Что такое HIPAA? Вот как убедиться, что вы соответствуете требованиям HIPAA

Опубликовано: 2023-01-23

Никто не должен идти на компромисс в отношении здоровья и безопасности, и это гарантирует HIPAA.

Закон о переносимости и подотчетности медицинского страхования (HIPAA) был принят в 1996 году, чтобы предоставить пациентам лучший доступ к своей медицинской информации и регулировать ее защиту. За прошедшие годы HIPAA эволюционировало, чтобы создать требования к уведомлению об утечке данных и определить объекты, к которым он применяется.

Если вы работаете в сфере здравоохранения, люди часто говорят о HIPAA, но что это такое и как вы можете соответствовать его требованиям?

Что такое Закон о переносимости и подотчетности медицинского страхования?

Закон о переносимости и подотчетности медицинского страхования (HIPAA) описывает надлежащее использование и раскрытие защищенной медицинской информации (PHI), способы ее защиты и действия в случае нарушения. Министерство здравоохранения и социальных служб (HHS) регулирует HIPAA, а Управление по гражданским правам (OCR) следит за его соблюдением.

Когда на организацию здравоохранения подается жалоба о несоблюдении требований, OCR проводит расследование в отношении организации, чтобы определить, соответствуют ли претензии действительности. Если будет установлено, что организация нарушила HIPAA, могут быть наложены штрафы и приняты меры по исправлению положения.

Три правила Закона о переносимости и подотчетности медицинского страхования

Регулирование HIPAA состоит из трех основных правил. Правила конфиденциальности, безопасности и уведомления о нарушениях HIPAA содержат рекомендации для организаций здравоохранения по обмену информацией, защите конфиденциальной информации о пациентах, а также по реагированию на нарушения и сообщению о них.

Правило конфиденциальности HIPAA

Правило конфиденциальности HIPAA в первую очередь касается использования и раскрытия защищенной медицинской информации. Использование и раскрытие PHI разрешено только по определенным причинам, таким как лечение, оплата и здравоохранение. Любое другое использование или разглашение требует предварительного письменного согласия пациента.

Минимальный стандарт HIPAA также требует, чтобы доступ к PHI был ограничен. Доступ к PHI следует предоставлять только тем сотрудникам, которым она нужна для работы. Этот доступ также должен быть ограничен информацией, необходимой для выполнения их должностных функций.

Например, помощнику по административным вопросам может потребоваться доступ к некоторой информации о пациенте, чтобы назначить встречу. Этому сотруднику, вероятно, потребуется знать имя пациента, контактные данные, информацию о страховке и, в некоторых случаях, основную процедурную информацию, чтобы определить продолжительность приема. Им не потребуется доступ к полному файлу пациента.

В вашем Уведомлении о соблюдении конфиденциальности (NPP) должно быть четко указано, как ваша организация использует и раскрывает информацию о пациентах. Он также должен обсудить права пациентов в отношении их информации. Пациенты должны быть предоставлены с NPP для обзора при приеме.

Права пациентов (право доступа HIPAA) также подробно рассматриваются в Правиле конфиденциальности. Стандарт HIPAA Right of Access требует, чтобы поставщики медицинских услуг предоставляли пациентам доступ к их медицинским записям по запросу. Запрошенные записи должны быть предоставлены пациенту в течение 30 дней с момента запроса. Пациенты также имеют право получать свои записи в запрошенном ими формате, когда это применимо.

Правило безопасности HIPAA

Правило безопасности HIPAA требует сохранения конфиденциальности, целостности и доступности PHI. По сути, это означает, что организации здравоохранения должны защищать конфиденциальность PHI и предотвращать ее изменение или уничтожение без разрешения. Гарантии HIPAA помогают обеспечить оптимальную безопасность данных.

Что такое гарантии HIPAA?

Гарантии HIPAA — это административные, технические и физические меры, принимаемые для предотвращения несанкционированного доступа, использования или раскрытия PHI.

Административные меры безопасности — это политики и процедуры, которые предоставляют сотрудникам инструкции по надлежащему использованию и раскрытию PHI. Они также определяют требования к обучению HIPAA и оценке рисков безопасности для сотрудников.

Технические меры защиты — это меры по защите электронной PHI (ePHI). Общие примеры технических мер безопасности включают шифрование, аутентификацию пользователей, контроль доступа и контроль аудита.

