Každoroční školení o dodržování předpisů HIPAA

Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění byl přijat v roce 1996. Je prosazován Úřadem pro občanská práva vlády Spojených států. Jedná se o soubor federálních pokynů vytvořených tak, aby zaměstnanci mohli s sebou vzít zdravotní pojištění, pokud opustí zaměstnavatele, umožňují lidem přístup k zdravotnímu pojištění i přes předem existující podmínky (za určitých podmínek) a stanovují standardy ochrany soukromí pro zdraví pacienta informace.

• Pravidlo ochrany osobních údajů HIPAA chrání soukromí osobně identifikovatelných zdravotních informací.
• Bezpečnostní pravidla HIPAA stanoví národní normy pro bezpečnost elektronických zdravotních informací.

Z právního hlediska se vyžaduje, aby poskytovaly vzdělání a odbornou přípravu HIPAA jednotlivcům pracujícím ve zdravotnictví, aby byla zajištěna odpovědnost za soukromí a bezpečnost chráněných zdravotních informací. Pokryté subjekty musí vyškoleni všechny členy pracovníků o zásadách a postupech HIPAA.

1 -

Pravidlo ochrany soukromí HIPAA

Standardy ochrany osobních údajů individuálně identifikovatelných zdravotních informací (pravidlo ochrany soukromí) byly navrženy tak, aby se konkrétně zabývaly ochranou osobních zdravotních informací jednotlivce. Pro životnost lékařské ordinace je důležité dodržovat dodržování předpisů HIPAA.

Kdo je chráněn pravidlem ochrany soukromí?

• Zdravotní plány
• Poskytovatelé zdravotní péče
• Zdravotnictví Clearinghouses

Zakrytou jednotkou, jak je definována v HIPAA, může být plán zdravotního pojištění, zdravotní středisko nebo poskytovatel zdravotní péče, který předává chráněné zdravotní informace elektronicky a mohou být organizacemi, institucemi nebo osobami.

Lékaři a další zdravotničtí pracovníci, kteří pracují s pacienty a jejich důvěrné lékařské záznamy, musí dodržovat zásady, postupy a zákony určené k ochraně soukromí a důvěrnosti pacienta. Všichni poskytovatelé zdravotní péče jsou odpovědní za to, aby byli jejich zaměstnanci vyškoleni a informováni o dodržování předpisů HIPAA . Zda úmyslné nebo náhodné, neoprávněné zveřejnění PHI je považováno za porušení HIPAA.

• Obchodní partneři

Obchodním společníkem podle definice HIPAA je každá osoba nebo subjekt, který provádí podnikání zahrnující užívání nebo zpřístupnění chráněných zdravotních informací jménem uzavřeného subjektu a není zaměstnancem dotyčné osoby.

Jaké informace jsou chráněny?

PHI nebo informace o chráněném zdraví odkazují na jednotlivě identifikující informace obsažené v lékařském záznamu pacienta, který je přenášen nebo udržován v jakékoliv formě.

Použití a zveřejňování informací

Zakázaná entita může za určitých podmínek používat nebo zpřístupnit chráněné zdravotní informace (PHI) bez povolení.

1. Individuálnímu
2. Léčba, platby a zdravotní péče
3. Použití a zveřejnění s příležitostí souhlasit nebo objekt
4. Náhodné použití a zveřejnění.
5. Veřejné zájmy a prospěšné aktivity
6. Omezený soubor dat pro účely výzkumu, veřejného zdraví nebo zdravotnických operací

Upozornění o ochraně soukromí

Poskytovatelé zdravotní péče mají povinnost poskytovat pacientům oznámení o ochraně soukromí. Toto oznámení, jak vyžaduje Pravidlo ochrany osobních údajů HIPAA, dává pacientům právo být informováni o svých právech na ochranu osobních údajů, pokud jde o jejich chráněné zdravotní informace (PHI).

