1996 m. Buvo priimtas Sveikatos draudimo perkeliamumo ir atskaitomybės aktas . Jį vykdo Jungtinių Valstijų vyriausybės civilinių teisių biuras. Tai yra federalinių gairių rinkinys, sukurtas siekiant sudaryti sąlygas darbuotojams su jais susipažinti su sveikatos draudimu, jei jie palieka darbdavį, leidžia žmonėms gauti medicininį draudimą nepaisant anksčiau nustatytų sąlygų (tam tikromis sąlygomis) ir nustatyti privatumo standartus paciento sveikatai informacija.
- HIPAA privatumo taisyklė apsaugo individualiai nustatomą sveikatos informaciją.
- HIPAA saugumo taisyklėje nustatyti nacionaliniai elektroninės sveikatos informacijos saugumo standartai.
Pagal įstatymą įstatymai numato HIPAA švietimą ir mokymą asmenims, dirbantiems sveikatos priežiūros sektoriuje, kad užtikrintų atskaitomybę už saugomos sveikatos informacijos privatumą ir saugumą. Aptariami subjektai turi apmokyti visus HIPAA politikos ir procedūrų darbuotojus.
1 -
HIPAA privatumo taisyklėIndividualiai identifikuojamos sveikatos informacijos konfidencialumo standartai (Privatumo taisyklė) buvo skirti konkrečiai asmens asmens sveikatos informacijos apsaugai. Svarbu, kad jūsų medicinos tarnybos gyvybingumas atitiktų HIPAA reikalavimus.
Kam taikoma privatumo taisyklė?
- Sveikatos planai
- Sveikatos priežiūros paslaugų teikėjai
- Sveikatos priežiūros informacijos centrai
Aptariamas subjektas, kaip apibrėžta HIPAA, gali būti sveikatos draudimo planas, sveikatos priežiūros informacijos centras arba sveikatos priežiūros paslaugų teikėjas, kuris elektroniniu būdu perduoda saugią sveikatos informaciją ir gali būti organizacijomis, įstaigomis ar asmenimis.
Gydytojai ir kiti sveikatos priežiūros specialistai, dirbantys su pacientais, ir jų konfidencialūs medicininiai įrašai turi laikytis politikos, procedūrų ir įstatymų, skirtų pacientų privatumui ir konfidencialumui apsaugoti. Visi sveikatos priežiūros paslaugų teikėjai yra atsakingi už savo darbuotojų mokymą ir informavimą apie HIPAA atitikimą . Nesvarbu, ar tyčinis, ar atsitiktinis, neteisėtas PHI atskleidimas laikomas HIPAA pažeidimu.
- Verslo asociacijos
Verslo partnerė, kaip apibrėžta HIPAA, yra bet kuris asmuo ar subjektas, kuris vykdo veiklą, susijusį su saugomos sveikatos informacijos naudojimu ar atskleidimu uždaro subjekto vardu, ir nėra apmokamo subjekto darbuotojas.
Kokia informacija yra saugoma?
PHI arba "Protected Health Information" - tai bet kokia atskirai identifikuojanti informacija, įtraukta į paciento medicininę pažymą, kuri perduodama ar palaikoma bet kuria forma.
Naudojimas ir atskleidimas
Užtikrintas subjektas gali naudoti arba atskleisti saugomą sveikatos informaciją (PHI) be leidimo tam tikromis sąlygomis.
- Asmeniui
- Gydymo, mokėjimo ir sveikatos priežiūros operacijos
- Naudojimas ir atskleidimas su galimybe susitarti arba objektas
- Atsitiktinis naudojimas ir atskleidimas.
- Visuomenės interesai ir išmokos
- Ribotas duomenų rinkinys, skirtas moksliniams tyrimams, visuomenės sveikatai ar sveikatos priežiūros operacijoms
Pranešimas apie privatumo praktiką
Sveikatos priežiūros paslaugų teikėjai privalo pateikti savo pacientams pranešimą apie privatumo praktiką. Šiame pranešime, kaip reikalaujama HIPAA privatumo taisyklėje, pacientams suteikiama teisė būti informuotam apie jų privatumo teises, nes tai susiję su jų saugoma sveikatos informacija (PHI).