  • Шифрование: данные кодируются таким образом, что неавторизованные лица не могут прочитать информацию.
  • Аутентификация пользователя: предоставляет каждому пользователю уникальный идентификатор пользователя для доступа к сети вашей организации.
  • Элементы управления аудитом: позволяют администраторам легко отслеживать подозрительную активность в сети, например доступ пользователя к сети из подозрительного местоположения или несколько неудачных попыток входа в систему отдельным пользователем.
  • Контроль доступа: позволяет администраторам назначать различные уровни доступа к информации о пациентах в зависимости от должностной роли сотрудника.

Физические средства защиты, такие как замки и системы сигнализации, защищают физическое местонахождение организации.

Правило уведомления о нарушении HIPAA

Правило уведомления о нарушениях HIPAA требует, чтобы компании и деловые партнеры, подпадающие под действие закона, сообщали о нарушениях PHI.

Не все инциденты являются нарушениями. Распространенными примерами нарушений являются случаи взлома, несанкционированный доступ к PHI, раскрытие PHI неуполномоченной стороне, кража или потеря бумажных документов, а также кража или потеря незашифрованных портативных электронных устройств.

Например, кража или потеря зашифрованного ноутбука не является нарушением, поскольку доступ к информации невозможен. Если бы информация на ноутбуке не была защищена и стала доступна посторонним лицам, это было бы взломом.

Об утечке данных пациентов необходимо сообщать. Нарушенная организация должна уведомить пострадавших пациентов в письменной форме в течение 60 дней после обнаружения инцидента. Организации также должны сообщить о нарушении в Министерство здравоохранения и социальных служб (HHS).

Если инцидент затрагивает менее 500 пациентов, у организаций есть до шестидесяти дней после окончания календарного года, чтобы сообщить об этом в HHS. Если инцидент затрагивает 500 или более пациентов, организации должны сообщить об этом в HHS через 30 дней после обнаружения. О нарушениях, затрагивающих 500 и более пациентов, также необходимо сообщать в СМИ.

Какую информацию защищает HIPAA?

HIPAA защищает информацию о пациенте, известную как защищенная медицинская информация (PHI). PHI определяется как любая индивидуально идентифицируемая медицинская информация, связанная с прошлым, настоящим или будущим предоставлением медицинских услуг.

Электронно-защищенная медицинская информация (ePHI) — это PHI, хранящаяся в электронном формате, например на ноутбуке или на платформе электронных медицинских карт. ePHI также должен быть защищен в соответствии с HIPAA.

18 идентификаторов HIPAA

Департамент здравоохранения и социальных служб (HHS) классифицирует защищенную медицинскую информацию по 18 уникальным идентификаторам. Каждый из 18 идентификаторов считается PHI, если он связан с предоставлением медицинских услуг.

18 идентификаторов HIPAA

Источник: Группа соответствия.

Ниже приведены 18 идентификаторов HIPAA:

  1. Имена пациентов
  2. Географические элементы, такие как почтовый адрес, город, район или почтовый индекс.
  3. Даты, связанные со здоровьем или личностью людей, включая даты рождения, дату госпитализации, дату выписки, дату смерти или точный возраст пациента старше 89 лет.
  4. Телефонные номера
  5. Номера факсов
  6. Адрес электронной почты
  7. Номера социального страхования
  8. Номера медицинских карт
  9. Номера получателей медицинской страховки
  10. Номера счетов
  11. Номер сертификата или лицензии
  12. Идентификаторы транспортных средств
  13. Атрибуты устройства или серийные номера
  14. Цифровые идентификаторы, такие как URL-адреса веб-сайтов.
  15. IP-адреса
  16. Биометрические элементы, включая отпечатки пальцев, сетчатки глаза и голоса.
  17. Фотоснимки в анфас
  18. Другие идентификационные номера или коды

Кто должен соответствовать требованиям HIPAA?

Распространенным заблуждением является то, что HIPAA применяется при доступе к медицинской информации или ее раскрытии. Хотя HIPAA ограничивает использование и раскрытие PHI, HIPAA применяется только к организациям, занимающимся лечением, оплатой или медицинским обслуживанием. Эти организации называются «застрахованными лицами» и «деловыми партнерами».

Организации, которые могут получить доступ к PHI или ePHI, должны соответствовать требованиям HIPAA.

