Hledáte shrnutí HIPAA nebo průvodce HIPAA 101?Začněte zde.
Pokud jde o pochopení základů HIPAA, může se zdát, že jde o náročný úkol. Číst nařízení znamená prokousat se složitým právnickým jazykem a spoléhat se na pověsti může vést k více nedorozuměním než k objasnění.
Proto jsme připravili tohoto průvodce HIPAA 101 The Basics. Ve srozumitelné příručce, která vám pomůže pochopit dodržování zákona HIPAA, najdete vše, co potřebujete k tomu, abyste zákonu s jistotou porozuměli.
Co je to HIPAA?
Zákon o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 (Health Insurance Portability and Accountability Act of 1996, HIPAA) je řada národních standardů, které musí mít zdravotnické organizace zavedeny za účelem ochrany soukromí a zabezpečení chráněných zdravotních informací (PHI). PHI jsou veškeré demografické individuálně identifikovatelné informace, které lze použít k identifikaci pacienta. Mezi běžné příklady PHI patří jména, adresy, e-maily, telefonní čísla, fotografie celého obličeje,
Než začneme, podívejme se na několik klíčových definic, které se vztahují k základům HIPAA.
Podle nařízení HIPAA existují dva typy organizací:
- Pokryté subjekty (CE): Poskytovatelé zdravotní péče, plány zdravotního pojištění a zúčtovací střediska zdravotní péče. CE se podílejí na přímém vytváření PHI a musí být v souladu s celým rozsahem nařízení HIPAA.
- Obchodní partneři (BA): Jakákoli organizace najatá CE (nebo jiným BA), která se nutně setká s PHI v průběhu práce, k jejímuž provedení byla najata. Mezi běžné příklady BA patří poskytovatelé IT, firmy spravující praxi, poskytovatelé fyzických úložišť, poskytovatelé cloudových úložišť, šifrování e-mailů, zálohování dat a mnoho dalších. BA nemusí dodržovat pravidla ochrany osobních údajů HIPAA jako celek, ale musí dodržovat ostatní platné regulační normy.
Od svého prvního přijetí v roce 1996 prošel HIPAA mnoha změnami, revizemi a doplňky. Souhrnně se jim začalo říkat pravidla HIPAA. Pravidla HIPAA zahrnují:
- Pravidlo HIPAA o ochraně osobních údajů: Pravidlo o ochraně soukromí stanoví národní standardy pro ochranu soukromí, integritu a dostupnost informací o pacientovi. Pravidlo popisuje ochranná opatření, která musí být zavedena, aby bylo zajištěno zachování soukromí PHI. Pravidlo také stanoví pokyny pro práva pacientů na přístup k jejich zdravotnické dokumentaci, kromě použití, zpřístupnění a oprávnění, která musí mít ZP zavedena.
- Pravidlo bezpečnosti HIPAA:
- Pravidlo o bezpečnosti HIPAA: Pravidlo o bezpečnosti stanovuje národní standardy pro zachování bezpečnosti PHI prostřednictvím řady technických, fyzických a administrativních bezpečnostních opatření, která musí CE a BA zavést: Pravidlo o oznamování narušení bezpečnosti popisuje postupy, které musí subjekty podléhající HIPAA dodržovat v případě narušení bezpečnosti údajů. V závislosti na počtu osob, kterých se dané narušení týká, existují různé lhůty a standardy pro oznamování, které toto pravidlo vyžaduje.
- HIPAA Omnibus Rule: Pravidlo Omnibus provedlo několik významných změn v regulaci HIPAA, zejména pokud jde o úlohu BA. Od roku 2013, kdy Pravidlo poprvé vstoupilo v platnost, mají BA povinnost dodržovat předpisy HIPAA. Pravidlo Omnibus navíc stanovilo přísnější pravidla pro uzavírání smluv s obchodními partnery, o nichž bude řeč později v tomto článku.
Teď, když už máte představu o základech dodržování zákona HIPAA, se ponoříme do toho, co je nutné, aby vaše praxe mohla zákon účinně dodržovat.
Jak se stát v souladu s HIPAA
Audity HIPAA
Prvním krokem každého účinného programu shody je provedení řady auditů. Tyto audity vám poskytnou základní informace o tom, jak si vaše praxe stojí v porovnání se zákonem HIPAA.
