HIPAA란 무엇입니까? HIPAA를 준수하는지 확인하는 방법은 다음과 같습니다.
게시 됨: 2023-01-23누구도 건강과 안전을 타협해서는 안 되며 이것이 HIPAA가 보장하는 것입니다.
HIPAA(Health Insurance Portability and Accountability Act)는 1996년에 제정되어 환자가 자신의 건강 정보에 더 쉽게 접근할 수 있도록 하고 정보 보호를 규제합니다. 수년에 걸쳐 HIPAA는 데이터 위반 알림 요구 사항을 생성하고 적용되는 엔터티를 결정하도록 발전했습니다.
의료 분야에서 일하는 경우 사람들은 종종 HIPAA에 대해 이야기하지만 그것이 무엇이며 어떻게 요구 사항을 충족할 수 있습니까?
건강 보험 이동성 및 책임법이란 무엇입니까?
HIPAA(Health Insurance Portability and Accountability Act)는 보호 대상 건강 정보(PHI)의 적절한 사용 및 공개, 보안 방법, 위반 시 대처 방법을 설명합니다. HHS(Department of Health and Human Services)는 HIPAA를 규제하고 OCR(Office for Civil Rights)은 규정 준수를 시행합니다.
비준수에 대한 불만이 의료 기관에 대해 접수되면 OCR은 해당 기관을 조사하여 주장이 사실인지 확인합니다. 조직이 HIPAA를 위반한 것으로 밝혀지면 벌금 및 시정 조치가 부과될 수 있습니다.
건강 보험 양도 및 책임에 관한 법률의 세 가지 규칙
HIPAA 규정은 세 가지 주요 규칙으로 구성됩니다. HIPAA 개인 정보 보호, 보안 및 위반 알림 규칙은 의료 기관이 정보를 공유하고 민감한 환자 정보를 보호하며 위반에 대응하고 보고하기 위한 지침을 제공합니다.
HIPAA 개인 정보 보호 규칙
HIPAA 개인 정보 보호 규칙은 주로 보호 대상 건강 정보의 사용 및 공개에 중점을 둡니다. PHI의 사용 및 공개는 치료, 지불 및 건강 관리와 같은 특정한 이유로만 허용됩니다. 다른 사용 또는 공개는 환자의 사전 서면 동의가 필요합니다.
HIPAA 최소 표준은 또한 PHI에 대한 액세스를 제한하도록 요구합니다. PHI에 대한 액세스 권한은 업무상 필요한 직원에게만 부여해야 합니다. 이러한 액세스는 직무를 수행하는 데 필요한 정보로 제한되어야 합니다.
예를 들어 행정 비서가 약속 일정을 잡기 위해 일부 환자 정보에 액세스해야 할 수 있습니다. 이 직원은 약속 기간을 결정하기 위해 환자의 이름, 연락처, 보험 정보 및 경우에 따라 기본 절차 정보를 알아야 합니다. 전체 환자 파일에 액세스할 필요가 없습니다.
귀하의 개인 정보 보호 관행 고지(NPP)는 귀하의 조직이 환자 정보를 사용하고 공개하는 방법을 명확하게 설명해야 합니다. 또한 정보에 관한 환자의 권리도 논의해야 합니다. 환자는 섭취 시 검토를 위해 NPP를 제공받아야 합니다.
환자의 권리(HIPAA 접근 권한)도 개인 정보 보호 규칙에 자세히 설명되어 있습니다. HIPAA 접근 권한 표준은 의료 서비스 제공자가 요청 시 환자에게 의료 기록에 대한 접근 권한을 제공하도록 요구합니다. 요청된 기록은 요청 후 30일 이내에 환자가 사용할 수 있어야 합니다. 환자는 또한 해당되는 경우 요청한 형식으로 기록을 받을 권리가 있습니다.
