Co to jest HIPAA? Oto jak upewnić się, że spełniasz wymagania ustawy HIPAA

Opublikowany: 2023-01-23

Nikt nie powinien iść na kompromis w kwestii zdrowia i bezpieczeństwa, a to zapewnia HIPAA.

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) została uchwalona w 1996 r. w celu zapewnienia pacjentom lepszego dostępu do informacji o ich stanie zdrowia i uregulowania ich ochrony. Na przestrzeni lat ustawa HIPAA ewoluowała, tworząc wymogi dotyczące powiadamiania o naruszeniu danych i określając podmioty, których dotyczy.

Jeśli pracujesz w służbie zdrowia, ludzie często mówią o HIPAA, ale co to jest i jak możesz spełnić jej wymagania?

Co to jest ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych?

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) opisuje właściwe wykorzystanie i ujawnianie chronionych informacji zdrowotnych (PHI), sposób ich zabezpieczenia oraz postępowanie w przypadku naruszenia. Departament Zdrowia i Opieki Społecznej (HHS) reguluje HIPAA, podczas gdy Biuro Praw Obywatelskich (OCR) egzekwuje zgodność.

Kiedy skarga dotycząca niezgodności jest złożona przeciwko organizacji opieki zdrowotnej, OCR bada organizację w celu ustalenia, czy roszczenia są prawdziwe. Jeśli okaże się, że organizacja naruszyła ustawę HIPAA, mogą zostać nałożone grzywny i działania naprawcze.

Trzy zasady ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych

Rozporządzenie HIPAA składa się z trzech głównych zasad. Zasady dotyczące prywatności, bezpieczeństwa i powiadamiania o naruszeniach określone przez ustawę HIPAA zawierają wytyczne dla organizacji opieki zdrowotnej dotyczące udostępniania informacji, ochrony wrażliwych danych pacjentów oraz reagowania na naruszenia i zgłaszania ich.

Zasada prywatności HIPAA

Zasada prywatności HIPAA koncentruje się przede wszystkim na wykorzystywaniu i ujawnianiu chronionych informacji zdrowotnych. Wykorzystywanie i ujawnianie PHI jest dozwolone tylko z określonych powodów, takich jak leczenie, płatności i opieka zdrowotna. Każde inne użycie lub ujawnienie wymaga uprzedniej pisemnej zgody pacjenta.

Minimalny standard HIPAA wymaga również ograniczenia dostępu do PHI. Dostęp do PHI powinien być przyznawany tylko pracownikom, którzy potrzebują go do wykonywania swojej pracy. Dostęp ten powinien być również ograniczony do informacji niezbędnych do wykonywania ich funkcji służbowych.

Na przykład asystent administracyjny może potrzebować dostępu do niektórych informacji o pacjencie, aby umówić się na spotkanie. Ten pracownik prawdopodobnie musiałby znać imię i nazwisko pacjenta, kontakt, informacje o ubezpieczeniu, aw niektórych przypadkach podstawowe informacje proceduralne, aby określić czas trwania wizyty. Nie będą potrzebować dostępu do pełnej dokumentacji pacjenta.

Twoje Zawiadomienie o praktykach w zakresie prywatności (NPP) musi jasno określać, w jaki sposób Twoja organizacja wykorzystuje i ujawnia informacje o pacjentach. Powinien również omówić prawa pacjentów dotyczące ich informacji. Pacjentom należy zapewnić NPP do wglądu po przyjęciu.

Prawa pacjentów (prawo dostępu HIPAA) są również szczegółowo omówione w Zasadzie Prywatności. Standard HIPAA dotyczący prawa dostępu wymaga, aby podmioty świadczące opiekę zdrowotną zapewniały pacjentom dostęp do ich dokumentacji medycznej na żądanie. Żądana dokumentacja musi zostać udostępniona pacjentowi w ciągu 30 dni od złożenia wniosku. Pacjenci mają również prawo do otrzymywania swojej dokumentacji w formacie, o który prosili, jeśli ma to zastosowanie.

Zasada bezpieczeństwa HIPAA

Zasada bezpieczeństwa HIPAA wymaga zachowania poufności, integralności i dostępności PHI. Zasadniczo oznacza to, że organizacje opieki zdrowotnej muszą chronić prywatność PHI i zapobiegać ich zmianie lub zniszczeniu bez zezwolenia. Zabezpieczenia HIPAA pomagają osiągnąć optymalne bezpieczeństwo danych.