Neexistuje žádný předem definovaný seznam auditů, které je třeba provést, nicméně tyto audity by měly být provedeny ve všech prvcích vaší činnosti, aby bylo možné změřit soulad s normami HIPAA. Každé pravidlo HIPAA se skládá z mnoha standardů HIPAA, z nichž každý má své vlastní prováděcí specifikace. Abyste mohli účinně auditovat své podnikání, musíte tyto standardy HIPAA použít jako základ pro své audity. Auditem svého podniku podle standardů HIPAA získáte představu o tom, kde máte mezery v dodržování předpisů, a budete tak moci později přistoupit k jejich nápravě.
Plány nápravy
Po dokončení auditů a vypracování mezer v současném dodržování předpisů HIPAA můžete začít tyto mezery odstraňovat.
Pro každou mezeru, kterou vaše audity odhalily, by měly být otevřeny plány nápravy. Ty musí být plně zdokumentovány v jednom centrálním úložišti s omezeným přístupem podle rolí v závislosti na stranách zapojených do procesu nápravy. Každý plán nápravy musí přidělit odpovědnost někomu z vašich zaměstnanců za odstranění mezery spolu s akčními body a časovým plánem dokončení.
Při odstraňování každé mezery musí vaše organizace dokumentovat tento proces, dokud nebudou všechny mezery uzavřeny.
Policie, postupy, školení zaměstnanců
Policie a postupy jsou základním kamenem účinného programu dodržování předpisů HIPAA.
Organizace, které dodržují předpisy HIPAA, musí mít zavedeny zásady a postupy, které se týkají jednotlivých standardů HIPAA. Jejich účelem je vytvořit jednotné procesy ve všech částech organizace pro nakládání s PHI a všechny ostatní implementační specifikace předepsané zákonem HIPAA.
Přestože standardy, které musí jednotlivé zásady a postupy řešit, budou pro každý subjekt, který je držitelem HIPAA, stejné, skutečné znění zásad a postupů musí být přizpůsobeno potřebám vaší organizace. Proto se hledání řešení, jako je pořadač zásad, nepovažuje za efektivní řešení pro zajištění shody s předpisy HIPAA. Pokud se zásady, které vaše organizace implementuje, nevztahují na rozsah vaší činnosti, nebudou vás moci ochránit v případě porušení HIPAA.
Pokud vaše organizace implementuje zásady a postupy HIPAA, musíte zajistit, aby všichni zaměstnanci byli proškoleni o jejich obsahu. A abyste řádně zdokumentovali, že toto školení proběhlo, musí vaše organizace nechat všechny zaměstnance podepsat potvrzení, že si přečetli a porozuměli obsahu jednotlivých zásad. Tato potvrzení by měla být zavedena, aby byla vaše organizace chráněna před odpovědností v případě, že zaměstnanec způsobí porušení HIPAA v rozporu s některou z vašich zásad.
Školení zaměstnanců musí být prováděno každoročně. Všichni noví zaměstnanci, kteří nastoupí do vaší organizace, musí být proškoleni o zásadách a postupech v rámci nástupního procesu.
Řízení dodavatelů/prodejců
Další nezbytnou součástí dodržování zásad HIPAA je pochopení způsobu ochrany informací PHI, ke kterým mají přístup dodavatelé. Jak bylo uvedeno výše, BA je dodavatel, kterého najímáte a jehož práce nutně zahrnuje setkání s PHI jakéhokoli druhu.
HIPAA nařizuje, že před jakýmkoli sdílením PHI musí vaše organizace s tímto dodavatelem uzavřít smlouvu o obchodním partnerovi (BAA). To platí pro vztahy mezi CE a BA, kromě vztahů mezi jedním BA a jiným BA (BA BA BA se podle HIPAA nazývá „subdodavatel“).
BAA MUSÍ být uzavřena předtím, než lze sdílet jakékoli PHI. Účinná BAA by měla uvádět, že:
- Organizace 1 uznává, že je povinna dodržovat HIPAA.
- BA organizace 1 uznává, že je povinna dodržovat HIPAA.
- Odpovědnost v případě porušení ochrany údajů nese strana odpovědná za porušení.
.