Zakon o prenošenju i odgovornosti za zdravstveno osiguranje usvojen je 1996. godine. On se sprovodi od strane Kancelarije za građanska prava Vlade Sjedinjenih Država. To je set federalnih smernica stvorenih kako bi se zaposlenima omogućilo njihovo zdravstveno osiguranje uz njih ako napuste poslodavca, dozvoliti pristup zdravstvenom osiguranju uprkos postojećim uslovima (pod određenim uslovima) i uspostaviti standarde privatnosti za zdravlje pacijenta informacije.
- Pravilo o privatnosti HIPAA štiti privatnost informacija koje se mogu identifikovati pojedinačno.
- Pravilo HIPAA bezbednosti postavlja nacionalne standarde za sigurnost elektronskih zdravstvenih informacija.
Zakonom je propisano da obezbijedi obrazovanje i obuku HIPAA za pojedince koji rade u zdravstvenoj industriji kako bi se osigurala odgovornost za privatnost i sigurnost zaštićenih zdravstvenih informacija. Pokriveni subjekti moraju obučiti sve članove radne snage o politikama i procedurama HIPAA-e.
1 -
Pravilo privatnosti HIPAAStandardi za privatnost individualnih informacija o zdravstvenoj zaštiti (Pravilo o privatnosti) dizajnirani su tako da se posebno bave zaštitom ličnih zdravstvenih informacija pojedinca. Važno je da vitalnost vaše medicinske kancelarije održava usklađenost sa HIPAA-om.
Ko je pokriven Pravilom privatnosti?
- Zdravstveni planovi
- Zdravstvene ustanove
- Clearinghouses za zdravstvenu zaštitu
Pokriveni subjekt, kao što je definisan u HIPAA-u, može biti plan zdravstvenog osiguranja, zdravstveni centar za pružanje zdravstvene zaštite ili zdravstveni radnik koji elektronski prenosi zaštićene zdravstvene informacije i može biti organizacija, ustanova ili lica.
Lekari i drugi zdravstveni radnici koji rade sa pacijentima i njihove poverljive medicinske dokumentacije moraju se pridržavati politike, procedura i zakona koji su dizajnirani da zaštiti privatnost i povjerljivost pacijenta. Svi zdravstveni radnici imaju odgovornost da obuku osoblje obučavaju i informišu o usklađenosti sa HIPAA-om . Bilo da je namerno ili slučajno, neovlašćeno otkrivanje PHI se smatra kršenjem HIPAA-e.
- Poslovni saradnici
Poslovni saradnik, kako je definisao HIPAA, je bilo koja osoba ili entitet koji obavlja poslovanje koji uključuje korištenje ili otkrivanje zaštićenih zdravstvenih informacija u ime pokrivenog subjekta i nije zaposlen u pokrivenom entitetu.
Koje informacije su zaštićene?
PHI ili zaštićena zdravstvena informacija se odnosi na bilo koju individualnu identifikaciju informacija uključenu u zdravstveni karton pacijenta koji se prenosi ili održava u bilo kom obliku.
Upotreba i objavljivanje
Pokriveni subjekt može koristiti ili otkriti zaštićene zdravstvene informacije (PHI) bez odobrenja pod određenim uslovima.
- Pojedinosti
- Tretman, plaćanje i zdravstvene radnje
- Upotreba i obelodanjivanja sa mogućnošću saglasnosti ili predmeta
- Incidentalna upotreba i obelodanjivanje.
- Javni interesi i beneficije
- Ograničeni podaci za potrebe istraživanja, javnog zdravstva ili operacija zdravstvene zaštite
Obaveštenje o privatnosti
Davaoci zdravstvene zaštite imaju obavezu da svojim pacijentima daju obaveštenje o privatnoj praksi. Ovo obaveštenje, prema zahtevu Pravilnika o privatnosti HIPAA, daje pacijentima pravo da budu obavešteni o svojim pravima iz privatnosti pošto se odnose na njihove zaštićene zdravstvene informacije (PHI).
