הדרכה HIPAA השנתית

חוק ביטוח בריאות ואחריות נחקק בשנת 1996. הוא נאכף על ידי משרד זכויות האזרח של ממשלת ארצות הברית. זוהי קבוצה של הנחיות פדרליות שנוצרו כדי לאפשר לעובדים לקחת את הביטוח הרפואי שלהם אם הם לעזוב את המעסיק, לאפשר לאנשים גישה ביטוח רפואי למרות התנאים הקיימים מראש (בתנאים מסוימים), וכן לקבוע תקני הפרטיות לבריאות המטופל מֵידָע.

• חוק הפרטיות של HIPAA מגן על הפרטיות של מידע בריאותי הניתן לזיהוי באופן אינדיווידואלי.
• חוק האבטחה HIPAA קובע תקנים לאומיים לאבטחת מידע בריאותי אלקטרוני.

זה נדרש על פי חוק לספק חינוך HIPAA והכשרה ליחידים העובדים בתחום הבריאות כדי להבטיח אחריות על הפרטיות והאבטחה של מידע בריאותי מוגן. ישויות מכוסות חייב להכשיר את כל חברי כוח העבודה על מדיניות ונהלי HIPAA.

1 -

כלל פרטיות HIPAA

תקני הפרטיות של מידע בריאותי הניתן לזיהוי אינדיבידואלית (כלל הפרטיות) נועדו לטפל במפורש בהגנה על מידע אישי של הפרט. חשוב החיוניות של המשרד הרפואי שלך כדי לשמור על תאימות HIPAA.

מי מכוסה על ידי כלל הפרטיות?

• תוכניות בריאות
• ספקי שירותי בריאות
• בריאות ניקוי מסלקות

ישות מכוסה, כהגדרתה ב - HIPAA, יכולה להיות תכנית לביטוח בריאות, מסלקת בריאות או ספק שירותי בריאות המעביר מידע בריאותי מוגן באופן אלקטרוני ויכול להיות ארגונים, מוסדות או אנשים.

רופאים ואנשי מקצוע אחרים בתחום הבריאות העובדים עם המטופלים והרשומות הרפואיות הסודיות שלהם חייבים לציית למדיניות, לנהלים ולחוקים שמטרתם להגן על פרטיות החולה ועל סודיות. כל ספקי שירותי הבריאות יש אחריות לשמור על הצוות שלהם מאומן והודיע ​​לגבי תאימות HIPAA . אם חשיפה מכוונת או מקרית, בלתי מורשית של PHI נחשבת להפרה של HIPAA.

• שותפים עסקיים

שותף עסקי, כהגדרתו על ידי HIPAA, הוא כל אדם או ישות המנהלים עסקים הקשורים לשימוש או גילוי של מידע בריאותי מוגן מטעם גוף מכוסה ואינו עובד של הגוף המכוסה.

איזה מידע מוגן?

PHI או מידע בריאותי מוגן מתייחס לכל מידע מזהה אינדיבידואלי הכלול ברשומות רפואיות של המטופל המועבר או מתוחזק בכל צורה שהיא.

שימושים וגילוי

גוף מכוסה רשאי להשתמש או לגלות מידע בריאותי מוגן (PHI) ללא אישור בתנאים מסוימים.

1. ליחיד
2. טיפול, תשלום, ופעולות בריאות
3. שימושים וגילוי עם הזדמנות להסכים או אובייקט
4. שימוש מקרי וגילוי.
5. פעילות הציבור והיתרונות
6. מערך נתונים מוגבל למטרות מחקר, בריאות הציבור או שירותי בריאות

הודעה על נוהלי פרטיות

ספקי שירותי בריאות מחויבים לספק למטופלים שלהם הודעה על נוהלי פרטיות. הודעה זו, כנדרש על פי חוק הפרטיות של HIPAA, מעניקה לחולים את הזכות לקבל מידע על זכויות הפרטיות שלהם ככל שהיא מתייחסת למידע הבריאותי המוגן שלהם (PHI).

