Éves HIPAA megfelelőségi képzés

Az egészségbiztosítási hordozhatósági és elszámoltathatósági törvényt 1996-ban fogadták el. Ezt az Egyesült Államok kormányának polgári jogi hivatala érvényesítette. Ez olyan szövetségi iránymutatások készlete, amelyek lehetővé teszik az alkalmazottak számára, hogy egészségbiztosítást vállaljanak velük, ha elhagyják a munkáltatót, lehetővé teszik az emberek számára az egészségügyi biztosításhoz való hozzáférést az eddig fennálló feltételek ellenére (bizonyos feltételek mellett) információ.

• A HIPAA adatvédelmi szabály védi az egyénileg azonosítható egészségügyi információk magánéletét.
• A HIPAA biztonsági szabályzat nemzeti szabványokat állapít meg az elektronikus egészségügyi információk biztonsága érdekében.

A törvény előírja, hogy a HIPAA oktatást és képzést biztosítson az egészségügyben dolgozó egyének számára a védett egészségügyi információk magánéletének és biztonságának biztosításáért. A fedezett jogalanyoknak a munkaerő valamennyi tagját a HIPAA-politikákra és eljárásokra kell képezniük.

1 -

HIPAA adatvédelmi szabály

Az Egyénileg azonosítható Egészségügyi Adatvédelmi Szabványok (az Adatvédelmi Szabály) célja, hogy kifejezetten foglalkozzon az egyén személyes egészségügyi információinak védelmével. Fontos, hogy az orvosi hivatal vitalitása fenntartsa a HIPAA megfelelést.

Ki vonatkozik az Adatvédelmi szabály?

• Egészségügyi tervek
• Egészségügyi szolgáltatók
• Egészségügyi tisztítóintézetek

A HIPAA-ban meghatározott fedezett gazdálkodó lehet egészségbiztosítási terv, egészségügyi tisztviselő vagy egészségügyi szolgáltató, amely elektronikusan továbbítja a védett egészségügyi információkat, és lehet szervezetek, intézmények vagy személyek.

A betegekkel és a bizalmas orvosi nyilvántartással foglalkozó orvosoknak és egyéb egészségügyi szakembereknek be kell tartaniuk a betegek adatainak és titkosságának védelmére vonatkozó irányelveket, eljárásokat és törvényeket. Minden egészségügyi szolgáltató felelőssége, hogy a személyzetet képzett és tájékozott legyen a HIPAA megfelelés tekintetében . Akár szándékos, akár véletlen, a PHI jogosulatlan közzététele a HIPAA megsértésének minősül.

• Üzlettársak

A HIPAA által meghatározott üzleti társult vállalkozás olyan személy vagy jogalany, amely üzleti tevékenységet folytat a védett egészségügyi információ felhasználásával vagy nyilvánosságra hozatalával egy fedezett vállalkozás nevében, és nem a fedezett egység alkalmazottja.

Milyen információk védettek?

A PHI vagy a védett egészségügyi információ a páciens orvosi nyilvántartásában szereplő bármely egyedi azonosításra utal, amelyet bármilyen formában továbbítanak vagy karbantartanak.

Használat és közzététel

A fedezett szervezet engedély nélkül engedélyezheti vagy nyilvánosságra hozhatja a védett egészségügyi információkat (PHI) bizonyos feltételek mellett.

1. Az egyénnek
2. Kezelés, fizetés és egészségügyi ellátás
3. Felhasználások és közzétételek, amelyek lehetővé teszik az elfogadást vagy az objektumot
4. Véletlenszerű használat és közzététel.
5. Közérdekű és juttatási tevékenységek
6. Korlátozott adatkészlet a kutatás, közegészségügyi vagy egészségügyi ellátás céljából

Adatvédelmi gyakorlatról szóló közlemény

Az egészségügyi szolgáltatók kötelessége, hogy betegjeiket az adatvédelmi gyakorlatról szóló közleményben részesüljenek. Ez a közlemény a HIPAA adatvédelmi szabályainak megfelelően előírja a betegeknek a jogot arra, hogy tájékoztatást kapjanak az adatvédelmi jogaikról, mivel azok védett egészségügyi információikra (PHI) vonatkoznak.

A közleménynek tartalmaznia kell bizonyos információkat könnyen érthető kifejezésekkel:

• A szolgáltató hogyan fogja használni és közzéteszi PHI-jét
• A betegek jogai a saját PHI-jukra vonatkoznak
• Egy nyilatkozat arról, hogy a páciens olyan törvényekről rendelkezik, amelyek megkövetelik a szolgáltatótól, hogy megőrizze PHI titkosságát
• Kik a betegek kapcsolatba léphetnek a szolgáltató adatvédelmi politikájával kapcsolatos további információkért?

