ما هو HIPAA؟ إليك كيفية التأكد من امتثالك لقانون HIPAA

لا ينبغي لأحد المساومة على الصحة والسلامة ، وهذا ما يضمنه قانون HIPAA.

تم سن قانون نقل التأمين الصحي والمساءلة (HIPAA) في عام 1996 لتزويد المرضى بوصول أفضل إلى معلوماتهم الصحية وتنظيم حمايتها. على مر السنين ، تطورت HIPAA لإنشاء متطلبات الإخطار بخرق البيانات وتحديد الكيانات التي تنطبق عليها.

إذا كنت تعمل في مجال الرعاية الصحية ، فغالبًا ما يتحدث الناس عن HIPAA ، ولكن ما هو وكيف يمكنك تلبية متطلباتها؟

ما هو قانون نقل التأمين الصحي والمساءلة؟

يصف قانون التأمين الصحي لقابلية النقل والمساءلة (HIPAA) الاستخدام السليم والإفصاح عن المعلومات الصحية المحمية (PHI) ، وكيفية تأمينها ، وما يجب القيام به في حالة حدوث خرق. تنظم وزارة الصحة والخدمات الإنسانية (HHS) قانون HIPAA ، بينما يفرض مكتب الحقوق المدنية (OCR) الامتثال.

عندما يتم تقديم شكوى بعدم الامتثال ضد منظمة رعاية صحية ، يقوم مكتب الحقوق المدنية (OCR) بالتحقيق في المنظمة لتحديد ما إذا كانت الادعاءات صحيحة. إذا تبين أن المنظمة قد انتهكت قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) ، فقد يتم فرض غرامات وإجراءات تصحيحية.

القواعد الثلاثة لقانون نقل التأمين الصحي والمساءلة

تتكون لائحة HIPAA من ثلاث قواعد رئيسية. توفر قواعد الخصوصية والأمان وإشعار الخرق لقانون HIPAA إرشادات لمنظمات الرعاية الصحية لمشاركة المعلومات وحماية معلومات المريض الحساسة والرد على الخرق والإبلاغ عنه.

قاعدة خصوصية HIPAA

تركز قاعدة خصوصية HIPAA بشكل أساسي على استخدام المعلومات الصحية المحمية والكشف عنها. لا يُسمح باستخدام المعلومات الصحية المحمية والكشف عنها إلا لأسباب محددة ، مثل العلاج والدفع والرعاية الصحية. أي استخدام أو إفشاء آخر يتطلب موافقة خطية مسبقة من المريض.

يتطلب الحد الأدنى من معايير HIPAA أيضًا تقييد الوصول إلى PHI. يجب منح حق الوصول إلى المعلومات الصحية المحمية فقط للموظفين الذين يحتاجون إليها لوظائفهم. يجب أن يقتصر هذا الوصول أيضًا على المعلومات اللازمة لأداء وظائف وظيفتهم.

على سبيل المثال ، قد يحتاج المساعد الإداري إلى الوصول إلى بعض معلومات المريض لتحديد موعد. من المحتمل أن يحتاج هذا الموظف إلى معرفة اسم المريض ، والاتصال به ، ومعلومات التأمين ، وفي بعض الحالات ، المعلومات الإجرائية الأساسية لتحديد مدة الموعد. لن يحتاجوا إلى الوصول إلى ملف المريض الكامل.

يجب أن يحدد إشعار ممارسات الخصوصية (NPP) الخاص بك بوضوح كيفية استخدام مؤسستك لمعلومات المريض والكشف عنها. كما يجب أن يناقش حقوق المرضى فيما يتعلق بمعلوماتهم. يجب تزويد المرضى بـ NPP للمراجعة عند تناوله.

يتم أيضًا تناول حقوق المرضى (HIPAA حق الوصول) بالتفصيل في قاعدة الخصوصية. يتطلب معيار HIPAA Right of Access من مقدمي الرعاية الصحية تزويد المرضى بإمكانية الوصول إلى سجلاتهم الطبية عند الطلب. يجب توفير السجلات المطلوبة للمريض في غضون 30 يومًا من الطلب. يحق للمرضى أيضًا استلام سجلاتهم بالصيغة التي طلبوها عند الاقتضاء.

HIPAA Security Rule

تتطلب قاعدة أمان HIPAA الحفاظ على سرية المعلومات الصحية المحمية وسلامتها وتوافرها. يعني هذا بشكل أساسي أنه يجب على مؤسسات الرعاية الصحية حماية خصوصية المعلومات الصحية المحمية ومنع تغييرها أو تدميرها دون إذن. تساعد وسائل حماية HIPAA في تحقيق أمان البيانات الأمثل.

