Apa itu HIPAA? Inilah Cara Memastikan Anda Mematuhi HIPAA

Tidak seorang pun boleh berkompromi dengan kesehatan dan keselamatan, dan inilah yang dijamin oleh HIPAA.

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) diberlakukan pada tahun 1996 untuk memberi pasien akses yang lebih baik ke informasi kesehatan mereka dan untuk mengatur perlindungannya. Selama bertahun-tahun, HIPAA telah berevolusi untuk membuat persyaratan pemberitahuan pelanggaran data dan menentukan entitas yang menerapkannya.

Jika Anda bekerja di bidang kesehatan, orang sering berbicara tentang HIPAA, tetapi apa itu, dan bagaimana Anda dapat memenuhi persyaratannya?

Apa itu Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan?

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) menjelaskan penggunaan dan pengungkapan yang tepat dari informasi kesehatan yang dilindungi (PHI), bagaimana cara mengamankannya, dan apa yang harus dilakukan jika terjadi pelanggaran. Departemen Kesehatan dan Layanan Kemanusiaan (HHS) mengatur HIPAA, sementara Kantor Hak Sipil (OCR) menegakkan kepatuhan.

Ketika keluhan ketidakpatuhan diajukan terhadap organisasi perawatan kesehatan, OCR menyelidiki organisasi tersebut untuk menentukan apakah klaim tersebut benar. Jika organisasi ditemukan melanggar HIPAA, denda dan tindakan korektif dapat dikenakan.

Tiga aturan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan

Regulasi HIPAA terdiri dari tiga aturan utama. Aturan Privasi, Keamanan, dan Pemberitahuan Pelanggaran HIPAA memberikan panduan bagi organisasi layanan kesehatan untuk berbagi informasi, melindungi informasi pasien yang sensitif, serta menanggapi dan melaporkan pelanggaran.

Aturan Privasi HIPAA

Aturan Privasi HIPAA terutama berfokus pada penggunaan dan pengungkapan informasi kesehatan yang dilindungi. Penggunaan dan pengungkapan PHI hanya diperbolehkan untuk alasan tertentu, seperti pengobatan, pembayaran, dan perawatan kesehatan. Penggunaan atau pengungkapan lainnya memerlukan persetujuan tertulis sebelumnya dari pasien.

Standar minimum HIPAA juga mengharuskan akses ke PHI dibatasi. Akses ke PHI hanya boleh diberikan kepada karyawan yang membutuhkannya untuk pekerjaan mereka. Akses ini juga harus dibatasi pada informasi yang diperlukan untuk menjalankan fungsi pekerjaannya.

Misalnya, asisten administrasi mungkin memerlukan akses ke beberapa informasi pasien untuk menjadwalkan janji temu. Karyawan ini mungkin perlu mengetahui nama pasien, kontak, informasi asuransi, dan dalam beberapa kasus, informasi prosedural dasar untuk menentukan durasi janji temu. Mereka tidak memerlukan akses ke file pasien lengkap.

Pemberitahuan Praktik Privasi (NPP) Anda harus menguraikan dengan jelas bagaimana organisasi Anda menggunakan dan mengungkapkan informasi pasien. Ini juga harus membahas hak-hak pasien tentang informasi mereka. Pasien harus diberikan NPP untuk ditinjau setelah asupan.

Hak pasien (hak akses HIPAA) juga dibahas secara rinci dalam Aturan Privasi. Standar Hak Akses HIPAA mewajibkan penyedia layanan kesehatan untuk memberi pasien akses ke catatan medis mereka berdasarkan permintaan. Catatan yang diminta harus tersedia untuk pasien dalam waktu 30 hari sejak permintaan. Pasien juga memiliki hak untuk menerima catatan mereka dalam format yang mereka minta bila berlaku.

Aturan Keamanan HIPAA

Aturan Keamanan HIPAA mensyaratkan agar kerahasiaan, integritas, dan ketersediaan PHI dijaga. Pada dasarnya, ini berarti organisasi layanan kesehatan harus melindungi privasi PHI dan mencegah pengubahan atau penghancurannya tanpa izin. Perlindungan HIPAA membantu mencapai keamanan data yang optimal.