Végrehajtás és szankciók a nem megfelelőség érdekében

Civil pénzbüntetések

• 100 dollár per meg nem felelés esetén
• Évenként 25 000 dollár értékben többszörös megsértése ugyanazon követelménynek

Büntetőjogi szankciók (a HIPAA megsértése miatt a PHI tudatos beszerzése vagy nyilvánosságra hozatala miatt)

• 50 000 dollár finom és legfeljebb egy éves szabadságvesztés
• 100 000 dolláros pénzbírság és öt évig terjedő szabadságvesztés (ha a jogsértés hamis vádakat tartalmaz)
• 250 000 $ finom és legfeljebb tíz év börtönbüntetés (ha a jogsértés szándéka az eladása, átadása vagy a PHI használata)

2 -

HIPAA biztonsági szabály

Az elektronikusan védett egészségügyi információk védelmének biztonsági szabályai (a biztonsági szabály)

A HIPAA biztonsága a PHI biztosítékának létrehozását jelenti bármely elektronikus formában. Ez magában foglalja az elektronikusan használt, tárolt vagy továbbított információkat. A HIPAA mint fedezett egység által meghatározott bármely létesítmény felelős a beteg információinak magánéletének és biztonságának biztosításáért, valamint a PHI titkosságának fenntartásáért.

Ki vonatkozik a biztonsági szabály?

• Egészségügyi tervek
• Egészségügyi szolgáltatók
• Egészségügyi tisztítóintézetek

A HIPAA-ban meghatározott fedezett gazdálkodó lehet egészségbiztosítási terv, egészségügyi tisztviselő vagy egészségügyi szolgáltató, amely elektronikusan továbbítja a védett egészségügyi információkat, és lehet szervezetek, intézmények vagy személyek.

• Üzlettársak

A HIPAA által meghatározott üzleti társult vállalkozás olyan személy vagy jogalany, amely üzleti tevékenységet folytat a védett egészségügyi információ felhasználásával vagy nyilvánosságra hozatalával egy fedezett vállalkozás nevében, és nem a fedezett egység alkalmazottja.

Milyen információk védettek?

Az elektronikus PHI vagy a védett egészségügyi információ a páciens orvosi nyilvántartásában szereplő bármely egyedi azonosításra utal, amelyet bármilyen formában továbbítanak vagy karbantartanak. A biztonsági szabály kizárja a PHI-t szóban vagy írásban.

Adminisztratív egyszerűsítés

A HIPAA adminisztratív egyszerűsítési rendelkezései nemzeti szabványokat hoznak létre az elektronikusan védett egészségügyi információk biztonsága érdekében. Ez magában foglalja a tranzakciókra, kódkészletekre és azonosítókra vonatkozó szabályokat és szabványokat a munkaadók és a szolgáltatók számára.

Tranzakciók és kódkészlet-szabványok

Az egészségügyi adatok elektronikus adatcserére (EDI) vonatkozó szokásos tranzakciók magukban foglalják a követelésekre és találkozásokra vonatkozó információkat, a fizetési és átutalási tanácsadást, a követelés állapotát, jogosultságát, a beiratkozást és a bejutást, az áttételeket és az engedélyeket, az ellátások összehangolását és a prémium kifizetést.

A diagnózis, az eljárás és a kábítószer-kódok standard kódkészletei közé tartoznak a HCPCS (kiegészítő szolgáltatások / eljárások), CPT-4 (orvosi eljárások), CDT (fogászati ​​terminológia), ICD-9 (diagnosztika és kórházi fekvőbetegségek), ICD-10 2015. október 1-től) és az NDC (National Drug Codes) kódjait.

Azonosítói szabványok a munkaadók és szolgáltatók számára

A szabványos azonosítók közé tartozik a munkaadói azonosító szám (EIN) és a nemzeti szolgáltatói azonosító (NPI). Az EIN-t arra használják, hogy azonosítsa a munkáltatókat a szokásos ügyleteken. A Nemzeti Szolgáltatói azonosítás vagy NPI egy 10 számjegyű egyedi azonosítószám, amelyet a szolgáltatói azonosítók, például az Egységes Szolgáltatói azonosítási szám (UPIN) helyének felvételére használnak a HIPAA szabványos ügyletekben. Az egészségügyi szolgáltatókat a HIPAA szabályozása előírja az NPI megszerzésére.

A HIPAA biztonságának megőrzésére vonatkozó szabályok három kulcsfontosságú területre vonatkozó biztosítékokat tartalmaznak.

