Ce este HIPAA? Iată cum să vă asigurați că sunteți în conformitate cu HIPAA

Nimeni nu ar trebui să facă compromisuri în ceea ce privește sănătatea și siguranța și asta este ceea ce asigură HIPAA.

Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) a fost adoptată în 1996 pentru a oferi pacienților un acces mai bun la informațiile lor de sănătate și pentru a reglementa protecția acestora. De-a lungul anilor, HIPAA a evoluat pentru a crea cerințe de notificare a încălcării datelor și pentru a determina entitățile cărora li se aplică.

Dacă lucrezi în domeniul sănătății, oamenii vorbesc adesea despre HIPAA, dar ce este și cum poți îndeplini cerințele acesteia?

Ce este Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate?

Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) descrie utilizarea și dezvăluirea corespunzătoare a informațiilor de sănătate protejate (PHI), cum ar trebui să fie securizate și ce trebuie făcut în cazul unei încălcări. Departamentul de Sănătate și Servicii Umane (HHS) reglementează HIPAA, în timp ce Oficiul pentru Drepturi Civile (OCR) impune conformitatea.

Atunci când o plângere de neconformitate este depusă împotriva unei organizații de asistență medicală, OCR investighează organizația pentru a determina dacă afirmațiile sunt adevărate. Dacă se constată că organizația a încălcat HIPAA, pot fi impuse amenzi și acțiuni corective.

Cele trei reguli ale Legii privind portabilitatea și responsabilitatea asigurărilor de sănătate

Regulamentul HIPAA constă din trei reguli principale. Regulile HIPAA privind confidențialitatea, securitatea și notificarea încălcării oferă linii directoare organizațiilor din domeniul sănătății pentru a partaja informații, a proteja informațiile sensibile ale pacienților și a răspunde și raporta o încălcare.

Regula de confidențialitate HIPAA

Regula de confidențialitate HIPAA se concentrează în primul rând pe utilizarea și dezvăluirea informațiilor de sănătate protejate. Utilizarea și dezvăluirea PHI sunt permise numai din motive specifice, cum ar fi tratament, plată și asistență medicală. Orice altă utilizare sau dezvăluire necesită acordul prealabil scris al pacientului.

Standardul minim HIPAA cere, de asemenea, ca accesul la PHI să fie restricționat. Accesul la PHI ar trebui să fie acordat numai angajaților care au nevoie de el pentru locul de muncă. Acest acces ar trebui, de asemenea, limitat la informațiile necesare pentru a-și îndeplini funcțiile de serviciu.

De exemplu, un asistent administrativ ar putea avea nevoie de acces la unele informații despre pacient pentru a programa o întâlnire. Acest angajat ar trebui probabil să cunoască numele pacientului, contactul, informațiile de asigurare și, în unele cazuri, informații procedurale de bază pentru a determina durata numirii. Nu vor avea nevoie de acces la dosarul complet al pacientului.

Notificarea dumneavoastră privind practicile de confidențialitate (NPP) trebuie să sublinieze clar modul în care organizația dumneavoastră utilizează și dezvăluie informațiile despre pacienți. De asemenea, ar trebui să discute drepturile pacienților cu privire la informațiile lor. Pacienților ar trebui să li se furnizeze un NPP pentru revizuire la administrare.

Drepturile pacienților (dreptul de acces HIPAA) sunt, de asemenea, abordate în detaliu în Regula de confidențialitate. Standardul HIPAA Dreptul de Acces cere furnizorilor de servicii medicale să ofere pacienților acces la dosarele lor medicale, la cerere. Înregistrările solicitate trebuie să fie puse la dispoziția pacientului în termen de 30 de zile de la solicitare. Pacienții au, de asemenea, dreptul de a-și primi înregistrările în formatul pe care l-au solicitat, atunci când este cazul.

Regula de securitate HIPAA

Regula de securitate HIPAA cere ca confidențialitatea, integritatea și disponibilitatea PHI să fie menținute. În esență, aceasta înseamnă că organizațiile din domeniul sănătății trebuie să protejeze confidențialitatea PHI și să prevină alterarea sau distrugerea acestora fără autorizație. Măsurile de protecție HIPAA ajută la obținerea unei securități optime a datelor.

Ce sunt măsurile de protecție HIPAA?

Măsurile de protecție HIPAA sunt măsuri administrative, tehnice și fizice luate pentru a preveni accesul, utilizarea sau dezvăluirea neautorizate a PHI.

Garanțiile administrative sunt politici și proceduri care oferă angajaților linii directoare pentru utilizarea și divulgarea corectă a PHI. Ele subliniază, de asemenea, cerințele de instruire HIPAA și de evaluare a riscurilor de securitate pentru angajați.