Jakie są zabezpieczenia HIPAA?

Zabezpieczenia HIPAA to środki administracyjne, techniczne i fizyczne podjęte w celu zapobieżenia nieautoryzowanemu dostępowi, użyciu lub ujawnieniu PHI.

Zabezpieczenia administracyjne to polityki i procedury, które dostarczają pracownikom wskazówek dotyczących właściwego wykorzystywania i ujawniania PHI. Przedstawiają również wymagania dotyczące szkoleń HIPAA i oceny ryzyka bezpieczeństwa dla pracowników.

Zabezpieczenia techniczne to środki ochrony elektronicznych PHI (ePHI). Typowe przykłady zabezpieczeń technicznych obejmują szyfrowanie, uwierzytelnianie użytkowników, kontrolę dostępu i kontrolę audytu.

  • Szyfrowanie: koduje dane w taki sposób, aby nieupoważnione podmioty nie mogły ich odczytać.
  • Uwierzytelnianie użytkownika: zapewnia każdemu użytkownikowi unikalny identyfikator użytkownika umożliwiający dostęp do sieci Twojej organizacji.
  • Kontrola audytu: umożliwia administratorom łatwe monitorowanie podejrzanych działań w sieci, takich jak dostęp użytkownika do sieci z podejrzanej lokalizacji lub wielokrotne nieudane próby logowania przez pojedynczego użytkownika.
  • Kontrola dostępu: umożliwia administratorom wyznaczanie różnych poziomów dostępu do informacji o pacjencie w zależności od roli pracownika.

Zabezpieczenia fizyczne, takie jak zamki i systemy alarmowe, chronią fizyczną lokalizację organizacji.

Zasada powiadamiania o naruszeniu HIPAA

Zasada powiadamiania o naruszeniu HIPAA wymaga, aby firmy objęte ochroną i partnerzy biznesowi zgłaszali naruszenia PHI.

Nie wszystkie incydenty są naruszeniami. Typowe przykłady naruszeń obejmują incydenty hakerskie, nieautoryzowany dostęp do PHI, ujawnienie PHI nieupoważnionej stronie, kradzież lub utratę dokumentacji papierowej oraz kradzież lub utratę niezaszyfrowanych przenośnych urządzeń elektronicznych.

Na przykład kradzież lub utrata zaszyfrowanego laptopa nie jest naruszeniem, ponieważ nie można uzyskać dostępu do informacji. Gdyby informacje na laptopie nie były bezpieczne i stały się dostępne dla osób nieupoważnionych, byłoby to naruszenie.

Zgłaszanie naruszeń danych pacjentów jest obowiązkowe. Organizacja, której dotyczy naruszenie, musi pisemnie powiadomić poszkodowanych pacjentów w ciągu 60 dni od wykrycia incydentu. Organizacje muszą również zgłosić naruszenie do Departamentu Zdrowia i Opieki Społecznej (HHS).

Jeśli incydent dotyczy mniej niż 500 pacjentów, organizacje mają do sześćdziesięciu dni po zakończeniu roku kalendarzowego na zgłoszenie go do HHS. Jeśli incydent dotyczy 500 lub więcej pacjentów, organizacje muszą zgłosić go do HHS 30 dni po wykryciu. Naruszenia dotyczące 500 lub więcej pacjentów muszą być również zgłaszane mediom.

Jakie informacje chroni ustawa HIPAA?

Ustawa HIPAA chroni informacje o pacjencie, znane jako chronione informacje zdrowotne (PHI). PHI definiuje się jako wszelkie indywidualnie identyfikowalne informacje zdrowotne związane z przeszłym, obecnym lub przyszłym świadczeniem opieki zdrowotnej.

Elektronicznie chronione informacje zdrowotne (ePHI) to PHI przechowywane w formacie elektronicznym, na przykład na laptopie lub na platformie elektronicznej dokumentacji medycznej. ePHI musi być również chronione na mocy ustawy HIPAA.

18 identyfikatorów HIPAA

Departament Zdrowia i Opieki Społecznej (HHS) klasyfikuje chronione informacje zdrowotne na 18 unikalnych identyfikatorów. Każdy z 18 identyfikatorów jest uważany za PHI, jeśli jest powiązany ze świadczeniem usług opieki zdrowotnej.