ما هي ضمانات HIPAA؟

إن ضمانات HIPAA هي إجراءات إدارية وفنية ومادية تم اتخاذها لمنع الوصول غير المصرح به إلى المعلومات الصحية المحمية أو استخدامها أو الكشف عنها.

الضمانات الإدارية هي سياسات وإجراءات تزود الموظفين بإرشادات للاستخدام والكشف عن المعلومات الصحية المحمية بشكل صحيح. كما أنها تحدد متطلبات تدريب HIPAA وتقييم المخاطر الأمنية للموظفين.

الضمانات التقنية هي إجراءات لحماية المعلومات الصحية الإلكترونية (ePHI). تشمل الأمثلة الشائعة للضمانات التقنية التشفير ومصادقة المستخدم وضوابط الوصول وضوابط التدقيق.

• التشفير: يقوم بترميز البيانات بحيث لا تتمكن الكيانات غير المصرح لها من قراءة المعلومات.
• مصادقة المستخدم: تزود كل مستخدم بمعرف مستخدم فريد للوصول إلى شبكة مؤسستك.
• ضوابط التدقيق: تسمح للمسؤولين بمراقبة النشاط المشبوه بسهولة على الشبكة ، مثل وصول مستخدم إلى شبكة من موقع مريب أو محاولات تسجيل دخول فاشلة متعددة من قبل مستخدم فردي.
• ضوابط الوصول: تسمح للمسؤولين بتعيين مستويات وصول مختلفة إلى معلومات المريض بناءً على الدور الوظيفي للموظف.

الضمانات المادية ، مثل الأقفال وأنظمة الإنذار ، تحمي الموقع المادي للمؤسسة.

قاعدة الإخطار بخرق HIPAA

تتطلب قاعدة الإخطار بخرق قانون نقل التأمين الصحي والمسؤولية (HIPAA) من الشركات المغطاة وشركاء الأعمال الإبلاغ عن انتهاكات المعلومات الصحية المحمية.

ليست كل الحوادث خروقات. تشمل الأمثلة الشائعة للانتهاكات حوادث القرصنة ، والوصول غير المصرح به إلى المعلومات الصحية المحمية ، والكشف عن المعلومات الصحية المحمية لطرف غير مصرح له ، وسرقة أو فقدان السجلات الورقية ، وسرقة أو فقدان الأجهزة الإلكترونية المحمولة غير المشفرة.

على سبيل المثال ، لا تعد سرقة أو فقد جهاز كمبيوتر محمول مشفر خرقًا لأنه لا يمكن الوصول إلى المعلومات. إذا لم تكن المعلومات الموجودة على الكمبيوتر المحمول آمنة وأصبحت في متناول الأشخاص غير المصرح لهم ، فسيكون ذلك خرقًا.

يجب الإبلاغ عن انتهاكات بيانات المريض. يجب على المنظمة المخالفة إخطار المرضى المتضررين كتابيًا في غضون 60 يومًا من اكتشاف الحادث. يجب على المنظمات أيضًا الإبلاغ عن الانتهاك إلى وزارة الصحة والخدمات البشرية (HHS).

إذا أثرت الحادثة على أقل من 500 مريض ، فسيكون أمام المنظمات ما يصل إلى ستين يومًا بعد نهاية السنة التقويمية لإبلاغ HHS بها. إذا أثرت الحادثة على 500 مريض أو أكثر ، فيجب على المنظمات إبلاغ HHS بعد 30 يومًا من اكتشافها. يجب أيضًا الإبلاغ عن الانتهاكات التي تؤثر على 500 مريض أو أكثر إلى وسائل الإعلام.

ما المعلومات التي تحميها HIPAA؟

تحمي HIPAA معلومات المريض ، والمعروفة باسم المعلومات الصحية المحمية (PHI). يتم تعريف المعلومات الصحية المحمية على أنها أي معلومات صحية يمكن التعرف عليها بشكل فردي مرتبطة بتوفير الرعاية الصحية في الماضي أو الحاضر أو ​​المستقبل.

المعلومات الصحية المحمية إلكترونيًا (ePHI) هي معلومات صحية محمية في تنسيق إلكتروني ، مثل جهاز كمبيوتر محمول أو في نظام أساسي للسجلات الصحية الإلكترونية. يجب أيضًا حماية ePHI بموجب HIPAA.