HIPAA 보안 규칙
HIPAA 보안 규칙은 PHI의 기밀성, 무결성 및 가용성을 유지하도록 요구합니다. 본질적으로 이는 의료 기관이 PHI의 개인 정보를 보호하고 승인 없이 변경 또는 파괴되는 것을 방지해야 함을 의미합니다. HIPAA 안전 장치는 최적의 데이터 보안을 달성하는 데 도움이 됩니다.
HIPAA 보호 조치란 무엇입니까?
HIPAA 보호 조치는 PHI의 무단 액세스, 사용 또는 공개를 방지하기 위해 취하는 관리적, 기술적 및 물리적 조치입니다.
관리적 보호 조치는 PHI를 적절하게 사용하고 공개하기 위한 지침을 직원에게 제공하는 정책 및 절차입니다. 또한 직원에 대한 HIPAA 교육 및 보안 위험 평가 요구 사항을 설명합니다.
기술적 안전 장치는 전자 PHI(ePHI)를 보호하기 위한 조치입니다. 기술적 보호 조치의 일반적인 예로는 암호화, 사용자 인증, 액세스 제어 및 감사 제어가 있습니다.
- 암호화: 권한이 없는 개체가 정보를 읽을 수 없도록 데이터를 암호화합니다.
- 사용자 인증: 각 사용자에게 조직의 네트워크에 액세스할 수 있는 고유한 사용자 ID를 제공합니다.
- 감사 제어: 관리자는 의심스러운 위치에서 네트워크에 액세스하는 사용자 또는 개별 사용자의 여러 로그인 시도 실패와 같은 네트워크의 의심스러운 활동을 쉽게 모니터링할 수 있습니다.
- 액세스 제어: 관리자가 직원의 직무에 따라 환자 정보에 대한 다른 액세스 수준을 지정할 수 있습니다.
잠금 및 경보 시스템과 같은 물리적 보호 장치는 조직의 물리적 위치를 보호합니다.
HIPAA 위반 알림 규칙
HIPAA 위반 알림 규칙은 적용 대상 회사 및 비즈니스 제휴사가 PHI 위반을 보고하도록 요구합니다.
모든 사고가 위반인 것은 아닙니다. 위반의 일반적인 예로는 해킹 사건, PHI에 대한 무단 액세스, 무단 당사자에게 PHI 공개, 종이 기록의 도난 또는 손실, 암호화되지 않은 휴대용 전자 장치의 도난 또는 손실이 있습니다.
예를 들어, 암호화된 노트북의 도난이나 분실은 정보에 액세스할 수 없으므로 위반이 아닙니다. 랩톱의 정보가 안전하지 않고 권한이 없는 사람이 액세스할 수 있게 되면 위반이 됩니다.
환자 데이터 유출은 의무적으로 보고해야 합니다. 위반 조직은 사건 발견 후 60일 이내에 영향을 받는 환자에게 서면으로 알려야 합니다. 또한 조직은 위반 사항을 보건복지부(HHS)에 보고해야 합니다.
사건이 500명 미만의 환자에게 영향을 미치는 경우 조직은 달력 연도 종료 후 최대 60일 이내에 HHS에 보고해야 합니다. 사건이 500명 이상의 환자에게 영향을 미치는 경우 조직은 발견 후 30일 후에 HHS에 보고해야 합니다. 500명 이상의 환자에게 영향을 미치는 위반 사항도 언론에 보고해야 합니다.
HIPAA는 어떤 정보를 보호합니까?
HIPAA는 PHI(Protected Health Information)로 알려진 환자 정보를 보호합니다. PHI는 과거, 현재 또는 미래의 의료 서비스 제공과 관련하여 개별적으로 식별 가능한 모든 건강 정보로 정의됩니다.
ePHI(Electronically Protected Health Information)는 랩탑 또는 전자 건강 기록 플랫폼과 같은 전자 형식으로 저장된 PHI입니다. ePHI는 HIPAA에 따라 보호되어야 합니다.
