važno je da vitalnost vašeg medicinskog ureda održi usklađenost s HIPAA.

Tko je pokriven pravilima o privatnosti?

• Zdravstveni planovi
• Pružatelji zdravstvene zaštite
• Zdravstvena skrbnička mjesta

Pokriveni entitet, kako je definiran u HIPAA, može biti plan zdravstvenog osiguranja, klirinška zdravstvena ustanova ili zdravstveni djelatnik koji elektronskim putem šalje zaštićene zdravstvene informacije i mogu biti organizacije, ustanove ili osobe.

Liječnici i drugi stručnjaci zdravstvene skrbi koji rade s pacijentima i njihove povjerljive zdravstvene evidencije moraju se pridržavati pravila, postupaka i zakona osmišljenih za zaštitu privatnosti i povjerljivosti pacijenata. Svi pružatelji zdravstvene skrbi imaju odgovornost zadržati svoje osoblje obučeno i informirano o usklađenosti s HIPAA . Bilo da se namjerno ili slučajno, neovlašteno otkrivanje PHI smatra kršenjem HIPAA.

• Poslovni suradnici

Poslovni suradnik, kako ga definira HIPAA, je svaka osoba ili subjekt koji obavlja poslove koji uključuju upotrebu ili otkrivanje zaštićenih zdravstvenih informacija u ime pokrivene osobe i nije zaposlenik pokrivenog subjekta.

Koje su informacije zaštićene?

PHI ili Zaštićeni podaci o zdravlju odnose se na sve pojedinačne podatke koji su uključeni u medicinski zapis pacijenta koji se šalje ili održava u bilo kojem obliku.

Upotrebe i otkrivanja podataka

Povezana osoba može koristiti ili otkriti zaštićene zdravstvene informacije (PHI) bez odobrenja pod određenim uvjetima.

1. Pojedincu
2. Liječenje, plaćanje i zdravstvene operacije
3. Upotrebe i otkrivanja podataka s mogućnošću dogovora ili objekta
4. Incidentalna uporaba i otkrivanje podataka.
5. Aktivnosti javnog interesa i koristi
6. Ograničeni skup podataka u svrhu istraživanja, javnog zdravstva ili zdravstvene zaštite

Obavijest o praksi privatnosti

Davatelji usluga zdravstvene skrbi imaju obvezu pružiti svojim pacijentima Obavijest o praksi privatnosti. Ova obavijest, kako to zahtijeva Pravilo o privatnosti HIPAA-e, daje pacijentima pravo da budu informirani o njihovim pravima na privatnost u vezi s njihovim zaštićenim zdravstvenim informacijama (PHI).

Obavijest treba opisati određene informacije u lako razumljivim uvjetima:

• Kako će pružatelj usluga koristiti i otkriti svoj PHI
• Prava pacijenata imaju u vezi s vlastitim PHI
• Izjava kojom se pacijentu informira o zakonima koji zahtijevaju pružatelja da zadrži privatnost svog PHI-a
• Tko se bolesnik može obratiti za daljnje informacije vezane uz pravila o privatnosti davatelja

Provedba i kazne za nepridržavanje

Kazne za građanske novce

• 100 USD po nepoštivanju
• Maksimalno 25.000 USD godišnje zbog višestrukih kršenja istog zahtjeva

Kaznene kazne (za svjesno dobivanje ili otkrivanje PHI kršenja HIPAA)

• 50.000 $ kazne i do jedne godine zatvora
• 100.000 $ kazne i do pet godina zatvora (ukoliko kršenje uključuje lažne pretenzije)
• 250.000 $ kazne i do deset godina zatvora (ako kršenje uključuje namjeru prodati, prenijeti ili koristiti PHI)

2 -

HIPAA sigurnosno pravilo

Sigurnosni standardi za zaštitu elektroničkih informacija o zaštiti zdravlja (Pravilo o sigurnosti)

Sigurnost HIPAA odnosi se na uspostavljanje zaštitnih mjera za PHI u bilo kojem elektroničkom obliku. To uključuje sve informacije koje se koriste, pohranjuju ili prenose elektroničkim putem. Svaki objekt koji definira HIPAA kao pokriveni entitet ima odgovornost osigurati privatnost i sigurnost podataka pacijenta, kao i održavanje povjerljivosti njihovog PHI.