Apa itu pengamanan HIPAA?

Perlindungan HIPAA adalah tindakan administratif, teknis, dan fisik yang diambil untuk mencegah akses, penggunaan, atau pengungkapan PHI yang tidak sah.

Pengamanan administratif adalah kebijakan dan prosedur yang memberikan pedoman kepada karyawan untuk menggunakan dan mengungkapkan PHI dengan benar. Mereka juga menguraikan pelatihan HIPAA dan persyaratan penilaian risiko keamanan untuk karyawan.

Pengamanan teknis adalah tindakan untuk melindungi PHI elektronik (ePHI). Contoh umum pengamanan teknis meliputi enkripsi, autentikasi pengguna, kontrol akses, dan kontrol audit.

• Enkripsi: menyandikan data sehingga entitas yang tidak berwenang tidak dapat membaca informasi.
• Otentikasi pengguna: memberi setiap pengguna ID pengguna unik untuk mengakses jaringan organisasi Anda.
• Kontrol audit: memungkinkan administrator untuk dengan mudah memantau aktivitas yang mencurigakan di jaringan, seperti pengguna yang mengakses jaringan dari lokasi yang mencurigakan atau beberapa upaya login yang gagal oleh pengguna individu.
• Kontrol akses: memungkinkan administrator untuk menetapkan tingkat akses yang berbeda ke informasi pasien berdasarkan peran pekerjaan karyawan.

Perlindungan fisik, seperti kunci dan sistem alarm, melindungi lokasi fisik organisasi.

Aturan Pemberitahuan Pelanggaran HIPAA

Aturan Pemberitahuan Pelanggaran HIPAA mewajibkan perusahaan dan rekan bisnis yang tercakup untuk melaporkan pelanggaran PHI.

Tidak semua insiden adalah pelanggaran. Contoh umum pelanggaran termasuk insiden peretasan, akses tidak sah ke PHI, pengungkapan PHI kepada pihak yang tidak berwenang, pencurian atau kehilangan catatan kertas, dan pencurian atau kehilangan perangkat elektronik portabel yang tidak terenkripsi.

Misalnya, pencurian atau kehilangan laptop terenkripsi bukanlah pelanggaran karena informasinya tidak dapat diakses. Jika informasi di laptop tidak aman dan dapat diakses oleh orang yang tidak berwenang, itu akan menjadi pelanggaran.

Pelanggaran data pasien wajib dilaporkan. Organisasi yang dilanggar harus memberi tahu pasien yang terkena dampak secara tertulis dalam waktu 60 hari sejak ditemukannya insiden tersebut. Organisasi juga harus melaporkan pelanggaran tersebut ke Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Jika insiden mempengaruhi kurang dari 500 pasien, rumah sakit memiliki waktu hingga enam puluh hari setelah akhir tahun kalender untuk melaporkannya ke HHS. Jika insiden mempengaruhi 500 pasien atau lebih, organisasi harus melaporkannya ke HHS 30 hari setelah penemuan. Pelanggaran yang mempengaruhi 500 atau lebih pasien juga harus dilaporkan ke media.

Informasi apa yang dilindungi HIPAA?

HIPAA melindungi informasi pasien, yang dikenal sebagai Protected Health Information (PHI). PHI didefinisikan sebagai setiap informasi kesehatan yang dapat diidentifikasi secara individual yang terkait dengan penyediaan layanan kesehatan di masa lalu, sekarang, atau di masa mendatang.

Informasi kesehatan yang dilindungi secara elektronik (ePHI) adalah PHI yang disimpan dalam format elektronik, seperti di laptop atau di platform catatan kesehatan elektronik. ePHI juga harus dilindungi di bawah HIPAA.

18 pengidentifikasi HIPAA

Departemen Kesehatan dan Layanan Kemanusiaan (HHS) mengklasifikasikan informasi kesehatan yang dilindungi menjadi 18 pengidentifikasi unik. Masing-masing dari 18 pengidentifikasi dianggap sebagai PHI jika dikaitkan dengan penyediaan layanan perawatan kesehatan.