Pranešime turėtų būti pateikiama tam tikra informacija lengvai suprantama kalba:
- Kaip teikėjas naudos ir atskleis savo PHI
- Pacientų teisės yra susijusios su savo PHI
- Pranešimas, informuojantis pacientą apie įstatymus, pagal kuriuos paslaugų teikėjas turi užtikrinti savo PHI privatumą
- Kas pacientai gali kreiptis dėl papildomos informacijos apie paslaugų teikėjo privatumo politiką
Vykdymas ir sankcijos už nesilaikymą
Civilinių pinigų bausmės
- 100 LTL už nesilaikymą
- Didžiausias 25 000 JAV dolerių per metus už kelis to paties reikalavimo pažeidimus
Baudžiamosios sankcijos (už sąmoningą PHI gavimą ar atskleidimą pažeidžiant HIPAA)
- 50 000 dol. Bauda ir iki vienerių metų laisvės atėmimo
- 100 000 dolerių bauda ir laisvės atėmimas iki penkerių metų (jei pažeidimas susijęs su klaidingomis pretenzijomis)
- 250 000 dol. Bauda ir iki 10 metų laisvės atėmimas (jei pažeidimas susijęs su ketinimu parduoti, perduoti ar naudoti PHI)
2 -
HIPAA saugumo taisyklėApsaugos elektroninės saugos informacijos apie sveikatą standartai (saugumo taisyklė)
HIPAA saugumas reiškia nustatyti PHI apsaugos priemones bet kuriame elektroniniame formate. Tai apima bet kokią naudojamą, saugomą ar perduodamą informaciją elektroniniu būdu. Bet kokia priemonė, kurią HIPAA apibrėžia kaip subjektą, kuriam taikomas reikalavimas, yra atsakingas už savo paciento informacijos privatumo ir saugumo užtikrinimą bei jų PHI konfidencialumo užtikrinimą.
Kas taikoma saugumo taisyklėms?
- Sveikatos planai
- Sveikatos priežiūros paslaugų teikėjai
- Sveikatos priežiūros informacijos centrai
Aptariamas subjektas, kaip apibrėžta HIPAA, gali būti sveikatos draudimo planas, sveikatos priežiūros informacijos centras arba sveikatos priežiūros paslaugų teikėjas, kuris elektroniniu būdu perduoda saugią sveikatos informaciją ir gali būti organizacijomis, įstaigomis ar asmenimis.
- Verslo asociacijos
Verslo partnerė, kaip apibrėžta HIPAA, yra bet kuris asmuo ar subjektas, kuris vykdo veiklą, susijusį su saugomos sveikatos informacijos naudojimu ar atskleidimu uždaro subjekto vardu, ir nėra apmokamo subjekto darbuotojas.
Kokia informacija yra saugoma?
Elektroninė PHI arba "Protected Health Information" reiškia bet kokią asmeniškai identifikuojančią informaciją, įtrauktą į paciento medicininę pažymą, kuri yra perduota ar palaikoma bet kokia forma. Saugos taisyklėje draudžiama perteikti žodžiu arba raštu PHI.
Administracinis supaprastinimas
HIPAA administracinės supaprastinimo nuostatos nustato nacionalinius saugomos elektroninės saugomos sveikatos informacijos saugumo standartus. Tai apima taisykles ir standartus sandoriams ir kodų rinkiniams bei identifikatoriams darbdaviams ir teikėjams.
Sandoriai ir kodų nustatymo standartai
Sveikatos priežiūros duomenų elektroninių duomenų mainų (EDI) standartiniai sandoriai apima pretenzijas ir informaciją, mokėjimo ir pervedimo patarimus, pretenzijų statusą, tinkamumą, įtraukimą į registrą ir atsisakymą išduoti vizą, persiuntimų ir leidimų išdavimo tvarką, išmokų ir priemokų mokėjimo koordinavimą.
Standartiniai diagnozės, procedūros ir narkotikų kodų rinkiniai apima HCPCS (Papildomos paslaugos / procedūros), CPT-4 (gydytojų procedūros), CDT (dantų terminologija), ICD-9 (diagnozė ir ligoninės stacionarinės procedūros), ICD-10 ( Nuo 2015 m. Spalio 1 d.) Ir NDC (Nacionalinių vaistų kodeksų) kodai.
Identifikavimo standartus darbdaviams ir teikėjams
Standartiniai identifikatoriai apima darbdavio identifikacinį numerį (EIN) ir nacionalinį paslaugų teikėjo identifikatorių (NPI). EIN naudojamas standartinių operacijų darbdaviams identifikuoti. Nacionalinio teikėjo identifikacija arba NPI yra 10 skaitmenų unikalus identifikavimo numeris, naudojamas paslaugų teikėjo identifikatorių, tokių kaip unikalus paslaugų teikėjo identifikavimo numeris (UPIN), naudojimui HIPAA standartinėse operacijose. Sveikatos priežiūros paslaugų teikėjai yra reikalaujami pagal HIPAA reglamentą, kad gautų NPI.
HIPAA saugumo išlaikymo taisyklės apima trijų pagrindinių sričių apsaugos priemones.
Administracinės apsaugos priemonės
- Sukurti oficialų saugumo valdymo procesą, įskaitant politikos ir procedūrų, vidaus auditų, nenumatytų atvejų plano ir kitų apsaugos priemonių plėtrą, siekiant užtikrinti, kad medicinos tarnybos darbuotojai laikytųsi reikalavimų.