Adminisztratív biztosítékok

1. Fejleszteni kell a formális biztonsági menedzsment folyamatot, ideértve a szakpolitikák és eljárások kidolgozását, a belső ellenőrzéseket, a készenléti tervet és egyéb biztosítékokat, hogy biztosítsák az orvosi személyzet megfelelőségét.
2. Hozzárendelheti a biztonság felelősségét egy kijelölt személyhez a biztonsági intézkedések alkalmazásának és felügyeletének és a személyzet magatartásának felügyeletéért.
3. Olyan szolgáltatásokat kell bevezetni, amelyek biztosítják a személyzet megfelelő képzését és megfelelő engedélyezését a PHI eléréséhez.
4. Határozza meg a hozzáférési szintet az összes személyzet számára és annak módját illetően
5. Kéri, hogy minden orvosi hivatal személyzete, beleértve a menedzsmentet is végezzen biztonsági képzést, és rendszeres emlékeztetőket és felhasználói oktatást.

Fizikai védintézkedések

1. A PHI fájl biztonságos helyen és a munkatársak munkaterületén (ez magában foglalja a zárak, kulcsok és jelvények használatát, amelyek kinyitják az ajtókat), amelyek korlátozzák a jogosulatlan személyek és betolakodók hozzáférését.
2. Fejleszteni kell a hozzáférési engedélyek ellenőrzését, a berendezések ellenőrzését és a látogatók kezelését. Készítsen és készítsen dokumentációt, beleértve az orvosi rendelő PHI védelmének módjáról szóló utasításokat (például a számítógép naplózása előtt felügyelet nélkül)
3. Tűz és egyéb veszélyek elleni védelem

Műszaki biztosítékok

1. Hozzon létre egyedi felhasználói azonosítót, beleértve a jelszavakat és a PIN-kódokat
2. Engedélyezze az automatikus visszahívást
3. A rendszer tevékenységének rögzítése és vizsgálata auditálási célokra
4. Használja a titkosítási vezérlőket a továbbított adatok hálózaton keresztüli védelmére

Végrehajtás és szankciók a nem megfelelőség érdekében

Civil pénzbüntetések

• 100 dollár per meg nem felelés esetén
• Évenként 25 000 dollár értékben többszörös megsértése ugyanazon követelménynek

Büntetőjogi szankciók (a HIPAA megsértése miatt a PHI tudatos beszerzése vagy nyilvánosságra hozatala miatt)

• 50 000 dollár bírság és egy évig terjedő szabadságvesztés
• 100 000 dolláros pénzbírság és öt évig terjedő szabadságvesztés (ha a jogsértés hamis vádakat tartalmaz)
• 250 000 $ finom és legfeljebb tíz év börtönbüntetés (ha a jogsértés szándéka az eladása, átadása vagy a PHI használata)

3 -

Tippek a HIPAA megsértésének elkerüléséhez

1. Tegye meg a szükséges lépéseket annak érdekében, hogy a rutin beszélgetéseken keresztül ne tegye közzé az információkat. Kerülje az információ felfedését a rutin beszélgetéseken keresztül; a betegek tájékoztatása a várakozó helyeken, folyosókon vagy lifteken; a PHI megfelelő ártalmatlanítása; és az információkhoz való hozzáférést szigorúan azokra a munkavállalókra korlátozzák, akiknek a munkája ezt az információt igényli. Az alapinformációk olyan jelentéktelennek tűnhetnek, hogy könnyen megemlíthetők a rutin beszélgetésben, de csak megosztani kell a tudás alapja.
2. Kerülje a betegek tájékoztatását a várakozó helyeken, folyosókon vagy lifteken. Érzékeny információk hallhatók a látogatók vagy más betegek által. Ügyeljen arra is, hogy a betegek nyilvántartását a nyilvánosság számára hozzáférhető területekről tartsa. Mivel a check-in asztalok és az ápolók állomásai nyitva vannak, menjünk az extra mérföldre, hogy biztosítsuk a számítógép biztonságát mindenkor. A grafikontartókat fel kell szerelni, és az előlapot a HIPAA szabványoknak megfelelően kell lefedni.
3. A PHI-t soha nem szabad a szemetesbe dobni. A szemétbe dobott dokumentum a nyilvánosság számára nyitva áll, ezért az információ megsértése. Sok lehetőség van a PHI eldobására. A papír PHI megfelelő elhelyezéséhez tartozik az égetés vagy aprítás. Az elektronikus PHI-t eltörölheti, törölheti, törölheti, újraformázhatja, égetheti, olvadhat vagy apríthet.
4. Számos elérhető technológia áll rendelkezésre a betegadatok biztosítására. Legyen szelektív az olyan eszközök és szoftverek kiválasztásában, amelyek vezeték nélküli kapcsolaton keresztül biztosítják az adatokat, beleértve a tűzfalat, vírusirtó, kémprogram-elhárító és behatolásérzékelő technológiát. Különös óvatossággal járjon el, amikor az adatok távoli kapcsolaton keresztül érkeznek. Az informatikai szakemberek kétfaktoros hitelesítési rendszert használnak biztonsági jelzőkkel és jelszavakkal.