Éves HIPAA megfelelőségi képzés

Az egészségbiztosítási hordozhatósági és elszámoltathatóságról szóló törvényt 1996-ban fogadták el. Ezt az Egyesült Államok Kormányának Polgári Jogi Hivatala hajtja végre. Szövetségi iránymutatások halmaza, amely lehetővé teszi a munkavállalók számára, hogy egészségügyi biztosításukat magukkal vegyék, ha elhagyják a munkáltatót, lehetővé teszik az emberek számára az egészségügyi biztosításhoz való hozzáférést a meglévő feltételek (bizonyos feltételek mellett) ellenére, valamint a beteg egészségére vonatkozó adatvédelmi előírások megállapítása érdekében információ.

• A HIPAA adatvédelmi szabálya megvédi az egyénileg azonosítható egészségügyi információk magánéletét.
• A HIPAA biztonsági szabályzat az elektronikus egészségügyi információk biztonságára vonatkozó nemzeti szabványokat határoz meg.

A törvény előírja, hogy az egészségügyi ágazatban dolgozók számára biztosítsák a HIPAA oktatását és képzését, hogy biztosítsák az elszámoltathatóságot a védett egészségügyi információk magánéletének és biztonságának biztosítása érdekében. A fedezett szervezeteknek a munkaerő összes tagját fel kell képezniük a HIPAA politikáira és eljárásaira.

1

HIPAA adatvédelmi szabály

Az egyénileg azonosítható egészségügyi információk adatvédelmi előírásait (az Adatvédelmi szabály) úgy tervezték, hogy kifejezetten az egyén személyes egészségügyi információinak védelmére irányuljon. Fontos, hogy az orvosi rendelő életképessége megőrizze a HIPAA megfelelőségét.

Ki tartozik az Adatvédelmi Szabályzat hatálya alá?

• Egészségügyi tervek
• Egészségügyi szolgáltatók
• Egészségügyi osztályok

A HIPAA-ban meghatározott fedezett entitás lehet egészségbiztosítási terv, egészségügyi klíringház vagy egészségügyi szolgáltató, amely elektronikusan továbbítja a védett egészségügyi információkat, és lehet szervezetek, intézmények vagy személyek.

Az orvosoknak és más egészségügyi szakembereknek, akik a betegekkel dolgoznak, és azok bizalmas orvosi nyilvántartásainak be kell tartaniuk a betegek adatvédelmének és titkosságának védelmére vonatkozó szabályokat, eljárásokat és törvényeket. Minden egészségügyi szolgáltató felelős azért, hogy személyzetüket képzett és tájékoztassák a HIPAA megfelelőségéről. Akár szándékos, akár véletlen, a PHI jogosulatlan közzététele a HIPAA megsértésének minősül.

• Üzlettársak

A HIPAA által meghatározott üzleti társult vállalkozás olyan személy vagy szervezet, amely a védett egészségügyi információk felhasználásával vagy nyilvánosságra hozatalával foglalkozik az érintett jogalany nevében, és nem az érintett vállalkozás alkalmazottja.

Milyen információkat védett?

A PHI vagy a Védett Egészségügyi Információ minden olyan egyedileg azonosító információra vonatkozik, amely a beteg orvosi nyilvántartásában szerepel, amelyet bármilyen formában továbbítanak vagy tartanak fenn.

Felhasználások és közzétételek

A fedezett jogalany védett egészségügyi információkat (PHI) engedélyezés nélkül bizonyos feltételek mellett használhat vagy hozhat nyilvánosságra.

1. Az egyénnek
2. Kezelés, fizetés és egészségügyi műveletek
3. Használat és nyilvánosságra hozatal lehetősége, hogy megegyezzünk vagy objektummal
4. Véletlen használat és közzététel.
5. Közérdek és előnyök
6. Korlátozott adatállomány kutatási, közegészségügyi vagy egészségügyi műveletek céljából

Adatvédelmi irányelvek

Az egészségügyi szolgáltatók kötelesek adni a betegeknek az adatvédelmi gyakorlatról szóló értesítést. Ez a közlemény, amint azt a HIPAA adatvédelmi szabálya előírja, a betegek számára biztosít jogot arra, hogy tájékoztatást kapjanak az adatvédelmi jogaikról, mivel azok a védett egészségügyi információkra vonatkoznak.