18 HIPAA 식별자
보건복지부(HHS)는 보호받는 건강 정보를 18개의 고유 식별자로 분류합니다. 18개의 식별자 각각은 의료 서비스 제공과 관련된 경우 PHI로 간주됩니다.
출처: 규정 준수 그룹
다음은 18개의 HIPAA 식별자입니다.
- 환자 이름
- 거리 주소, 시, 카운티 또는 우편번호와 같은 지리적 요소
- 생년월일, 입원일, 퇴원일, 사망일 또는 89세 이상의 환자의 정확한 나이를 포함하여 개인의 건강 또는 신원과 관련된 날짜
- 전화 번호
- 팩스 번호
- 이메일 주소
- 주민등록번호
- 의료 기록 번호
- 건강 보험 수혜자 번호
- 계좌 번호
- 인증서 또는 라이센스 번호
- 차량 식별자
- 기기 속성 또는 일련번호
- 웹사이트 URL과 같은 디지털 식별자
- IP 주소
- 손가락, 망막 및 성문을 포함한 생체 인식 요소
- 전면 사진 이미지
- 기타 식별 번호 또는 코드
누가 HIPAA를 준수해야 합니까?
일반적인 오해는 건강 정보에 액세스하거나 공개할 때 HIPAA가 적용된다는 것입니다. HIPAA는 PHI의 사용 및 공개를 제한하지만 HIPAA는 치료, 지불 또는 의료 운영과 관련된 조직에만 적용됩니다. 이러한 조직을 "해당 법인" 및 "동업자"라고 합니다.
PHI 또는 ePHI에 액세스할 가능성이 있는 조직은 HIPAA를 준수해야 합니다.
적용 대상
적용 대상에는 의료 제공자, 보험 회사 및 교환소가 포함됩니다. 의사, 치과 의사, 정신 건강 전문가, 척추 지압사 및 건강 보험 제공자는 모두 적용 대상입니다.
사업 동료
업무 제휴자는 PHI에 액세스할 수 있는 해당 주체와 계약을 맺은 공급업체입니다. 전자 건강 기록(EHR) 플랫폼, 이메일 서비스 제공자, 온라인 약속 스케줄러 및 관리형 서비스 제공자는 비즈니스 제휴의 일반적인 예입니다.
HIPAA 준수 방법
HIPAA 준수에는 여러 단계가 포함됩니다. 오히려 합격 또는 불합격입니다. 당신은 규정을 준수하거나 그렇지 않습니다. HIPAA를 준수하려면 각 단계의 요구 사항을 충족하고 매년 이러한 요구 사항 중 일부를 완료해야 합니다.
출처: 규정 준수 그룹
보안 위험 평가 수행, 차이 식별 및 수정 계획 통합
SRA(보안 위험 평가)는 HIPAA 요구 사항을 충족하는 데 필수적입니다. HIPAA를 준수하려면 매년 HIPAA 보안 위험 평가를 완료해야 합니다. 이는 SRA가 HIPAA 표준에 대한 현재 보호 수준을 측정하기 때문입니다. 현재 작업이 HIPAA 표준을 충족하기에 충분하지 않은 경우 공백이 발생합니다.
"갭"은 HIPAA 위반 및 위반을 초래할 수 있는 결함입니다. 여기에서 개선 계획이 실행됩니다. 문제 해결 계획은 규정 준수 격차를 줄이기 위한 실행 가능한 단계를 생성합니다. 효과를 발휘하려면 격차 해소를 위해 수행할 작업, 개선 책임자 및 개선 일정을 포함하여 개선 계획이 구체적이어야 합니다.
정책 및 절차 구현
세 가지 HIPAA 규칙을 염두에 두고 정책과 절차를 설계해야 합니다. 정책 및 절차는 조직의 유형과 규모에 맞게 조정되어야 하며 효과적이 되도록 매년 검토 및 업데이트되어야 합니다.