Sumber: Grup Kepatuhan

Berikut ini adalah 18 pengenal HIPAA:

1. Nama pasien
2. Elemen geografis, seperti alamat jalan, kota, kabupaten, atau kode pos
3. Tanggal yang berkaitan dengan kesehatan atau identitas individu, termasuk tanggal lahir, tanggal masuk, tanggal keluar, tanggal kematian, atau usia persis pasien yang lebih tua dari 89 tahun
4. Nomor telepon
5. Nomor faks
6. Alamat email
7. Nomor jaminan sosial
8. Nomor rekam medis
9. Nomor penerima asuransi kesehatan
10. Nomor rekening
11. Sertifikat atau nomor lisensi
12. Pengenal kendaraan
13. Atribut perangkat atau nomor seri
14. Pengidentifikasi digital, seperti URL situs web
15. alamat IP
16. Elemen biometrik, termasuk sidik jari, retina, dan suara
17. Gambar fotografi wajah penuh
18. Nomor atau kode pengenal lainnya

Siapa yang harus mematuhi HIPAA?

Kesalahpahaman yang umum adalah bahwa HIPAA berlaku ketika informasi kesehatan diakses atau diungkapkan. Sementara HIPAA membatasi penggunaan dan pengungkapan PHI, HIPAA hanya berlaku untuk organisasi yang terlibat dalam perawatan, pembayaran, atau operasi perawatan kesehatan. Organisasi ini disebut "entitas tertutup" dan "rekan bisnis".

Organisasi yang berpotensi mengakses PHI atau ePHI harus mematuhi HIPAA.

Entitas tertutup

Entitas yang dicakup meliputi penyedia layanan kesehatan, perusahaan asuransi, dan lembaga kliring. Dokter, dokter gigi, profesional kesehatan mental, chiropractor, dan penyedia asuransi kesehatan semuanya adalah entitas yang tercakup.

Asosiasi bisnis

Rekan bisnis adalah vendor yang dikontrak oleh entitas tercakup yang mungkin memiliki akses ke PHI. Platform catatan kesehatan elektronik (EHR), penyedia layanan email, penjadwal janji temu online, dan penyedia layanan terkelola adalah contoh umum rekan bisnis.

Bagaimana menjadi sesuai dengan HIPAA

Kepatuhan HIPAA melibatkan beberapa langkah. Ini lebih merupakan lulus atau gagal. Anda patuh, atau tidak. Anda harus memenuhi persyaratan dari setiap langkah agar sesuai dengan HIPAA dan menyelesaikan beberapa persyaratan ini setiap tahun.

Sumber: Grup Kepatuhan

Lakukan Penilaian Risiko Keamanan, identifikasi celah, dan gabungkan rencana perbaikan

Penilaian Risiko Keamanan (SRA) sangat penting untuk memenuhi persyaratan HIPAA Anda. Agar sesuai dengan HIPAA, Anda harus menyelesaikan Penilaian Risiko Keamanan HIPAA setiap tahun. Ini karena SRA mengukur perlindungan Anda saat ini terhadap standar HIPAA. Kesenjangan terjadi ketika pekerjaan Anda saat ini tidak cukup untuk memenuhi standar HIPAA.

“Kesenjangan” adalah kekurangan yang dapat mengakibatkan pelanggaran dan pelanggaran HIPAA. Di sinilah rencana perbaikan berperan. Rencana perbaikan membuat langkah-langkah yang dapat ditindaklanjuti untuk menutup kesenjangan kepatuhan. Agar efektif, rencana remediasi harus spesifik, termasuk apa yang akan dilakukan untuk menutup kesenjangan, siapa yang bertanggung jawab atas remediasi, dan garis waktu untuk remediasi.

Menerapkan kebijakan dan prosedur

Kebijakan dan prosedur harus dirancang dengan mempertimbangkan ketiga aturan HIPAA. Kebijakan dan prosedur harus disesuaikan dengan jenis dan ukuran organisasi serta ditinjau dan diperbarui setiap tahun agar efektif.