18 معرفات HIPAA

تصنف وزارة الصحة والخدمات البشرية (HHS) المعلومات الصحية المحمية إلى 18 معرّفًا فريدًا. يعتبر كل من المعرفات الثمانية عشر بمثابة معلومات صحية محمية إذا كان مرتبطًا بتقديم خدمات الرعاية الصحية.

المصدر: كومبليانس جروب

فيما يلي 18 معرّفات HIPAA:

1. أسماء المرضى
2. العناصر الجغرافية ، مثل عنوان الشارع أو المدينة أو المقاطعة أو الرمز البريدي
3. التواريخ المتعلقة بصحة أو هوية الأفراد ، بما في ذلك تواريخ الميلاد ، وتاريخ القبول ، وتاريخ الخروج ، وتاريخ الوفاة ، أو العمر الدقيق لمريض أكبر من 89
4. أرقام الهاتف
5. أرقام الفاكس
6. عناوين البريد الإلكتروني
7. أرقام الضمان الاجتماعي
8. أرقام السجلات الطبية
9. أرقام المستفيدين من التأمين الصحي
10. أرقام الحساب
11. شهادة أو أرقام الترخيص
12. معرفات السيارة
13. سمات الجهاز أو الأرقام التسلسلية
14. المعرّفات الرقمية ، مثل عناوين URL الخاصة بالمواقع الإلكترونية
15. عناوين الانترنت بروتوكول
16. عناصر القياسات الحيوية ، بما في ذلك بصمات الأصابع والشبكية والصوت
17. صور فوتوغرافية كاملة الوجه
18. أرقام تعريف أو رموز أخرى

من الذي يجب أن يكون متوافقًا مع HIPAA؟

من المفاهيم الخاطئة الشائعة أن قانون نقل التأمين الصحي والمسؤولية (HIPAA) ينطبق عند الوصول إلى المعلومات الصحية أو الكشف عنها. بينما يقيد قانون نقل التأمين الصحي والمسؤولية (HIPAA) استخدام والكشف عن المعلومات الصحية المحمية (PHI) ، ينطبق قانون HIPAA فقط على المنظمات المشاركة في عمليات العلاج أو الدفع أو الرعاية الصحية. تسمى هذه المنظمات "الكيانات المشمولة" و "شركاء الأعمال".

يجب أن تكون المنظمات التي لديها إمكانية الوصول إلى المعلومات الصحية المحمية (PHI) أو ePHI متوافقة مع HIPAA.

الكيانات المغطاة

تشمل الكيانات المشمولة مقدمي الرعاية الصحية وشركات التأمين وغرف المقاصة. الأطباء وأطباء الأسنان وأخصائيي الصحة العقلية ومعاوني تقويم العمود الفقري ومقدمي التأمين الصحي جميعهم كيانات مشمولة.

شركاء الأعمال

شركاء الأعمال هم البائعون الذين تم التعاقد معهم من قبل كيان مغطى والذي قد يكون لديه حق الوصول إلى المعلومات الصحية المحمية. تعتبر الأنظمة الأساسية للسجلات الصحية الإلكترونية (EHR) وموفري خدمة البريد الإلكتروني وجدولة المواعيد عبر الإنترنت وموفري الخدمات المدارة أمثلة شائعة لشركاء الأعمال.

كيف تكون متوافقًا مع HIPAA

يتضمن الامتثال HIPAA عدة خطوات. إنه بالأحرى تمريرة أو فشل. أنت ممتثل أم لا. تحتاج إلى تلبية متطلبات كل خطوة لتكون متوافقًا مع HIPAA وإكمال بعض هذه المتطلبات سنويًا.

المصدر: كومبليانس جروب

إجراء تقييمات المخاطر الأمنية وتحديد الثغرات ودمج خطط العلاج

تقييمات المخاطر الأمنية (SRAs) ضرورية لتلبية متطلبات HIPAA الخاصة بك. لكي تكون متوافقًا مع HIPAA ، يجب عليك إكمال تقييم مخاطر الأمان HIPAA سنويًا. هذا لأن SRAs تقيس الحماية الحالية الخاصة بك ضد معايير HIPAA. تحدث فجوة عندما لا يكون عملك الحالي كافيًا لتلبية معايير HIPAA.

"الثغرات" هي أوجه قصور يمكن أن تؤدي إلى خروقات وانتهاكات HIPAA. هذا هو المكان الذي تدخل فيه خطط العلاج. تخلق خطط العلاج خطوات قابلة للتنفيذ لسد فجوات الامتثال. لكي تكون خطط العلاج فعالة ، يجب أن تكون محددة ، بما في ذلك ما سيتم القيام به لسد الفجوة ، ومن المسؤول عن العلاج ، والجدول الزمني للمعالجة.