정책 및 절차 개요:
- 귀하의 조직 및 직원에 의한 PHI의 적절한 사용 및 공개
- 조직에서 PHI를 보호하는 방법
- 위반 또는 위반이 의심되는 경우 취해야 할 조치
과거에는 조직에서 정책 및 절차에 HIPAA 매뉴얼을 사용했습니다. 그러나 HIPAA 매뉴얼은 즉시 사용할 수 있기 때문에 조직 운영 방식의 미묘한 차이를 다루지 못합니다.
적용 대상을 위해 작성된 정책 및 절차가 비즈니스 동료에게 적용되지 않을 수 있는 것처럼 소규모 의료 행위에 적합한 정책 및 절차가 대규모 병원 그룹에는 효과적이지 않을 수 있습니다.
직원을 위한 HIPAA 교육 실시
PHI 또는 ePHI에 잠재적으로 접근할 수 있는 직원은 매년 교육을 받아야 합니다. 교육에는 HIPAA 모범 사례, 조직의 정책 및 절차 개요, 사이버 보안 모범 사례가 포함되어야 합니다.
HIPAA는 직원이 고용될 때 교육을 받아야 하므로 교육 과정을 1년에 한 번 개최하는 것만으로는 충분하지 않다고 조언합니다. 유연한 HIPAA 직원 교육 프로그램은 교육 요구를 충족하는 데 필수적입니다.
온라인 교육 도구를 사용하는 것이 이를 달성하는 가장 좋은 방법입니다. 온라인 교육 프로그램을 통해 직원은 필요할 때 교육을 할당받고 자신의 속도에 맞춰 교육을 완료할 수 있으며 관리자는 직원의 진행 상황을 추적할 수 있습니다.
팁: 독립 실행형 HIPAA 교육 프로그램을 사용하면 일부 HIPAA 교육 요구 사항을 충족하는 데 도움이 될 수 있지만 직원도 조직의 정책 및 절차에 대한 교육을 받아야 합니다.
사업 제휴 계약에 서명
HIPAA 비즈니스 제휴 계약(HIPAA BAA)은 해당 법인과 해당 비즈니스 제휴사(또는 두 비즈니스 제휴사) 간에 서명해야 하는 법적 계약입니다. PHI 또는 ePHI를 교환하기 전에 HIPAA BAA에 서명해야 합니다. 모든 공급업체가 비즈니스 파트너로 활동할 의향이 있거나 할 수 있는 것은 아닙니다. 공급자가 BAA에 서명하지 않으면 비즈니스 관련 의무를 이행할 수 없습니다.
환자가 자신의 약속을 예약할 수 있는 온라인 약속 스케줄러를 찾고 있다고 가정해 보겠습니다. 관리 요구 사항을 충족하는 공급업체를 찾았지만 제휴 계약에 서명하기를 원하지 않습니다. BAA에 서명할 때까지 환자 예약을 위해 이 공급자와 계약할 수 없습니다.
사고 관리 및 대응
HIPAA 규정 준수의 일부는 테스트된 사고 대응 계획을 구현하는 것입니다. 인시던트 대응 계획을 통해 인시던트를 신속하게 식별, 대응 및 보고할 수 있습니다. 테스트된 사고 대응 계획이 있는 조직은 비용을 낮추면서 사고로부터 복구하는 데 걸리는 시간을 크게 줄입니다.
HIPAA 위반 및 벌금
많은 위반이 HIPAA 위반으로 이어지지만 위반 자체가 회사에 벌금을 부과하는 이유는 결코 아닙니다. HIPAA 위반은 조직이 HIPAA 표준을 준수하지 않을 때 발생합니다. 위반의 심각성에 따라 HIPAA 벌금이 부과될 수 있습니다.
출처: 규정 준수 그룹
HIPAA 위반의 일반적인 예는 다음과 같습니다.
- 정확하고 철저한 위험 평가 수행
- 환자에게 의료 기록에 적시에 액세스할 수 있도록 제공
- 온라인 환자 리뷰에 적절하게 응답
- 거래처와 서명한 거래처 계약서를 가지고 있습니다.