Покрываемые объекты

Покрываемые организации включают поставщиков медицинских услуг, страховые компании и расчетные палаты. Врачи, стоматологи, специалисты в области психического здоровья, мануальные терапевты и поставщики медицинских страховок — все это застрахованные лица.

Бизнес Ассоциации

Деловые партнеры — это поставщики, нанятые организацией, на которую распространяется действие страховки, и которая может иметь доступ к PHI. Платформы электронных медицинских карт (EHR), поставщики услуг электронной почты, онлайн-планировщики встреч и поставщики управляемых услуг являются типичными примерами деловых партнеров.

Как соответствовать HIPAA

Соответствие HIPAA включает несколько шагов. Это скорее проход или провал. Вы соответствуете или нет. Чтобы соответствовать требованиям HIPAA, вам необходимо выполнить требования каждого шага и выполнять некоторые из этих требований ежегодно.

соблюдение хипаа

Источник: Группа соответствия.

Проводить оценки рисков безопасности, выявлять пробелы и включать планы исправления

Оценка рисков безопасности (SRA) необходима для выполнения требований HIPAA. Чтобы соответствовать требованиям HIPAA, вы должны ежегодно проходить оценку рисков безопасности HIPAA. Это связано с тем, что SRA измеряют вашу текущую защиту в соответствии со стандартами HIPAA. Разрыв возникает, когда ваша текущая работа не соответствует стандартам HIPAA.

«Пробелы» — это недостатки, которые могут привести к нарушениям HIPAA. Вот где планы восстановления вступают в игру. Планы исправления содержат действенные шаги для устранения пробелов в соблюдении требований. Чтобы быть эффективными, планы исправления должны быть конкретными, включая то, что будет сделано для устранения пробела, кто несет ответственность за исправление и график исправления.

Внедрение политик и процедур

Политики и процедуры должны быть разработаны с учетом трех правил HIPAA. Политики и процедуры должны адаптироваться к типу и размеру организации и ежегодно пересматриваться и обновляться, чтобы быть эффективными.

Политики и процедуры:

  • Надлежащее использование и раскрытие PHI вашей организацией и сотрудниками
  • Как ваша организация защищает PHI
  • Что делать в случае нарушения или подозрения на нарушение

В прошлом организации использовали руководства HIPAA для своих политик и процедур. Однако, поскольку руководства HIPAA являются стандартными, они не учитывают нюансы работы вашей организации.

Политики и процедуры, подходящие для небольшой медицинской практики, могут оказаться неэффективными для большой группы больниц, точно так же, как политики и процедуры, написанные для застрахованной организации, могут быть неприменимы к деловому партнеру.

Провести обучение HIPAA для сотрудников

Сотрудники, имеющие потенциальный доступ к PHI или ePHI, должны ежегодно проходить обучение. Обучение должно включать передовой опыт HIPAA, обзор политик и процедур вашей организации, а также передовой опыт кибербезопасности.

Согласно HIPAA, сотрудников следует обучать при приеме на работу, поэтому проведения курса обучения один раз в год недостаточно. Гибкая программа обучения сотрудников HIPAA необходима для удовлетворения потребностей в обучении.

Использование онлайн-инструмента обучения — лучший способ добиться этого. С помощью программы онлайн-обучения сотрудники могут назначаться на обучение, когда это необходимо, проходить обучение в своем собственном темпе, а администраторы могут отслеживать прогресс сотрудников.

Совет. Использование отдельной программы обучения HIPAA может помочь вам выполнить некоторые требования к обучению HIPAA, но убедитесь, что сотрудники также обучены политикам и процедурам вашей организации.

Подписать соглашения о деловом сотрудничестве

Соглашения о деловых партнерских отношениях HIPAA (HIPAA BAA) — это юридические контракты, которые должны быть подписаны между застрахованной организацией и ее деловым партнером (или между двумя деловыми партнерами). HIPAA BAA должны быть подписаны до обмена PHI или ePHI. Не каждый поставщик желает или может выступать в качестве делового партнера; если поставщик не подписывает BAA, он не может выполнять какие-либо обязанности делового партнера.

Предположим, вы ищете онлайн-планировщик встреч, который позволяет пациентам записываться на прием самостоятельно. Вы находите поставщика, который соответствует вашим административным требованиям, но он не хочет подписывать партнерское соглашение. Вы не можете заключить договор с этим поставщиком услуг для записи пациентов, пока они не подпишут BAA.