ההודעה צריכה לתאר מידע מסוים במונחים קלים להבנה:

• כיצד ספק ישתמש ו לחשוף PHI שלהם
• לחולים לזכויות יש קשר עם PHI שלהם
• הצהרה המודיעה למטופל על החוקים המחייבים את הספק לשמור על הפרטיות של ה- PHI שלהם
• מי המטופלים יכולים ליצור קשר לקבלת מידע נוסף אודות מדיניות הפרטיות של הספק

אכיפה ועונשים על אי ציות

עונשי כסף אזרחיים

• 100 $ לכל כישלון לציית
• $ 25,000 מקסימום בשנה עבור הפרות מרובות של אותה דרישה

קנסות פליליים (לשם השגת ידע או חשיפה של PHI תוך הפרה של HIPAA)

• 50,000 $ קנס עד מאסר שנה
• 100,000 $ קנס עד חמש שנות מאסר (אם הפרה כרוכה בטענות שווא)
• קנס של 250,000 $ ועד עשר שנות מאסר (אם הפרה כרוכה בכוונה למכור, להעביר או להשתמש ב- PHI)

2 -

חוק אבטחה HIPAA

תקני הבטיחות להגנה על מידע בריאותי מוגן אלקטרונית (כלל הביטחון)

אבטחה HIPAA מתייחס להקמת אמצעי הגנה ל- PHI בכל פורמט אלקטרוני. זה כולל כל מידע המשמש, מאוחסן או מועבר אלקטרונית. כל מתקן המוגדר על ידי HIPAA כישות מכוסה אחראי על הבטחת הפרטיות והאבטחה של מידע המטופל שלו, כמו גם שמירה על סודיות ה- PHI שלהם.

מי מכוסה על ידי שלטון הביטחון?

• תוכניות בריאות
• ספקי שירותי בריאות
• בריאות ניקוי מסלקות

ישות מכוסה, כהגדרתה ב - HIPAA, יכולה להיות תכנית לביטוח בריאות, מסלקת בריאות או ספק שירותי בריאות המעביר מידע בריאותי מוגן באופן אלקטרוני ויכול להיות ארגונים, מוסדות או אנשים.

• שותפים עסקיים

שותף עסקי, כהגדרתו על ידי HIPAA, הוא כל אדם או ישות המנהלים עסקים הקשורים לשימוש או גילוי של מידע בריאותי מוגן מטעם גוף מכוסה ואינו עובד של הגוף המכוסה.

איזה מידע מוגן?

מידע PHI אלקטרוני או מידע בריאותי מוגן מתייחס לכל מידע מזהה אינדיבידואלי הכלול ברשומות רפואיות של המטופל המועבר או מתוחזק בכל צורה שהיא. כלל האבטחה אינו כולל את ה- PHI המועבר בעל פה או בכתב.

פישוט מנהלי

הוראות פישוט מינהלי של HIPAA קובע תקנים לאומיים לביטחון מידע בריאותי מוגן אלקטרונית. זה כולל את הכללים ואת הסטנדרטים עבור עסקאות ומזהה קוד ומזהים עבור מעסיקים וספקים.

עסקאות וקודים הגדרת סטנדרטים

עסקאות סטנדרטיות עבור חילופי המידע האלקטרוניים (EDI) של נתוני הטיפול הרפואי כוללים תביעות ומידע על מפגש, ייעוץ בנושא תשלום והעברה, מצב תביעות, זכאות, רישום והפרשה, הפניות ואישורים, תיאום הטבות ותשלום פרמיה.

CPD -4 (טיפולי רופאים), CDT (טרמינולוגיה), ICD-9 (אבחון וטיפול באשפוז בבית החולים), ICD-10 ( ICD-10 ) החל מ -1 באוקטובר 2015) ו- NDC (קודי סמים לאומיים).

תקנים מזהים למעסיקים ולספקים

מזהים סטנדרטיים כוללים את מספר זיהוי המעסיק (EIN) ואת מזהה הספק הארצי (NPI). ה- EIN משמש לזיהוי מעסיקים בעסקאות סטנדרטיות. זיהוי הספק הארצי או NPI הוא מספר זיהוי ייחודי בן 10 ספרות ששימש כמקומות זיהוי של ספק, כגון מספר זיהוי ייחודי (UPIN) בעסקאות סטנדרטיות של HIPAA. ספקי שירותי בריאות נדרשים על ידי תקנה של HIPAA כדי להשיג NPI.

הכללים לשמירה על אבטחה HIPAA כוללים אמצעי הגנה לשלושה תחומים מרכזיים.