Oznámení by mělo popisovat určité informace v lehce srozumitelných podmínkách:

• Jak poskytovatel použije a zveřejní své PHI
• Pacienti mají práva týkající se jejich PHI
• Prohlášení, které informuje pacienta o právních předpisech, které vyžadují, aby poskytovatel udržel soukromí svého PHI
• Který pacient může kontaktovat pro další informace týkající se zásad ochrany osobních údajů poskytovatele

Vynucování a pokuty za nedodržení

Tresty za civilní peníze

• $ 100 za neplnění
• Maximálně 25 000 dolarů za rok za více porušení stejného požadavku

Trestní sankce (pro vědomé získávání nebo zveřejnění PHI v rozporu s HIPAA)

• 50.000 dolarů pokutu a až jeden rok vězení
• 100.000 dolarů pokutu a až pět let vězení (pokud se jedná o porušení falešné záminky)
• 250.000 dolarů pokuta a až deset let vězení (jestliže porušení znamená záměr prodat, převést nebo použít PHI)

2 -

Bezpečnostní pravidlo HIPAA

Bezpečnostní standardy pro ochranu informací elektronického chráněného zdraví (bezpečnostní pravidlo)

Bezpečnost HIPAA se týká zavedení ochranných opatření pro PHI v libovolném elektronickém formátu. To zahrnuje veškeré informace použité, uložené nebo přenášené elektronicky. Jakékoli zařízení, které HIPAA definuje jako subjekt, který je předmětem smlouvy, je odpovědný za zajištění ochrany soukromí a bezpečnosti informací o pacientech a zachování důvěrnosti jejich PHI.

Kdo je chráněn bezpečnostním pravidlem?

• Zdravotní plány
• Poskytovatelé zdravotní péče
• Zdravotnictví Clearinghouses

Zakrytou jednotkou, jak je definována v HIPAA, může být plán zdravotního pojištění, zdravotní středisko nebo poskytovatel zdravotní péče, který předává chráněné zdravotní informace elektronicky a mohou být organizacemi, institucemi nebo osobami.

• Obchodní partneři

Obchodním společníkem podle definice HIPAA je každá osoba nebo subjekt, který provádí podnikání zahrnující užívání nebo zpřístupnění chráněných zdravotních informací jménem uzavřeného subjektu a není zaměstnancem dotyčné osoby.

Jaké informace jsou chráněny?

Elektronické PHI nebo informace o chráněném zdraví odkazují na všechny individuálně identifikující informace obsažené v lékařském záznamu pacienta, který je přenášen nebo udržován v jakékoliv formě. Bezpečnostní pravidlo vylučuje PHI předávané ústně nebo písemně.

Zjednodušení administrativy

Ustanovení o správním zjednodušení HIPAA stanoví vnitrostátní normy pro bezpečnost elektronických chráněných zdravotních informací. To zahrnuje pravidla a standardy pro transakce a sady kódů a identifikátory pro zaměstnavatele a poskytovatele.

Transakce a standardy kódových sad

Standardní transakce pro elektronickou výměnu dat (EDI) dat o zdravotní péči zahrnují informace o pohledávkách a zjištění, platební a remitenční poradenství, stav pohledávek, způsobilost, zápis a vyřazení, postoupení a povolení, koordinace dávek a prémiové platby.

Standardní sady kódů pro diagnostické, procedurální a kódy léků zahrnují HCPCS (pomocné služby / postupy), CPT-4 (lékařské postupy), CDT (dentální terminologie), ICD-9 (diagnostické a nemocniční lůžkové postupy) Od 1. října 2015) a NDC (National Drug Codes) kódy.

Identifikační standardy pro zaměstnavatele a poskytovatele

Standardní identifikátory zahrnují identifikační číslo zaměstnavatele (EIN) a národní identifikační číslo poskytovatele (NPI). EIN se používá k identifikaci zaměstnavatelů na standardních transakcích. Identifikace národního poskytovatele nebo NPI je 10-místné jedinečné identifikační číslo, které slouží k nahrazení identifikátorů poskytovatelů, jako je jednorázové identifikační číslo poskytovatele (UPIN) ve standardních transakcích HIPAA. Poskytovatelé zdravotní péče vyžadují nařízení HIPAA o získání NPI.

Pravidla pro udržování bezpečnosti HIPAA zahrnují bezpečnostní opatření pro tři klíčové oblasti.