A közleménynek bizonyos információkat könnyen érthető módon kell leírnia:

• A szolgáltató hogyan fogja használni és nyilvánosságra hozni a PHI-t
• A betegek jogai a saját PHI-vel kapcsolatban
• Nyilatkozat, amely tájékoztatja a pácienset azokról a törvényekről, amelyek előírják a szolgáltatótól, hogy fenntartsák a PHI magánéletét
• A betegek kapcsolatba léphetnek a szolgáltató adatvédelmi irányelveivel kapcsolatos további információkért

Végrehajtás és szankciók a be nem tartásért

Polgári pénzbüntetések

• 100 $ nem teljesítés esetén
• Egyszerre több, mint 25 000 dollár, ugyanazon követelmény többszörös megsértése esetén

Büntetőjogi szankciók (a HIPAA-val ellentétes PHI-k tudatos megszerzése vagy közzététele)

• 50 000 dollár bírság és legfeljebb egy éves szabadságvesztés
• 100 000 dollár bírság és legfeljebb öt éves szabadságvesztés (ha a jogsértés hamis elítélést foglal magában)
• 250 000 dollár bírság és legfeljebb tíz éves szabadságvesztés (ha a jogsértés a PHI eladására, átadására vagy használatára vonatkozó szándékkal jár)

2

HIPAA biztonsági szabály

Az elektronikusan védett egészségügyi információk védelmére vonatkozó biztonsági előírások (a biztonsági szabályzat)

A HIPAA biztonsága arra utal, hogy a PHI-t bármilyen elektronikus formában biztosítják. Ez magában foglalja az elektronikusan használt, tárolt vagy továbbított információkat is. A HIPAA által lefedett egységként meghatározott bármely létesítmény felelőssége, hogy biztosítsa a páciens információinak magánéletét és biztonságát, valamint fenntartsa a PHI titkosságát.

Ki fedezi a biztonsági szabályt?

• Egészségügyi tervek
• Egészségügyi szolgáltatók
• Egészségügyi osztályok

A HIPAA-ban meghatározott fedezett entitás lehet egészségbiztosítási terv, egészségügyi klíringház vagy egészségügyi szolgáltató, amely elektronikusan továbbítja a védett egészségügyi információkat, és lehet szervezetek, intézmények vagy személyek.

• Üzlettársak

A HIPAA által meghatározott üzleti társult vállalkozás olyan személy vagy szervezet, amely a védett egészségügyi információk felhasználásával vagy nyilvánosságra hozatalával foglalkozik az érintett jogalany nevében, és nem az érintett vállalkozás alkalmazottja.

Milyen információkat védett?

Az elektronikus PHI vagy a védett egészségügyi információ minden olyan egyedi azonosító információra vonatkozik, amely a beteg orvosi nyilvántartásában szerepel, amelyet bármilyen formában továbbítanak vagy tartanak fenn. A biztonsági szabály kizárja a szóban vagy írásban továbbított PHI-t.

Közigazgatási egyszerűsítés

A HIPAA adminisztratív egyszerűsítési rendelkezései az elektronikusan védett egészségügyi információk biztonságára vonatkozó nemzeti szabványokat állapítanak meg. Ez magában foglalja a tranzakciókra vonatkozó szabályokat és szabványokat, valamint a munkaadók és szolgáltatók azonosítóit.

Tranzakciók és kódkészlet szabványok

Az egészségügyi adatok elektronikus adatcseréjének (EDI) szabványos tranzakciói tartalmazzák a követelések és az információk, a fizetési és átutalási tanácsadást, a követelések státuszát, a jogosultságot, a beiratkozást és a lemondást, az áttételeket és engedélyeket, az ellátások összehangolását és a díjfizetést.

A diagnózis, az eljárás és a gyógyszerkódok szabványos kódkészletei közé tartozik a HCPCS (kiegészítő szolgáltatások / eljárások), CPT-4 (orvosok eljárása), CDT (fogászati ​​terminológia), ICD-9 (diagnózis és kórházi fekvőbeteg eljárások), ICD-10 (2015. október 1-től) és az NDC (National Drug Codes) kódok.

Azonosító szabványok a munkáltatók és a szolgáltatók számára

A standard azonosítók közé tartozik a munkáltató azonosító száma (EIN) és a nemzeti szolgáltató azonosító (NPI). Az EIN a munkáltatók azonosítására szolgál a szokásos tranzakciókon. A Nemzeti Szolgáltatóazonosító vagy az NPI egy 10 számjegyű, egyedi azonosító szám, amelyet a szolgáltató azonosítóinak, például az egyedi szolgáltató azonosító számának (UPIN) helyére kell bevinni a HIPAA szabványos tranzakcióiban. Az egészségügyi szolgáltatókat a HIPAA szabályozása előírja, hogy NPI-t kapjanak.

A HIPAA biztonságának fenntartására vonatkozó szabályok három kulcsfontosságú területre vonatkozó biztosítékokat tartalmaznak.