- Paskirti saugumà atsakingam asmeniui, norint valdyti ir priþiûrëti saugumo priemoniø naudojimà ir personalo elgesá.
- Įdiekite funkcijas, kurios užtikrina, kad darbuotojai turėtų tinkamą mokymą ir tinkamą leidimą naudotis PHI.
- Nustatykite visų darbuotojų skaičių ir jų suteikimo lygį
- Reikalauti, kad visi medicinos tarnybos darbuotojai, įskaitant vadovybę, būtų apmokyti saugumo klausimais, turėti periodinius priminimus ir mokyti vartotojus.
Fizinės apsaugos priemonės
- Failo PHI saugioje vietoje ir darbo vietoje darbuotojams (tai apima spynų, raktų ir ženkliukų, kurie atrakina duris, naudojimą), kurios apriboja prieigą neleistinam asmenims ir įsibrovėliams.
- Kurti prieigos leidimų, įrangos kontrolės ir lankytojų tvarkymo politiką. Paruoškite ir pateikite dokumentus, įskaitant nurodymus, kaip jūsų medicinos įstaiga gali padėti apsaugoti PHI (pvz., Atsijungti nuo kompiuterio prieš palikdami jį be priežiūros).
- Pateikite apsaugą nuo gaisro ir kitų pavojų
Techninės apsaugos priemonės
- Nustatykite unikalų vartotojo identifikavimą, įskaitant slaptažodžius ir PIN kodus
- Priimti automatinio išjungimo valdymą
- Įrašykite ir patikrinkite sistemos veiklą audito tikslais
- Naudokite šifravimo valdiklius, kad apsaugotumėte perduotus duomenis per tinklą
Vykdymas ir sankcijos už nesilaikymą
Civilinių pinigų bausmės
- 100 LTL už nesilaikymą
- Didžiausias 25 000 JAV dolerių per metus už kelis to paties reikalavimo pažeidimus
Baudžiamosios sankcijos (už sąmoningą PHI gavimą ar atskleidimą pažeidžiant HIPAA)
- 50 000 dolerių bauda ir laisvės atėmimas iki vienerių metų
- 100 000 dolerių bauda ir laisvės atėmimas iki penkerių metų (jei pažeidimas susijęs su klaidingomis pretenzijomis)
- 250 000 dol. Bauda ir iki 10 metų laisvės atėmimas (jei pažeidimas susijęs su ketinimu parduoti, perduoti ar naudoti PHI)
3 -
Patarimai, kaip išvengti HIPAA pažeidimų- Imkitės būtinų priemonių, kad atskleisti informaciją per įprastą pokalbį. Vengti informacijos atskleidimo per įprastą pokalbį; aptarti paciento informaciją laukimo zonose, koridoriuose ar liftuose; tinkamas PHI šalinimas; ir prieigą prie informacijos griežtai apsiriboja darbuotojais, kurių darbo vietos reikalauja tokios informacijos. Pagrindinė informacija gali atrodyti tokia nereikšminga, kad ji gali būti lengvai paminėta įprastame pokalbyje, tačiau turėtų būti dalijamasi tik tuo, kad reikia žinoti.
- Venkite aptarti paciento informacijos laukimo zonose, koridoriuose ar liftuose. Gyventojai ar kiti pacientai gali išgirsti jautrią informaciją. Taip pat būtinai laikykite pacientų įrašus iš sričių, kurios yra prieinamos visuomenei. Kadangi registracijos stalai ir slaugos stotys yra lauke, eikite į kitą mylių vietą, kad užtikrintumėte, jog kompiuteriai visuomet yra saugūs. Diafragmos laikikliai turi būti montuojami, o priekinis skydelis turi būti uždėtas pagal HIPAA standartus.
- PHI niekada negalima išmesti į šiukšliadėžę. Bet koks dokumentas, išmestas į šiukšliadėžę, yra atviras visuomenei ir todėl yra informacijos pažeidimas. Yra daugybė PHI šalinimo būdų. Tinkamas popieriaus PHI šalinimas apima deginimą ar smulkinimą. Elektroninis PHI gali būti pašalintas ištrinant, ištrynant, pertvarkant, deginant, lydant arba smulkinant.
- Yra keletas galimų technologijų, skirtų pacientų duomenims apsaugoti. Būkite pasirinktinai renkantis įrenginius ir programinę įrangą, kuri saugo duomenis bevieliu ryšiu, įskaitant ugniasienes, antivirusines, anti-spyware programas ir įsibrovimų aptikimo technologijas. Kai naudojate nuotolinio ryšio duomenis, naudokite ypač atsargiai. IT specialistai siūlo naudoti dviejų faktorių autentifikavimo sistemą su saugumo žetonais ir slaptažodžiais.