Garis besar kebijakan dan prosedur:

• Penggunaan dan pengungkapan PHI yang tepat oleh organisasi dan karyawan Anda
• Bagaimana organisasi Anda mengamankan PHI
• Apa yang harus dilakukan jika terjadi pelanggaran atau dugaan pelanggaran

Di masa lalu, organisasi telah menggunakan manual HIPAA untuk kebijakan dan prosedur mereka. Namun, karena manual HIPAA tidak biasa, mereka gagal menangani nuansa bagaimana organisasi Anda beroperasi.

Kebijakan dan prosedur yang sesuai untuk praktik medis kecil mungkin tidak efektif untuk grup rumah sakit besar, seperti halnya kebijakan dan prosedur yang ditulis untuk entitas tertutup mungkin tidak berlaku untuk rekan bisnis.

Melakukan pelatihan HIPAA bagi karyawan

Karyawan dengan potensi akses ke PHI atau ePHI perlu dilatih setiap tahun. Pelatihan harus mencakup praktik terbaik HIPAA, ikhtisar kebijakan dan prosedur organisasi Anda, dan praktik terbaik keamanan siber.

HIPAA menyarankan bahwa karyawan harus dilatih saat mereka dipekerjakan, jadi mengadakan kursus pelatihan setahun sekali tidaklah cukup. Program pelatihan karyawan HIPAA yang fleksibel sangat penting untuk memenuhi kebutuhan pelatihan.

Menggunakan alat pelatihan online adalah cara terbaik untuk mencapai ini. Dengan program pelatihan online, karyawan dapat diberi pelatihan bila diperlukan, menyelesaikan pelatihan mereka dengan kecepatan mereka sendiri, dan administrator dapat melacak kemajuan karyawan.

Menandatangani perjanjian rekanan bisnis

Perjanjian rekanan bisnis HIPAA (HIPAA BAAs) adalah kontrak hukum yang harus ditandatangani antara entitas tercakup dan rekanan bisnisnya (atau antara dua rekanan bisnis). BAA HIPAA harus ditandatangani sebelum menukar PHI atau ePHI. Tidak semua vendor mau atau mampu bertindak sebagai rekan bisnis; jika penyedia tidak menandatangani BAA, itu tidak dapat memenuhi tugas rekanan bisnis apa pun.

Katakanlah Anda sedang mencari penjadwal janji temu online yang memungkinkan pasien membuat janji temu mereka sendiri. Anda menemukan vendor yang memenuhi kebutuhan administratif Anda, tetapi tidak mau menandatangani perjanjian afiliasi. Anda tidak dapat mengontrak penyedia ini untuk penjadwalan pasien hingga mereka menandatangani BAA.

Manajemen insiden dan respons

Bagian dari kepatuhan HIPAA adalah menerapkan rencana respons insiden yang teruji. Anda dapat dengan cepat mengidentifikasi, merespons, dan melaporkan insiden dengan rencana respons insiden. Organisasi dengan rencana respons insiden yang teruji secara dramatis mengurangi waktu yang diperlukan untuk pulih dari insiden sambil menurunkan biayanya.

Pelanggaran HIPAA dan denda

Sementara banyak pelanggaran mengakibatkan pelanggaran HIPAA, pelanggaran itu sendiri tidak pernah menjadi alasan perusahaan didenda. Pelanggaran HIPAA terjadi ketika organisasi gagal mematuhi standar HIPAA. Denda HIPAA dapat dikenakan berdasarkan beratnya pelanggaran.

Sumber: Grup Kepatuhan

Contoh umum pelanggaran HIPAA termasuk kegagalan untuk:

• Melakukan penilaian risiko yang akurat dan menyeluruh
• Berikan pasien akses tepat waktu ke catatan medis mereka
• Menanggapi ulasan pasien online dengan benar
• Memiliki perjanjian rekan bisnis yang ditandatangani dengan rekan bisnis
• Membuang catatan medis pasien dengan benar

Jadi, kapan suatu organisasi akan didenda karena pelanggaran?