18 identyfikatorów HIPAA

Źródło: Grupa ds. Zgodności

Oto 18 identyfikatorów HIPAA:

  1. Nazwiska pacjentów
  2. Elementy geograficzne, takie jak adres, miasto, powiat lub kod pocztowy
  3. Daty związane ze stanem zdrowia lub tożsamością osób, w tym daty urodzenia, data przyjęcia, data wypisu, data śmierci lub dokładny wiek pacjenta w wieku powyżej 89 lat
  4. Numer telefonu
  5. Numery faksów
  6. Adresy e-mail
  7. Numery ubezpieczenia społecznego
  8. Numery dokumentacji medycznej
  9. Numery beneficjentów ubezpieczenia zdrowotnego
  10. Numery kont
  11. Numery certyfikatów lub licencji
  12. Identyfikatory pojazdów
  13. Atrybuty urządzenia lub numery seryjne
  14. Identyfikatory cyfrowe, takie jak adresy URL witryn
  15. adresy IP
  16. Elementy biometryczne, w tym odcisk palca, siatkówki i odciski głosu
  17. Zdjęcia całej twarzy
  18. Inne numery identyfikacyjne lub kody

Kto musi być zgodny z HIPAA?

Powszechnym błędnym przekonaniem jest to, że HIPAA ma zastosowanie w przypadku uzyskiwania dostępu do informacji zdrowotnych lub ich ujawniania. Podczas gdy HIPAA ogranicza wykorzystanie i ujawnianie PHI, HIPAA dotyczy tylko organizacji zaangażowanych w operacje związane z leczeniem, płatnościami lub opieką zdrowotną. Organizacje te nazywane są „podmiotami objętymi ubezpieczeniem” i „wspólnikami biznesowymi”.

Organizacje, które mogą uzyskać dostęp do PHI lub ePHI, muszą być zgodne z ustawą HIPAA.

Objęte podmioty

Podmioty objęte ubezpieczeniem obejmują podmioty świadczące opiekę zdrowotną, firmy ubezpieczeniowe i izby rozliczeniowe. Podmiotami objętymi ubezpieczeniem są lekarze, dentyści, specjaliści ds. zdrowia psychicznego, kręgarze i ubezpieczyciele zdrowotni.

Współpracownicy biznesowi

Partnerzy biznesowi to dostawcy zakontraktowani przez podmiot objęty ochroną, którzy mogą mieć dostęp do PHI. Platformy elektronicznej dokumentacji medycznej (EHR), dostawcy usług e-mail, osoby planujące spotkania online i dostawcy usług zarządzanych to typowe przykłady partnerów biznesowych.

Jak być zgodnym z HIPAA

Zgodność z HIPAA obejmuje kilka kroków. To raczej pass or fail. Jesteś zgodny, albo nie. Aby zachować zgodność z ustawą HIPAA, musisz spełnić wymagania każdego kroku i wypełniać niektóre z tych wymagań co roku.

zgodność z hipaa

Źródło: Grupa ds. Zgodności

Przeprowadzaj oceny ryzyka bezpieczeństwa, identyfikuj luki i wdrażaj plany naprawcze

Oceny ryzyka bezpieczeństwa (SRA) są niezbędne do spełnienia wymagań ustawy HIPAA. Aby zachować zgodność z ustawą HIPAA, należy co roku przeprowadzać ocenę ryzyka bezpieczeństwa HIPAA. Wynika to z faktu, że SRA mierzą obecne zabezpieczenia w stosunku do standardów HIPAA. Luka pojawia się, gdy Twoja obecna praca nie jest wystarczająca, aby spełnić standardy HIPAA.

„Luki” to braki, które mogą prowadzić do naruszeń i naruszeń ustawy HIPAA. Tu wchodzą w grę plany naprawcze. Plany naprawcze tworzą możliwe do wykonania kroki w celu zlikwidowania luk w zakresie zgodności. Aby były skuteczne, plany naprawcze muszą być szczegółowe, w tym, co zostanie zrobione, aby zlikwidować lukę, kto jest odpowiedzialny za naprawę oraz harmonogram działań naprawczych.