Управление инцидентами и реагирование

Частью соответствия HIPAA является реализация проверенного плана реагирования на инциденты. Вы можете быстро выявлять, реагировать и сообщать об инцидентах с помощью плана реагирования на инциденты. Организации с проверенным планом реагирования на инциденты значительно сокращают время, необходимое для восстановления после инцидента, и снижают затраты.

Нарушения HIPAA и штрафы

Хотя многие нарушения приводят к нарушениям HIPAA, само нарушение никогда не является причиной для штрафа компании. Нарушения HIPAA возникают, когда организация не соблюдает стандарты HIPAA. Штрафы HIPAA могут быть наложены в зависимости от серьезности нарушения.

хипаа нарушения

Источник: Группа соответствия.

Типичные примеры нарушений HIPAA включают неспособность:

  • Провести точную и тщательную оценку рисков
  • Обеспечить пациентам своевременный доступ к их медицинской документации
  • Правильно реагировать на онлайн-отзывы пациентов
  • Иметь подписанный договор о деловом партнерстве с деловым партнером
  • Правильно распоряжаться медицинскими картами пациентов

Итак, когда организация будет оштрафована за нарушение?

Штрафы HIPAA начисляются в зависимости от уровня предполагаемой небрежности.

  • Уровень 1 предназначен для наименее серьезных нарушений. Штрафы уровня 1 налагаются, когда происходит нарушение HIPAA, потому что подпадающая под действие организации или делового партнера не знала о нарушении правила. Чтобы квалифицироваться как штраф уровня 1, нарушение также должно быть нарушением, которого нельзя было бы избежать, если бы организация проявила разумную осмотрительность для соблюдения HIPAA. Штрафы на этом уровне варьируются от 120 до 60 226 долларов за нарушение.
  • Нарушения Уровня 2 происходят, когда застрахованная организация или деловой партнер знают о совершенном нарушении. Чтобы квалифицироваться как нарушение Уровня 2, это нарушение можно было бы избежать даже при разумной степени осторожности. Штрафы на этом уровне варьируются от 12 045 до 60 226 долларов за нарушение.
  • Нарушения уровня 3 считаются более серьезными, чем нарушения уровня 1 или уровня 2, и влекут за собой более крупные штрафы. Нарушения уровня 3 связаны с умышленным пренебрежением HIPAA. Чтобы считаться нарушителем Уровня 3, организация должна знать, что она нарушила HIPAA, проводя комплексную проверку. Эти нарушения должны быть исправлены в течение 30 дней, чтобы квалифицироваться как нарушения Уровня 3. Штрафы на этом уровне варьируются от 1205 до 12 045 долларов за нарушение.
  • Нарушения уровня 4 включают умышленное игнорирование правил HIPAA. OCR налагает штрафы Уровня 4, когда застрахованное лицо или деловой партнер не пытались исправить нарушение. Штрафы на этом уровне варьируются от 60 226 до 1 806 757 долларов за нарушение.

Организации, уличенные в нарушении HIPAA, часто подвергаются мониторингу OCR и корректирующим действиям. Планы корректирующих действий разрабатываются OCR после завершения расследования нарушений HIPAA, когда организации выявляют недостатки. Они предназначены для предотвращения дальнейших нарушений и инцидентов путем приведения программы соответствия организации в соответствие со стандартами HIPAA.

Оставайтесь совместимыми; оставаться в безопасности

Закон о переносимости и подотчетности медицинского страхования должен быть главным приоритетом для любой организации, участвующей в здравоохранении (застрахованной организации или делового партнера). Проще говоря, чтобы работать в сфере здравоохранения, вы должны соответствовать требованиям HIPAA.

Без HIPAA данные пациентов уязвимы для несанкционированного использования и раскрытия. Когда происходит нарушение, пациенты не только теряют уверенность в способности организации защитить их конфиденциальную информацию, но также могут привести к нарушению HIPAA и дорогостоящим штрафам.

Внедрив эффективную программу соответствия требованиям HIPAA, отвечающую всем стандартам HIPAA, вы улучшите общий уровень безопасности и снизите вероятность взломов и нарушений.

Теперь пациенты лучше осведомлены о HIPAA и своих правах. Соответствие HIPAA дает им уверенность в том, что они могут доверять вам свою конфиденциальную информацию.

Управление конфиденциальностью не заканчивается получением одного типа соответствия. Узнайте все об управлении конфиденциальностью данных и обеспечении безопасности вашей организации.