Garanțiile tehnice sunt măsuri de protecție a PHI electronice (ePHI). Exemplele comune de garanții tehnice includ criptarea, autentificarea utilizatorilor, controalele de acces și controalele de audit.

• Criptare: codifică datele astfel încât entitățile neautorizate să nu poată citi informațiile.
• Autentificarea utilizatorului: oferă fiecărui utilizator un ID de utilizator unic pentru a accesa rețeaua organizației dumneavoastră.
• Controale de audit: permit administratorilor să monitorizeze cu ușurință activitățile suspecte dintr-o rețea, cum ar fi un utilizator care accesează o rețea dintr-o locație suspectă sau mai multe încercări de conectare nereușite ale unui utilizator individual.
• Controale acces: permit administratorilor să desemneze diferite niveluri de acces la informațiile despre pacient, în funcție de rolul angajatului.

Măsurile de protecție fizică, cum ar fi încuietorile și sistemele de alarmă, protejează locația fizică a unei organizații.

Regula de notificare a încălcării HIPAA

Regula de notificare a încălcării HIPAA cere companiilor acoperite și asociaților de afaceri să raporteze încălcările PHI.

Nu toate incidentele sunt încălcări. Exemplele comune de încălcări includ incidente de hacking, acces neautorizat la PHI, dezvăluirea PHI către o parte neautorizată, furtul sau pierderea înregistrărilor pe hârtie și furtul sau pierderea dispozitivelor electronice portabile necriptate.

De exemplu, furtul sau pierderea unui laptop criptat nu reprezintă o încălcare, deoarece informațiile nu pot fi accesate. Dacă informațiile de pe laptop nu ar fi securizate și ar deveni accesibile persoanelor neautorizate, ar fi o încălcare.

Încălcările de date ale pacienților sunt obligatorii pentru a fi raportate. Organizația încălcată trebuie să notifice pacienții afectați în scris în termen de 60 de zile de la descoperirea incidentului. Organizațiile trebuie, de asemenea, să raporteze încălcarea Departamentului de Sănătate și Servicii Umane (HHS).

Dacă incidentul afectează mai puțin de 500 de pacienți, organizațiile au la dispoziție până la șaizeci de zile după sfârșitul anului calendaristic pentru a-l raporta la HHS. Dacă incidentul afectează 500 sau mai mulți pacienți, organizațiile trebuie să îl raporteze la HHS la 30 de zile de la descoperire. Încălcările care afectează 500 sau mai mulți pacienți trebuie, de asemenea, raportate presei.

Ce informații protejează HIPAA?

HIPAA protejează informațiile despre pacient, cunoscute sub numele de Informații de sănătate protejate (PHI). PHI este definită ca orice informație de sănătate identificabilă individual asociată cu furnizarea de asistență medicală trecută, prezentă sau viitoare.

Informațiile de sănătate protejate electronic (ePHI) sunt PHI stocate într-un format electronic, cum ar fi pe un laptop sau într-o platformă electronică de înregistrări medicale. ePHI trebuie, de asemenea, să fie protejat prin HIPAA.

18 identificatori HIPAA

Departamentul de Sănătate și Servicii Umane (HHS) clasifică informațiile de sănătate protejate în 18 identificatori unici. Fiecare dintre cei 18 identificatori este considerat PHI dacă este asociat cu furnizarea de servicii de îngrijire a sănătății.

Sursa: Compliancy Group

Următorii sunt cei 18 identificatori HIPAA:

1. Numele pacienților
2. Elemente geografice, cum ar fi o adresă, un oraș, un județ sau un cod poștal
3. Date legate de sănătatea sau identitatea persoanelor, inclusiv datele de naștere, data admiterii, data externării, data decesului sau vârsta exactă a unui pacient mai în vârstă de 89 de ani
4. Numere de telefon
5. Numere de fax
6. Adrese de email
7. Numere de securitate socială
8. Numerele fișelor medicale
9. Numerele beneficiarilor asigurărilor de sănătate
10. Numere de cont
11. Numere de certificat sau licență
12. Identificatori de vehicule
13. Atributele dispozitivului sau numerele de serie
14. Identificatori digitali, cum ar fi adresele URL ale site-urilor web
15. adrese IP
16. Elemente biometrice, inclusiv amprentele degetelor, retiniene și ale vocii
17. Imagini fotografice integrale
18. Alte numere sau coduri de identificare

Cine trebuie să respecte HIPAA?

O concepție greșită comună este că HIPAA se aplică atunci când informațiile despre sănătate sunt accesate sau dezvăluite. În timp ce HIPAA restricționează utilizarea și dezvăluirea PHI, HIPAA se aplică numai organizațiilor implicate în operațiuni de tratament, plată sau asistență medicală. Aceste organizații sunt numite „entități acoperite” și „asociați de afaceri”.

Organizațiile cu potențialul de a accesa PHI sau ePHI trebuie să respecte HIPAA.