Tko je pokriven sigurnosnim pravilom?

• Zdravstveni planovi
• Pružatelji zdravstvene zaštite
• Zdravstvena skrbnička mjesta

Pokriveni entitet, kako je definiran u HIPAA, može biti plan zdravstvenog osiguranja, klirinška zdravstvena ustanova ili zdravstveni djelatnik koji elektronskim putem šalje zaštićene zdravstvene informacije i mogu biti organizacije, ustanove ili osobe.

• Poslovni suradnici

Poslovni suradnik, kako ga definira HIPAA, je svaka osoba ili subjekt koji obavlja poslove koji uključuju upotrebu ili otkrivanje zaštićenih zdravstvenih informacija u ime pokrivene osobe i nije zaposlenik pokrivenog subjekta.

Koje su informacije zaštićene?

Elektronički PHI ili Zaštićeni podaci o zdravlju odnose se na sve pojedinačne podatke koji su uključeni u zdravstvenu evidenciju pacijenta koja se prenosi ili održava u bilo kojem obliku. Sigurnosno pravilo isključuje PHI koji se prenosi usmeno ili pismeno.

Administrativna pojednostavljenja

Odredbe o pojednostavljenju administrativnog postupka HIPAA-a utvrđuju nacionalne standarde za sigurnost elektroničkih informacija o zdravlju zaštićenima. To uključuje pravila i standarde za transakcije i skupove kodova i identifikatore za poslodavce i pružatelje usluga.

Transakcije i standardi kodova

Standardne transakcije za elektroničku razmjenu podataka (EDI) podataka o zdravstvenoj zaštiti uključuju podatke o potraživanjima i susretima, savjete o plaćanju i doznakama, status potraživanja, prihvatljivost, upis i odjavljivanje, preporuke i ovlasti, koordinaciju naknada i plaćanje premije.

Standardni skupovi kodova za dijagnozu, postupak i šifre lijekova uključuju HCPCS (pomoćne usluge / postupke), CPT-4 (liječničke procedure), CDT (Dental Terminology), ICD-9 (dijagnostika i bolnički bolnički postupci), ICD-10 Od 1. listopada 2015.) i kodovi NDC (National Drug Codes).

Identifikacijski standardi za poslodavce i davatelje usluga

Standardni identifikatori uključuju identifikacijski broj poslodavca (EIN) i nacionalni identifikacijski pružatelj usluga (NPI). EIN se koristi za identifikaciju poslodavaca na standardnim transakcijama. Nacionalni identifikacijski pružatelj usluga ili NPI su 10-znamenkasti, jedinstveni identifikacijski broj koji koristi mjesto za identifikaciju pružatelja usluga kao što je jedinstveni identifikacijski broj davatelja (UPIN) u standardnim transakcijama HIPAA. Davatelji zdravstvene skrbi zahtijevaju propisom HIPAA kako bi dobili NPI.

Pravila za održavanje HIPAA sigurnosti uključuju zaštitne mjere za tri ključna područja.

Administrativne zaštitne mjere

1. Razviti formalni proces upravljanja sigurnošću, uključujući razvoj politika i procedura, unutarnje revizije, plan za nepredviđene okolnosti i ostale zaštitne mjere kako bi se osigurala usklađenost osoblja medicinskog osoblja.
2. Dodijeliti odgovornost sigurnosti određenoj osobi za upravljanje i nadzor nad korištenjem sigurnosnih mjera i ponašanja osoblja.
3. Implementirati značajke koje osiguravaju da osoblje ima odgovarajuću obuku i odgovarajuće ovlaštenje za pristup PHI.
4. Odredite razinu pristupa za sve zaposlenike i kako je odobreno
5. Zahtijevajte da svi medicinski uredski djelatnici, uključujući i menadžment, prolaze kroz sigurnosnu obuku i imaju periodične podsjetnike i edukaciju korisnika.