Obaveštenje treba da opiše određene informacije u razumljivim terminima:
- Kako će provajder koristiti i otkriti svoj PHI
- Pacijenti koji imaju prava imaju vezano za sopstveni PHI
- Izjava koja pacijentu obaveštava o zakonima koji od provajdera zahtijevaju da održe privatnost svog javnog zdravstvenog osiguranja
- Ko pacijenti mogu kontaktirati za dodatne informacije o politikama privatnosti provajdera
Izvršenje i kazne za nepoštovanje
Kaznene mere za građanske novčane kazne
- 100 dolara po neuspjehu
- 25.000 dolara godišnje za više kršenja istog zahteva
Krivične kazne (za svesno sticanje ili otkrivanje PHI u povredi HIPAA-e)
- 50.000 dolara kazna i do jedne godine zatvora
- 100.000 dolara u novčanom kaznom i do pet godina zatvora (ako kršenje podrazumijeva lažne pretenzije)
- 250.000 dolara u novčanom kaznom i do deset godina zatvora (ako kršenje podrazumijeva namjeru prodaje, prenosa ili korištenja PHI)
2 -
Sigurnosno pravilo HIPAASigurnosni standardi za zaštitu informacija o elektronskim zaštićenim zdravljem (Pravilo obezbeđenja)
HIPAA sigurnost se odnosi na uspostavljanje zaštitnih mjera za PHI u bilo kom elektronskom formatu. Ovo uključuje sve informacije koje se koriste, čuvaju ili prenose elektronskim putem. Svaki objekat koji je HIPAA definisao kao subjekt obuhvaćen je odgovornim za osiguranje privatnosti i sigurnosti informacija svojih pacijenata, kao i očuvanje povjerljivosti njihovog zdravstvenog osiguranja.
Ko je pokriven pravilom sigurnosti?
- Zdravstveni planovi
- Zdravstvene ustanove
- Clearinghouses za zdravstvenu zaštitu
Pokriveni subjekt, kao što je definisan u HIPAA-u, može biti plan zdravstvenog osiguranja, zdravstveni centar za pružanje zdravstvene zaštite ili zdravstveni radnik koji elektronski prenosi zaštićene zdravstvene informacije i može biti organizacija, ustanova ili lica.
- Poslovni saradnici
Poslovni saradnik, kako je definisao HIPAA, je bilo koja osoba ili entitet koji obavlja poslovanje koji uključuje korištenje ili otkrivanje zaštićenih zdravstvenih informacija u ime pokrivenog subjekta i nije zaposlen u pokrivenom entitetu.
Koje informacije su zaštićene?
Elektronski PHI ili zaštićeni zdravstveni podaci se odnose na bilo koju individualnu identifikaciju informacija uključenu u zdravstveni karton pacijenta koji se prenosi ili održava u bilo kom obliku. Pravilo sigurnosti isključuje PHI koji se prenosi usmeno ili pismeno.
Administrativna pojednostavljenja
Odredbe administrativnog pojednostavljenja HIPAA utvrđuju nacionalne standarde za sigurnost elektronskih zaštićenih zdravstvenih informacija. Ovo uključuje pravila i standarde za transakcije i skupove koda i identifikatore za poslodavce i provajdere.
Transakcije i standardi kodiranja
Standardne transakcije za elektronsku razmjenu podataka (EDI) podataka o zdravstvenoj zaštiti obuhvataju informacije o zahtjevima i informacijama o susretu, plaćanju i doznakama, statusu potraživanja, podobnosti, upisu i odbijanju, upućivanja i ovlaštenja, koordinaciju naknada i premiju.
Standardni skupovi kodova za dijagnozu, proceduru i lekove uključuju HCPCS (pomoćne usluge / procedure), CPT-4 ( lekarske procedure), CDT (stomatološka terminologija), ICD-9 (dijagnoza i bolničke stacionarne procedure), ICD-10 Od 1. oktobra 2015. godine) i NDC (Nacionalni kodovi droga).
Standardi identifikacije za poslodavce i pružaoce usluga
Standardni identifikatori uključuju Identifikacijski broj poslodavca (EIN) i Nacionalni identifikator provajdera (NPI). EIN se koristi za identifikaciju poslodavaca na standardnim transakcijama. Identifikacija nacionalnog provajdera ili NPI je 10-cifreni jedinstveni identifikacioni broj koji se koristi za identifikaciju provajdera kao što je Jedinstveni identifikator provajdera (UPIN) u standardnim transakcijama HIPAA. Dobavljačima zdravstvene zaštite se zahteva regulisanje HIPAA-e za dobijanje NPI-a.
Pravila za održavanje HIPAA bezbednosti uključuju zaštitu za tri ključna područja.
Administrativne zaštitne mere
- Razviti formalan proces upravljanja bezbednošću uključujući razvoj politika i procedura, internih revizija, plana za slučaj nepredviđenih stanja i drugih zaštitnih mera kako bi se osigurala usaglašenost osoblja medicinskih službi.