Denda HIPAA dikeluarkan berdasarkan tingkat kelalaian yang dirasakan.

• Tingkat 1 adalah untuk pelanggaran yang paling ringan. Sanksi tingkat 1 dikenakan ketika pelanggaran HIPAA terjadi karena entitas yang tercakup atau rekan bisnis tidak mengetahui aturan yang dilanggarnya. Agar memenuhi syarat sebagai penalti Tier 1, pelanggaran juga harus merupakan pelanggaran yang tidak dapat dihindari seandainya organisasi menggunakan ketekunan yang wajar untuk mematuhi HIPAA. Denda pada level ini berkisar dari $120 hingga $60.226 per pelanggaran.
• Pelanggaran Tingkat 2 terjadi ketika entitas yang dicakup atau rekan bisnis mengetahui pelanggaran yang dilakukan. Untuk memenuhi syarat sebagai pelanggaran Tingkat 2, pelanggaran tersebut adalah pelanggaran yang dapat dihindari bahkan dengan tingkat kehati-hatian yang wajar. Denda pada tingkat ini berkisar dari $12.045 hingga $60.226 per pelanggaran.
• Pelanggaran Tingkat 3 dianggap lebih serius daripada Tingkat 1 atau Tingkat 2 dan dikenakan denda yang lebih mahal. Pelanggaran Tingkat 3 berasal dari pengabaian HIPAA yang disengaja. Untuk dianggap sebagai pelanggar Tier 3, organisasi harus mengetahui bahwa organisasi tersebut melanggar HIPAA saat melakukan uji tuntas. Pelanggaran ini harus diperbaiki dalam waktu 30 hari untuk memenuhi syarat sebagai pelanggaran Tingkat 3. Denda pada level ini berkisar dari $1.205 hingga $12.045 per pelanggaran.
• Pelanggaran Tingkat 4 melibatkan pengabaian yang disengaja terhadap aturan HIPAA. OCR memberlakukan penalti Tier 4 ketika entitas atau rekan bisnis yang tercakup tidak berusaha untuk memulihkan pelanggaran tersebut. Denda pada level ini berkisar dari $60.226 hingga $1.806.757 per pelanggaran.

Organisasi yang ditemukan melanggar HIPAA sering dikenai pemantauan OCR dan tindakan korektif. Rencana tindakan korektif dikembangkan oleh OCR setelah menyelesaikan investigasi pelanggaran HIPAA ketika organisasi mengidentifikasi kekurangan. Mereka dirancang untuk mencegah pelanggaran dan insiden lebih lanjut dengan menyelaraskan program kepatuhan organisasi dengan standar HIPAA.

Tetap patuh; tetap aman

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan harus menjadi prioritas utama bagi setiap organisasi yang terlibat dalam perawatan kesehatan (entitas tertutup atau rekan bisnis). Sederhananya, untuk bekerja di bidang kesehatan, Anda harus mematuhi HIPAA.

Tanpa HIPAA, data pasien rentan terhadap penggunaan dan pengungkapan yang tidak sah. Ketika pelanggaran terjadi, pasien tidak hanya kehilangan kepercayaan pada kemampuan organisasi untuk melindungi informasi rahasia mereka, tetapi juga dapat mengakibatkan pelanggaran HIPAA dan denda yang mahal.

Dengan menerapkan program kepatuhan HIPAA yang efektif yang memenuhi semua standar HIPAA, Anda meningkatkan postur keamanan secara keseluruhan dan mengurangi kemungkinan pembobolan dan pelanggaran.

Pasien sekarang lebih sadar akan HIPAA dan hak-haknya. Kepatuhan HIPAA memberi mereka ketenangan pikiran bahwa mereka dapat mempercayai Anda dengan informasi sensitif mereka.

Manajemen privasi tidak berakhir dengan mendapatkan satu jenis kepatuhan. Ketahui segalanya tentang manajemen privasi data dan menjaga keamanan organisasi Anda.