Entități acoperite

Entitățile acoperite includ furnizorii de servicii medicale, companiile de asigurări și casele de compensare. Medicii, stomatologii, profesioniștii în domeniul sănătății mintale, chiropracticienii și furnizorii de asigurări de sănătate sunt toți entități acoperite.

Asociati de afaceri

Asociații de afaceri sunt furnizori contractați de o entitate acoperită care poate avea acces la PHI. Platformele de evidență medicală electronică (EHR), furnizorii de servicii de e-mail, programatorii de întâlniri online și furnizorii de servicii gestionate sunt exemple comune de asociați de afaceri.

Cum să fii conform HIPAA

Respectarea HIPAA implică mai mulți pași. Este mai degrabă o trecere sau un eșec. Ești conformator sau nu. Trebuie să îndepliniți cerințele fiecărui pas pentru a fi conform HIPAA și pentru a îndeplini unele dintre aceste cerințe anual.

Sursa: Compliancy Group

Efectuați evaluări ale riscurilor de securitate, identificați lacune și încorporați planuri de remediere

Evaluările riscurilor de securitate (SRA) sunt esențiale pentru îndeplinirea cerințelor dvs. HIPAA. Pentru a fi conform HIPAA, trebuie să finalizați anual o evaluare a riscurilor de securitate HIPAA. Acest lucru se datorează faptului că SRA-urile vă măsoară protecția actuală împotriva standardelor HIPAA. Un decalaj apare atunci când munca dvs. actuală nu este suficientă pentru a îndeplini standardele HIPAA.

„Lacunele” sunt deficiențe care pot duce la încălcări și încălcări HIPAA. Aici intră în joc planurile de remediere. Planurile de remediere creează pași acționați pentru a elimina lacunele de conformitate. Pentru a fi eficiente, planurile de remediere trebuie să fie specifice, inclusiv ce se va face pentru a reduce decalajul, cine este responsabil pentru remediere și un calendar pentru remediere.

Implementați politici și proceduri

Politicile și procedurile trebuie concepute ținând cont de cele trei reguli HIPAA. Politicile și procedurile ar trebui să se adapteze tipului și dimensiunii unei organizații și să fie revizuite și actualizate anual pentru a fi eficiente.

Politicile și procedurile descriu:

• Utilizările și dezvăluirile adecvate ale PHI de către organizația și angajații dvs
• Cum asigură organizația dvs. PHI
• Ce trebuie făcut în cazul unei încălcări sau suspiciuni de încălcare

În trecut, organizațiile au folosit manuale HIPAA pentru politicile și procedurile lor. Cu toate acestea, deoarece manualele HIPAA sunt ieșite din cutie, nu reușesc să abordeze nuanțele modului în care funcționează organizația dvs.

Politicile și procedurile adecvate pentru o practică medicală mică pot să nu fie eficiente pentru un grup mare de spitale, la fel cum politicile și procedurile scrise pentru o entitate acoperită pot să nu fie aplicabile unui asociat de afaceri.

Efectuați instruire HIPAA pentru angajați

Angajații cu acces potențial la PHI sau ePHI trebuie să fie instruiți anual. Instruirea ar trebui să includă cele mai bune practici HIPAA, o prezentare generală a politicilor și procedurilor organizației dvs. și cele mai bune practici de securitate cibernetică.

HIPAA sfătuiește că angajații ar trebui să fie instruiți atunci când sunt angajați, așa că organizarea unui curs de formare o dată pe an nu este suficientă. Un program flexibil de formare a angajaților HIPAA este esențial pentru a satisface nevoile de formare.

Utilizarea unui instrument de instruire online este cea mai bună modalitate de a realiza acest lucru. Cu un program de instruire online, angajaților li se pot atribui instruire atunci când este necesar, își pot finaliza formarea în propriul ritm, iar administratorii pot urmări progresul angajaților.

Semnează acorduri de parteneri de afaceri

Acordurile HIPAA de asociere de afaceri (HIPAA BAA) sunt contracte legale care trebuie semnate între o entitate acoperită și asociatul său de afaceri (sau între doi asociați de afaceri). HIPAA BAA ar trebui să fie semnate înainte de a schimba PHI sau ePHI. Nu orice furnizor este dispus sau capabil să acționeze ca un asociat de afaceri; dacă furnizorul nu semnează un BAA, acesta nu poate îndeplini nicio obligație de asociat de afaceri.

Să presupunem că sunteți în căutarea unui programator de întâlniri online care să permită pacienților să își rezerve propriile întâlniri. Găsiți un furnizor care vă satisface nevoile administrative, dar nu dorește să semneze un acord de afiliere. Nu puteți contracta cu acest furnizor pentru programarea pacienților până când nu semnează un BAA.