Fizičke zaštitne mjere

1. Datoteka PHI na siguran položaj i radni prostor za zaposlenike (to uključuje upotrebu brava, ključeva i bedževa koji otključavaju vrata) koja ograničavaju pristup neovlaštenim osobama i uljezima.
2. Razviti pravila za provjeru autorizacije pristupa, kontrole opreme i rukovanja posjetiteljima. Izradite i dajte dokumentaciju, uključujući upute o tome kako vaš liječnički ured može pomoći u zaštiti PHI-a (na primjer, odjavljivanje računala prije nego što ga ostavite bez nadzora)
3. Osigurajte zaštitu od požara i drugih opasnosti

Tehničke mjere zaštite

1. Uspostavite jedinstvenu identifikaciju korisnika, uključujući lozinke i brojeve pinova
2. Usvojite automatsku kontrolu odgode
3. Snimanje i ispitivanje aktivnosti sustava u svrhu revizije
4. Koristiti kontrole enkripcije kako bi zaštitili prenesene podatke preko mreže

Provedba i kazne za nepridržavanje

Kazne za građanske novce

• 100 USD po nepoštivanju
• Maksimalno 25.000 USD godišnje zbog višestrukih kršenja istog zahtjeva

Kaznene kazne (za svjesno dobivanje ili otkrivanje PHI kršenja HIPAA)

• 50.000 $ kazne i do jedne godine zatvora
• 100.000 $ kazne i do pet godina zatvora (ukoliko kršenje uključuje lažne pretenzije)
• 250.000 $ kazne i do deset godina zatvora (ako kršenje uključuje namjeru prodati, prenijeti ili koristiti PHI)

3 -

Savjeti za izbjegavanje kršenja HIPAA

1. Poduzmite potrebne korake kako ne biste otkrili informacije putem rutinskih razgovora. Izbjegavajte otkrivanje informacija kroz rutinski razgovor; raspravljajući informacije o bolesniku u čekaonicama, hodnicima ili dizalom; pravilno odlaganje PHI; i pristup informacijama biti strogo ograničen na zaposlenike čiji poslovi zahtijevaju takve informacije. Osnovne informacije mogu se činiti tako beznačajnom da se lako mogu spominjati u rutinskom razgovoru, ali bi se trebale dijeliti samo o potrebi poznavanja baze.
2. Izbjegavajte raspravu o informacijama pacijenata u prostorijama za čekanje, hodnicima ili dizalom. Osjetljive informacije mogu se čuti posjetitelji ili drugi pacijenti. Obavezno vodite evidenciju pacijenata iz područja koja su dostupna javnosti. Budući da se stanice za prijavu i medicinske sestre nalaze na otvorenom, idite dodatnu milju kako biste osigurali da su računala u svakom trenutku osigurana. Držači kartica trebaju biti montirani i prednja ploča pokrivena prema HIPAA standardima.
3. PHI nikada ne smije biti zbrinuta u kantu za smeće. Bilo kakav dokument bačen u smeće otvoren je javnosti i stoga je kršenje informacija. Postoji mnogo načina raspolaganja PHI-om. Pravilno odlaganje papira PHI uključuje spaljivanje ili uništavanje. Elektronički PHI se može ukloniti brisanjem, brisanjem, reformatiranjem, spaljivanjem, taljenjem ili usitnjavanjem.
4. Postoji niz dostupnih tehnologija osmišljenih za osiguranje podataka o pacijentu. Budite selektivni pri odabiru uređaja i softvera koji osiguravaju podatke putem bežične veze, uključujući vatrozid, antivirusni, anti-spyware i tehnologiju otkrivanja upada. Upotrijebite krajnje oprez pri pristupu podacima putem daljinske veze. IT stručnjaci predlažu da koristite sustav za provjeru autentičnosti s dva faktora s oznakama sigurnosti i lozinkama.