- Dodijeliti odgovornost sigurnosti određenoj osobi za upravljanje i nadzor nad korištenjem mjera sigurnosti i ponašanja osoblja.
- Implementirati funkcije koje osiguravaju da osoblje ima odgovarajuću obuku i odgovarajuće odobrenje za pristup zdravstvenoj zaštiti.
- Definišite nivo pristupa za sve osoblje i kako je odobren
- Zahtevajte da svi zaposleni u medicinskim kancelarijama uključujući menadžment prolaze kroz obuku o sigurnosti i imaju periodične podsjetnike i obrazovanje korisnika.
Fizičke zaštitne mere
- Datoteke PHI na sigurnom mestu i radnom prostoru za zaposlene (ovo uključuje korištenje brava, ključeva i znački koji otključavaju vrata) koji ograničavaju pristup neovlašćenim osobama i uljezi.
- Razviti smernice za proveru autorizacije pristupa, kontrole opreme i rukovanja posjetiteljima. Razviti i obezbediti dokumentaciju uključujući uputstva o tome kako vaša medicinska služba može pomoći zaštiti PHI (na primer, odjavljivanje računara pre nego što ga ostavite bez nadzora)
- Obezbedite zaštitu od požara i drugih opasnosti
Tehnički zaštitnici
- Uspostavite jedinstvenu identifikaciju korisnika uključujući lozinke i pinove
- Usvojite automatsku kontrolu logotipa
- Snimiti i ispitati sistemske aktivnosti za potrebe revizije
- Koristite kontrole šifrovanja da biste zaštitili prenete podatke preko mreže
Izvršenje i kazne za nepoštovanje
Kaznene mere za građanske novčane kazne
- 100 dolara po neuspjehu
- 25.000 dolara godišnje za više kršenja istog zahteva
Krivične kazne (za svesno sticanje ili otkrivanje PHI u povredi HIPAA-e)
- Kazna od 50.000 dolara i kazna zatvora do jedne godine
- 100.000 dolara u novčanom kaznom i do pet godina zatvora (ako kršenje podrazumijeva lažne pretenzije)
- 250.000 dolara u novčanom kaznom i do deset godina zatvora (ako kršenje podrazumijeva namjeru prodaje, prenosa ili korištenja PHI)
3 -
Saveti za izbjegavanje kršenja HIPAA- Preduzmite neophodne korake da ne biste otkrivali informacije putem rutinskog razgovora. Izbegavajte otkrivanje informacija putem rutinskog razgovora; diskutovanje o informacijama o pacijentu u prostorijama za čekanje, hodnicima ili liftovima; pravilno odlaganje PHI; i pristup informacijama strogo je ograničen na zaposlene čiji poslovi zahtijevaju te informacije. Osnovne informacije mogu izgledati tako nepomjerne da se lako mogu pominjati u rutinskom razgovoru, ali se trebaju dijeliti samo na osnovu potrebe za poznavanjem.
- Izbegavajte diskutovanje o informacijama o pacijentu u prostorijama za čekanje, hodnicima ili liftovima. Posetioci ili drugi pacijenti mogu slušati osjetljive informacije. Takođe, vodite evidenciju o pacijentima iz oblasti koje su dostupne javnosti. S obzirom da su postrojenja za prijavljivanje i medicinske sestre na otvorenom, idite na više milja da biste osigurali da su računari uvek osigurani. Držač grafikona treba montirati i prednji panel pokriven prema HIPAA standardima.
- PHI nikada ne smije biti uklonjen u kantu za smeće. Svaki dokument bačen u smeće je otvoren za javnost, a time i kršenje informacija. Postoji mnogo načina za raspolaganje PHI. Pravilno odlaganje papira PHI uključuje spaljivanje ili drobljenje. Elektronski PHI se može ukloniti brisanjem, brisanjem, preformulacijom, spaljivanjem, topljenjem ili sječenjem.
- Postoji niz dostupnih tehnologija osmišljenih da obezbede podatke o pacijentu. Budite selektivni pri izboru uređaja i softvera koji obezbeđuju podatke preko bežične veze uključujući zaštitne zidove, anti-virus, anti-spyware i tehnologiju otkrivanja upada. Koristite ekstremno oprez prilikom pristupa podacima preko daljinske veze. IT stručnjaci predlažu da koriste dvokomponentni sistem autentifikacije sa sigurnosnim žetonom i lozinkama.