- 환자 의료 기록을 적절하게 폐기합니다.
그렇다면 위반 시 조직에 벌금이 부과되는 시점은 언제입니까?
HIPAA 벌금은 인지된 과실 수준에 따라 부과됩니다.
- 계층 1 은 가장 덜 심각한 위반입니다. 계층 1 벌칙은 적용 대상 법인 또는 비즈니스 제휴사가 위반한 규칙을 인식하지 못했기 때문에 HIPAA 위반이 발생한 경우에 부과됩니다. 계층 1 처벌 대상이 되려면 조직이 HIPAA를 준수하기 위해 합당한 주의를 기울였다면 위반을 피할 수 없었던 위반이어야 합니다. 이 수준의 벌금 범위는 위반 건당 $120에서 $60,226입니다.
- 계층 2 위반은 적용 대상 법인 또는 사업 제휴자가 저지른 위반을 알고 있을 때 발생합니다. 2단계 위반에 해당하려면 해당 위반은 합리적인 수준의 주의를 기울여도 피할 수 있었던 위반입니다. 이 단계의 벌금 범위는 위반 건당 $12,045에서 $60,226입니다.
- 3단계 위반은 1단계 또는 2단계 위반보다 더 심각한 것으로 간주되며 더 많은 벌금이 부과됩니다. 계층 3 위반은 HIPAA의 고의적인 태만에서 비롯됩니다. 계층 3 위반자로 간주되려면 조직이 실사를 수행하는 동안 HIPAA를 위반했음을 알아야 합니다. 이러한 위반 사항은 30일 이내에 시정되어야 계층 3 위반 사항에 해당됩니다. 이 수준의 벌금 범위는 위반 건당 $1,205에서 $12,045입니다.
- 계층 4 위반에는 HIPAA 규칙을 고의적으로 무시하는 것이 포함됩니다. OCR은 해당 법인 또는 비즈니스 제휴사가 위반 사항을 수정하려고 시도하지 않은 경우 4단계 처벌을 부과합니다. 이 수준의 벌금 범위는 위반 건당 $60,226에서 $1,806,757입니다.
HIPAA를 위반한 것으로 밝혀진 조직은 종종 OCR 모니터링 및 시정 조치의 대상이 됩니다. OCR은 HIPAA 위반 조사가 완료된 후 조직에서 결함을 발견했을 때 시정 조치 계획을 수립합니다. 조직의 규정 준수 프로그램을 HIPAA 표준에 맞춰 추가 위반 및 사고를 방지하도록 설계되었습니다.
규정을 준수하십시오. 보안 유지
건강 보험 이동성 및 책임에 관한 법률은 의료와 관련된 모든 조직(해당 법인 또는 비즈니스 동료)의 최우선 순위여야 합니다. 간단히 말해서 의료 분야에서 일하려면 HIPAA를 준수해야 합니다.
HIPAA가 없으면 환자 데이터는 무단 사용 및 공개에 취약합니다. 위반이 발생하면 환자는 자신의 기밀 정보를 보호하는 조직의 능력에 대한 신뢰를 잃을 뿐만 아니라 HIPAA 위반 및 값비싼 벌금을 초래할 수도 있습니다.
모든 HIPAA 표준을 충족하는 효과적인 HIPAA 규정 준수 프로그램을 구현함으로써 전반적인 보안 태세를 개선하고 침해 및 위반 가능성을 줄일 수 있습니다.
환자들은 이제 HIPAA와 그들의 권리에 대해 더 잘 알고 있습니다. HIPAA 규정을 준수하면 중요한 정보에 대해 신뢰할 수 있다는 마음의 평화를 얻을 수 있습니다.
개인 정보 관리는 한 가지 유형의 규정 준수로 끝나지 않습니다. 데이터 프라이버시 관리 및 조직 보안 유지에 대한 모든 것을 알고 있습니다.