تنفيذ السياسات والإجراءات

يجب تصميم السياسات والإجراءات مع مراعاة قواعد HIPAA الثلاثة. يجب أن تتكيف السياسات والإجراءات مع نوع وحجم المنظمة وأن تتم مراجعتها وتحديثها سنويًا لتكون فعالة.

مخطط السياسات والإجراءات:

• الاستخدامات والإفصاحات المناسبة للمعلومات الصحية المحمية من قبل مؤسستك وموظفيك
• كيف تؤمن مؤسستك المعلومات الصحية المحمية
• ما يجب القيام به في حالة حدوث خرق أو خرق مشتبه به

في الماضي ، استخدمت المنظمات كتيبات HIPAA لسياساتها وإجراءاتها. ومع ذلك ، نظرًا لأن أدلة HIPAA خارج الصندوق ، فإنها تفشل في معالجة الفروق الدقيقة في كيفية عمل مؤسستك.

قد لا تكون السياسات والإجراءات المناسبة لممارسة طبية صغيرة فعالة بالنسبة لمجموعة كبيرة من المستشفيات ، تمامًا كما قد لا تكون السياسات والإجراءات المكتوبة لكيان مشمول قابلة للتطبيق على زميل في العمل.

إجراء تدريب HIPAA للموظفين

يحتاج الموظفون الذين لديهم إمكانية الوصول إلى PHI أو ePHI إلى التدريب سنويًا. يجب أن يشمل التدريب أفضل ممارسات HIPAA ، ونظرة عامة على سياسات وإجراءات مؤسستك ، وأفضل ممارسات الأمن السيبراني.

تنصح HIPAA بضرورة تدريب الموظفين عند تعيينهم ، لذا فإن عقد دورة تدريبية مرة واحدة في العام ليس كافيًا. يعد برنامج تدريب الموظفين المرن HIPAA ضروريًا لتلبية احتياجات التدريب.

يعد استخدام أداة التدريب عبر الإنترنت هو أفضل طريقة لتحقيق ذلك. من خلال برنامج التدريب عبر الإنترنت ، يمكن تعيين تدريب للموظفين عند الحاجة ، وإكمال تدريبهم وفقًا لسرعتهم الخاصة ، ويمكن للمسؤولين تتبع تقدم الموظف.

توقيع اتفاقيات شركاء الأعمال

اتفاقيات شركاء الأعمال HIPAA (HIPAA BAAs) هي عقود قانونية يجب توقيعها بين كيان مشمول وشريكه التجاري (أو بين شريكين تجاريين). يجب توقيع اتفاقيات HIPAA BAAs قبل تبادل PHI أو ePHI. ليس كل بائع مستعدًا أو قادرًا على العمل كشريك أعمال ؛ إذا لم يوقع الموفر اتفاقية شراكة أعمال ، فلا يمكنه الوفاء بأي واجبات مرتبطة بالعمل.

لنفترض أنك تبحث عن برنامج جدولة مواعيد عبر الإنترنت يسمح للمرضى بحجز مواعيدهم الخاصة. تجد بائعًا يلبي احتياجاتك الإدارية ، لكنه لا يريد توقيع اتفاقية الشراكة. لا يمكنك التعاقد مع هذا المزود لجدولة المريض حتى يوقع اتفاقية شراكة الأعمال.

إدارة الحوادث والاستجابة لها

جزء من الامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) هو تنفيذ خطة استجابة مجربة للحوادث. يمكنك تحديد الحوادث والاستجابة لها والإبلاغ عنها بسرعة باستخدام خطة الاستجابة للحوادث. المنظمات التي لديها خطة استجابة مختبرة للحوادث تقلل بشكل كبير من الوقت المستغرق للتعافي من حادث ما مع خفض تكاليفها.

مخالفات HIPAA والغرامات

في حين أن العديد من الانتهاكات تؤدي إلى انتهاكات HIPAA ، فإن الخرق نفسه ليس أبدًا سبب تغريم الشركة. تحدث انتهاكات HIPAA عندما تفشل إحدى المؤسسات في الامتثال لمعايير HIPAA. قد يتم فرض غرامات HIPAA بناءً على خطورة الانتهاك.