Managementul incidentelor și răspunsul

O parte a conformității cu HIPAA este implementarea unui plan de răspuns la incident testat. Puteți identifica, răspunde și raporta rapid incidentele cu un plan de răspuns la incident. Organizațiile cu un plan de răspuns la incident testat reduc dramatic timpul necesar pentru a se recupera după un incident, reducând în același timp costurile.

Încălcări HIPAA și amenzi

În timp ce multe încălcări duc la încălcări HIPAA, încălcarea în sine nu este niciodată motivul pentru care o companie este amendată. Încălcările HIPAA apar atunci când o organizație nu respectă standardele HIPAA. Amenzile HIPAA pot fi impuse în funcție de gravitatea încălcării.

Sursa: Compliancy Group

Exemplele comune de încălcări HIPAA includ nerespectarea:

• Efectuați o evaluare a riscurilor precisă și amănunțită
• Oferiți pacienților acces în timp util la dosarele lor medicale
• Răspundeți corect la recenziile online ale pacienților
• Aveți un contract de asociat de afaceri semnat cu un asociat de afaceri
• Aruncați în mod corespunzător fișele medicale ale pacientului

Deci, când ar fi amendată o organizație pentru o încălcare?

Amenzile HIPAA sunt emise în funcție de nivelul de neglijență perceput.

• Nivelul 1 este pentru infracțiunile cele mai puțin grave. Sancțiunile de nivel 1 sunt impuse atunci când are loc o încălcare a HIPAA, deoarece o entitate acoperită sau un asociat de afaceri nu cunoștea regula pe care a încălcat-o. Pentru a fi calificată drept penalizare de nivel 1, încălcarea trebuie să fie, de asemenea, o încălcare care nu ar fi putut fi evitată dacă o organizație ar fi folosit o diligență rezonabilă pentru a respecta HIPAA. Amenzile la acest nivel variază de la 120 USD la 60.226 USD per încălcare.
• Încălcările nivelului 2 apar atunci când o entitate acoperită sau un asociat de afaceri este conștient de încălcarea comisă. Pentru a fi calificată drept încălcare de Nivelul 2, încălcarea este una care ar fi putut fi evitată chiar și cu un grad rezonabil de grijă. Amenzile la acest nivel variază de la 12.045 USD la 60.226 USD per încălcare.
• Încălcările Nivelului 3 sunt considerate mai grave decât Tier 1 sau Tier 2 și fac obiectul unor amenzi mai costisitoare. Încălcările nivelului 3 provin din neglijarea intenționată a HIPAA. Pentru a fi considerată încălcare a nivelului 3, organizația ar trebui să știe că a încălcat HIPAA în timp ce desfășura diligența. Aceste încălcări trebuie corectate în termen de 30 de zile pentru a fi calificate drept încălcări de Nivelul 3. Amenzile la acest nivel variază de la 1.205 USD la 12.045 USD per încălcare.
• Încălcările nivelului 4 implică neglijarea intenționată a regulilor HIPAA. OCR impune penalități de nivel 4 atunci când entitatea vizată sau asociatul de afaceri nu a încercat să remedieze încălcarea. Amenzile la acest nivel variază de la 60.226 USD la 1.806.757 USD per încălcare.

Organizațiile care încalcă HIPAA sunt adesea supuse monitorizării OCR și acțiunilor corective. Planurile de acțiuni corective sunt dezvoltate de OCR la finalizarea investigațiilor privind încălcarea HIPAA, atunci când organizațiile identifică deficiențe. Sunt concepute pentru a preveni încălcări și incidente ulterioare prin alinierea programului de conformitate al organizației la standardele HIPAA.

Rămâneți conform; stai in siguranta

Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate ar trebui să fie o prioritate de vârf pentru orice organizație implicată în asistența medicală (entitate acoperită sau asociat de afaceri). Mai simplu spus, pentru a lucra în domeniul sănătății, trebuie să fii în conformitate cu HIPAA.

Fără HIPAA, datele pacienților sunt vulnerabile la utilizarea și dezvăluirea neautorizate. Atunci când are loc o încălcare, pacienții nu numai că își pierd încrederea în capacitatea unei organizații de a-și proteja informațiile confidențiale, dar poate duce și la încălcări ale HIPAA și amenzi costisitoare.

Prin implementarea unui program eficient de conformitate cu HIPAA, care îndeplinește toate standardele HIPAA, vă îmbunătățiți postura generală de securitate și reduceți probabilitatea încălcării și încălcărilor.

Pacienții sunt acum mai conștienți de HIPAA și de drepturile lor. Conformitatea HIPAA le oferă liniște sufletească că pot avea încredere în dvs. cu informațiile lor sensibile.

Gestionarea confidențialității nu se termină cu obținerea unui singur tip de conformitate. Aflați totul despre gestionarea confidențialității datelor și menținerea în siguranță a organizației dvs.