Wdrażaj zasady i procedury

Zasady i procedury muszą być opracowane z uwzględnieniem trzech zasad HIPAA. Zasady i procedury powinny być dostosowywane do rodzaju i wielkości organizacji oraz podlegać corocznemu przeglądowi i aktualizacji, aby były skuteczne.

Zarys zasad i procedur:

  • Właściwe wykorzystanie i ujawnienie PHI przez Twoją organizację i pracowników
  • Jak Twoja organizacja zabezpiecza PHI
  • Co zrobić w przypadku naruszenia lub podejrzenia naruszenia

W przeszłości organizacje korzystały z podręczników HIPAA w swoich zasadach i procedurach. Jednakże, ponieważ podręczniki HIPAA są gotowe, nie uwzględniają niuansów działania Twojej organizacji.

Zasady i procedury odpowiednie dla małej praktyki medycznej mogą nie być skuteczne w przypadku dużej grupy szpitali, podobnie jak zasady i procedury napisane dla podmiotu objętego ubezpieczeniem mogą nie mieć zastosowania do partnera biznesowego.

Przeprowadzanie szkoleń HIPAA dla pracowników

Pracownicy z potencjalnym dostępem do PHI lub ePHI muszą być szkoleni corocznie. Szkolenie powinno obejmować najlepsze praktyki HIPAA, przegląd zasad i procedur Twojej organizacji oraz najlepsze praktyki w zakresie cyberbezpieczeństwa.

HIPAA zaleca, aby pracownicy byli szkoleni, gdy są zatrudniani, więc odbycie szkolenia raz w roku nie wystarczy. Elastyczny program szkolenia pracowników HIPAA jest niezbędny do zaspokojenia potrzeb szkoleniowych.

Najlepszym sposobem na osiągnięcie tego celu jest skorzystanie z internetowego narzędzia szkoleniowego. Dzięki programowi szkoleniowemu online pracownicy mogą w razie potrzeby przydzielać im szkolenia, ukończyć je we własnym tempie, a administratorzy mogą śledzić postępy pracowników.

Porada: Korzystanie z niezależnego programu szkoleniowego HIPAA może pomóc w spełnieniu niektórych wymagań szkoleniowych HIPAA, ale upewnij się, że pracownicy są również przeszkoleni w zakresie zasad i procedur obowiązujących w Twojej organizacji.

Podpisuj umowy o współpracy biznesowej

Umowy wspólników biznesowych HIPAA (HIPAA BAA) to umowy prawne, które muszą być podpisane między podmiotem objętym ubezpieczeniem a jego wspólnikiem biznesowym (lub między dwoma wspólnikami biznesowymi). Umowy HIPAA BAA należy podpisać przed wymianą PHI lub ePHI. Nie każdy sprzedawca chce lub może działać jako partner biznesowy; jeśli dostawca nie podpisze umowy BAA, nie może wypełniać żadnych obowiązków partnera biznesowego.

Załóżmy, że szukasz internetowego harmonogramu wizyt, który umożliwia pacjentom rezerwowanie własnych terminów. Znajdujesz dostawcę, który spełnia Twoje potrzeby administracyjne, ale nie chce podpisać umowy partnerskiej. Nie możesz zawrzeć umowy z tym dostawcą na planowanie pacjentów, dopóki nie podpisze umowy BAA.

Zarządzanie incydentami i reagowanie na nie

Częścią zgodności z ustawą HIPAA jest wdrożenie sprawdzonego planu reagowania na incydenty. Możesz szybko identyfikować, reagować i zgłaszać incydenty za pomocą planu reagowania na incydenty. Organizacje ze sprawdzonym planem reagowania na incydenty radykalnie skracają czas potrzebny na odzyskanie sprawności po incydencie, jednocześnie obniżając jego koszty.

Naruszenia HIPAA i grzywny

Chociaż wiele naruszeń prowadzi do naruszeń HIPAA, samo naruszenie nigdy nie jest powodem ukarania firmy grzywną. Naruszenia HIPAA mają miejsce, gdy organizacja nie przestrzega standardów HIPAA. Grzywny HIPAA mogą zostać nałożone w zależności od wagi naruszenia.

naruszenia hipa

Źródło: Grupa ds. Zgodności

Typowe przykłady naruszeń ustawy HIPAA obejmują nieprzestrzeganie:

  • Przeprowadź dokładną i dogłębną ocenę ryzyka
  • Zapewnij pacjentom terminowy dostęp do ich dokumentacji medycznej
  • Właściwe odpowiadanie na recenzje pacjentów online
  • Mieć podpisaną umowę o współpracy biznesowej z partnerem biznesowym
  • Prawidłowo utylizować dokumentację medyczną pacjenta

Kiedy więc organizacja zostanie ukarana grzywną za naruszenie?