Administrativní záruky

1. Vypracujte formální proces řízení bezpečnosti zahrnující vývoj politik a postupů, interní audity, pohotovostní plán a další záruky, které zajistí soulad mezi pracovníky zdravotnických kanceláří.
2. Zařadit odpovědnost za bezpečnost určenou osobě, aby řídila a kontrolovala používání bezpečnostních opatření a chování zaměstnanců.
3. Implementujte funkce, které zajistí, že zaměstnanci budou mít řádné školení a řádné oprávnění k přístupu k PHI.
4. Definujte úrovně přístupu pro všechny zaměstnance a způsob jejich poskytování
5. Požadovat, aby všichni pracovníci zdravotnických kanceláří, včetně vedení, absolvovali bezpečnostní školení a pravidelně upozorňovali a vzdělávali uživatele.

Fyzické zabezpečení

1. Soubor PHI na bezpečném místě a pracovní ploše pro zaměstnance (to zahrnuje použití zámků, klíčů a odznaků, které odemykají dveře), které omezují přístup neoprávněným osobám a útočníkům.
2. Vypracujte zásady pro ověřování oprávnění k přístupu, kontrolu zařízení a správu návštěvníků. Vypracujte a poskytněte dokumentaci včetně pokynů, jak může lékařská kancelář pomoci chránit PHI (například odhlášení z počítače před opuštěním bez dozoru)
3. Zajistěte ochranu proti požáru a dalším nebezpečím

Technické záruky

1. Vytvořte jedinečnou identifikaci uživatele včetně hesel a čísel pinů
2. Přijměte automatické ovládání odhlášení
3. Zaznamenejte a prozkoumejte činnost systému pro účely auditu
4. Použijte ovládací prvky šifrování pro ochranu přenášených dat v síti

Vynucování a pokuty za nedodržení

Tresty za civilní peníze

• $ 100 za neplnění
• Maximálně 25 000 dolarů za rok za více porušení stejného požadavku

Trestní sankce (pro vědomé získávání nebo zveřejnění PHI v rozporu s HIPAA)

• 50.000 dolarů pokutu a až jeden rok vězení
• 100.000 dolarů pokutu a až pět let vězení (pokud se jedná o porušení falešné záminky)
• 250.000 dolarů pokuta a až deset let vězení (jestliže porušení znamená záměr prodat, převést nebo použít PHI)

3 -

Tipy, jak se vyvarovat porušení HIPAA

1. Proveďte nezbytné kroky, abyste nezveřejňovali informace prostřednictvím rutinního konverzace. Vyvarujte se zveřejňování informací prostřednictvím rutinního rozhovoru; diskuse o informacích pacienta v čekárnách, chodbách nebo výtazích; řádná likvidace PHI; a přístup k informacím je přísně omezen na zaměstnance, jejichž pracovní místa vyžadují tyto informace. Základní informace se mohou zdát nevýznamné, že je lze snadno zmínit v rutinním rozhovoru, ale měly by být sdíleny pouze na základě potřeby vědět.
2. Zabraňte diskusi o informacích o pacientech v čekárnách, chodbách nebo výtazích. Citlivé informace mohou návštěvníci nebo jiní pacienti zaslechnout. Ujistěte se, že záznamy pacientů zůstávají mimo oblasti přístupné veřejnosti. Vzhledem k tomu, že odbavení a zdravotní sestry jsou otevřené, jeďte navíc, abyste zajistili, že počítače budou po celou dobu zajištěny. Držáky grafů by měly být namontovány a čelní panel musí být pokryty podle norem HIPAA.
3. PHI by nikdy nemělo být likvidováno do koše. Jakýkoli dokument vyhozený do koše je přístupný veřejnosti, a tedy porušení informací. Existuje mnoho způsobů, jak zlikvidovat PHI. Správná likvidace papíru PHI zahrnuje pálení nebo drcení. Elektronické PHI lze odstranit vymazáním, mazáním, přeformátováním, spalováním, roztavením nebo skartáním.
4. Existuje celá řada dostupných technologií určených k zabezpečení dat pacientů. Buďte selektivní při výběru zařízení a softwaru, které zabezpečují data přes bezdrátové připojení, včetně firewallů, anti-virus, anti-spyware a technologie detekce narušení. Při přístupu k datům přes vzdálené připojení buďte velmi opatrní. Odborníci v oblasti IT doporučují používat dvoufaktorový autentizační systém s bezpečnostními tokeny a hesly.