المصدر: كومبليانس جروب

تشمل الأمثلة الشائعة لانتهاكات HIPAA الفشل في:

• إجراء تقييم دقيق وشامل للمخاطر
• تزويد المرضى بإمكانية الوصول في الوقت المناسب إلى سجلاتهم الطبية
• الرد بشكل صحيح على مراجعات المرضى عبر الإنترنت
• لديك اتفاقية شراكة أعمال موقعة مع شريك تجاري
• تخلص من السجلات الطبية للمريض بشكل صحيح

إذن ، متى يتم تغريم منظمة بسبب انتهاك؟

يتم إصدار غرامات HIPAA بناءً على مستوى الإهمال المتصور.

• المستوى 1 مخصص للمخالفات الأقل خطورة. يتم فرض عقوبات من المستوى 1 عند حدوث انتهاك لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) لأن الكيان المشمول أو الشريك التجاري لم يكن على دراية بالقاعدة التي انتهكها. للتأهل كعقوبة من المستوى 1 ، يجب أن يكون الانتهاك أيضًا انتهاكًا لم يكن من الممكن تجنبه لو استخدمت المنظمة العناية المعقولة للامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA). تتراوح الغرامات في هذا المستوى من 120 دولارًا إلى 60226 دولارًا لكل انتهاك.
• تحدث انتهاكات المستوى 2 عندما يكون الكيان أو الشريك التجاري على علم بالانتهاك المرتكب. للتأهل باعتباره انتهاكًا من المستوى 2 ، يعد الانتهاك أحد الانتهاكات التي كان من الممكن تجنبها حتى مع وجود درجة معقولة من العناية. تتراوح الغرامات في هذه الفئة من $ 12،045 إلى $ 60،226 لكل انتهاك.
• تعتبر انتهاكات المستوى 3 أكثر خطورة من المستوى 1 أو المستوى 2 وتخضع لغرامات أكثر تكلفة. تنبع انتهاكات المستوى 3 من الإهمال المتعمد لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA). لكي يتم اعتبارها منتهكًا من المستوى 3 ، يجب أن تعلم المنظمة أنها انتهكت HIPAA أثناء إجراء العناية الواجبة. يجب تصحيح هذه الانتهاكات في غضون 30 يومًا حتى يتم تصنيفها على أنها انتهاكات من المستوى 3. تتراوح الغرامات في هذا المستوى من 1،205 دولارًا أمريكيًا إلى 12045 دولارًا أمريكيًا لكل انتهاك.
• تتضمن انتهاكات المستوى 4 الإهمال المتعمد لقواعد HIPAA. يفرض التعرف الضوئي على الحروف عقوبات من المستوى 4 عندما لا يحاول الكيان المشمول أو الشريك التجاري معالجة الانتهاك. تتراوح الغرامات في هذا المستوى من 60226 دولارًا أمريكيًا إلى 1806757 دولارًا أمريكيًا لكل انتهاك.

غالبًا ما تخضع المنظمات التي يتبين أنها تنتهك قانون HIPAA لمراقبة التعرف الضوئي على الحروف والإجراءات التصحيحية. يتم تطوير خطط العمل التصحيحية من قبل OCR عند الانتهاء من تحقيقات انتهاك HIPAA عندما تحدد المنظمات أوجه القصور. لقد تم تصميمها لمنع المزيد من الانتهاكات والحوادث من خلال مواءمة برنامج امتثال المؤسسة مع معايير HIPAA.

ابق ملتزمًا ؛ ابق آمنًا

يجب أن يكون قانون نقل التأمين الصحي والمساءلة أولوية قصوى لأي منظمة معنية بالرعاية الصحية (كيان مغطى أو شريك تجاري). ببساطة ، للعمل في مجال الرعاية الصحية ، يجب أن تكون متوافقًا مع HIPAA.

بدون HIPAA ، تكون بيانات المريض عرضة للاستخدام والكشف غير المصرح به. عند حدوث خرق ، لا يفقد المرضى الثقة في قدرة المنظمة على حماية معلوماتهم السرية فحسب ، بل يمكن أن يؤدي أيضًا إلى انتهاكات HIPAA وغرامات باهظة.

من خلال تنفيذ برنامج امتثال فعال لقانون HIPAA يفي بجميع معايير HIPAA ، يمكنك تحسين وضعك الأمني ​​العام وتقليل احتمالية حدوث انتهاكات وانتهاكات.

أصبح المرضى الآن أكثر وعياً بقانون HIPAA وحقوقهم. يمنحهم الامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) راحة البال حيث يمكنهم الوثوق بك بمعلوماتهم الحساسة.

لا تنتهي إدارة الخصوصية بالحصول على نوع واحد من الامتثال. تعرف على كل شيء عن إدارة خصوصية البيانات والحفاظ على أمان مؤسستك.