Grzywny HIPAA są nakładane na podstawie poziomu postrzeganego zaniedbania.

  • Poziom 1 dotyczy najmniej poważnych wykroczeń. Kary poziomu 1 są nakładane, gdy dochodzi do naruszenia HIPAA, ponieważ podmiot objęty ubezpieczeniem lub partner biznesowy nie był świadomy zasady, którą naruszył. Aby zakwalifikować się jako kara poziomu 1, naruszenie musi być również naruszeniem, którego nie można było uniknąć, gdyby organizacja dołożyła należytej staranności w celu przestrzegania przepisów ustawy HIPAA. Grzywny na tym poziomie wahają się od 120 USD do 60 226 USD za naruszenie.
  • Naruszenia poziomu 2 mają miejsce, gdy podmiot objęty ochroną lub partner biznesowy jest świadomy popełnionego naruszenia. Aby kwalifikować się jako naruszenie poziomu 2, naruszenie to takie, którego można było uniknąć nawet przy zachowaniu rozsądnej ostrożności. Grzywny na tym poziomie wahają się od 12 045 USD do 60 226 USD za naruszenie.
  • Naruszenia poziomu 3 są uważane za poważniejsze niż naruszenia poziomu 1 lub 2 i podlegają bardziej kosztownym karom. Naruszenia poziomu 3 wynikają z umyślnego zaniedbania HIPAA. Aby zostać uznanym za naruszającego poziom 3, organizacja powinna wiedzieć, że naruszyła ustawę HIPAA podczas przeprowadzania analizy due diligence. Naruszenia te muszą zostać usunięte w ciągu 30 dni, aby kwalifikować się jako naruszenia poziomu 3. Grzywny na tym poziomie wahają się od 1 205 USD do 12 045 USD za naruszenie.
  • Naruszenia poziomu 4 obejmują umyślne lekceważenie zasad HIPAA. OCR nakłada kary poziomu 4, gdy podmiot objęty ochroną lub partner biznesowy nie podjął próby naprawienia naruszenia. Grzywny na tym poziomie wahają się od 60 226 USD do 1 806 757 USD za naruszenie.

Organizacje, w przypadku których stwierdzono naruszenie przepisów HIPAA, często podlegają monitorowaniu OCR i działaniom naprawczym. Plany działań naprawczych są opracowywane przez OCR po zakończeniu dochodzeń w sprawie naruszeń HIPAA, gdy organizacje stwierdzą braki. Mają one na celu zapobieganie dalszym naruszeniom i incydentom poprzez dostosowanie programu zgodności organizacji do standardów HIPAA.

Zachowaj zgodność; bądź bezpieczny

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych powinna być najwyższym priorytetem dla każdej organizacji zaangażowanej w opiekę zdrowotną (podmiot objęty ubezpieczeniem lub partner biznesowy). Mówiąc najprościej, aby pracować w służbie zdrowia, musisz być zgodny z ustawą HIPAA.

Bez ustawy HIPAA dane pacjentów są narażone na nieautoryzowane wykorzystanie i ujawnienie. Gdy dojdzie do naruszenia, pacjenci nie tylko tracą zaufanie do zdolności organizacji do ochrony ich poufnych informacji, ale może to również skutkować naruszeniem ustawy HIPAA i kosztownymi grzywnami.

Wdrażając skuteczny program zgodności z HIPAA, który spełnia wszystkie standardy HIPAA, poprawiasz ogólny stan bezpieczeństwa i zmniejszasz prawdopodobieństwo naruszeń i naruszeń.

Pacjenci są teraz bardziej świadomi HIPAA i swoich praw. Zgodność z ustawą HIPAA daje im pewność, że mogą ci powierzyć swoje poufne informacje.

Zarządzanie prywatnością nie kończy się na uzyskaniu jednego rodzaju zgodności. Dowiedz się wszystkiego o zarządzaniu prywatnością danych i zapewnieniu bezpieczeństwa swojej organizacji.