אמצעי הגנה מינהליים

1. לפתח תהליך ניהול אבטחה פורמלי כולל פיתוח של מדיניות ונהלים, ביקורות פנימיות, תוכנית מגירה ושאר אמצעי הגנה על מנת להבטיח עמידה על ידי צוות המשרד הרפואי.
2. להקצות את האחריות לביטחון לאדם מיועד לנהל ולפקח על השימוש באמצעי אבטחה והתנהגות העובדים.
3. ליישם תכונות אשר להבטיח את הצוות יש הכשרה מתאימה אישור מתאים לגשת PHI.
4. הגדר רמות גישה לכל הצוות וכיצד הוא מוענק
5. דרוש כי כל צוות המשרד הרפואי כולל ניהול לעבור הכשרה אבטחה יש תזכורות תקופתיות וחינוך המשתמש.

אמצעי הגנה פיזית

1. קובץ PHI במיקום מאובטח וסביבת עבודה לעובדים (כולל שימוש במנעולים, מפתחות ותגים אשר פותחים דלתות) המגבילים את הגישה לאנשים ולא פולשים בלתי מורשים.
2. פיתוח מדיניות לאימות אישורי גישה, בקרת ציוד וטיפול במבקרים. לפתח ולספק תיעוד כולל הוראות כיצד המשרד הרפואי שלך יכול לעזור להגן על PHI (לדוגמה, רישום את המחשב לפני שהוא עוזב ללא השגחה)
3. לספק הגנה מפני אש וסיכונים אחרים

אמצעי הגנה טכניים

1. צור זיהוי משתמש ייחודי כולל סיסמאות ומספרי PIN
2. אמץ בקרת תיוג אוטומטי
3. הקלט ובדק את פעילות המערכת למטרות ביקורת
4. השתמש בבקרות הצפנה כדי להגן על נתונים המועברים ברשת

אכיפה ועונשים על אי ציות

עונשי כסף אזרחיים

• 100 $ לכל כישלון לציית
• $ 25,000 מקסימום בשנה עבור הפרות מרובות של אותה דרישה

קנסות פליליים (לשם השגת ידע או חשיפה של PHI תוך הפרה של HIPAA)

• 50,000 $ מאסר עד שנה מאסר
• 100,000 $ קנס עד חמש שנות מאסר (אם הפרה כרוכה בטענות שווא)
• קנס של 250,000 $ ועד עשר שנות מאסר (אם הפרה כרוכה בכוונה למכור, להעביר או להשתמש ב- PHI)

3 -

טיפים כדי למנוע הפרה HIPAA

1. קח את הצעדים הדרושים כדי למנוע מידע באמצעות שיחה שגרתית. הימנע מחשיפת מידע באמצעות שיחה שגרתית; דיון במידע על החולה באזורי המתנה, במסדרונות או במעליות; סילוק נאות של PHI; וגישה למידע מוגבלת אך ורק לעובדים שתפקידם דורש מידע זה. מידע בסיסי יכול להיראות כל כך חסר חשיבות, כי הוא יכול בקלות להיות מוזכר בשיחה שגרתית אבל צריך רק להיות משותף על הצורך לדעת בסיס.
2. הימנע מלדון במידע על החולה באזורי המתנה, במסדרונות או במעליות. מידע רגיש יכול להישמע על ידי מבקרים או מטופלים אחרים. כמו כן, הקפד לשמור רשומות החולה מתוך אזורים נגישים לציבור. מאחר ששולחנות הצ'ק-אין ותחנות האחיות נמצאים בחוץ, פתחו את הקילומטר כדי לוודא שהמחשבים מאובטחים בכל עת. מחזיקי תרשים צריך להיות מותקן ואת הלוח הקדמי מכוסה על פי תקני HIPAA.
3. PHI אף פעם לא צריך להיפטר בפח האשפה. כל מסמך שהושלך בפח פתוח לציבור, ולכן הפרת מידע. ישנן דרכים רבות להיפטר PHI. סילוק נאות של נייר PHI כולל צריבה או רטוש. ניתן לסלק את PHI האלקטרוני באמצעות מחיקה, מחיקה, עיצוב מחדש, שריפה, התכה או רטוש.
4. קיימות מספר טכנולוגיות זמינות המיועדות לאבטחת נתוני המטופלים. להיות סלקטיבי בבחירת התקנים ותוכנה מאובטחת נתונים על חיבור אלחוטי כולל חומות אש, אנטי וירוס, אנטי ריגול וטכנולוגיה איתור פריצה. השתמש בזהירות רבה בעת גישה לנתונים דרך חיבור מרוחק. מומחי IT ממליצים להשתמש במערכת אימות דו-גורמית עם אסימוני אבטחה וסיסמאות.