Adminisztratív védintézkedések

1. Formális biztonsági menedzsment folyamat kialakítása, beleértve a szakpolitikák és eljárások kidolgozását, a belső ellenőrzéseket, a készenléti tervet és egyéb biztosítékokat, amelyek biztosítják az orvosi rendelők munkatársainak való megfelelést.
2. Adja meg a biztonsági felelősséget a kijelölt személynek a biztonsági intézkedések és a személyzet magatartásának kezelésére és felügyeletére.
3. Végezzen olyan funkciókat, amelyek biztosítják, hogy a személyzet megfelelő képzést és megfelelő engedélyt kapjon a PHI eléréséhez.
4. Határozza meg a hozzáférési szinteket az összes személyzet számára, és azt, hogy hogyan kapják meg
5. Szükség van arra, hogy minden orvosi rendelő személyzete, beleértve a menedzsmentet is, biztonsági képzést végezzen, és rendszeres emlékeztetőket és felhasználói oktatást végezzen.

Fizikai védelem

1. A PHI-t biztonságos helyen és munkaterületen töltse be a munkavállalók számára (ez magában foglalja az ajtókat feloldó zárak, kulcsok és jelvények használatát), amelyek korlátozzák a jogosulatlan személyek és behatolók hozzáférését.
2. A hozzáférési jogosultságok, a berendezések ellenőrzése és a látogatók kezelése ellenőrzési irányelveinek kidolgozása. Készítsen és nyújtson be dokumentációt, beleértve az orvosi rendelő segítségét a PHI védelme érdekében (például a számítógép elhagyása, mielőtt felügyelet nélkül hagyja)
3. Biztosítson védelmet a tűz és egyéb veszélyek ellen

Technikai védelem

1. Egyedi felhasználói azonosító létrehozása, beleértve a jelszavakat és a PIN-kódokat
2. Adja meg az automatikus kijelentkezést
3. Jegyezze fel és vizsgálja meg a rendszer tevékenységét ellenőrzési célokra
4. Használja a titkosítási vezérléseket a hálózaton keresztül továbbított adatok védelmére

Végrehajtás és szankciók a be nem tartásért

Polgári pénzbüntetések

• 100 $ nem teljesítés esetén
• Egyszerre több, mint 25 000 dollár, ugyanazon követelmény többszörös megsértése esetén

Büntetőjogi szankciók (a HIPAA-val ellentétes PHI-k tudatos megszerzése vagy közzététele)

• 50 000 dollár bírság és legfeljebb egy éves szabadságvesztés
• 100 000 dollár bírság és legfeljebb öt éves szabadságvesztés (ha a jogsértés hamis elítélést foglal magában)
• 250 000 dollár bírság és legfeljebb tíz éves szabadságvesztés (ha a jogsértés a PHI eladására, átadására vagy használatára vonatkozó szándékkal jár)

3

Tippek a HIPAA megsértésének elkerülésére

1. Tegye meg a szükséges lépéseket, hogy a rutinszerű beszélgetés során ne tegye közzé az információkat. Kerülje az információ nyilvánosságra hozatalát rutinszerű beszélgetés útján; a várakozási területeken, folyosókon vagy felvonókban a beteginformációk megvitatása; a PHI megfelelő ártalmatlanítása; és az információkhoz való hozzáférés szigorúan azokra a munkavállalókra korlátozódik, akiknek munkájukhoz ez az információ szükséges. Az alapvető információk annyira jelentéktelennek tűnhetnek, hogy könnyen említhetők a rutinbeszélgetésekben, de csak a tudásalapú alapon kell megosztani.
2. Kerülje a beteginformációk megvitatását várakozási helyeken, folyosókon vagy felvonóknál. A látogatók vagy más betegek érzékeny információkat hallhatnak. Győződjön meg róla, hogy a betegek nyilvántartást vezetnek a nyilvánosság számára hozzáférhető területekről.Mivel a check-in íróasztalok és az ápoló állomások ki vannak nyitva, menjen az extra mérföldre, hogy biztosítsa a számítógépek biztonságát. A diagramtartókat fel kell szerelni, és az elülső panelt a HIPAA szabványoknak megfelelően kell lefedni.
3. A PHI-t soha nem szabad a szemetesbe dobni. A szemétbe dobott bármely dokumentum a nyilvánosság számára nyitva áll, és ezért az információ megsértése. Számos módja van a PHI elhelyezésének. A papír PHI megfelelő ártalmatlanítása égő vagy aprító. Az elektronikus PHI-t el lehet távolítani a törléssel, törléssel, formázással, elégetéssel, olvasztással vagy aprítással.
4. Számos rendelkezésre álló technológia van kialakítva a betegadatok biztosítására. Szelektíven válasszon olyan eszközöket és szoftvereket, amelyek biztonságos adatokat biztosítanak vezeték nélküli kapcsolaton keresztül, beleértve a tűzfalak, víruskereső, kémprogram-elhárító és behatolásérzékelő technológiákat. Rendkívül óvatos, ha távoli kapcsolaton keresztül érünk el adatokat. Az informatikai szakemberek egy kétfaktoros hitelesítési rendszer használatát javasolják biztonsági tokenekkel és jelszavakkal.